Le 14 septembre prochain risque d'être stressant question paiements en ligne
SCA ... Ces trois lettres risquent de vous faire trembler dès la rentrée. Cet acronyme signifie Strong Customer Authentification ou Authentification Renforcée du Consommateur. Êtes-vous concerné(e) ? Oui, si votre établissement fait de la vente en ligne et accepte des cartes bancaires ...
Sur le fond, en tant que consommateurs et porteurs de cartes bancaires, on ne peut que se réjouir que les conditions d'utilisation soient de plus en plus sécurisées. Mais si l'on reste côté commerçant en ligne, ce qui risque d'arriver en septembre prochain a de quoi inquiéter.
De quoi s'agit-il ? Pour lutter contre la fraude aux cartes bancaires dont la progression est exponentielle - en raison de la progression (elle même exponentielle) du commerce en ligne - l'Autorité Bancaire Européenne (BAE pour Bank European Authority, qui est l'autorité suprême des banques en Europe) impose une mise en conformité des moyens de paiement en ligne au 14 septembre prochain.
Cette protection renforcée est destinée à mieux protéger le consommateur contre les risques de fraudes liés à l'utilisation de sa carte bancaire. La directive européenne - appellée DSP2 s'agissant du SCA - exigera ainsi une authentification forte du client (SCA) pour un grand nombre de paiements en ligne.
Des échecs plus importants lors de la réservation
En clair, un client qui donnera sa carte bancaire pour un paiement ou une garantie devra s'identifier non pas une mais deux fois pour valider son paiement.
SCA sera plus rigoureux que la norme 3DSecure - qui consiste à envoyer un code par SMS pour valider le paiement - qui elle-même avait eu pour effet de faire chuter considérablement les transactions en ligne en succès. Pourquoi ? Car tous les porteurs de cartes n'avaient pas forcément paramétré leur système 3DSecure et qu'ils ne pouvaient pas recevoir de SMS pour finaliser une réservation. Résultat ? Ils l'abandonnaient en rase campagne et le commerçant perdait le client !
Des risques sur les acomptes
Mais ce n'est pas tout - et c'est là que cela risque de créer pas mal de dégâts dans l'univers du tourisme - lorsqu'un professionnel tentera de prendre un paiement différé (acompte, etc ...) ou lorsqu'il voudra prélever une carte en cas d'annulation ou de "no show", le client détenteur de la carte sera notifié par sa banque et pourra refuser ou pas ce paiement.
Et là, les risques de refus sont encore plus grands :
- le client ne se souvient pas du commerçant à qui il a affaire,
- le client croit que l'on tente un paiement frauduleux, etc
Jusqu'à présent, quand un hébergeur recevait une réservation et qu'il ne la débitait pas intégralement sur le moment, lorsque ce dernier prélevait un acompte, le client n'en savait rien avant de consulter son relevé mensuel de banque (ou son compte en ligne). À compter du 14 septembre, lorsqu'un hôtelier tentera de prélever un montant après la réservation (par ex: 30 jours après ou quelques jours avant l'arrivée du client), le client en sera averti et devra donner son accord ... ou pas. Ce qui risque de causer pas mal de soucis et de rejets de paiements. Pourquoi ?
Lorsqu'un client a procédé à une réservation quelques semaines avant, il ne garde pas forcément en mémoire que vous allez débiter un complément quelques jours ou quelques semaines après. Aussi, lorsqu'il recevra un message de sa banque lui disant:"Validez-vous ce paiement de 200€ pour Monsieur X ou l'Hôtel Dunord", ce dernier peut avoir oublié son achat ou (de mauvaise foi) vouloir le "répudier ... et donc, vous risquez de vous retrouver avec une part croissante de paiements bancaires rejetés.
Le cas le plus extrême et le plus risqué sera lorsqu'un client ne se sera pas présenté et que vous souhaiterez débiter des pénalités de "no show". A l'avenir, avec la norme SCA, le porteur de la carte pourra rejeter cet encaissement en pretextant qu'il soupçonne une tentative de fraude.
Cette situation diffère complètement avec les "répudiations" dont le risque est l'un des plus élevés dans l'univers du voyage et du tourisme. Explications:
- un client réserve chez vous,
- il ne se présente pas ou annule,
- vous prélevez des frais sur la carte qu'il vous a donnée en garantie.
Jusqu'à présent, la banque validait l'opération et, si le client protestait, il devait procéder par répudiation. Cela supposait qu'il se plaigne à sa banque (On a débité ma carte frauduleusement), dans un premier temps. Le doute profitant au client, la banque récupérait automatiquement l'argent de son client sur votre compte en banque. Et si vous n'étiez pas d'accord, vous deviez apporter la preuve que ce client procédait à une répudiation frauduleuse. Dans ce cas, une fois les preuves de votre bonne foi fournies à la banque, cette dernière re-créditait votre compte.
À compter du 14 septembre, vous n'aurez même pas la possibilité de prélever ces fonds puisque le client en sera averti en amont et qu'il pourra bloquer le paiement. Vous n'aurez alors qu'un recours plus compliqué à votre disposition puisqu'il ne s'agira pas de répudiation (le paiement n'ayant pas eu lieu). Vous devrez donc poursuivre ce client, le cas échéant, devant des tribunaux et non plus devant sa banque.
Certaines banques ne sont pas encore prêtes
Reste que, comme toute nouvelle norme qui se met en place avec une échéance très précise, des interrogations pèsent encore sur le fait que toutes les banques seront aux normes dès la fin de cet été; ce qui reste l'un des points les moins sûrs à l'heure où nous écrivons ces lignes.
Selon Les Echos du 12 juin dernier, même si "un report ne serait pas sur la table, les gendarmes bancaires pourraient envisager une montée en charge progressive du secteur" en raison de la difficulté technique, pour tous les opérateurs, de basculer vers une telle norme aussi rigoureuse.
Mais progressivité ou pas, le SCA sera effectif dès cette année et, comme vous l'avez vu, son impact ne sera pas nul sur votre activité en ligne. ==Pour vous en prémunir ==:
- assurez-vous de travailler avec un fournisseur et un système de paiement aux normes dès l'automne prochain,
- revoyez, le cas échéant, vos conditions de vente pour que certains produits soient encaissés en une fois (au moment de la réservation) ou en deux fois maximum (un acompte au moment de la réservation quand tout est clair dans la tête du client) et un paiement sur place,
Mais, vous le verrez, évitez les encaissements périodiques entre le moment de la réservation et l'arrivée chez vous car c'est dans cet intervalle que les risques de rejet risquent d'être les plus élevés.