Alors que les ventes en ligne ne cessent de progresser en France - 17 milliards d’euros au 3e trimestre, en hausse de 12% sur un an - la Fevad attire l’attention sur des propositions de règles européennes qui, si elles étaient adoptées, pourraient avoir un impact « particulièrement négatif » sur le développement des achats sur Internet, estime la fédération du commerce électronique et de la vente à distance. Il s’agit de dispositions techniques (Regulatory Technical Standards, RTS), complémentaires à la directive sur les services de paiement (DSP2) et qui portent sur l’authentification forte des cyber-acheteurs. En proposant cette dernière pour tout paiement supérieur à 10 euros, le texte que l’autorité bancaire européenne (EBA) a soumis à consultation publique jusqu’au 12 octobre dernier « s’éloigne très sensiblement des orientations prévues par la DSP2 », alerte la Fevad avec de nombreux autres acteurs du commerce en ligne en Europe.
Ce que pointe ici l’organisation professionnelle française, c’est un recours disproportionné à l’authentification forte, qui ne tient pas compte du niveau de risque lié au service fourni. A travers le système 3D-Secure (cf le rapport 2015 de l'OSCP/Banque de France), elle est déjà en place depuis 10 ans. « Nous sommes pour cette authentification forte », nous a rappelé Bertrand Pineau, responsable de l’innovation, du développement et de la veille à la Fevad, chargé de la commission Paiement, monétique et fraude. « Le problème, c’est qu’elle soit systématique alors qu’il y a de nombreux contextes où elle ne s’applique pas et où il est carrément aberrant de l’exiger », explique-t-il en soulignant qu’au-delà de 10 euros, cela concernerait quasiment tous les paiements. « Nous ne comprenons pas pourquoi ce texte est si restrictif ». Les professionnels du secteur alertent donc les autorités et les parties prenantes sur ce point afin que les législateurs européens puissent, en temps utile, amender ce texte qui ne devrait être appliqué par les régulateurs nationaux qu'à partir de 2018.
25% des paniers abandonnés à cause de lenteurs d'authentification
Grâce aux dispositifs déjà mis en place, tant 3D-Secure que technologies d’analyse du risque, on est parvenu à maîtriser la fraude à la carte bancaire. « Les outils commencent à porter leurs fruits, le taux de fraude sur la vente à distance est en baisse depuis 2 ans en pourcentage et en volume », nous a confirmé Bertrand Pineau. « On ne comprend pas pourquoi le texte des RTS sur les modalités de la sécurité des paiements est si restrictif ». Dès septembre, la Fevad a donc, avec la fédération européenne Ecommerce, souligné dans une étude (*) qu'il avait une meilleure alternative à l'authentification forte qui peut s'avérer restrictive et trop lourde. Les professionnels de la banque, du numérique et de l'e-commerce préconisent plutôt une approche mixte dite « par les risques » (les anglo-saxons parlent de « targeted authentification ») qui tient compte des risques associés à chaque transaction. Cette approche mixte « passe par une analyse comportementale », décrit Bertrand Pineau. En fonction de cette analyse de risque, du scoring obtenu, la transaction est associée, ou pas, à une authentification forte.
Dans un communiqué, Marlene ten Ham, secrétaire générale d’Ecommerce Europe, estime que c’est la seule méthode viable pour sécuriser une expérience d’achat sûre et sans couture pour les consommateurs. « Aujourd’hui, 25% des abandons de paniers d’achat résultent de processus d’authentification pesants. Cela entraîne un impact négatif important pour les e-commerçants », pointe-t-elle. Alors qu’il est prouvé que, dans certains cas vérifiés, l’authentification mixte pourrait augmenter les taux de conversion de façon significative, jusqu’à 70%.
(*) avec d’autres acteurs du numérique et de la banque : Edima, Epif, Choice in eCommerce et CCIA. L'association Ecommerce fédère au niveau européen les associations de commerce électronique.
Il serait surtout préférable que le CVV (code de 3 chiffres) soit dynamique.
Signaler un abusDes cartes de ce type avait été présentée par les constructeurs de carte mais les banques ne semblent pas pressées de pousser cette solution sécurisée.
Le recours systématique du CVV dynamique et de la puce (et non de la bande magnétique de la carte) permettrait de sécuriser l'ensemble et de rendre le numéro de carte bancaire non sensible.
Il est vrai que le système 3D Sécure (qui, sur notre site est obligatoire pour chaque transaction, mais rare en dessous de 10 euros) est laborieux en France. Sommes installé en Belgique mais vendons beaucoup en France, et avons donc un compte français. nous savons comparer facilement la façon de travailler des banques Françaises et des Banques belges. En Belgique, toutes les banques donnent, à l'ouverture d'un compte courant, une "calculette génératrice de codes" pour générer les codes pour rentrer sur le site webbanking de chaque banque, pour confirmer les opérations, pour confirmer le nouveau destinataire d'un paiement, et aussi pour générer le code 3DSécure = rapide, fiable, efficace. En France, avec la majorité des banques il faut recevoir le code 3DSécure par sms ou appel téléphonique, cela pose pas mal de problèmes surtout lorsque l'internaute passe commande avec son mobile. FEVAD et autres associations françaises: faites pression sur les banques françaises pour qu'elles modernisent leurs façons de travailler, qu'elles viennent voir en Belgique comment les banques travaillent, elles aurons beaucoup apprendre.
Signaler un abusC'est vrai que la chaîne d'authentification des commerçants est du pain béni (et risible) pour les pirates. Il faut avoir un sacré culôt et aussi du mépris pour exiger que les transactions soit authentifiées le client et non par la banque. Pourtant ce serait facile d'imaginer une autre chaîne d'autentification. Par exemple la procuration. Le client final donnerait une procuration aux magasins de son choix de débiter son compte directement. La transaction resterait entre la banque et le magasin. Le client lui, aurait juste à valider son achat sur le site du commerçant. Il n'aurait plus à donner son code de carte de crêdit et n'aurait plus à subir toutes ces authentifications plus dangeureuses et périlleuses les unes que les autres. Bref, un certificat, une authentification forte entre les 2 parties serait une bonne solution. Fini le code secret... C'est pas dur pourtant... Mais bon...
Signaler un abusBonjour merci
Signaler un abus"sans couture" est une traduction littérale de "seamless", ça fait bizarre en français. Qq chose comme "sans heurt" serait plus approprié.
Il est certain que la reflexion et, donc le temps, est préjudiciable a des achats d'impulsion et aussi aux escroqueries.
Signaler un abusUne alternative a empecher l'authentification forte est l'accélération de cette procédure .. plus cher en investissement. Mais cela pourrait être modulé (ie plus ou moins rapides selon les personnes et/ou les authentifieurs. Un acheteur de type impulsif pourrait demandé une authentification lente afin de sen donner le temps d'une réflexion, les établissement pourraient conseiller la vitesse d'authentification en fonction de profils de leur clients ..
Carte bleue est une marque. Carte bancaire serait plus juste.
Signaler un abus"Aujourd’hui, 25% des abandons de paniers d’achat résultent de processus d’authentification pesants"
Signaler un abusQu'en termes galants ces choses-là sont dites !
En fait une part importante d'achats sur Internet réside dans des achats dits "d'impulsion". Or l'ennemi des comportements impulsifs, c'est la réflexion: pour qu'un tel acte d'achat se conclue, il faut le faire vite, sinon le consommateur risque de revenir sur sa première idée et de ne pas dépenser...
Voilà pourquoi les cyber-commerçants s'efforcent de limiter les velléités de lutter contre la fraude par des cinématiques qui laisseraient tout le temps au client de remettre en cause son "clic" initial...