Depuis le 14 septembre 2019, de nouvelles exigences concernant les paiements en ligne ont été introduites dans le cadre de la Directive sur les services de paiement, 2e version (DSP2). 

Qu’est-ce que l’authentification forte du client ?

Pour les usagers du CRL10 : L’authentification forte du client (SCA - strong customer authentication) est une nouvelle réglementation européenne visant à réduire la fraude et à sécuriser les paiements en ligne et sans contact. 
Pour le CRL10 : Pour accepter des paiements tout en étant en conformité avec les exigences de la SCA, il est nécessaire d’avoir une étape d’authentification supplémentaire au tunnel de paiement. 

L’authentification forte du client utilise au moins deux des trois éléments suivants.
UN ÉLÉMENT CONNU DU CLIENT(p. ex. mot de passe ou PIN)
UN ÉLÉMENT DÉTENU PAR LE CLIENT(p. ex. téléphone ou token de matériel)
UN ÉLÉMENT DÉFINISSANT LE CLIENT(p. ex. empreintes digitales ou reconnaissance faciale)

Les banques refusent les paiements qui ne satisfont pas aux exigences de la SCA

Comment est authentifié un paiement ?

Les paiements en ligne sont authentifiés via le protocole 3D Secure V2, une norme d’authentification prise en charge par la majorité des cartes européennes.
L’utilisation de 3D Secure ajoute généralement au flux de paiement une étape supplémentaire dans laquelle la banque invite le titulaire de la carte à fournir d’autres informations pour finaliser le paiement (par exemple, un code ponctuel envoyé sur son téléphone ou la reconnaissance de ses empreintes digitales par le biais de son application bancaire mobile).

Le protocole 3DS V2 fournit un mécanisme qui permet de réaliser une authentification forte en conformité avec la DSP2.

Certains sites utilisent encore le protocole 3D Secure V1 qui est moins exigeant, mais cela va évoluer car dès octobre 2022, tous les flux devront passer par le 3D Secure V2. 

Bonnes pratiques pour vos usagers :

► L'usager doit vérifier avec sa banque le ou les outils utilisés pour valider les transactions 3DS2. Il est fortement conseillé de télécharger l’application de sa banque : dans de nombreux cas, la validation du paiement s’effectue depuis l’application de la banque.

► Après la validation du paiement 3DS2, certaines banques ne font pas de retour automatique sur le site du CRL10, dans ce cas il faut forcer la redirection. Un message indique généralement «revenir sur le site marchand»

► Dans de rares cas, si après validation de la saisie de la Carte Bancaire, il n’y a pas de message lié au 3DS2, il est conseillé de s’authentifier à l’application de sa banque.  

► Dans tous les cas, il est conseillé de se rapprocher de sa banque afin d’être informé du procédé lié à la validation des paiements en ligne 3DS2. Cela permet également de mettre à jour son profil et notamment de vérifier que le numéro de téléphone pour la réception des sms de validation est bien à jour.