Ce guide passe en revue les exigences d'authentification forte du client (SCA) de l'Europe et les types de paiements concernés. Il décrit également les exemptions qui peuvent être utilisées pour des transactions à faible risque afin d'offrir une expérience de paiement fluide.
Nous avons publié un guide pour vous aider à identifier à quelle étape de votre parcours client l'authentification doit être ajoutée. Consultez notre site pour plus d'informations sur les produits prêts pour la SCA de Stripe.
Qu'est-ce que l'authentification forte du client ?
L'authentification forte du client (SCA) est une réglementation européenne visant à réduire la fraude et à sécuriser les paiements en ligne et sans contact. Pour accepter des paiements tout en vous conformant aux exigences de la SCA, vous devez ajouter une étape d'authentification supplémentaire à votre tunnel de paiement. L'authentification forte du client utilise au moins deux des trois éléments suivants.
Si vous souhaitez connaître les exigences de la SCA, veuillez consulter le document Normes techniques réglementaires ou RTS. Les banques doivent refuser les paiements qui ne satisfont pas aux exigences de la SCA.
Quand l'authentification forte du client est-elle requise?
L'authentification forte du client concerne les paiements en ligne initiés par les clients et les paiements hors-ligne sans contact effectués en Europe. Ainsi, la plupart des paiements par carte et des transferts bancaires requièrent la SCA. N'étant pas considérés comme « initiés par les marchands », les prélèvements automatiques ne nécessitent pas d'authentification forte du client.
Ces exigences concernent les transactions par carte pour lesquelles l'entreprise et la banque du titulaire de la carte sont toutes deux implantées dans l'Espace économique européen).
Comment authentifier un paiement
À l'heure actuelle, les paiements en ligne sont le plus souvent authentifiés via le protocole 3D Secure, une norme d'authentification prise en charge par la majorité des cartes européennes. L'utilisation de 3D Secure ajoute généralement au flux de paiement une étape supplémentaire dans laquelle la banque invite le titulaire de la carte à fournir d'autres informations pour finaliser le paiement (par exemple, un code ponctuel envoyé sur son téléphone ou la reconnaissance de ses empreintes digitales par le biais de son application bancaire mobile).
3D Secure 2, est principalement utilisée pour authentifier les paiements en ligne effectués par carte et garantir le respect des exigences de l'authentification forte du client. Cette version offre une meilleure expérience utilisateur qui permet de réduire la friction que l'authentification ajoute au tunnel de paiement.
Les transactions par carte effectuées hors-ligne en saisissant un code PIN satisfont déjà les exigences d'authentification.
D'autres moyens de paiement qui utilisent une carte, comme Apple Pay ou Google Pay prennent déjà en charge des flux de paiement comportant une couche d'authentification intégrée (biométrique ou mot de passe). Ces moyens de paiement permettent aux entreprises d'offrir une expérience de paiement fluide tout en respectant les réglementations.
Nous pensons également que de nombreux autres moyens de paiement européens, tels qu'iDEAL, Bancontact ou Multibanco, appliqueront les règles de la SCA sans que cela ne nuise à l'expérience utilisateur.
Exemptions à l'authentification forte du client
Cette réglementation prévoit d'exempter de l'authentification forte du client certains types de paiements à faible risque. Les prestataires de services de paiement comme Stripe sont en mesure de demander ces exemptions lors du traitement du paiement. La banque du titulaire de carte reçoit la demande d'exemption, estime le niveau de risque de la transaction avant de décider d'autoriser l'exemption ou de maintenir l'authentification.
L'intégration d'un mécanisme d'authentification à votre tunnel de paiement s'accompagne d'une étape supplémentaire susceptible de rendre le processus moins fluide et d'augmenter le taux d'abandon de panier. L'application d'exemptions aux paiements à faible risque peut réduire le nombre de fois qu'un client doit s'authentifier et ainsi simplifier le processus. Nous avons conçu nos services de paiement prêts pour la SCA de façon à protéger vos taux de conversion tout en tirant parti des exemptions lorsque cela est possible.
Les exemptions les plus fréquentes pour les entreprises en ligne sont
Transactions à faible risque
Un prestataire de services de paiement (comme Stripe) peut effectuer des analyses du risque en temps réel afin de déterminer si une transaction doit être soumise à la SCA. Cela n'est possible que si le taux de fraude des paiements par carte du prestataire de services de paiement ou de la banque n'excède pas les seuils suivants :
- 0,13 % pour exempter les transactions inférieures à 100 €
- 0,06 % pour exempter les transactions inférieures à 250 €
- 0,01 % pour exempter les transactions inférieures à 500 €
Ces seuils seront convertis, le cas échéant, dans les montants locaux équivalents.
Si seul le taux de fraude du prestataire de services de paiement est inférieur au seuil alors que celui de la banque du titulaire de la carte le dépasse, il est probable que la banque refuse l'exemption et demande l'authentification.
Ceci est sans doute l'une des exemptions les plus utiles pour les entreprises et l'une des plus largement autorisées par les banques. L'évaluation des risques complète en temps réelle de Stripe Radar nous permet d'accorder cette exemption à nos utilisateurs.
Paiements inférieurs à 30 €
Ce type d'exemption peut être utilisé pour les paiements de faibles montants. Les transactions inférieures à 30 € sont considérées de « faible valeur » et peuvent faire l'objet d'une exemption de SCA. Les banques doivent néanmoins demander l'authentification si le titulaire de la carte a déjà bénéficié de cinq exemptions depuis sa dernière authentification réussie ou si la somme des paiements précédemment exemptés dépasse 100 €. La banque du titulaire de la carte doit savoir combien de fois cette exemption a été utilisée et si l'authentification est nécessaire.
En raison des limites strictes de cette exemption, l'exemption pour les transactions à faible risque devrait être plus pertinente pour la plupart des paiements. Cependant, nous prenons en charge cette exemption pour nos clients.
Abonnements à montant fixe
Cette exemption peut être appliquée lorsque le client effectue des paiements récurrents de même montant à la même entreprise. L'authentification forte du client est requise lors du premier paiement du client. Les paiements suivants peuvent ensuite être exemptés de la SCA.
Cette exemption devrait être particulièrement utile pour les entreprises qui facturent des abonnements et elle sera largement prise en charge par les banques européennes. Nous activons cette exemption pour les utilisateurs Stripe. Si vous utilisez Stripe Billing pour créer des abonnements, nous appliquons automatiquement cette exemption lorsque cela est possible et pouvons vous aider à gérer les demandes d'authentification dans le cas où l'exemption serait refusée par la banque du client.
Transactions initiées par le marchand (y compris les abonnements variables)
Les paiements effectués avec des cartes enregistrées alors que le client n'est pas présent dans le flux de paiement (également appelés les paiements hors session) peuvent être considérés comme des transactions initiées par le marchand. De par leur nature, ces paiements ne sont pas concernés par la SCA. En pratique, signaler un paiement comme une « transaction initiée par le marchand » revient à demander une exemption, et, au même titre que les autres exemptions, il revient à la banque de décider si la transaction doit faire l'objet d'une authentification.
Pour utiliser des transactions initiées par le marchand, vous devez authentifier la carte au moment de son enregistrement ou lors du premier paiement. Enfin, vous devez recueillir le consentement (mandat) du client afin de pouvoir débiter sa carte ultérieurement.
Il s'agit d'un cas d'usage essentiel pour les modèles économiques reposant sur les retards de paiement, les abonnements à montant variable ou les factures pour des modules complémentaires. Cela pris en charge par la plupart des banques européennes et accepté si la transaction est considérée à faible risque par la banque.
L'API de Stripe vous permet d'authentifier une carte lorsqu'elle est enregistrée pour une utilisation ultérieure et de marquer les paiements ultérieurs comme « transactions initiées par le marchand ».
Bénéficiaires de confiance
Lors de l'authentification d'un paiement, les clients ont la possibilité de placer une entreprise dans laquelle ils ont confiance sur une liste blanche de façon à ce qu'elle n'ait pas à s'authentifier pour de prochains achats. Ces entreprises sont ajoutées à une liste de « bénéficiaires de confiance » gérée par la banque du client ou le prestataire de services de paiement.
Alors que les listes blanches simplifient les achats récurrents et les abonnements, peu de banques utilisent cette fonctionnalité. Nous avons fait le choix de prendre en charge cette exemption dès que c'est possible.
Ventes par téléphone
Les informations de carte collectées par téléphone ne sont pas concernées par la SCA et ne requièrent donc pas d'authentification. Ce type de paiement est parfois appelé « commandes par courrier ou téléphone ». Tout comme les paiements exemptés, ces transactions doivent être signalées à la banque du titulaire de la carte afin que cette dernière puisse décider d'accepter ou de rejeter la transaction.
Il s'agit d'un cas d'usage important pour toute entreprise acceptant des paiements par téléphone et que nous espérons largement pris en charge par les banques. Les paiements créés via le Dashboard de Stripe sont automatiquement marqués comme des paiements MOTO.
Si votre entreprise est conforme PCI et que vous avez créé votre propre système pour accepter les commandes par téléphone, nos nouvelles API de paiements vous permettent de marquer un paiement en tant que MOTO. Veuillez nous contacter pour activer cette fonctionnalité sur votre compte Stripe et accéder à la documentation technique.
Corporate payments
Cette exemption concerne les paiements effectués avec une carte d'entreprise hébergée (c'est-à-dire une carte d'entreprise utilisée pour payer les dépenses de transport des employés et conservée directement par une agence de voyages en ligne), ainsi que les dépenses d'entreprise réglées avec des numéros de carte virtuelle (également utilisés dans le secteur du transport).
Nous nous attendons à ce que cette exemption n'ait qu'une utilisation pratique réduite hors de l'industrie du tourisme en raison de sa portée très limitée. L'exemption elle-même ne peut être demandée que par la banque du titulaire de la carte, étant donné que ni l'entreprise ni les prestataires de paiement (tels que Stripe) sont en mesure de détecter si une carte appartient à l'une de ces catégories.
Que se passe-t-il si une exemption est refusée?
Bien que les exemptions soient très utiles, il ne faut pas oublier que seule la banque du titulaire de la carte peut décider d'accepter ou non une exemption. Les banques peuvent renvoyer des codes de refus pour les paiements ayant échoué en raison d'une authentification manquante. Ces paiements doivent alors être de nouveau soumis au client en l'invitant à procéder à une authentification forte. Les produits prêts pour la SCA de Stripe déclenchent automatiquement cette authentification supplémentaire lorsqu'elle est demandée par les banques.
Si votre entreprise est concernée par la SCA, il est probable que votre taux d'abandon de panier augmente si des exemptions sont refusées et que les clients doivent s'authentifier. Ceci est particulièrement important si vous débitez vos clients alors qu'ils sont absents de votre tunnel de paiement (par exemple, lorsqu'ils sont hors session) et qu'ils doivent retourner sur votre site Web ou votre application pour s'authentifier. Pour plus d'informations, consultez notre guide sur la conception de tunnels de paiement pour la SCA.
Comment Stripe vous aide à satisfaire les exigences de l'authentification forte du client
Les changements introduits par cette réglementation ont des conséquences importantes sur le commerce en ligne en Europe. Les entreprises concernées qui ne se préparent pas d'ores et déjà à l'entrée en vigueur de cette réglementation pourraient voir leur taux de conversion chuter à mesure que de plus en plus de banques européennes continuent à l'appliquer.
Outre la prise en charge de méthodes d'authentification comme 3D Secure 2, nous pensons que la gestion des exemptions est essentielle pour proposer une expérience de paiement fluide. Optimisés pour les règles des organismes réglementaires, des banques et des réseaux de cartes, nos produits de paiement appliquent des exemptions pertinentes aux paiements à faible risque de façon à déclencher le protocole 3D uniquement si nécessaire. Par ailleurs, nous gérons et mettons à jour cette logique SCA en temps réel à mesure que ces règles évoluent, tenant ainsi compte du calendrier d'application de chaque pays.
Nous avons déployé une API de paiement qui utilise la logique SCA de Stripe pour appliquer l'exemption appropriée et déclencher le protocole 3D Secure lorsque cela est nécessaire. Stripe Checkout et Stripe Billing sont toutes deux basées sur cette API et peuvent, si nécessaire, appliquer de manière dynamique le protocole 3D Secure.
En savoir plus sur les produits prêts pour la SCA de Stripe. Si vous avez des questions ou des remarques, n'hésitez pas à nous en faire part.