La nouvelle disposition sur l’authentification forte du client (SCA) de la Directive sur les Services de Paiement 2 (DSP2), concerne tous les commerçants de l’UE/EEE acceptant les paiements par Carte, indépendamment des systèmes de Cartes.
La SCA est un nouveau mandat technique d’authentification des clients qui signifie que les Prestataires de Services de Paiement (PSP) doivent vérifier l’identité de leurs clients qui effectuent des opérations de paiement.
La SCA exige un minimum de deux des trois éléments indépendants suivants pour authentifier le titulaire de la Carte :
Possession
Quelque chose que le payeur possède : par exemple un téléphone mobile.
Connaissance
Quelque chose que le payeur connaît : par exemple un mot de passe.
Inhérence
InhérenceQuelque chose que le payeur est : par exemple, une identification biométrique comme les empreintes digitales, la reconnaissance faciale ou une lecture de l’iris.
Les transactions par Carte qui ne sont pas authentifiées par lecture puce et code PIN sont refusées par American Express.
Qu’est-ce qui est refusé ?
Bande magnétiquee
Les transactions par Carte à bande magnétique ne seront plus conformes à la norme DSP2, car les signatures ne sont pas un moyen d’authentification approuvé.
Informations de Carte saisies au clavier
Toute saisie d’informations de Carte au clavier dans un terminal de point de vente en tant qu’un mode de paiement pour lequel le titulaire pourrait s’authentifier lui-même sera refusée, car cela ne répond pas aux exigences de la SCA.
Sans contact (Transactions < ou égale à 50€)
La réglementation exige que, une fois que le titulaire a cumulé des dépenses sans contact > 150€, il devra utiliser l’authentification par puce et code PIN. Veillez à ce que votre terminal le permette.
Transaction > 50€
Toute transaction > 50€ nécessitera une authentification par puce et code PIN
Quelles mesures dois-je prendre ?
Assurez-vous que toutes les transactions en personne sont authentifiées par puce et code PIN et que vos terminaux prennent en charge les transactions par puce et code PIN.
Les transactions par Internet non authentifiées par SafeKey seront refusées par American Express.
Qu’est-ce qui sera refusé ?
Transactions non authentifiées par SafeKey
Les transactions en ligne qui n’ont pas été authentifiées par SafeKey seront refusées par American Express.
Quelles mesures dois-je prendre ?
Assurez-vous que votre site Web/application inclut l’authentification 3DS, y compris American Express SafeKey. Vous pouvez le faire en prenant contact avec votre Prestataire de Services de Paiement (PSP).
En vertu du nouveau règlement, certains types d’opérations sont exemptés de la SCA :
1. Opérations de faible valeu
- American Express doit demander l’utilisation de SafeKey pour chaque transaction. Cela permet le transfert de la responsabilité en matière de fraude en faveur du commerçant.
- American Express s’efforcera de simplifier le plus grand nombre possible d’opérations de faible valeur et d’assurer une expérience client fluide pour les titulaires et les commerçants.
2. Bénéficiaires de confiance
Les titulaires ont la possibilité d’ajouter ou de retirer des commerçants de leur liste de bénéficiaires de confiance, grâce à la liste SafeKey Express d’American Express, gérée par American Express et par les titulaires de Carte.- Pour obtenir plus d’informations, veuillez consulter le site www.americanexpress/safekey.
3. Analyse des risques des transactions
- Les transactions sont exemptées de l’application de la SCA lorsqu’American Express détermine qu’elles présentent un faible niveau de risque.
- La transaction devra toujours être soumise via SafeKey. American Express déterminera le niveau de risque et prendra les mesures nécessaires pour authentifier le titulaire de Carte.
4. Exemption des sociétés
- Il existe également une exemption de l’obligation d’appliquer la SCA aux paiements initiés via l’utilisation de processus ou de protocoles de paiement dédiés aux entreprises – ce que l’on appelle souvent « exemption des sociétés ».
- American Express a l’intention d’appliquer pleinement cette exemption dans la mesure du possible à ses divers produits de paiement d’entreprise.
- SafeKey déterminera si le produit concerné par la transaction nécessite une authentification SCA ou non.Retour au début
1. Mail Orders and Telephone Orders
- All mail orders and telephone orders (MOTO) are exempt from SCA. This is because the Merchant and their processor provides American Express with the correct data codes that clearly identify the transaction as MOTO.
2. Merchant Initiated Transactions
- Payment transactions that are not initiated by the Cardmember but by the Merchant, are not subject to SCA. This is because the Cardmember has provided a mandate (pre-agreement between Merchant and Cardmember) authorising the Merchant to initiate a transaction.
- For more information on all types of MIT out of scope for SCA please visit our Merchant spec website.
3. One Leg (EU/non EEA)
- Strong Customer Authentication will only apply to Merchants and Customers in EEA.
4. Transport and Parking
- Transactions initiated at unattended terminals for transport fares and parking fees are exempted from SCA.
- For more information with regards to American Express’s position on out of scope and exempted transactions, please visit www.americanexpress.com/merchantspecs.