La directive européenne sur les services de paiement (DSP2) impose depuis plusieurs années une authentification forte pour les transactions en ligne par carte bancaire. Le protocole 3D Secure, dans sa version 2, constitue le mécanisme principal de cette vérification. Malgré ce cadre réglementaire, un nombre significatif de paiements sur internet se finalisent encore sans aucune étape d’authentification. Les raisons tiennent autant à des choix techniques des commerçants qu’à des mécanismes d’exemption prévus par la réglementation elle-même.
Exemptions DSP2 et analyse de risque transactionnelle : le cadre qui autorise le paiement sans 3D Secure
Le fait qu’un paiement aboutisse sans authentification ne signifie pas automatiquement une infraction. La DSP2 prévoit plusieurs cas d’exemption, et c’est là que le sujet se complique.
A lire aussi : Comment réussir la conversion de différentes unités de poids sans erreur ?
Depuis fin 2023, plusieurs émetteurs européens ont renforcé l’usage des exemptions dites de faible risque, dans le cadre du protocole 3D Secure 2. Concrètement, lorsque le score de risque d’une transaction (évalué via la méthode TRA, pour Transaction Risk Analysis) est jugé très bas, le paiement peut être traité sans authentification forte, même au-delà des petits montants habituellement exemptés.
La Banque centrale européenne a rappelé en décembre 2023 que ces exemptions sont encadrées mais encouragées pour fluidifier le commerce en ligne. Un article détaillé aborde le sujet du paiement sans 3d secure sur Geekfinity en expliquant les différents cas de figure rencontrés par les consommateurs.
A voir aussi : Astuces et conseils pratiques pour réchauffer un gratin au four sans le dessécher
Les exemptions les plus courantes incluent :
- Les transactions de faible montant, généralement sous un seuil défini par la réglementation, qui peuvent être traitées sans vérification supplémentaire tant qu’un plafond cumulé n’est pas atteint.
- Les paiements récurrents auprès d’un même commerçant (abonnements), où seule la première transaction nécessite une authentification complète.
- Les transactions évaluées à très faible risque par l’acquéreur ou l’émetteur, sur la base du TRA, lorsque leur taux de fraude global reste sous les seuils fixés par la DSP2.
- Les bénéficiaires de confiance, ajoutés manuellement par le porteur de carte dans son espace bancaire, qui permettent de contourner l’authentification pour les achats suivants.
Ces mécanismes expliquent pourquoi un site parfaitement légitime peut finaliser votre achat sans jamais déclencher de fenêtre 3D Secure.
Commerçants hors EEE et routage de paiement : les zones grises du contournement
Toutes les transactions sans authentification ne relèvent pas d’exemptions légitimes. L’Autorité bancaire européenne a précisé dans ses mises à jour relatives à la DSP2 que certains commerçants contournent systématiquement l’authentification forte. Deux méthodes reviennent fréquemment.
La première passe par des prestataires de services de paiement (PSP) situés hors de l’Espace économique européen. Quand l’acquéreur de la transaction est basé hors EEE, les règles DSP2 ne s’appliquent pas de la même manière. Le commerçant échappe alors à l’obligation d’authentification forte, même si le porteur de carte réside en Europe.
La seconde méthode repose sur des routeurs de paiement configurés pour acheminer les transactions via des circuits qui évitent le déclenchement du 3D Secure. Cette pratique, plus opaque, concerne notamment des sites de jeux en ligne ou des plateformes dont le modèle économique repose sur une conversion rapide, où chaque étape supplémentaire dans le tunnel de paiement fait perdre des clients.
Transfert de responsabilité en cas de fraude
Le point technique à retenir concerne le liability shift, le transfert de responsabilité. Lorsqu’un paiement passe par le protocole 3D Secure et qu’une fraude survient, la responsabilité financière incombe à la banque émettrice. En revanche, sans 3D Secure, c’est le commerçant qui assume le coût de la fraude. Certains marchands acceptent ce risque délibérément, considérant que la baisse du taux d’abandon de panier compense les pertes liées aux contestations.
Les données disponibles ne permettent pas de chiffrer précisément le volume de transactions routées intentionnellement hors 3DS en Europe. Les retours terrain divergent sur ce point entre les PSP, qui minimisent le phénomène, et les régulateurs nationaux, qui le surveillent de près.
Fraude sur les paiements sans authentification : ce que montrent les données françaises
L’Observatoire de la sécurité des moyens de paiement, dans son rapport 2024, fournit un éclairage direct sur la réalité du risque. La fraude sur les paiements par carte à distance a reculé depuis la généralisation de l’authentification forte. Le constat est net.
Le point saillant du rapport tient dans une asymétrie : les transactions sans 3D Secure concentrent la majorité des montants fraudés sur internet, alors qu’elles ne représentent qu’une minorité du volume total de paiements en ligne. L’Observatoire parle d’une « forte différenciation du taux de fraude » entre transactions authentifiées et non authentifiées.
Pour le consommateur, cette donnée a une implication concrète. Un achat réalisé sans authentification sur un site inconnu expose davantage à une utilisation frauduleuse des données de carte. Même si la banque rembourse généralement le porteur en cas de fraude avérée (obligation légale en France), la procédure de contestation prend du temps et implique des démarches.
Signaux d’alerte pour le consommateur
Quelques éléments permettent d’évaluer le niveau de risque lors d’un achat sans authentification :
- L’absence totale de protocole sécurisé (pas de cadenas HTTPS, pas de mention de PSP reconnu) constitue un signal négatif fort, distinct de la simple absence de 3D Secure.
- Un site qui n’affiche aucune mention légale, aucune adresse physique ou aucun numéro de service client augmente la probabilité d’un commerce non conforme.
- Les plateformes hébergées hors EEE, identifiables parfois par leur extension de domaine ou leurs conditions générales, appliquent rarement les standards européens d’authentification.
Évolution réglementaire et paiements sans 3D Secure : ce qui se dessine
La Commission européenne travaille sur la DSP3, qui devrait renforcer les exigences en matière d’authentification tout en affinant les exemptions existantes. L’enjeu est double : réduire la fraude résiduelle sur les transactions non authentifiées sans dégrader l’expérience d’achat.
Les exemptions TRA resteront probablement en place, car elles répondent à un besoin réel de fluidité commerciale. En revanche, les mécanismes de contournement via des PSP hors EEE font l’objet d’une attention croissante des régulateurs. L’Autorité bancaire européenne a signalé que les commerçants recourant systématiquement à ces pratiques s’exposent à des sanctions et à des restrictions d’accès aux réseaux de paiement européens.
Le paiement sans 3D Secure n’est donc pas en voie de disparition. Il continuera d’exister pour les transactions à faible risque évaluées par les algorithmes bancaires. La frontière entre exemption légitime et contournement problématique reste le vrai sujet de vigilance, autant pour les régulateurs que pour les acheteurs.