Ce qu’il faut savoir sur la DSP 2
Cette directive européenne, votée en 2015, poursuit 2 objectifs :
- offrir aux consommateurs un plus large choix de moyens de paiement ;
- renforcer la sécurité des paiements ainsi que la lutte contre la fraude.
Entrée partiellement en vigueur en janvier 2018, la directive devait s’appliquer en totalité à partir de septembre 2019.
En juin 2019, à la demande des entreprises de commerce électronique, l’Autorité Bancaire Européenne (ABE) a laissé aux acteurs du marché (banques, commerçants et e-commerçants, prestataires de services de paiement tiers) jusqu’au 31 décembre 2020 pour se mettre en conformité et, notamment, pour satisfaire à l’une des dispositions majeures de DSP 2 : l’obligation d’authentification forte du client pour les paiements à distance.
L’obligation d’authentification forte
Pour les consommateurs, l’authentification forte – dite aussi à « 2 facteurs » – n’est pas vraiment une nouveauté : avec le protocole 3-D Secure, cela fait déjà des années que pour payer par carte sur les principaux sites marchands, nous devons saisir :
- les données de la carte : numéro, date de validité et code de sécurité ;
- un code à usage unique envoyé par SMS par la banque.
La généralisation de l’authentification forte ayant pris beaucoup de retard avec la pandémie de Covid-19, commerçants et acteurs du paiement ont obtenu un nouveau report de cette obligation jusqu’à une date inconnue à ce jour.
En quoi les call centers sont-ils concernés par la DSP 2 ?
Les centres d’appels proposant le paiement par téléphone n’étaient jusqu’ici pas concernés par l’authentification forte.
Sous certaines conditions, ils devraient continuer à bénéficier de cette exemption une fois que la directive sera pleinement en vigueur.
C’est une bonne nouvelle car l’introduction d’une étape supplémentaire dans le processus de paiement par téléphone et l’augmentation potentielle du nombre de transactions rejetées iraient totalement à l’encontre de la fluidité recherchée et réduiraient significativement l’intérêt et les avantages de ce mode de paiement, tant pour les consommateurs que pour les call centers eux-mêmes.
De fait, si les centres d’appels sont concernés par DSP 2, c’est principalement parce que tous les autres acteurs de la chaîne de paiement y sont soumis et vont, par conséquent, conditionner l’exemption d’authentification forte à deux critères :
- la sécurité intrinsèque du système/serveur de paiement par téléphone du centre d’appels ;
- la qualité et la fiabilité des informations transmises à la banque du payeur pour valider la transaction.
Si ces conditions ne sont pas respectées ou jugées insuffisantes, l’authentification forte sera déclenchée automatiquement afin de s’assurer que la transaction demandée est justifiée (elle correspond bien à un achat et émane d’une entreprise clairement identifiée) et non frauduleuse (le payeur est bien le détenteur de la carte et correspond à compte bancaire approvisionné à la hauteur de l’achat).
Si la transaction est identifiée « à risque », demander au client de récupérer puis saisir un code à usage unique ou de se connecter à son application bancaire pour s’authentifier augmente le risque d’erreur de manipulation pouvant interrompre le processus de paiement ou le faire échouer :
- c’est fâcheux pour le client qui peut décider d’abandonner son achat ;
- c’est encore plus fâcheux pour le chiffre d’affaires du centre d’appels et l’entreprise/marque qu’il représente.
Le système de paiement par téléphone de votre centre d’appels est-il à la hauteur ?
Pour les centres d’appels, le défi de la directive DSP 2 consiste à éviter le déclenchement intempestif du processus d’authentification forte, sachant que celui-ci peut devenir systématique si les transactions considérées « à risque » dans votre call center sont trop nombreuses.
Comment éviter cet écueil ?
En fournissant à votre prestataire de service de paiement le maximum d’informations sur le payeur (le client), le payé (l’entreprise) et la transaction elle-même.
C’est en effet cet intermédiaire qui, via ses algorithmes, évalue pour chaque requête initiée depuis le serveur de paiement par téléphone si la transaction demandée présente toutes les garanties requises ou si une vérification supplémentaire est nécessaire pour poursuivre.
Cela signifie très concrètement que votre serveur de paiement par téléphone doit pouvoir transmettre automatiquement et de manière sécurisée à votre PSP :
- les habituels identifiants de la carte saisis par le payeur (n° de la carte, date de validité, derniers chiffres code de sécurité) ;
- des données et métadonnées permettant de qualifier précisément la transaction : numéro de commande, identité de client, nom conforme à celui figurant sur la carte, identification du centre de contact, taux de transactions abouties et toute autre information propre à renforcer la confiance de la banque du payeur et de l’entreprise devant recevoir le paiement.
Ces données ayant un caractère sensible, elles obéissent à des normes d’hébergement et de transmission très strictes.
Vous mettrez toutes les chances de votre côté en choisissant un fournisseur de solution de paiement par téléphone certifiée PCI DSS (Payment Card Industry Data Security Standard). Cette certification exigeante garantit que votre fournisseur a mis en œuvre tous les moyens nécessaires pour protéger les données recueillies lors des opérations de paiement et assurer leur chiffrement lors des transmissions. Réévaluée chaque année, la conformité à la norme PCI DSS atteste que les points de contrôles exigés sont bien mis en œuvre et qu’ils sont efficaces pour la protection des données de cartes bancaires.
Un deuxième point auquel vous devez veiller concerne la qualité de l’interfaçage de votre solution de paiement par téléphone avec les systèmes du PSP d’une part et, d’autre part, avec les systèmes de votre entreprise (CRM, ERP, système de gestion de commandes…). Une solution ouverte vous donnera la possibilité de récupérer toutes les données dont vous avez besoin pour éviter le déclenchement de l’authentification forte et, une fois la transaction réalisée, de remonter cette information dans vos applications.
Enfin, vous tirerez le maximum de valeur de votre solution de paiement par téléphone si elle donne à vos conseillers la possibilité d’accompagner les clients pas à pas, tout au long du processus de paiement. Il ne s’agit bien évidement pas de leur donner accès aux informations confidentielles que le client communique au serveur de paiement, mais de leur permettre de suivre à l’écran les étapes du paiement et de voir les éventuels messages d’erreur ou de rejet. En cas de difficulté, le conseiller peut ainsi reprendre la conversation sur le canal voix et proposer au client de faire une deuxième tentative. Si la transaction se déroule sans encombre, le conseiller pourra confirmer au client de vive voix que sa transaction est validée, le remercier et prendre congé en bonne et due forme.
Si votre solution de paiement par téléphone remplit ces trois conditions, non seulement vous minimisez le recours à l’authentification forte qui pénaliserait votre centre de contact, mais vous offrez de plus à vos clients une expérience de paiement qui renforce leur confiance et leur satisfaction.
Ce n’est pas votre cas ? Parlons-en !
Demandez une démonstration gratuite !