Le protocole 3D Secure ajoute une étape d’authentification lors d’un achat par carte bancaire sur internet. Le titulaire de la carte confirme son identité via un code reçu par SMS, une notification sur son application bancaire ou une donnée biométrique. Cette vérification réduit le risque de fraude en s’assurant que la personne qui paie est bien celle qui détient la carte.
Tous les sites marchands ne déclenchent pas cette étape, et les raisons tiennent autant à la réglementation qu’aux choix commerciaux des commerçants.
Lire également : Comment récupérer facilement vos quittances de loyer Foncia en quelques clics
Exemptions prévues par la directive DSP2 sur l’authentification forte
La directive européenne sur les services de paiement (DSP2), appliquée depuis 2019, impose l’authentification forte pour la plupart des paiements en ligne par carte bancaire. Cette obligation ne couvre pas tous les scénarios. Le texte prévoit des exemptions précises, que les prestataires de paiement et les banques émettrices peuvent activer.
Les transactions de faible montant constituent la première exemption. En dessous d’un certain seuil, la banque peut autoriser le paiement sans déclencher le 3D Secure, à condition que le cumul des paiements récents sans authentification reste lui aussi sous un plafond.
A voir aussi : Les dernières tendances du web et des réseaux sociaux à ne pas manquer
Les abonnements récurrents bénéficient d’un traitement particulier. Une fois le premier paiement authentifié, les prélèvements suivants, pour un montant identique auprès du même commerçant, passent sans nouvelle vérification. Un service de streaming ou un abonnement presse ne redemandera donc pas de code à chaque échéance.
Un article détaillé sur le sujet du paiement non sécurisé sur Geekfinity revient sur les différents cas de figure rencontrés par les acheteurs.
- Transactions considérées comme à faible risque par l’analyse de la banque acquéreuse, sur la base de son taux de fraude global.
- Paiements vers un bénéficiaire de confiance, préalablement ajouté à une liste blanche par le titulaire de la carte auprès de sa banque.
- Opérations initiées par le commerçant (paiements « merchant-initiated »), comme les ajustements de montant après réservation hôtelière ou location de véhicule.
Ces exemptions ne relèvent pas d’un choix arbitraire du site marchand. Elles sont encadrées par la réglementation et validées par la banque émettrice ou le prestataire de services de paiement, qui évalue le niveau de risque en temps réel.
Analyse de risque en temps réel et flux sans friction
Les prestataires de paiement comme Stripe, Adyen ou Worldpay intègrent des moteurs d’analyse de risque qui évaluent chaque transaction avant de décider si l’authentification 3D Secure doit être déclenchée. Cette évaluation repose sur des dizaines de paramètres transmis lors du paiement.
Le protocole 3D Secure 2, successeur de la version initiale, a été conçu pour permettre ce type de décision contextuelle. Contrairement à la première version qui imposait systématiquement une redirection vers une page d’authentification, 3DS2 transmet davantage de données au réseau bancaire : type d’appareil, adresse IP, historique d’achat, comportement de navigation.
Quand l’analyse conclut que le risque de fraude est très faible, la transaction passe en mode « frictionless » : le client ne voit aucune étape d’authentification supplémentaire. Le 3D Secure a bien été sollicité en arrière-plan, mais la banque émettrice a jugé la vérification superflue. Du point de vue de l’acheteur, le paiement semble ne pas avoir utilisé le protocole.
Cette distinction a son importance. Un site qui ne déclenche pas d’écran d’authentification visible n’a pas forcément désactivé le 3D Secure. Le flux sans friction est précisément la finalité de 3DS2 : sécuriser sans ralentir.
Taux d’abandon de panier et arbitrage commercial des marchands
Chaque étape ajoutée au tunnel de paiement augmente le risque que l’acheteur abandonne sa commande. L’authentification forte, lorsqu’elle impose de basculer sur une application bancaire ou d’attendre un SMS, génère une friction mesurable. Les commerçants en ligne connaissent cette corrélation et cherchent à la limiter.
Les marchands qui disposent d’un taux de fraude bas peuvent demander à leur prestataire de paiement d’appliquer l’exemption dite « TRA » (Transaction Risk Analysis). Cette exemption permet de traiter davantage de paiements sans authentification visible, à condition que le taux de fraude du commerçant reste sous les seuils fixés par la réglementation européenne.
Ce mécanisme crée une situation où les gros sites e-commerce, qui investissent dans des outils antifraude performants, obtiennent plus facilement des exemptions que les petits marchands. Le paradoxe : les sites les plus fiables sont aussi ceux qui sollicitent le moins souvent le 3D Secure auprès de leurs clients.
Sites basés hors de l’Espace économique européen
La DSP2 s’applique aux transactions où la banque émettrice et le prestataire du commerçant sont tous deux situés dans l’Espace économique européen. Un site marchand basé aux États-Unis ou en Asie, utilisant un acquéreur non européen, n’est pas soumis aux mêmes obligations d’authentification forte.
Dans ce cas, la banque émettrice européenne du client peut tout de même exiger une authentification, mais le commerçant étranger n’a aucune obligation de l’implémenter. Le paiement peut alors passer sans 3D Secure, avec un transfert de responsabilité en cas de fraude qui retombe sur la banque émettrice ou sur le commerçant selon les accords en place.
Responsabilité en cas de fraude sans 3D Secure
Le 3D Secure modifie la répartition de la responsabilité financière en cas de transaction frauduleuse. Quand le protocole est activé et que l’authentification réussit, la responsabilité bascule du commerçant vers la banque émettrice. Ce mécanisme, appelé « liability shift », protège le marchand contre les contestations de paiement (chargebacks).
Quand un commerçant choisit de ne pas activer le 3D Secure, ou quand une exemption est appliquée, ce transfert de responsabilité ne s’opère pas. Le commerçant assume alors le risque financier en cas de fraude. Ce choix est calculé : certains marchands préfèrent absorber un faible taux de fraude plutôt que perdre des ventes à cause de l’authentification.
Pour l’acheteur, la protection reste identique dans les deux cas. La réglementation bancaire européenne garantit le remboursement d’une transaction non autorisée, que le 3D Secure ait été utilisé ou non. La banque du porteur de carte doit rembourser le client victime de fraude, puis se retourner contre le commerçant si le liability shift le permet.
L’absence d’authentification visible lors d’un achat en ligne ne signifie donc pas que le paiement est moins sécurisé pour le consommateur. Elle traduit soit une exemption réglementaire, soit un flux sans friction, soit un arbitrage commercial du marchand qui assume le risque à sa place.