En Europe, l’implémentation de l’authentification forte des consommateurs (SCA - Strong Customer Authentication) prévue dans le cadre de la deuxième directive européenne sur les services de paiement (DSP2) a été particulièrement lente. Après des années de retard, le Royaume Uni vient tout juste de rejoindre la France, l’Allemagne, l’Italie et l’Espagne parmi les pays en conformité totale avec cette directive, qui vise à lutter contre la fraude des paiements en ligne. Sa mise en œuvre a été très inégale dès ses débuts, l'Autorité bancaire européenne ayant accordé des délais supplémentaires aux banques centrales nationales, du fait des difficultés à intégrer l’authentification multifacteur dans les processus de paiement, ainsi que par manque de préparation de la part des commerçants.

Au rythme où avancent aujourd’hui les technologies et les attentes des clients, les outils et techniques conçus pour authentifier les transactions et prévenir la fraude sous la DSP2 semblent aujourd’hui dépassés. Comme souvent, à peine une réglementation a-t-elle été mise en œuvre qu'elle devient obsolète - ou du moins inadaptée.

Nous voilà donc à l’aube de la DSP3, la prochaine version de la directive, qui fait déjà l’objet de nombreux débats. Le défi pour les écosystèmes de paiement est d’adopter une approche innovante et tournée vers l’avenir vis-à-vis du DSP2 sous la DSP3. En introduisant des solutions avancées et en dépassant certains obstacles que la DSP2 peine à surmonter, il sera alors possible d’assurer sa pertinence sur le long terme.

L’authentification forte dans le parcours d’achat : un risque d’abandon multiplié

Il est indéniable que l’amélioration de la sécurité et des mesures antifraude a été un aspect central de la DSP2. La directive sur les services de paiement initiale, datant de 2007, avait été conçue pour mieux intégrer le marché des paiements européen et offrir plus de sécurité aux clients. Cependant, cette première directive n’était clairement pas assez robuste pour protéger les consommateurs qui effectuaient des paiements en ligne et sur mobile. C’est pourquoi l’authentification forte des consommateurs a été intégrée à la DSP2 et proposée par l’UE en 2015.

Le fait de rendre obligatoire l’authentification forte, telle que définie par les normes techniques de réglementation (RTS) de la DSP2, a néanmoins eu une conséquence : davantage de friction dans le parcours d’achat des clients. Les solutions multifactorielles - telles que les mots de passe à usage unique - ajoutent des étapes supplémentaires au processus et accablent les clients, augmentant la probabilité qu’ils abandonnent leur achat. En résulte alors une baisse de transactions conclues et, par conséquent, une perte de revenus pour les commerçants. En effet, d’après une étude de Dalenys publiée en septembre 2021, un Français sur deux affirme avoir déjà abandonné un achat pendant le processus de paiement. Pour 61% d’entre eux, cela vient d’un niveau de sécurité trop contraignant.

En ce qui concerne les menaces, le besoin de rendre plus efficace la prévention de la fraude est un facteur tout aussi important. D’après Juniper Research, les pertes mondiales liées aux paiements en ligne ont été de 20 milliards de dollars en 2021, une augmentation de 18% par rapport à l’année précédente. De son côté, la Banque Centrale Européenne a révélé que 80% du montant des fraudes à la carte bancaire en 2019 était lié à des transactions sans présence de la carte, ce qui équivaut à des pertes d’environ 1,5 milliards d’euros — et ce avant la pandémie !

L’essor du e-commerce, accéléré par la pandémie, a créé de nouvelles opportunités pour les fraudeurs. Les plus expérimentés d’entre eux sont parfaitement capables d’outrepasser l’authentification à deux facteurs (2FA) en utilisant des faux numéros pour intercepter les mots de passe à usage unique nécessaires à valider les transactions. On constate aussi une forte hausse de la “fraude en tant que service”, avec des acteurs spécialisés qui monétisent de plus en plus leurs compétences, offrant une porte d’entrée simple à des fraudeurs peu qualifiés.

Par conséquent, la DSP3 doit réussir le pari d’élever les capacités de prévention de la fraude à un niveau qui corresponde à la menace en hausse, sans compromettre pour autant l’expérience d’achat des vrais clients. Elle doit accorder un certain degré de flexibilité à l’ensemble de l’écosystème de paiement, permettant aux clients et aux commerçants de contrôler la manière dont les transactions sont sécurisées. Au vu de la vitesse à laquelle évolue le e-commerce, il va sans dire que la DSP3 doit être planifiée et définie au plus vite, afin d’éviter qu’elle ne devienne obsolète avant même d’avoir été implémentée.

L’analyse comportementale au service des commerçants

La solution la plus simple pour réduire la friction côté client est de leur permettre de contourner autant que possible le processus d’authentification. Ceci peut sembler contre-intuitif, mais même sous la DSP2 les émetteurs de cartes peuvent exempter certaines transactions de l’authentification forte lorsque leurs outils d’analyse de risque déterminent que celui-ci est faible. Si l’on dispose d’assez d’informations sur le client, en utilisant des graphiques d’identité numérique avancés, l’analyse de données ou le machine learning, pour identifier les vrais clients en fonction de leur historique, alors la part des transactions qui peut être autorisée en toute sécurité - sans passer par des étapes d’authentification supplémentaires - augmente considérablement. Ce processus créera une expérience sans friction pour davantage de clients et aura pour résultats plus de transactions abouties, plus de revenus pour les commerçants et une meilleure satisfaction client.

L’authentification biométrique est une autre route pour réduire la friction sur le parcours client. Des facteurs tels que la reconnaissance faciale, vocale ou digitale sont de plus en plus employés comme outils de sécurité lors de voyages internationaux par exemple. Au fur et à mesure que les clients se familiarisent avec eux, ils permettent de simplifier considérablement le processus d’authentification. Les grands acteurs du retail expérimentent déjà avec des solutions biométriques, comme le magasin test d’ALDI à Greenwich qui propose une expérience sans caisse. Grâce à des caméras connectées à une application, il est par exemple possible de suivre les produits sélectionnés par le client. Le système de reconnaissance faciale avec estimation de l’âge permet quant à lui de valider l’achat de produits réservés aux personnes majeures, comme l’alcool.

Des fonctionnalités biométriques plus nuancées et basées sur les sciences comportementales, comme la dynamique de frappe au clavier, l’angle auquel l’usager d’un service de paiement tient son dispositif ou la manière dont il utilise sa souris devraient aussi faire partie des procédures d’authentification autorisées par la DSP3. Ces données peuvent être employées de concert avec des facteurs contextuels tels que les adresses IP et la géolocalisation, afin d’identifier les vrais consommateurs sans ajouter des étapes inutiles.

Les solutions liées aux sciences comportementales sont de grande valeur au moment d’authentifier les transactions sur téléphone mobile, un secteur dont l’importance grandit rapidement puisque les ventes mondiales dans le m-commerce ont augmenté de 15% en 2021, pour une valeur totale de 359 milliards de dollars.

Ces outils de sciences comportementales associés à la biométrie, apprennent davantage à mesure qu’on les utilise, permettant d’avoir une image plus précise du comportement des vrais usagers. Par conséquent, les acheteurs devraient rencontrer de moins en moins de problèmes d’identité avec le temps. Ces facteurs sont aussi plus difficiles à imiter, ce qui met la barre plus haut pour les fraudeurs et remplit ainsi l’objectif de protéger davantage les clients et les commerçants.

À noter cependant que les données comportementales et biométriques sont hautement privées — et ne peuvent pas être modifiées en cas de fuite, comme les codes PIN ou les mots de passe. Leur usage doit donc être réglementé et protégé avec les niveaux de sécurité les plus hauts, puisqu’une perte pourrait avoir des conséquences catastrophiques en termes de vol d’identité. La biométrie et les solutions fondées sur les sciences comportementales ne devraient pas être conçues comme un remède miracle à la question de l’authentification. Pour instaurer la confiance, il est bien plus probable que la biométrie devienne l’une des composantes d’un processus de vérification à plusieurs niveaux et complexe, qui permettra néanmoins de simplifier le processus et de réduire considérablement la friction.

Alors que l’industrie débat sur la forme de la future DSP3, il est fondamental qu’elle intègre des technologies de pointe ou émergentes pour l’authentification des clients et la prévention de la fraude, afin qu’elle remplisse ses objectifs plutôt que de devenir dépassée avant même sa mise en œuvre. En adoptant une approche innovante et tournée vers l’avenir, l’industrie peut gagner en contrôle et flexibilité au niveau de la gestion de la prévention de la fraude, tout en garantissant une meilleure expérience client, ce qui se traduira par plus de fidélité et de revenus pour les commerçants.

Découvrez notre offre

Améliorez votre expérience magasin avec la solution qui vous convient le mieux et à la pointe de la technologie.

Entre nous, tout commence ici

Nous contacter

Notre actualité s'offre à vous