• Voxpay

3D Secure V2: il ne vous reste plus que quelques jours pour mettre en conformité vos paiements!

Dernière mise à jour : 24 oct.



Entrée en application le 13 Janvier 2018, la deuxième directive sur les services de paiement (DSP2) a été élaborée par la Commission Européenne avec deux objectifs en vue:

  • Favoriser l’innovation dans l’industrie du paiement dans l’Espace Économique Européen

  • Protéger les consommateurs et leurs transactions contre la fraude avec la mise en place d’une authentification forte ou Strong Customer Authentication (SCA)


Les normes techniques de réglementation (RTS: Regulatory Technical Standards) relatives à l’authentification forte du client sont elles, entrées en application le 14 septembre 2019.

Les mesures de sécurité énoncées dans les normes techniques de réglementation découlent de deux objectifs clés de la DSP2 :

  • Assurer la protection des consommateurs

  • Renforcer la concurrence et garantir des conditions de concurrence équitables dans un marché en mutation rapide.

Ces nouvelles règles exigent l’application d’une “authentification forte” du client. Tout client qui souhaite réaliser une opération de paiement grâce à un moyen de communication à distance type ordinateur, smartphone, tablette, susceptible de comporter un risque de fraude, est soumis à cette “authentification forte”.


Ce qui change: avant la DSP2 l’authentification forte était vivement recommandée, avec la DSP2 elle est obligatoire.



Qu’est-ce que l’authentification forte?



Les normes techniques prévues dans la DSP2 font de l’authentification forte une condition sinéquanone pour que le client puisse accéder à son compte de paiement et/ou effectuer des paiements en ligne.

Pour prouver son identité, l’utilisateur doit répondre au moins à deux des trois facteurs le concernant:

  • Connaissance: ce qu’il sait: un mot de passe ou un code que seul l’utilisateur connaît

  • Possession: ce qu’il a: un appareil (téléphone mobile, carte à puce, etc) que seul l’utilisateur possède

  • Inhérence: ce qu’il est: une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale).

Ces normes techniques concernent ainsi tous les paiements en ligne par carte initiés par l’acheteur. Quelques exceptions demeurent:

  • Les transactions initiées par le marchand, il peut être autorisé à initier une transaction sans l’implication du porteur.

  • Les transactions “one-leg transactions” impliquant un acheteur et/ou marchand situé hors de l’Union Européenne

  • Les transactions de vente par téléphone dites MOTO (Mail Order Telephone Order)

  • Les prélèvements automatiques

  • Les tickets de transport sur bornes non surveillées

  • Les paiements de parking

  • Les paiements sans contact


Zoom sur le 3D Secure


Le 3D secure (3DS) est un protocole sécurisé de paiement sur Internet ayant pour but de s’assurer que la carte utilisée pour chaque paiement en ligne est bien utilisée par son véritable titulaire. Déployé sous les appellations commerciales « Verified Secure » (Visa), « MasterCard Identity Check » (MasterCard), “Safekey” (American Express), “CB Paiement sécurisé” (CB) ou encore “ProtectBuy” (Diners & Discover), 3-D Secure a été développé pour limiter les risques de fraude sur Internet, liés à l'utilisation frauduleuse de numéros de carte de paiement.

Concrètement, le protocole 3D Secure s’exprime par une étape supplémentaire lors du paiement : l’authentification du porteur de la carte.

Prenons un exemple dans la vie de tous les jours.

Nicolas souhaite passer une commande sur internet. Il effectue son paiement grâce à son numéro de carte bancaire et confirme la transaction via un code reçu par SMS via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans le e-commerce.

Le 3D Secure permet l'authentification du porteur de la carte et peut être réalisée via interaction avec du porteur, on parle alors d'authentification forte ou, sans interaction du porteur, on parle alors d'autorisation "frictionless".

Selon les banques, différentes méthodes permettent une authentification forte du porteur de la carte:

  • envoi d'un code de sécurité unique par SMS ou par e-mail renseigné directement sur la page d'authentification par le porteur de la carte

  • envoi d'une notification pour une connexion à l'application bancaire mobile du porteur via un code secret ou une empreinte biométrique.

Du 3D Secure V1 au 3D Secure V2


Après une première version, 3DS V1 longtemps tolérée, le 3DS V2, qui vise à renforcer les protocoles de sécurité, devient obligatoire pour les marchands à partir du 15 mai 2021 en France. Toutefois, une période de transition 3DS v1 et 3DS v2 était prévue jusqu'en 2022.

Alors qu’elles ne représentaient que 7% des transactions en mars 2021 (*), les transactions 3DS V2 seront obligatoires:

  • à partir du 14 Octobre pour le réseau Visa et AMEX.

  • à partir du 18 Octobre pour le réseau Mastercard

A compter des ces dates, l’ensemble des entreprises devront se conformer à ces nouvelles attentes sous peine de voir leurs transactions échouées et annulées. Il s’agit en effet d’une obligation légale. Si les e-commerçants ne se mettent pas en conformité, le principe du “soft decline” sera appliqué selon lequel la transaction sera refusée par la banque du client.

Quels sont les avantages du 3D Secure V2?


Les principaux avantages du 3DSV2 visent à fluidifier le parcours client et renforcer la sécurité des transactions. En effet, il permet de:

  • optimiser le taux d’acceptation en détectant mieux les comportements frauduleux.

  • de fluidifier l’expérience client en facilitant l’authentification sur tous types de canaux grâce à une meilleure intégration dans les parcours clients.

Bien qu’il existe une mise en œuvre obligatoire du 3DS V2, il est toutefois possible de bénéficier d’exemptions. Certains paiements pourront donc être réalisés sans authentification forte du porteur. Il s’agit bien souvent de faibles montants, plafonnés et/ou réalisés par des bénéficiaires de confiance. On parle alors de parcours “frictionless” avec une authentification sans interaction systématique de l’acheteur.

Ainsi, en fonction du contexte de paiement, l’émetteur pourra décider de:

  • déclencher une authentification forte du porteur, en lui demandant de saisir des données complémentaires (connexion à la banque en ligne, utilisation d’empreinte biométrique…)

  • de finaliser le processus de paiement sans interaction de l’acheteur.

L’objectif à terme étant de transformer un maximum sans interaction de l’acheteur afin d’offrir une expérience fluide et sécurisée. Cela permet également de réduire la fraude et également le taux d’impayés tout en respectant les normes européennes.

Une obligation légale pour protéger vos clients


Vous l’aurez bien compris, le choix ne se fait plus attendre. Il est plus qu’urgent de contacter vos banques, vos prestataires de paiement, vos solutions de sécurisation de paiement pour activer le 3DS V2 et mettre à jour vos protocoles!

Bien que le déploiement suscite certaines appréhensions, il est l’objet d’une directive européenne dont la visée première est la sécurisation des paiements.

Cet investissement permettra de soutenir la confiance des consommateurs dans les paiements en ligne et de soutenir d’autant plus le e-commerce. Avec une envolée fulgurante, le e-commerce devrait connaître de belles opportunités d’innovation des parcours dans les prochaines années.

*Source : Natixis Payments