Le 20 mai dernier, la FCA (Financial Conduct Authority) a annoncé une prolongation de six mois du délai de mise en œuvre de l’authentification forte du client (SCA – Strong Customer Authentication) pour les achats en ligne.
Les commerçants anglais avaient jusqu’au 14 septembre 2021 pour se conformer à la règlementation SCA pour l’ensemble des transactions e-commerce. Cette date limite a été repoussée au 14 mars 2022. Cette nouvelle prolongation de six mois vise à réduire au minimum les perturbations pour les commerçants et les consommateurs et tient compte des difficultés rencontrées par le secteur pour être prêt à la date limite du 14 septembre 2021.
Depuis le 14 septembre 2019, le calendrier de mise en place du SCA au Royaume-Uni est glissant. A plusieurs reprises, la FCA a accepté d’accorder aux entreprises un délai supplémentaire pour la mise en œuvre de l’authentification forte pour les transactions de commerce électronique par carte, en raison de la pandémie de COVID-19 et afin d’aider les acteurs à se préparer au mieux.
Dans les autres pays européens, quelques ajustements dans les dates limites sont annoncés. A titre d’exemple, en France, où la réglementation devait entrer en vigueur à compter du 15 mai dernier, la date a été repoussée de 4 semaines. La Fédération Bancaire Française (FBF) a publié cette nouvelle la veille de l’échéance en informant que l’ensemble des établissements bancaires français avait ce délai de 4 semaines en complément pour s’adapter et ne pas avoir une application trop brutale des nouvelles règles pour les commerçants et utilisateurs. Passé ce délai, la mise en œuvre sera définitive et dès lors les banques pourront décliner toute transaction de plus de 30 € non conforme. Le FBF rappelle que « pour les clients qui n’auraient pas de smartphone, les banques proposent des solutions alternatives comme l’utilisation d’un SMS à usage unique couplé à un mot de passe connu par le client, ou encore l’utilisation d’un dispositif physique dédié ».
L’authentification forte a pour objectif de renforcer la sécurité des paiements pour les consommateurs, et il est indispensable de pouvoir proposer des solutions à l’ensemble des clients.
A date, la majorité des pays européens ont maintenu la date d’échéance et sont déjà « SCA compliant ».
L’enjeu crucial pour les e-commerçants – le maintien du taux de conversion
Le sujet majeur pour les e-commerçants dans la migration vers la SCA est le maintien ou l’optimisation du taux de conversion. Le taux de conversion correspond à l’ensemble des transactions autorisées sur l’ensemble des tentatives d’achats (intégrant ainsi tous les échecs d’authentification, les abandons lors du process d’achat ou encore les éventuels refus par les dispositifs anti-fraude). L’objectif de tous les e-commerçants est d’avoir le taux le plus élevé pour optimiser ses ventes.
Pour rappeler le concept du SCA, désormais, les accès aux comptes et la réalisation de transactions seront conditionnées par une vérification d’identité ouvrant une nouvelle étape lors de l’acte d’achat qui devra répondre au moins à 2 des 3 catégories suivantes :
- « Connaissance »: quelque chose que seul l’utilisateur connait (mot de passe, PIN, Code, réponse à une question secrète),
- « Possession » : quelque chose que seul l’utilisateur possède (téléphone mobile, carte à puce, token, etc.),
- « Inhérence » : quelque chose de propre à l’utilisateur (empreinte digitale, reconnaissance vocale ou faciale).
Même si l’ensemble des pays de la zone n’ont pas encore tous migrés vers ce nouveau standard, toutes les études actuellement menées (Ravelin, Forter…) présentent les impacts négatifs du SCA sur la conversion des transactions. Selon les derniers constats, son application engendre systématiquement un taux d’échec d’entre 20% et 30%.
Source : Forter analysis
Cependant, pour tenter de réduire cet impact négatif sur leur chiffre d’affaires et proposer à leurs clients un parcours totalement fluide (frictionless), les e-commerçants peuvent demander une exemption d’authentification forte pour les transactions remplissant les conditions d’exemption définies par la 2ème Directive sur les Service de Paiement (DSP2). Parmi les principales raisons pour demander une exemption, la DSP2 prévoit : les transactions de moins de 30 €, les paiements récurrents avec un montant identique, les opérations vers un bénéficiaire de confiance, ou encore les transactions jugées peu risquées par les banques et/ou le commerçant, quel que soit le montant jusqu’à 500 €.