Plus de 2 ans après l’entrée en vigueur de la DSP2, quels défis reste-t-il à relever pour les paiements par carte bancaire ? 

Entrée en vigueur le 14 septembre 2019, la DSP2 avait pour objectif de renforcer la sécurité des paiements pour mieux protéger les clients, tout en favorisant l’innovation par l’ouverture du marché à de nouveaux acteurs. La protection des clients et la prévention de la fraude devaient notamment passer par la mise en place de solutions d’authentification forte, visant à s’assurer que le client est bien à l’origine de l’opération sensible qu’il initie, notamment connexion à sa banque en ligne, paiement par carte bancaire, réalisation d’un virement. Cette ambition s’inscrit dans un contexte de croissance de l’usage des paiements sur l’année 2021, marqués par la progression de l’usage du paiement par carte sans contact et des virements instantanés¹.

Dans cet article, nous nous concentrerons sur les paiements réalisés par carte bancaire dont la mise en conformité date de mai 2021 : quels défis reste-t-il à relever quant à la mise en place de la réglementation DSP2 pour les paiements par carte bancaire ?

La mise en conformité des paiements par carte bancaire arrive à son terme

Concernant les paiements par carte bancaire, un délai de mise en conformité avait été octroyé par la Banque de France en raison des complexités de mise en œuvre des exigences DSP2. En effet, les acteurs de l’écosystème monétique devaient d’une part implémenter de nouveaux dispositifs d’authentification forte conformes, d’autre part migrer les protocoles 3D Secure vers une nouvelle version (3DS v2) permettant la gestion des exemptions à l’authentification forte. L’échéance de mise en conformité était fixée à mars 2021², selon un plan de migration publié et piloté par l’Observatoire de la Sécurité des Moyens de Paiements.

Dans son communiqué du 3 février 2022³, l’Observatoire de la Sécurité des Moyens de Paiements indique qu’à fin 2021, plus de 97 % des porteurs de cartes sont dotés d’une solution d’authentification forte. Les 3 % restant correspondant à des établissements financiers de petites tailles pour lesquels le déploiement des solutions d’authentification forte est en cours. De plus, 97 % des transactions émises par les commerçants sont conformes à la DSP2, c’est-à-dire que les transactions initiées par les porteurs ont fait l’objet d’une authentification forte, ou d’une des exemptions permises par la réglementation. Les 3 % de transactions non conformes correspondent aux transactions du secteur de l’hôtellerie, du voyage et de l’événementiel, qui ont continué à bénéficier de l’exclusion accordée par l’Observatoire de la Sécurité des Moyens de Paiements pour tenir compte des difficultés rencontrées du fait du contexte sanitaire. Elles seront mises en conformité de façon progressive au cours du premier trimestre 2022.

Le secteur des cartes bancaires est donc globalement conforme, les 3 % de porteurs à doter de solutions d’authentification fortes et de transactions à mettre en conformité devraient finir leur migration cette année.
 

Les solutions d’authentification forte rassurent les Français et limitent la fraude

Les solutions d’authentification forte apportent une réassurance aux Français, d’autant plus que 56 % d’entre eux considèrent la sécurité des paiements comme premier critère de choix avant d'acheter en ligne. De plus, la carte bancaire reste le moyen de paiement privilégié en ligne pour 69 % des Français⁴, 86 % se sentent mieux protégés par le système 3D Secure lors d’un achat en ligne par carte bancaire, et 90 % pensent que la confirmation par SMS protège vraiment les transactions en ligne⁵.

D’autre part, le déploiement de l’authentification forte a permis une baisse sensible de la fraude sur les paiements en ligne. Le taux de fraude des transactions conformes à la DSP2 (ayant fait l’objet d’une authentification forte, ou bénéficiant d’une exemption permise par la réglementation) est bien inférieur à celui des transactions non conformes⁶. Au premier semestre 2021 on note :

• Pour les transactions conformes à la DSP2, le taux de fraude des transactions conformes DSP2 est de 0,109 % pour les transactions ayant fait l’objet d’une authentification forte, et de 0,057 % pour celles ayant bénéficié d’une exemption ;
• Pour les transactions non conformes et hors cadre de la DSP2 (transactions initiées par des marchands, pour lesquelles l’émetteur ou l’acquéreur n’est pas localisé au sein de l’Espace Economique Européen), leur taux de fraude s’élève à 0,191 %.

La DSP2 permet donc de se prémunir des fraudes et rassure les Français quant à la sécurité de leurs paiements.

Des défis qu’il reste à relever en termes d’irritants clients et de fraude

Avec une progression de 13,2 %⁷ sur le nombre d’opérations, les achats en ligne ont connu un boom avec la crise de la Covid-19. L’enjeu pour les e-commerçants est de proposer aux clients le parcours d’achat le plus fluide possible, afin de maximiser leur taux de conversion. Cependant, l’authentification forte peut générer des frictions et résulter en abandons de panier : difficultés techniques liées à l’authentification forte empêchent certains clients de finaliser leurs achats, problèmes de redirection entre la page de paiement et celle du e-commerçant, difficultés de prise en main des solutions d’authentification forte par les clients, etc. Cet enjeu est d’autant plus crucial que 40 % des nouveaux acheteurs qui se sont vu refuser leur première transaction ne reviendront jamais chez le commerçant concerné⁸. Certains marchands se sont donc dotés de moteurs d’exemption pour maximiser les demandes d’exemption à l’authentification forte, et ainsi augmenter leurs chances de proposer une transaction sans friction.

D’autre part, la croissance du e-commerce engendre une hausse des fraudes, dont on constate une recrudescence malgré la mise en œuvre de l’authentification forte. Il s’agit principalement de nouveaux types de fraude (par exemple : manipulation du porteur, fraude au ré-enrôlement dans les solutions d’authentification forte, etc.) dont la maîtrise est principalement liée à la vigilance des porteurs eux-mêmes. Le rapport Riskified publié en 2021⁹ met en exergue le fait que l’authentification forte DSP2 ne cible pas suffisamment les transactions les plus risquées. D’une part, les fraudeurs réussissent à déjouer les dispositifs d’authentification forte à l’aide de malwares, d’opérations d’ingénierie sociale permettant de voler des données personnelles de consommateurs, par l’usurpation de la carte SIM… D’autre part, certaines transactions hors périmètre de la DSP2 génèrent de nombreuses fraudes, par exemple celles réalisées avec un acheteur ou un vendeur hors Union Européenne, les commandes par téléphone ou par e-mail, les paiements initiés par le marchand et l’usage de cartes prépayées anonymes. Enfin, le dernier facteur souligné par ce rapport est le paradoxe de la « friction excessive » : les règles édictées par la DSP2 demandent parfois d’appliquer l’authentification forte (friction) sur des transactions pour lesquelles elle pourrait être évitée. A l’inverse, d’autres transactions plus risquées comme les paiements de moins de 30€ bénéficient d’exemptions à l’authentification forte, alors qu’elles représentent un risque de fraude plus élevé.

Quelles perspectives d’évolutions ?

L’adoption de la DSP2 est en bonne voie, avec une perception positive de la part des Français qui sont sensibles au renforcement de la sécurité des paiements par carte.

La finalisation du déploiement des solutions d’authentification forte passera par :

• La finalisation de l’équipement des porteurs en solution d’authentification forte, principalement ceux peu digitaux et ne possédant pas de smartphone. Des solutions d’authentification forte alternatives devront leur être proposées, comme un code secret couplé à un code à usage unique envoyé par SMS ou généré par un token physique ;
• La poursuite du déploiement de l’authentification forte par les établissements de petite taille ;
• La poursuite de la conduite du changement réalisée auprès des clients, pour les accompagner dans l’appropriation des nouvelles solutions d’authentification forte. Cela permettra de diminuer les abandons d’achats, d’autant plus que 38 % des clients estiment que leurs banques ne les ont pas accompagnés dans la prise en main de l’authentification forte¹⁰ ;
• La poursuite de la mise en conformité des secteurs de l’hôtellerie et du voyage et de l’événementiel.

Les acteurs de l’écosystème monétique devront également relever les défis liés aux nouveaux types de fraude, pour mieux cibler les transactions à risque et déjouer les tentatives de corruption de l’authentification forte. Le tout dans un contexte de multiplication des nouveaux usages de paiements (par exemple le paiement fractionné), et tout en conservant une expérience client simple et fluide. Cela ouvre des perspectives de développement d’algorithmes d’intelligence artificielle toujours plus pertinents pour déjouer les scénarios de fraude.

¹ https://www.banque-france.fr/sites/default/files/medias/documents/osmp_note_fraude_1er_semestre_2021.pdf

² https://www.banque-france.fr/evenement/rapport-annuel-de-lobservatoire-de-la-securite-des-moyens-de-paiement-2019

³ https://www.banque-france.fr/sites/default/files/medias/documents/osmp_note_fraude_1er_semestre_2021.pdf

⁴ Étude "Les français et le paiement en ligne", Ipsos / Adyen (2021)

⁵ Étude "Les français et le paiement en ligne", Ipsos / Adyen (2021)

⁶ https://www.banque-france.fr/sites/default/files/medias/documents/osmp_note_fraude_1er_semestre_2021.pdf

⁷ Livre Blanc n° 2 "Quand la confiance paie", CNIL (2021)

⁸ Enquête “New-User-Missed-Opportunity-EMEA” Forter  

⁹ Etude "The dark side of PSD2", Riskified (2021) 

¹⁰ 38% des clients estiment que leurs banques ne les ont pas accompagnés dans la prise en main de l’authentification forte