En tant que consommateur, il est inquiétant de constater que la fraude mondiale liée aux paiements par carte a triplé entre 2011 et 2020, passant de 9,84 milliards de dollars à 32,39 milliards de dollars.

Et les États-Unis sont le pays le plus touché par la fraude au monde. Ils représentent plus d'un tiers de l'ensemble des pertes liées à la fraude à l'échelle mondiale.

Les émetteurs de cartes de crédit sont constamment à la recherche de solutions pour protéger les consommateurs, les commerçants et eux-mêmes contre la recrudescence des fraudes liées aux paiements en ligne.

Mike Lemberger, vice-président senior de Visa pour la région Amérique du Nord, a déclaré quel'entreprise collaborait avec les institutions financières et les commerçants pour lutter contre la fraude. Visa aurait ainsi empêché des fraudes d'un montant total de 25 milliards de dollars l'année dernière grâce à l'intelligence artificielle.

Et dans le but de lutter contre la fraude, Visa a mis au point un dispositif de sécurité supplémentaire pour les transactions CNP, communément appelé « Verified by Visa ». Dans cet article, nous allons voir en quoi consiste Verified by Visa et quel est son impact sur le processus de rejet de débit.

Ça vous tente ? Plongeons-nous dans le vif du sujet !

Qu'est-ce que « Verified by Visa » ?

Verified by Visa, ou VbV en abrégé, est un service de cybersécurité de pointe qui protège les titulaires de carte et les commerçants contre la fraude en ligne. La plupart des transactions par carte de crédit sont validées rapidement en arrière-plan à l'aide des informations personnelles sécurisées de l'acheteur. Pour authentifier l'identité du titulaire de la carte, un code d'authentification — tel qu'un code à usage unique — est envoyé sur son appareil si nécessaire. Dans le secteur, cette technologie est souvent connue sous le nom de 3D Secure.

Comment utiliser le système de prévention de la fraude « Verified by Visa 3D Secure » ?

Pour commencer, il est essentiel de rappeler que la plateforme technologique « Verified by Visa » repose sur la technologie « 3-D Secure ». L'Autorité bancaire européenne a certifié « 3-D Secure » comme une technique conforme à l'authentification forte (SCA) pour l'authentification à deux facteurs, garantissant ainsi une authentification forte du client.

Le protocole 3-D Secure divise le processus d'authentification en trois composantes ou domaines :

• Domaine de l'émetteur: les émetteurs, les processeurs ACS et les titulaires de carte font tous partie du domaine de l'émetteur
• Domaine des acquéreurs: les acquéreurs, les passerelles de paiement/prestataires de services de paiement et les commerçants font tous partie du domaine des acquéreurs.
• Domaine d'interopérabilité: le domaine d'interopérabilité désigne les systèmes gérés par Visa qui relient les domaines des émetteurs et des acquéreurs.

Celo Communications AB a initialement développé ce protocole pour Visa Inc. en 1999. Entre 2000 et 2001, Gemplus a mis au point une nouvelle version améliorée de 3-D Secure.

Saisie de 3D Secure 1

La version originale de 3D Secure 1 (ou 3DS1) assure la conformité à la SCA (authentification forte) prévue par la PSD2 (deuxième directive européenne sur les services de paiement). Elle offrait aux commerçants une protection contre la responsabilité en cas de fraude (3DS1) jusqu’en octobre 2021. 3D Secure garantit le transfert de la responsabilité du commerçant vers la banque émettrice lorsqu’un client demande un rejet de débit. Ce système vous protège contre les rejets de débit frauduleux sur votre compte marchand, ce qui était essentiel pour prévenir la « fraude amicale ».

Comment fonctionne la 3DS ?‍

Le 3DS fonctionne comme un code PIN pour les transactions sans présentation de la carte.

Voici comment cela fonctionne :

1. Le titulaire de la carte accède au site web du commerçant.
2. Le titulaire de la carte tente d'effectuer un paiement via la page de paiement du commerçant.
3. Le SDK 3DS transmet les données relatives aux transactions et à l'identification à l'émetteur à des fins d'authentification.
4. Les émetteurs EMV 3DS et RBA déterminent le niveau de risque. L'émetteur peut alors approuver, refuser ou demander une authentification supplémentaire pour la transaction à ce stade.
5. L'émetteur envoie une demande d'autorisation supplémentaire au titulaire de la carte avant d'approuver ou de refuser le paiement. Si tous les éléments sont en règle, l'émetteur valide le paiement. S'il estime qu'il s'agit d'une transaction à haut risque, l'émetteur refuse l'autorisation.

Comme 3DS1 a été lancé avant l'apparition des smartphones, l'expérience utilisateur est au mieux hétérogène et, au pire, extrêmement médiocre. Le système recourt fréquemment à des fenêtres contextuelles pour permettre aux clients de saisir leurs informations, ce qui donne à la page de paiement du commerçant une apparence encore moins sécurisée et la rend plus vulnérable aux attaques de cybercriminels.

En bref, ça n'a pas vraiment plu.

EMV Co. a développé des mises à jour ultérieures du protocole sous le nom d'EMV 3-D Secure, qu'elle a lancées en 2016 afin de remédier à certaines failles du système d'origine.

3D SECURE 2 à la rescousse

La valeur d'une technologie dépend de l'impact qu'elle permet d'avoir. Et comme indiqué précédemment, 3DS 1 n'a pas répondu aux attentes. C'est pourquoi les réseaux de cartes ont décidé de supplanter ce cadre.

Visa a commencé à supprimer progressivement 3D Secure 1 et les technologies associées le 15 octobre 2021. Visa a déclaré qu’elle « continuera à prendre en charge le traitement des transactions 3DS 1.0.2, y compris le serveur de répertoire (D.S.) 3DS 1.0.2, mais cessera de prendre en charge le serveur de tentatives 3DS 1.0.2 pour les émetteurs non participants. Après le 15 octobre 2021, Visa répondra par une réponse d'inscription à la vérification (VERes) = N à toutes les demandes d'authentification lorsque l'émetteur ne prend pas en charge 3DS 1.0.2 (par exemple, la plage de BIN ne dispose pas d'une URL de serveur de contrôle d'accès [ACS] répertoriée dans le D.S.). »

Mastercard, en tant qu'émetteur de cartes, a également adopté une approche similaire en novembre 2021. Les prestataires de services de paiement s'orientent vers cette voie afin d'améliorer l'expérience client à long terme.

3D Secure 2.0 par rapport à la version 1.0

La principale différence entre 3D Secure 2.0 et 1.0 réside dans le fait que 3D Secure 2.0 offre des fonctionnalités de sécurité améliorées, telles que l'évaluation des risques en temps réel, l'authentification biométrique et une meilleure expérience utilisateur, tandis que 3D Secure 1.0 repose principalement sur des mots de passe statiques et est plus vulnérable aux activités frauduleuses.

Quelles sont les implications de l'abandon de la norme 3DS 1.0.2 pour les règles en matière de responsabilité en cas de fraude ?

Visa et Mastercard ont rendu obsolète le protocole 3D Secure 1.0.2 et accéléré la migration vers EMV 3D Secure (également appelé 3DS 2.1+) en ne proposant plus de transfert de responsabilité pour les transactions traitées via le cadre 3DS 1.0.2. Si un commerçant continue d'utiliser 3DS 1.0.2, il assumera la responsabilité de toute fraude, même pour les transactions protégées par 3DS.

Visa a déclaré : « Si un émetteur continue à prendre en charge la norme 3DS 1.0.2 après le 15 octobre 2021, il pourra fournir aux commerçants une réponse entièrement authentifiée accompagnée de la valeur de vérification de l'authentification du titulaire de la carte (CAVV), et les commerçants bénéficieront d'une protection contre la responsabilité en cas de fraude. Ces transactions par carte de débit seront exclues des litiges liés à la fraude¹ dans Visa Resolve Online. »

Quels sont les avantages du service « Verified by Visa » ?

La technologie 3DS promet une meilleure expérience utilisateur, un transfert de données fluide pour une meilleure protection contre la fraude, ainsi que des fonctionnalités améliorées sur plusieurs portails de paiement.

3D Secure 2 vous offre une sécurité renforcée pour vos transactions en ligne, car cette solution est conforme à la directive PSD2 ; elle vous aideà détecter les transactions frauduleusesavant qu'elles ne soient finalisées et renforce la confiance des clients dans les achats en ligne sur votre boutique. Elle garantit également des commissions d'interchange réduites sur les cartes de crédit pour les achats éligibles et prend en charge des achats plus importants et vérifiés.

Cela dit, il est essentiel de souligner que le système 3DS a été principalement conçu pour détecter et prévenir la fraude criminelle. Bien qu’il remplisse cette fonction de manière assez satisfaisante, le système 3DS n’est pas destiné à résoudre les litiges de paiement en raison des limites inhérentes à sa capacité à prévenir ces derniers.

D'une part, ce dispositif vise à traiter les rétrofacturations liées aux transactions par carte Visa. D'autre part, il ne peut contribuer qu'à prévenir les transactions non autorisées, sans pour autant limiter les cas provenantd'autres sources de rétrofacturation.

En conclusion, Verified by Visa n'est pas une solution miracle pour réduire les rétrofacturations. Il s'agit d'une stratégie essentielle pour lutter contre la fraude, mais elle n'est pas suffisante à elle seule. Si vous souhaitez mettre en place une stratégie complète de prévention des rétrofacturations et de la fraude, découvrezici comment nous pouvons vous aider. Chargeflow offre aux commerçants une protection complète contre les rétrofacturations, assortie d'un niveau de sécurité supplémentaire pour réduire le risque de fraude.