Dans un objectif de maîtrise de la fraude fixé par l’Observatoire de la Sécurité des Moyens de paiement (OSMP), le groupe de travail « authentification forte » a élaboré un projet de recommandations relatives aux paiements par carte à distance effectués en dehors du canal 3-D Secure qui se révèle plus fraudés que les autres. Cette catégorie de paiements inclut par exemple les paiements réalisés par courrier ou téléphone (MOTO – mail order / telephone order), les paiements récurrents ou fractionnés sur internet (MIT – merchant initiated transactions) mais également les paiements exemptés d’authentification forte traités hors 3-D Secure, dont l’Observatoire a également souligné à plusieurs reprises la forte exposition à la fraude.
Ces recommandations entendent restreindre l’acceptation des paiements sur les canaux les plus risqués, selon une approche de plafonnement progressif des flux cumulés par carte, par commerçant et par canal sur une période glissante de 24 heures (ou « vélocité »), avec pour objectif de déplacer les flux dépassant le plafond fixé vers des canaux mieux sécurisés, notamment 3-D Secure. La mise en application de cette approche est effective depuis le lundi 10 juin dernier avec un plafond initial de vélocité fixé à 500 € et exclue certaines activités jugées peu exposées au risque de fraude et pour lesquelles ces canaux sont jugés incontournables.
En vue de la prochaine étape prévue le 9 septembre prochain pour un plafond de vélocité fixé cette fois à 250 euros, il a été convenu lors de la réunion OSMP du 19 juillet de désynchroniser la trajectoire prévue pour les MIT et CIT hors 3DS d’un côté de celle prévue pour le MoTo.
Les premiers retours font en effet état d’une capacité d’adaptation rapide pour les paiements récurrents ou fractionnés sur internet (MIT – merchant initiated transactions) et les paiements exemptés d’authentification forte traités hors 3-D Secure. Le mécanisme de « soft decline » permet en effet de rejouer une opération non conforme en passant par les infrastructures 3DS conformes. Ces opérations resteront donc dans le calendrier prévu avec une baisse à 250 euros du seuil de vélocité au 9 septembre.
En revanche, il n’en est pas de même des paiements MoTo, et plus particulièrement les paiements To qui ne peuvent par définition pas faire l’objet d’un soft decline, un refus se traduisant donc forcément par un hard decline. Compte-tenu de la multiplicité et de la diversité des cas d’usage identifiés et de la nécessité d’un temps plus long pour communiquer auprès des acteurs concernés et changer les procédures relatives à ces paiements, il a été convenu d’un maintien du plafond initial de vélocité fixé à 500 € au-delà du 9 septembre.
La date de passage à un nouveau palier ne sera communiquée qu’après la période estivale.
Notez enfin que des exemptions sectorielles ou individuelles sont temporairement possibles. Les commerçants souhaitant bénéficier de ces exemptions doivent se rapprocher de leurs acquéreurs et/ou opérateurs techniques (PAT). Les modalités de demande de ces exemptions sont précisées dans une mise à jour de la note explicative de l’OSMP accessible ici
La révision pragmatique de ce plan que Mercatel a défendue est donc un motif de satisfaction qui va donner aux entreprises faisant usage des paiements MOTO le temps d'adapter leurs pratiques et de mettre en place des alternatives adaptées à chacun des cas d'usage identifiés comme problématiques.