Guillaume Djourabtchi (Natixis Payments) : “Le taux d’authentification dans l’e-commerce a augmenté de 30 points avec la DSP2”

Que signifie la mise en œuvre de la DSP2 pour les e-commerçants ?

La DSP2 contraint l’ensemble des acteurs du paiement dans l’e-commerce – commerçants, prestataires de services de paiement (PSP) et émetteurs – à passer d’une authentification simple à une authentification forte, c’est-à-dire intégrant deux facteurs, avec par exemple la validation d’une caractéristique biométrique via l’application bancaire. Si auparavant la décision d’authentifier ou non une transaction pour couvrir le risque d’impayé revenait au commerçant, cette nouvelle réglementation prévoit une obligation d’authentifier toutes les transactions. 

Quel est le calendrier ?

Cette mise en œuvre se fait par paliers : les transactions supérieures à 1 000 euros depuis le 5 janvier 2021, les transactions de plus 500 euros depuis le 15 février 2021 et de plus de 250 euros depuis le 15 mars. Le 15 mai, c’est-à-dire dans deux mois seulement, il s’agira de l’ensemble des transactions (de plus de 30 euros, ndlr). Vu de Dalenys, qui est le PSP du groupe BPCE (émetteur de 20% des cartes en France au travers de Natixis Payments, ndlr), les transactions supérieures à 500 euros représentent environ 3 % du nombre total et 30 % des montants.

Quelle est la part de ces transactions de plus de 500 euros qui sont authentifiées ?

La réalité du côté de BPCE, c’est que trois quarts de ces transactions sont authentifiées, dont la majorité en double authentification. Le quart de transactions qui ne sont pas authentifiées viennent de secteurs protégés, comme le voyage ou l’hôtellerie par exemple (la Banque de France a prévu des exemptions à l’émission de messages de soft decline pour des secteurs sous pression en raison de la pandémie, ndlr).

Pour comprendre l’augmentation de la friction, il faut regarder quelle était la part des transactions authentifiées sur demande des commerçants avant l’installation des paliers. En moyenne, on observe que le taux d’authentification, donc la friction, a augmenté d’environ 30 points en moyenne avec la DSP2. 30 points de transactions sous friction, c’est loin d’être neutre. On observe en outre un impact significatif sur le taux final de transformation des e-commerçants, la double authentification entraînant de la perte en ligne.

Comment réduire cette friction ?

Les textes ont ouvert des chemins vers des parcours frictionless.  Le commerçant ou son PSP peuvent transmettre un certain nombre de données sur le contexte de de la transaction à la banque du payeur pour éviter une authentification. Si cette dernière refuse leur analyse, elle émet un “soft decline” (un rejet de la transaction par l’émetteur avec possibilité pour l’e-commerçant de soumettre une nouvelle fois la transaction avec authentification forte, ndlr). 

Chez BPCE, 17 % des transactions pour lesquelles un “soft decline” est émis reviennent sous la forme d’un retry. Cela signifie donc que 83 % des transactions que l’émetteur ne veut pas accepter sans authentification ne vont pas jusqu’à leur terme. La difficulté, c’est que le retry nécessite des développements techniques : les informations passent par une nouvelle voie protocolaire qu’il faut être en mesure de pouvoir traiter. 

En tant que filiale du groupe BPCE, Dalenys a la chance de pouvoir évoluer au sein d’un modèle intégrant acquéreur et émetteur. Grâce aux volumes importants de données dont nous disposons, nous avons pu développer un “retry automatique” que nous appelons “soft retry”. Ainsi, Dalenys est assuré d’obtenir du frictionless s’il en fait la demande. Les schemes commencent aussi à proposer de l’analyse du contexte de paiement, mais cela nécessite de déléguer l’analyse de risque à des acteurs tiers.