Le paiement, un vrai sujet…

Commençons par le début. La situation aujourd’hui.

Un client achète sur votre site e-commerce et paye avec sa carte bleue.

Votre site se connecte sur le site de votre banque (la banque du e-marchand donc) :

Bon, dans la réalité, c’est un poil plus compliqué, parce qu’il faut séparer deux acteurs du paiement : la plate forme de paiement et la banque.

Si la banque valide le paiement, vous allez lancer le processus pour envoyer le colis à votre client.

Le propriétaire de la carte peut poser une réclamation à sa banque (dans les 70 jours !), pour ce paiement.

Cela n’a évidement aucun sens si l’acheteur est le propriétaire de la carte… Mais si la carte a été volée, ou si le voleur a juste copié les infos de la carte pour acheter sur Internet, ça change tout.

Dans ce cas, la banque du marchand rembourse la banque du propriétaire de la carte, et bien évidement, le marchand n’est pas payé.

A lui de prouver que l’acheteur est bien le propriétaire de la carte…

Ce scénario, bien connu des e-marchand, doit changer avec la norme 3D Secure.

3D Secure ajoute un élément de sécurité, puisque dynamiquement, pendant la transaction, la banque du e-marchand va dialoguer avec la banque du propriétaire de la carte, et afficher une pop-up pour demander un mot de passe à l’acheteur :

Là, ça change tout, parce que c’est bien la banque du client qui valide que le porteur de la carte est bien son propriétaire.

Donc, ce processus améliore la sécurité des échanges pour tout le monde, mais en particulier, le e-commerçant ne devrait plus avoir à « financer » les arnaques à la carte volée.

Mais comment le client connait-il le mot de passe de sa carte ?

Si j’ai bien compris, la procédure est la suivante : lors de la première utilisation du service 3DSecure, la banque du client va demander à l’internaute de rentrer un mot de passe (à voir, cette procédure me semble très fragile, parce que si la première utilisation sur un site 3dSecure est faite par un voleur… ).

Je vous raconte tout ça parce que depuis le 1er octobre 2008, toutes les banques doivent être compatible avec cette norme.

Alors ? Pourquoi n’a-t-on rien vu ?

On a rien vu parce que c’est au e-marchand de mettre en place ce système.

Vous êtes e-marchand ? Vous allez mettre ce système en place ?

Normal d’hésiter !

  • Combien va être facturé ce service ?
  • Ce service, pas encore entré dans les mœurs, risque de faire peur à vos clients : l’ouverture de la popup, ou on demande un mot de passe, ça peut effectivement déstabiliser les clients ! (confirmation sur le billet de Daniel, lien en bas de ce billet : en Angleterre, lors de la mise en place du dispositif, augmentation de 40% des abandons de panier… ça fait réfléchir ;) ).

Je pense que les choses vont « gentiment » se mettre en place. D’ailleurs, ce système est international et déjà bien répandu.

Une stratégie de migration pourrait être, par exemple, de proposer provisoirement les deux modes de paiements : garder la carte bleue classique et ajouter le logo 3dSecure.

Cela permettrait d’habituer les internautes à ce nouveau logo (euh, au fait, c’est quoi le logo ?)

Bien sûr, cette double procédure temporaire ne permettrait pas d’éviter les fraudes. Juste pour « éduquer » les clients donc.

Autres points à voir :

Ce système est bien sûr compatible quand le paiement se fait sur le site de la banque du e-marchand. Mais certains e-commerçants intègrent la procédure de paiement dans le site marchand. Cela sera-t-il possible avec 3dSecure ? Je crois que non, mais c’est à valider.

Bonnes lectures sur le sujet :