Passerelle de Paiement 3D Secure : Comment le 3DS2 Protège les Marchands Contre la Fraude
Le 3D Secure est un protocole d'authentification développé par les réseaux de cartes qui ajoute une couche de vérification d'identité aux transactions par carte en ligne. Lorsqu'un client paie via une passerelle activée 3D Secure, sa banque émettrice vérifie la transaction avant qu'elle ne soit autorisée, soit par une vérification de fond sans friction, soit en invitant le client à s'authentifier via son application bancaire. Pour les marchands, le 3D Secure offre deux avantages critiques : il réduit significativement les pertes dues à la fraude sur les transactions en ligne, et il transfère la responsabilité des contestations de fraude du marchand à la banque émettrice.
Ce qu'est le 3D Secure et comment il fonctionne
Le 3D Secure (3DS) est un protocole d'authentification basé sur XML pour les transactions sans carte présente. Les trois domaines du nom font référence au domaine marchand, au domaine acquéreur et au domaine d'interopérabilité (le réseau de réseau de cartes et la banque émettrice). Ensemble, ces trois parties participent à la vérification que la personne initiant la transaction est le porteur de carte autorisé.
Flux de transaction avec 3DS :
Le client saisit les coordonnées de carte au checkout et soumet le paiement. La passerelle du marchand soumet la transaction avec une demande d'authentification 3DS. Le réseau de cartes achemine la demande vers le Serveur de Contrôle d'Accès de l'émetteur de la carte. L'émetteur effectue une évaluation des risques sur la transaction. Si l'évaluation des risques indique un risque faible (flux sans friction), la transaction est authentifiée sans interaction du client. Si le risque dépasse le seuil sans friction, le client est invité à s'authentifier, généralement en approuvant une notification push dans son application bancaire, en saisissant un mot de passe à usage unique, ou en fournissant une confirmation biométrique.
Le transfert de responsabilité : Lorsqu'une transaction est authentifiée avec succès via 3DS, et que le porteur de carte la conteste ultérieurement comme frauduleuse, la responsabilité des contestations passe du marchand à la banque émettrice. C'est l'avantage commercial principal du 3DS pour les marchands.
Pour les marchands opérant une passerelle de paiement à haut risque, l'implémentation du 3DS2 est particulièrement importante car les catégories à haut risque ont tendance à avoir des taux de fraude et de fraude amie élevés.
3DS1 vs 3DS2 : ce qui a changé et pourquoi c'est important
La spécification originale 3D Secure (3DS1) a été introduite au début des années 2000. Bien qu'elle ait fourni un mécanisme de transfert de responsabilité, elle avait des problèmes sérieux d'utilisabilité et de conversion. Le 3DS2 (EMV 3DS) a été développé pour résoudre ces problèmes.
Problèmes du 3DS1 :
Le 3DS1 nécessitait une redirection vers la page d'authentification de l'émetteur, souvent mal conçue et déroutante pour les clients. Le modèle de mot de passe statique était facile à oublier et créait de la friction à chaque transaction. Sur les appareils mobiles, le flux basé sur la redirection était particulièrement problématique. De nombreux marchands ont désactivé le 3DS1 spécifiquement parce que l'étape d'authentification causait plus d'abandon de transaction que les pertes liées à la fraude.
Améliorations du 3DS2 :
Le 3DS2 introduit un modèle riche de partage de données. La passerelle du marchand envoie jusqu'à 150 points de données avec la demande d'authentification, incluant l'empreinte digitale de l'appareil, les caractéristiques du navigateur, l'historique des commandes et les signaux comportementaux. L'émetteur utilise ces données pour prendre une décision de risque. Pour les transactions à faible risque, l'émetteur peut accorder une authentification sans friction, ce qui signifie que le client n'est jamais invité à faire quoi que ce soit.
Méthodes d'authentification dans le 3DS2 : Lorsque l'authentification est requise, le 3DS2 prend en charge des méthodes modernes : notifications push vers une application bancaire avec confirmation biométrique, mots de passe à usage unique par SMS, et authentification dans l'application sans redirection.
PSD2 et Authentification Forte du Client : La Directive Européenne sur les Services de Paiement révisée (PSD2) impose l'Authentification Forte du Client (SCA) pour la plupart des transactions européennes par carte sans présence physique. Le 3DS2 est le principal mécanisme de conformité SCA.
Comment le 3D Secure réduit la responsabilité des contestations pour les marchands
Le transfert de responsabilité fourni par l'authentification 3D Secure est le mécanisme par lequel les marchands réduisent les pertes liées aux contestations de fraude.
Comment le transfert de responsabilité fonctionne en pratique : Un client complète un achat et s'authentifie via 3DS2 (par exemple, en approuvant une notification push dans son application bancaire). La transaction est traitée et les biens sont livrés. Un mois plus tard, le client contacte sa banque émettrice en affirmant que la transaction était non autorisée. La banque initie une contestation sous un code motif de fraude.
Lorsque la passerelle du marchand soumet la réfutation, elle inclut l'enregistrement d'authentification 3DS2 : l'ID de Transaction d'Authentification (ATID), le statut d'authentification (authentifié) et la valeur ECI indiquant une authentification complète. Ce dossier démontre que la propre banque émettrice du porteur de carte a authentifié la transaction. En pratique, cela se traduit par l'annulation de la contestation dans la grande majorité des cas.
Transactions qui ne bénéficient pas du transfert de responsabilité : Certains résultats 3DS2 ne fournissent pas de transfert de responsabilité. Le transfert de responsabilité s'applique le plus fortement aux transactions avec un résultat d'authentification réussi et une valeur ECI de 05 (Visa) ou 02 (Mastercard).
Exemptions et responsabilité : Certaines exemptions 3DS2 (transactions à faible valeur inférieures à 30 euros, listes de bénéficiaires de confiance, transactions récurrentes) permettent aux transactions de se poursuivre sans SCA. La position de responsabilité pour les transactions basées sur des exemptions varie selon le type d'exemption.
Quand le 3D Secure est requis vs optionnel
Dans le cadre du mandat d'Authentification Forte du Client de PSD2, le 3D Secure est requis pour la plupart des transactions européennes par carte sans présence physique, mais une gamme d'exemptions et de scénarios hors périmètre définit quand la SCA ne s'applique pas.
Quand le 3DS est requis (SCA s'applique) :
Tous les paiements standard sans présence physique initiés par le client (transactions initiées par le client, ou CIT) pour des montants supérieurs au seuil de faible valeur sont soumis à la SCA.
Exemptions permettant les transactions sans 3DS :
Transactions à faible valeur : Les transactions inférieures à 30 euros peuvent bénéficier d'une exemption de faible valeur. Cependant, les émetteurs suivent les montants cumulatifs et les nombres de transactions ; une fois que cinq exemptions consécutives de faible valeur ont été appliquées ou que le montant cumulatif dépasse 100 euros, la SCA est requise pour la prochaine transaction.
Analyse des risques de transaction (TRA) : Les émetteurs et acquéreurs peuvent appliquer des exemptions TRA aux transactions qu'ils évaluent comme peu risquées.
Transactions récurrentes : Le paiement initial dans une série récurrente nécessite la SCA. Les transactions initiées par le marchand (MIT) suivantes dans le même mandat récurrent peuvent se poursuivre sans SCA.
Bénéficiaire de confiance : Les porteurs de carte peuvent ajouter des marchands à une liste blanche auprès de leur émetteur.
Hors périmètre pour la SCA : Les transactions initiées par le marchand sans interaction du client (MIT), les transactions où une partie est en dehors de l'EEE, et les transactions avec carte d'entreprise sont hors périmètre pour la SCA PSD2 dans des circonstances spécifiques.
Implémentation du 3DS2 avec RoxPay
La passerelle de paiement RoxPay prend en charge le 3DS2 nativement. L'implémentation est gérée dans l'architecture d'intégration existante, sans nécessité d'un fournisseur 3DS séparé.
Approche drop-in UI : Si vous utilisez l'interface drop-in de RoxPay (saisie de carte basée sur JavaScript), le 3DS2 est géré automatiquement. Lorsque l'émetteur nécessite une authentification, la bibliothèque gère la redirection vers l'environnement d'authentification de l'émetteur, gère la réponse et continue le flux de paiement sans code supplémentaire du côté du marchand.
Approche d'intégration API : Pour les marchands utilisant une intégration API directe, les données d'authentification 3DS2 sont transmises via les paramètres d'intention de paiement. La documentation complète est disponible sur app.roxpay.eu/api/v4/docs.
Optimisation du taux sans friction : RoxPay transmet le maximum de données disponibles dans la demande d'authentification 3DS2 pour soutenir des taux sans friction élevés. L'authentification sans friction signifie que le client n'est jamais invité à confirmer quoi que ce soit ; l'émetteur approuve la transaction en arrière-plan.
Tests en sandbox : Le sandbox RoxPay fournit des scénarios de test pour chaque résultat 3DS2 : authentification sans friction, authentification par défi, échec d'authentification et carte non inscrite.
Pour démarrer votre candidature RoxPay et commencer à tester le 3DS2 dans le sandbox, l'inscription prend moins de dix minutes et les identifiants sandbox sont délivrés immédiatement. RoxPay est certifié PCI DSS Level 1 (QS83A47X629) et ISO 27001.
Questions fréquentes
Le 3D Secure réduit-il les taux de conversion ?
Le 3DS2 avec une implémentation correcte a un impact minimal sur la conversion par rapport au 3DS1. Le flux d'authentification sans friction, où l'émetteur authentifie la transaction en arrière-plan sans action du client, représente 80-90% des transactions authentifiées pour les marchands bien configurés. Les transactions restantes qui nécessitent un défi voient une certaine réduction, mais c'est significativement moins que la réduction observée avec le modèle de redirection et mot de passe statique du 3DS1.
Quelle est la valeur ECI dans l'authentification 3DS ?
La valeur ECI (Electronic Commerce Indicator) dans une réponse d'authentification 3DS indique le niveau d'authentification atteint. ECI 05 (Visa) ou 02 (Mastercard) signifie qu'une authentification complète a été effectuée et fournit un transfert de responsabilité complet. ECI 06 ou 01 signifie que la carte a tenté l'authentification mais que l'émetteur ne la prenait pas en charge, offrant un transfert de responsabilité limité.
Que se passe-t-il si un client échoue à l'authentification 3D Secure ?
Si le client ne parvient pas à compléter le défi 3DS2 (annule la notification push de l'application bancaire, saisit le mauvais OTP ou laisse la session expirer), l'authentification échoue et le paiement n'est pas traité. Votre passerelle devrait afficher un message d'erreur clair et permettre au client de réessayer ou d'utiliser un autre moyen de paiement.
Vous pourriez aussi aimer
Passerelle de paiement à haut risque
Traitement sécurisé des paiements pour les secteurs à haut risque avec routage multi-acquéreur et protection contre les rétrofacturations.
Solutions de paiement pour petites entreprises
Tarification IC++ transparente, terminal Smart POS gratuit et activation en 24 heures pour les petites entreprises.
Intégrations de paiement e-commerce
Plugins en un clic pour Shopify, WooCommerce, Magento et PrestaShop avec accès API complet.
Optimisez vos paiements dès aujourd'hui
RoxPay prend en charge le 3DS2 natif avec optimisation du taux sans friction, transfert de responsabilité pour les transactions authentifiées et tests sandbox complets. Certifié PCI DSS Level 1, tarification IC++ à partir de 0,45%.
✓ Aucun coût fixe mensuel · ✓ Activation en 24 heures · ✓ Support technique dédié
