27/09/2018

Faut-il mettre en place 3D Secure dans le cas du paiement en ligne d’une facture ?

3-D Secure, abrévié 3DS, est un protocole sécurisé de paiement sur Internet qui est déployé depuis une dizaine d’années maintenant. En tant qu’internautes, nous le rencontrons lors de nos paiements en ligne lorsque nous voyons les logos « Verified By Visa » et « MasterCard SecureCode ». L’objectif est de limiter les risques de fraude sur Internet, liés à l'utilisation frauduleuse de numéros de carte de paiement. Il a pour but de s’assurer, lors de chaque paiement en ligne, que la carte est utilisée par son véritable titulaire.

Mettre en place le protocole 3DS sur un site de paiement en ligne est à l’initiative du e-commerçant. Un commerçant peut le mettre en place pour bénéficier de ses avantages. D’autres peuvent décider de ne pas le mettre en place pour ne pas être pénalisé par ses inconvénients.

Le paiement d’une facture (quittance de loyer, facture d’électricité, d’eau…) a des caractéristiques propres qu’il faut prendre en compte avant de prendre une décision : pour le paiement en ligne des factures, faut-il mettre en place le protocole 3DS ?

La procédure de sécurité 3D Secure

L'avantage de 3DS : moins de risques pour le commerçant

Il est important de comprendre que le fait de mettre en place 3DS ne sécurise l’internaute mais le commerçant. En effet, 3DS permet au e-commerçant de prouver que la personne qui paie en ligne est bien le titulaire de la carte.

Imaginez la situation : le commerçant reçoit une commande payée sur Internet. Il expédie la commande. Quelques jours ou semaines plus tard, sa banque lui apprend que la carte bancaire qui a servi à le payer était une carte volée. L’opération bancaire est débouclée, la victime dont la carte a été utilisée frauduleusement est remboursée et le commerçant ne se fait pas payer. Celui-ci est complètement perdant car non seulement il a perdu le paiement mais aussi sa marchandise car entre temps, la commande a été expédiée et elle est perdue.

Pour un e-commerçant, adopter le 3SD permet de se sécuriser par rapport à ce risque. Dès lors qu’il a mis en place 3DS, le e-commerçant peut prouver qu’il a vérifié que celui qui payait était bien le titulaire de la carte. Même si on lui dit ensuite qu’il s’agissait d’une carte volée, il sera bien payé pour la marchandise qu’il a envoyé.

En revanche, chez Payboost, nous pensons que ce bénéfice n’est pas très consistant dès lors que l’on parle de paiement de facture. En effet, l’une des caractéristiques du paiement des factures, c’est d’être en post-paiement : j’utilise le service et ensuite je paie (par exemple : je consomme de l’électricité et ensuite je paie ma facture), contrairement au e-commerce qui est en prépaiement (par exemple : je paie des chaussures en ligne et ensuite je les reçois à la maison). C’est pourquoi y a une différence fondamentale : en matière de e-commerce on cherche à lutter contre la fraude, mais en ce qui concerne les factures, on cherche à lutter contre les impayés.

Si un fournisseur d’électricité ou un bailleur social se fait payer une facture par une carte bancaire volée, que l’opération est débouclée et qu’il ne se fait pas payer, les conséquences ne sont pas aussi importantes : le paiement du client est annulé, mais la marchandise n’est pas perdue et la dette ne s’éteint pas, le client doit toujours payer sa facture et les procédures habituelle ont cours (relance, recouvrement…).

Paiement en ligne des factures

L’inconvénients de 3DS : moins d’encaissements

Diminuer le risque a toujours un coût et la mise en place du protocole 3DS ne déroge pas à cette règle. En effet, 3DS complique un peu le parcours de l’internaute.

Amazon a inventé le paiement en 1 clic pour maximiser le rendement d’expérience d’achat en ligne. 3DS va à l’encontre de cette logique en ajoutant une étape, ce qui éloigne d’autant l’internaute du paiement.

Surtout que 3DS peut décourager l’internaute lorsqu’il qu’il ne sait pas comment répondre à la question de sécurité. Regardons les procédures, qui sont différentes d’une banque à l’autre (ce qui, d’ailleurs génère beaucoup de confusion chez les internautes) :

  • Beaucoup de banques fonctionnent avec un envoi de SMS. C’est très simple et assez universel (tout le monde a un téléphone mobile), à condition que la banque ait bien enregistré le numéro de téléphone mobile du client. Ce numéro doit être un numéro validé et certifié après une procédure fortement sécurisée, donc un peu contraignante (en général il s’agit de valider en ligne un code reçu par courrier), il n’est donc pas rare que le client n’ait pas de téléphone validé par sa banque utilisable pour la procédure 3DS au moment où il veut payer en ligne.
  • Certaines banques demandent d’indiquer des codes inscrits sur une carte de clés personnelles. Il s’agit d’une grille dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web, un peu comme lorsqu’on joue à la bataille navale.
  • Quelques banques on mit en place une clé digitale qui permet de valider une transaction via l’application mobile. C’est une excellente idée, qui rend le parcours très fluide et pratique, mais là aussi le client doit avoir mis en place la procédure au préalable et le taux d’adoption est loin de 100 %, ce qui revient à devoir utiliser l’une des méthodes précédentes.

Alors, que fait-on ?

3DS est un outil utile, et même indispensable pour le e-commerce car il permet de se prémunir de la fraude. Dans le e-commerce, la décision de mettre en place 3DS est un arbitrage entre le risque de fraude, qui était de 0,16 % pour les paiements en ligne en France en 2018 (rapport annuel de l’Observatoire de la Sécurité des Moyens de Paiement de la Banque de France, 10 juillet 2018), et le risque de perte d’encaissement, qui peut aller jusqu’à 40 %.

Cependant, en matière de paiement des factures, cet arbitrage n’est plus le même car le risque de fraude est faible voire nul. Chez les créanciers qui ont déployé la solution de paiement mobile de Payboost pour le paiement des factures de leurs clients, nous observons que le taux de fraude est de 0,01 %. La raison est que presque personne ne va payer une facture avec une carte volée, tout simplement car cela ne sert pas à grande chose. Dès que la carte est déclarée volée, l’opération est débouclée et la facture reste due.

En revanche, mettre en place 3DS pour le paiement des factures fait toujours supporter le même coût, celui de risquer de décourager les clients de payer et in fine de perdre beaucoup d’encaissements.

C’est la raison pour laquelle il n’apparaît pas opportun de mettre en place le protocole 3-D Secure pour le paiement en ligne des factures (loyers, électricité, eau, etc.).

Tags :

Commentaires

Laisser un commentaire


Articles similaires