Strong Customer Authentication (SCA)

Foire aux questions

Questions générales sur le

Foire aux questions

Si aucune authentification forte du client n’est utilisée, il faut s’attendre à un taux d’interruption nettement plus élevé dans le traitement des transactions par l’émetteur.

Quand la nouvelle réglementation SCA entrera-t-elle en vigueur?

À compter du 14.09.2019, la SCA deviendra obligatoire pour tous les prestataires de services de paiement établis dans l’Espace économique européen.

Y a-t-il des exceptions à cette règle?

La dérogation accordée par l’ABE est très complexe et ne peut être appliquée que par l’Acquirer. L’Acquirer décide si un commerçant peut ou non se prévaloir d’une circonstance exceptionnelle.

Une chambre d’hôtel est réservée 5 mois à l’avance, le montant ne doit pas être déduit (pas de réservation de transaction non plus).

Une SCA doit-elle être effectuée dans ce cas-ci? Que se passe-t-il si des frais doivent être facturés avant l’arrivée? MIT ou SCA?

Une première transaction avec une carte qui n’a pas encore été enregistrée par le commerçant doit toujours être authentifiée par SCA. Un débit avant l’arrivée peut être effectué sans SCA uniquement si le commerçant a stocké la carte dans le système et qu’une SCA a été effectuée avec succès.

Une chambre a été payée, mais le paiement du mini-bar a été oublié.

Or le client est déjà parti! Cette situation peut-elle être résolue au moyen d’une transaction «Card on File»?

Si la carte est déjà enregistrée chez le commerçant, aucune autre SCA n’est nécessaire. Si ce n’est pas le cas, la carte ne peut pas être débitée sans SCA.

Les transactions «Card on File»

Ne relèvent pas du champ d’application de la SCA, mais doivent être signalées séparément dans le protocole GICC.

Les transactions initiées par le commerçant

Sont exemptées de SCA et nécessitent un signalement spécial, qui est traité différemment chez Visa et Mastercard.

Une nouvelle SCA doit-elle être exécutée pour une comptabilisation du montant résiduel (au-dessus du montant d’autorisation)?

Dans ce cas, une carte enregistrée avec un signalement MIT correct est utilisée, ce qui signifie qu’aucun nouveau contrôle SCA ne doit être effectué.

Les contrats doivent-ils être adaptés?

En règle générale, le commerçant est déjà tenu d’utiliser la procédure 3D à l’heure actuelle (à quelques exceptions près). Il n’est donc pas nécessaire d’adapter les contrats. Concardis enverra toutefois aux commerçants des informations spéciales indiquant que toute transaction non authentifiée par 3D ne sera plus autorisée à l’avenir.

FAQ sur le SCA du webinaire du 23.09.2020

Si je dois saisir une carte de crédit manuellement sur le terminal, s’agit-il d’une transaction MoTo?

Le numéro de la carte est saisi manuellement sur le terminal : il s’agit d’une transaction «key entry». Ces transactions sont considérées comme soumises à la SCA (selon la déclaration de l’émetteur). Si le titulaire de la carte est physiquement présent lors de la saisie, alors il respecte les exigences SCA en saisissant le code PIN. S’il n’est PAS présent, il ne peut pas saisir de code PIN, mais doit pourtant le faire conformément aux exigences SCA. C’est pour cette raison que ces transactions particulières sont souvent exécutées sous forme de transactions MOTO (non conforme, mais toléré).

Le transfert de responsabilité s’applique-t-il uniquement aux cartes européennes ou également aux cartes en provenance des États-Unis?

Le transfert de responsabilité justifié par la SCA s’applique uniquement aux cartes provenant de l’EEE (Espace économique européen).

Ce thème concerne-t-il les opérateurs de réseaux commerciaux? (KNB)

Ce sont les opérateurs de réseaux (Cardtech, par exemple) qui sont en charge de l’implémentation technique de la SCA dans l’exploitation du réseau. Le KNB n’utilise que les solutions de ces prestataires. C’est le KNB qui supporte le risque commercial (transfert de responsabilité).

Combien de temps une transaction initiée par le marchand (MIT) peut-elle être utilisée après la transaction initiée par le titulaire de carte (CIT)? Y a-t-il une limite de temps?

Il n’existe pas de limite de temps d’un point de vue réglementaire. Mais il est tout à fait possible que les PSP / NSP (prestataires de services de paiement / fournisseurs de services réseaux) aient fixé des périodes de validité maximales.

Les transactions MoTo sont-elles concernées par la SCA?

Les transactions MOTO ne sont PAS soumises à la SCA.

Comment Concardis envisage-t-il de mettre la SCA en application? Il existe par exemple des fournisseurs d’API qui permettent l’utilisation de SMS et d’applications à cet effet!?

En tant qu’acquéreur, Concardis ne propose aucune interface pour le processus d’authentification proprement dit (empreinte digitale / identification faciale). Ces interfaces sont UNIQUEMENT mises à disposition par les banques émettrices de cartes.

En 2020, existe-t-il déjà des prescriptions obligeant les commerçants à effectuer un pourcentage de leurs transactions 3DS sous forme de transactions 3DS 2.0?

Non, il n’existe pas d’obligation pour les commerçants. Toutefois, il existe une recommandation s’adressant aux banques émettrices de cartes, qui sont tenues de mener des audits SCA exemplaires à partir d’octobre 2020.

Que signifie PSP?

Prestataire de services de paiement

Bonjour, pouvez-vous donner un autre exemple pour illustrer la différence qui existe entre une transaction initiée par le marchand (MIT) et la facturation récurrente?

La première procédure n’exclut pas l’autre. Un cycle de facturation récurrente peut être mis en place par le PSP à l’aide d’un MIT Framework. Il convient de s’adresser au PSP pour en connaître les détails.

Bonjour, vous dites que la SCA est réglementée par le législateur. Quelle est votre source? Pouvez-vous en dire plus à ce sujet?

Ci-joint, le lien vers Bafin.