Élaborée pour renforcer la sécurité des paiements en ligne, la DSP2 est une réglementation qui impose aux marchands des règles strictes, notamment l’authentification forte (SCA). Cette exigence vise à réduire la fraude, mais impacte aussi l’expérience client et les taux de conversion. Pour garantir la sécurité et la fluidité des transactions, les entreprises doivent adopter les solutions et les outils conformes. Découvrez comment sécuriser vos paiements tout en optimisant vos performances commerciales.

Comprendre la DSP2 et son impact sur les paiements en ligne

La DSP2 est l’une des mesures qui encadrent les paiements en ligne pour assurer la sécurité et augmenter la confiance des consommateurs.

Qu'est-ce que la DSP2 et pourquoi est-elle importante ?

La directive européenne sur les services de paiement a été adoptée par l’Union européenne en 2015 et est appliquée depuis janvier 2018. Sa mise en place a été progressive jusqu’en 2021. Elle vise à renforcer la sécurité des transactions électroniques comme le paiement NFC et encourager l’innovation dans le secteur financier. 

Son objectif est de limiter la fraude, qui a explosé avec l’essor du commerce en ligne. Selon l’Observatoire de la sécurité des paiements, la fraude sur les paiements en ligne dans l’Union européenne représentait 1,8 milliard d’euros en 2022, soit 8 % de la fraude totale sur les paiements par carte.

Pour y remédier, la DSP2 impose des règles strictes, comme l’authentification forte (SCA, Strong Customer Authentication), aux prestataires de services de paiement (PSP) et aux commerçants. Cette réglementation garantit que chaque transaction est validée par au moins deux des trois facteurs qu’elle exige.

Les principaux composants de la DSP2

L’authentification forte n’est pas la seule solution de sécurisation imposée par cette directive. La DSP2 repose sur plusieurs piliers clés :

  • l’ouverture du marché des paiements : la DSP2 oblige les banques à donner accès aux comptes clients à des prestataires tiers agréés (Third Party Providers, TPP) via des interfaces sécurisées (API). Cette mesure a favorisé l’essor de l’Open Banking et de nouveaux services financiers.
  • La lutte contre la fraude : selon l’Agence bancaire européenne, l’obligation de la SCA a déjà permis une réduction de 40 % des fraudes sur les paiements à distance.
  • L’amélioration de la transparence : Les PSP doivent désormais fournir aux consommateurs des informations plus claires sur les frais et les conditions de paiement. A titre d’exemple, pour son offre de paiement sans contact par NFC avec Paywish, Market Pay respecte cette exigence.

Depuis 2022, les prestataires de services de paiement ont également l’obligation de vérifier la concordance du nom du bénéficiaire et de l’IBAN du compte de paiement lors de l’exécution d’un ordre de virement dans l’Union européenne.

Qu'est-ce que l'authentification forte - Strong Customer Authentication (SCA) ?

L’authentification forte (Strong Customer Authentification, SCA) est la principale obligation de la directive DSP2. Son rôle est d’optimiser la sécurité des paiements électroniques et de lutter contre la fraude à travers une protection maximale des données du client.

Les exigences de l'authentification forte (SCA)

L’authentification forte impose aux marchands et aux prestataires de services de paiement en ligne d’utiliser un processus de sécurité qui exige de combiner deux des trois facteurs suivants :

  • un élément de connaissance : mot de passe, code PIN, 
  • un élément de possession : smartphone, carte bancaire, token de sécurité,
  • un élément biométrique : empreinte digitale, reconnaissance faciale ou vocale.

Cette obligation concerne le paiement sans contact et la plupart des transactions sur internet. Mais, certaines opérations, telles que les paiements de faible montant (moins de 30 €) ou les transactions récurrentes préalablement autorisées, sont exemptées.

La mise en place de ce processus d’authentification est une mesure efficace pour lutter contre la fraude sur les paiements en ligne en Europe. Mais, elle a aussi complexifié le parcours d’achat, ce qui est l’une des causes de la hausse des abandons de panier.  Pour pallier ces effets, les commerçants peuvent utiliser des solutions comme le frictionless flow ou la délégation d’authentification de 3D Secure 2. 

La première permet d’éviter l’authentification forte lorsque le risque de fraude est jugé faible, grâce à une analyse en temps réel des transactions par des outils de gestion du risque (Transaction Risk Analysis). Si un paiement est considéré comme sûr, il peut être traité sans intervention supplémentaire du client.

La deuxième solution, quant à elle, permet aux marchands d’effectuer eux-mêmes l’authentification du client plutôt que de passer par la banque. L’expérience utilisateur est fluidifiée grâce à des solutions comme l’authentification biométrique intégrée aux applications marchandes. 

Comment adapter votre système de paiement à la DSP2 ?

Se conformer à la directive DSP2 ne se limite pas à respecter l’obligation d’authentification forte. Les marchands doivent adapter leur infrastructure de paiement pour garantir sécurité et fluidité dans l’expérience d’achat. 

Mettre à jour vos solutions de paiement pour respecter la DSP2

Pour garantir une mise à jour efficace de votre système de paiement, travaillez avec des  prestataires de service de paiement conformes. Les PSP doivent se conformer à la réglementation en vigueur avec la DSP2 et proposer des solutions qui intègrent l’authentification forte sans compliquer le parcours client. 

Vérifiez aussi que votre prestataire prend en charge le protocole 3D Secure 2 (3DS2). D’après Visa, il réduit de 70 % les frictions liées aux paiements SCA et contribue à la conversion des prospects.

Pensez à intégrer des méthodes de paiement alternatives. Les paiements par wallets numériques (Apple Pay, Google Pay) ou les virements instantanés via l’Open Banking assurent une authentification fluide et conforme aux exigences de la directive.

Les conséquences d’un manquement à la DSP2 pour votre commerce

Se conformer à la réglementation DSP2 est une obligation pour tous les acteurs du commerce en ligne. Un manquement à cette réglementation peut avoir de graves répercussions sur votre activité.

Risque de sanctions et perte de confiance

D’un point de vue réglementaire, les autorités de surveillance peuvent vous infliger des sanctions, parce que vous ne respectez pas les obligations de sécurité imposées par la directive. Ces amendes peuvent être lourdes et affecter directement la rentabilité de votre commerce en ligne, surtout si vous êtes à vos débuts.

Au-delà des sanctions, votre image de marque est impactée négativement. Un système de paiement non sécurisé augmente le risque de fraudes et de cyberattaques. Si un client subit un dommage après un paiement sur une boutique web mal protégée, la confiance est immédiatement rompue. La mauvaise gestion de la sécurité peut donc entraîner une fuite de clients vers des sites mieux protégés et nuire à la réputation de votre entreprise sur le long terme.

Les banques et votre passerelle de paiement peuvent, par ailleurs, refuser d’approuver des transactions si elles ne sont pas conformes aux exigences de la DSP2. Les principales conséquences sont : une augmentation des refus de paiements et une baisse des ventes. 

De la DSP2 à la DSP3 (évolution sur la DSP3)

L’adoption de la directive DSP2 a marqué une avancée majeure dans la sécurisation des paiements à distance, mais le paysage financier évolue rapidement. Face à l’évolution des techniques de fraude et aux nouvelles habitudes de paiement en ligne, la Commission européenne prépare la DSP3, dont l’objectif est d’améliorer la protection des consommateurs et d’adapter la réglementation aux innovations technologiques.

Cette réglementation devrait renforcer la supervision des prestataires de services de paiement et étendre l’authentification forte à un plus large éventail de transactions pour limiter les failles exploitées par les fraudeurs.

Elle prévoit également une modernisation du cadre de l’Open Banking, qui peine encore à atteindre son plein potentiel. Selon une étude de Juniper Research, la valeur des opérations liées aux services Open Banking en Europe devrait atteindre 330 millions d’ici 2027, contre 57 millions en 2023.

La DSP3 ambitionne d’accélérer cette adoption en clarifiant les obligations des banques et en simplifiant l’accès aux données pour les prestataires tiers, sans affecter la transparence promue aux consommateurs.