La directive PSD2 va rendre les achats en-ligne plus sûrs

Pratique
Par Frederik Mennes (OneSpan) · 03/01/2019

De tout temps, il y a eu davantage de fraudes lors d’achats en-ligne que de fraudes en-ligne visant les banques. Ce contraste est particulièrement saisissant en Belgique, aux Pays-Bas et au Royaume-Uni. Dans notre pays, ce phénomène s’explique par le fait que les sites d’e-commerce peuvent décider eux-mêmes de leur tolérance à la fraude. Résultat: la facilité d’utilisation l’emporte toujours sur la sécurité.

La directive financière européenne PSD2 (Payment Services Directive – (directive sur les services de paiement)) doit mettre fin à cette situation problématique.

Comment les achats en-ligne gagneront-ils concrètement en sécurité? Et que doivent faire les prestataires de services de paiement pour se conformer à la directive PSD2?

La fraude plutôt que les ventes ratées

Les acteurs de l’e-commerce le constatent depuis des années: les consommateurs interrompent leur processus d’achat lorsque le processus de paiement est compliqué.

Avec la méthode de vérification 3D Secure, par exemple, les clients doivent confirmer un paiement par carte de crédit à l’aide d’un code. Pour ce faire, ils sont redirigés vers un autre environnement Web – celui de leur banque. Ce qui est souvent source de confusion. Résultat? Les acheteurs interrompent leur commande et effectuent leur achat chez un concurrent où ils peuvent payer en un seul clic. Il n’est donc pas surprenant que les magasins en-ligne souhaitent rendre leur processus de paiement aussi convivial que possible.

L’inconvénient est que, sans sécurité supplémentaire, il est facile d’effectuer des achats en-ligne, par exemple avec une carte de crédit volée. Toutefois, les coûts qui pèsent sur un site d’e-commerce à la suite d’une fraude de ce type sont souvent bien moins élevés que le chiffre d’affaires perdu en raison des commandes annulées.

Lutte contre la fraude

La situation va désormais changer car la directive PSD2 oblige les acteurs de l’e-commerce à intégrer une authentification supplémentaire, comme c’est le cas avec 3D Secure. Heureusement, l’expérience de paiement des consommateurs s’est améliorée avec la version 2.0 de cette méthode de vérification, lancée cette année, en particulier sur les appareils mobiles.

La première directive (PSD1) – visant à uniformiser le marché des paiements au sein de l’Union européenne – fut adoptée par le Parlement européen en 2007. L’introduction du SEPA en fut l’un des événements marquants.

La directive PSD2 vise à lutter contre la fraude en-ligne et à renforcer la confiance. Bien qu’une étude de la Commission européenne ait démontré que la confiance des consommateurs dans les achats en-ligne a considérablement augmenté entre 2007 et 2017, les détaillants ne se bousculent généralement pas pour vendre aux consommateurs d’autres États-membres de l’UE. Leur principale préoccupation ? Le risque de fraude.

Licences

Un prestataire de services de paiement peut demander lui-même une licence PSD2 auprès de la banque nationale du pays où se trouve son siège central. Il existe deux types de licences. La première est destinée aux prestataires de service d’information sur les comptes (AISP – Account Information Service Providers), c’est-à-dire des tiers qui, avec le consentement du titulaire du compte, collectent des données bancaires. Il peut s’agir d’une entreprise fintech qui met à disposition une application mobile permettant aux consommateurs de gérer tous leurs comptes auprès de différentes banques via une interface unique.

Source: Open Space

La deuxième licence s’adresse aux initiateurs de paiement (PISP – Payment Initiation Service Providers). Il s’agit d’acteurs qui – toujours avec l’autorisation de l’utilisateur – sont autorisés à initier des paiements. L’entreprise hollandaise iDeal et l’allemande Sofort en sont des exemples bien connus, mais les acteurs de l’e-commerce qui souhaitent permettre aux clients d’effectuer des paiements directs relèvent également de ce statut.

La directive PSD2 énonce diverses exigences qu’un AISP ou un PISP doit respecter pour pouvoir bénéficier d’une licence. L’objectif est de rendre l’environnement e-commerce plus sûr, non seulement pour le détaillant, mais aussi pour le consommateur. Ce dernier bénéficie de droits supplémentaires en cas de fraude, par exemple si un montant supérieur à celui convenu a été prélevé sur son compte bancaire. Là où, par le passé, les banques en faisaient porter la responsabilité aux consommateurs, elles doivent dorénavant, en vertu de la directive PSD2, procéder au remboursement en cas de fraude.

La directive PSD2 est en vigueur depuis 2016 mais les États-membres de l’UE avaient jusqu’en janvier 2018 pour transcrire les modifications qu’elle entraîne dans leur législation nationale. Une période de transition a été prévue jusqu’en septembre 2019, après quoi tous les acteurs du marché de l’e-commerce devront être certifiés PSD2.

Frederik Mennes
Senior Manager Market & Security Strategy
OneSpan