Mon coup de gueule ! 3D Secure

[aleyjo]

Bonjour à tous !
Voilà il fallait que j'en parle. Le système 3D Secure est obligatoire et pourtant les banques ne communiquent absolument rien à leurs utlisateurs !
Qui d'entre vous déjà connaît ce truc ? je suis sûre que pas grand monde. Et pourtant tous les utilisateurs Mastercard et Visa devraient avoir leurs nouveaux identifiants pour pouvoir faire des achats via internet , lesquels d'entre eux ont été informés ? Hélas, c'est le néant.
Résultat : les commerçants ont l'obligation légale depuis juin 2009 de s'affilier à ce système, les agences bancaires ont l'obligation de l'appliquer, mais beaucoup d'entre elles ne connaissent même pas son existence et sont donc incapables de gérer les demandes d'utilisateurs ou de commerçants . Que faut-il faire pour que ça change ? un grand coup de pied dans les banques pour que ça bouge ? peut-être...voire même plus.
deuxième constatation , la perte de chiffre est conséquente pour les commerçants, et les banques ne vont certainement pas le compenser....même si c'est de leur fait étant donné leur manque d'information.
En effet, les abandons de panier devant cette autre fenêtre qui s'ouvre vous demandant des identifiants dont vous ne connaissez même pas l'existence, en décourage plus d'un !
C'est inadmissible !

 

[cedric_g]

Bonjour

Il me semblait que le vendeur en ligne pouvait demander l'annulation de cette sécurité complémentaire auprès de sa banque ???

C'est ce qu'un client a fait récemment.

Non ? Je sais que c'est désormais activé par défaut, mais ce n'est pas obligatoire car j'ai encore très récemment fait des achats avec un module BNP, qui n'était pas équipé de ce machin.

Quoi qu'il en soit, le taux d'abandon prend une claque (des amis m'ont parlé de chiffres allant jusqu'à 35% de hausse de ce taux !!!)

 

[aleyjo]

Et non, avant le vendeur avait le choix d'opter ou pas pour cette sécurité, plus maintenant. Les vendeurs ayant un ancien module n'ayant pas le 3D secure ont l'obligation de le mettre à jour, depuis 2009. Alors tant qu'ils ne l'ont pas mis à jour on peut continuer à faire des achats d'une façon je dirais classique, mais peu à peu tous les vendeurs ( et par conséquent les clients) vont devoir changer leurs habitudes.Si les banques communiquaient, pourquoi pas ? mais le problème vient des banques qui n'informent pas les détenteurs de ces cartes des codes nécéssaires. Avec tout l'argent qu'ils dépensent dans des pubs ditirambiques à la télévision, ils pourraient en faire une utile avec le 3D Secure !
C'est d'autant plus ridicule que par téléphone, ces codes ne sont pas nécéssaires.....

 

[blman]

Comme d'habitude, je vais me faire l'avocat du diable à ce sujet. En tant que marchand, je suis très satisfait de ce système 3D secure que j'ai été un des 1er à mettre en place (mi novembre 2008) :
- plus de fraude à la charge du marchand, en tout cas, si le paiement est garanti par la banque, il sera toujours payé au marchand (donc aussi un gain de temps énorme en traitement de la commande).
- je n'ais pas constaté une hausse si forte de l'abandon de panier avant et après.

En tout cas, je ne sais pas si mes clients sont meilleurs que les autres, mais eux, n'ont pas de problème particulier pour passer le système 3D secure avec succès. A vrai dire, quand on le test, c'est vraiment très simple. Au moment de l'achat :
- soit on nous demande un login et un mot de passe (ou de le créer au moment du 1er achat avec cette carte)
- soit on nous demande notre date de naissance.
Il n'y a quand même pas plus simple comme procédé.

Alors quelques fois, il y a des petits bugs : des paiements légitimes qui se retrouvent non garantie, mais ce problème peut se régler facilement au cas par cas avec le client.

Pour moi 3D secure est une vrai avancée technique en faveur du e-commerce. Par contre, c'est vrai que le manque de communication des banques à ce sujet est discutable.

 

[jcaron]

Tu n'as peut-être pas vu de changement quand tu l'as mis en place parce que beaucoup de banques ne l'avaient pas encore mis en place de leur côté, et ne l'ont mis en place que progressivement pas la suite. Il me semble même que certaines ont ensuite fait des allers-retours, un coup avec, un coup sans. Sur la durée tu n'observes pas de changement?

Ca dépend aussi de ton mix de clients (France vs étranger, et par pays).

Ceci dit à ma connaissance ce n'est toujours pas obligatoire, au moins pour les commerçants existants (il y a encore des tonnes et des tonnes de sites qui ne l'implémentent pas). Il est possible que ce soit obligatoire pour les nouveaux commerçants, et évidemment ça aide quand même à lutter contre la fraude.

Par contre c'est vrai que la communication est nullissime, et je ne parle pas des mesures de sécurité à deux balles genre date de naissance (mais comme ce sont les banques qui sont responsables maintenant, elles finiront bien par apprendre). Dans certains cas la bascule sur le site 3DS de la banque est horriblement long, et je ne parle même pas des sites dont le certificat n'est pas reconnu par tous les browsers, ou avec des noms de sites tellements idiots qu'elle est en totale contradiction avec l'éducation des clients sur le phishing.

Bref, une très bonne idée, une implémentation qui frise le ridicule. Mais rassurez-vous, c'est pas forcément mieux à l'étranger :?

Jacques.

 

[Lomax7]

Je trouve ce systeme un peu limite pour les gens qui ne font pas de gros achats sur le net.
Ceux par exemple qui utilisent une carte uniquement pour les achats sur le net
avec un compte juste couvert pour les frais qui seront engagés.
Dans ce cas précis ce système ne sert strictement à rien. Mais c'est pas non plus une grande contrainte.

 

[jcaron]

Même dans ce cas c'est utile... La plupart des banques t'autorisent à dépenser de l'argent même si tu ne l'as pas sur ton compte. Et c'est surtout utile pour les commerçants et les banques, qui sont à peu près sûrs que c'est bien le porteur de la carte qui fait la transaction, faute de quoi l'un ou l'autre se retrouve à devoir payer...

Jacques.

 

[khantic]

Pour ma part, j'ai réussi, malgré la loi, il y a 3 semaines, à faire désactiver la vérification 3DSecure auprès de ma banque après un an d'utilisation.

Résultats : Vente en hausse de 50%, et l'envolée a été immédiate après la suppression de 3DSecure.

Je partage donc ce coup de gueule.

 

[jcaron]

Il n'y a pas de "loi" qui exige ça. Il peut y avoir des règles du groupement carte bancaire, de Visa ou de Mastercard, ou des banques, mais il n'y a pas de loi, de décrêt ou d'arrêté en ce sens. A ma connaissance, il n'y a d'ailleurs pas de règle de ce type au niveau CB/Visa/Mastercard, il n'y a que le "liability shift" (le fait que la responsabilité de la transaction soit à la charge de la banque émettrice de la carte plutôt que du commerçant et de sa banque) qui soit utilisé comme une mesure incitative pour l'ensemble des intervenants, qui fait que les banques des commerçants ont fortement intérêt à l'imposer.

Maintenant, les ventes ont augmenté, mais ton exposition à la fraude aussi. On peut supposer malgré tout que le niveau de fraude fait que restes bien gagnant au bout du compte... (ça dépend pas mal de ce que tu vends: biens ou services, et de ta marge).

Jacques.

 

[aleyjo]

He si , il y une loi, faite le 15 juillet 2009 applicable au 1er septembre 2009. je rechercherai les textes, je ne les ai plus sous la main...

 

[jcaron]

Si tu parles de l'ordonnance transposant la PSD (directive sur les services de paiement) avec effet au 1er novembre, le texte est évidemment assez large pour ne pas préciser de façon explicite que 3D-Secure doit être utilisé, le texte est forcément agnostique en termes de technologie, il ne parle que d'"autorisation" et de "consentement". Sinon il n'y aurait plus de paiement Amex ni avec toutes les cartes privatives...

Mais si tu as une référence plus précise qui dirait le contraire je suis preneur.

Jacques.

 

[khantic]

Oui, je vend du service, donc les impayé m'importe assez peu. Ma banque m'a parlé de loi, c'est pour cela que j'ai parlé de loi aussi, mais sans vérifier.

Pour faire un bilan, je n'ai pas eu moins d'impayé avec 3DSecure qu'avant, et cela se compte sur les doigts de quelques mains seulement par an. Je n'ai vu que des refus d'autorisation en très forte augmentation. Pour ma part, 3DSecure est en fait une véritable catastrophe après 1 an d'utilisation. Je n'ose même pas imaginer le chiffre d'affaire perdu.

 

[fluo]

Bonjour,

J'ai le même problème, et voilà ce que me répond ma banque quand je leur demande de désactiver la sécurité :

Depuis le 01/10/2008, une obligation légale impose aux banques françaises de mettre en place le processus 3DSecure sur leurs cartes visa et mastercard, afin de sécuriser les transactions passées sur internet.

Ainsi, si la carte utilisée pour un paiement est 3DSecure, l'internaute est redirigé vers le site internet de sa banque pour s'authentifier, et ce après qu'il ait validé ses coordonnées bancaires sur le module Spplus.

L'authentification étant obligatoire pour procéder au paiement, si celle-ci échoue le paiement est automatiquement refusé.

Quelqu'un a-t-il une solution, par exemple Paypal, une banque a l'étranger ou un autre mode de paiement équivalent ?

Merci pour votre avis.

 

[jcaron]

Si c'est une obligation légale, demande leur de te donner la référence du texte en question, ils vont probablement trouver ça instructif quand ils vont découvrir que ce texte n'existe pas.

Jacques.

 

[Julia41]

une obligation légale impose aux banques françaises

aux banques françaises, pas à toi (je suis pas non plus sûr de ce que je dis hein ). Il faut faire pression à ton banquier pour qu'il te laisse exercer ton activité.
Solution alternative plus simple : paypal

 

[khantic]

En insistant, et si tu leur rapporte un bon CA (donc qu'ils ont peur de te perdre comme client), je confirme qu'ils peuvent désactiver l'option 3DSecure.

 

[lafeeperle]

Les banques ont tout a fait la possibilité de désactiver le 3Dsecure, elles ne le font pas obligatoirement car concrètement c'est un transfert de responsabilité pour elles.
Avant, en cas de fraude ou d'impayé, c'est la banque du commerçant qui couvrait l'impayé (ou pas d'ailleurs), depuis 3Dsecure c'est en quelque sorte la banque du porteur de carte qui est responsable et doit couvrir l'impayé.
Si vous désactivez 3Dsecure ( qui d'ailleurs est de plus en plus controversé ) c'est vous qui subirez l'impayé.
Ceci dit tout les gros sites on fait enlever 3Dsecure depuis pratiquement le début, pour ce faire vous signez une décharge à la banque.
J'espère vous avoir aidé.

 

[AdT]

Effectivement après avoir constaté un taux de 20% d'abandon de panier dans notre boutique, nous avons fait la demande de retrait du système 3D Secure, un simple courrier recommandé a la banque et c'était réglé.

 

[e-blokos]

Le 3D secure est un leurre.
nous l'avons adoptes dans notre solutions e-commerce recemment, et 3 semaines apres nous
avons eu 80% de plus de fraudes qu'avec la methode precedente.
Avis au marchands, le 3D secure ne sert a rien...

 

[jcaron]

Euh... Il a été correctement implémenté? Même si ce n'est pas parfait, ça devrait quand même réduire la fraude. Et surtout, en cas de fraude, tu ne devrais pas avoir à la supporter...

Jacques.

 

[Aquitaine]

Que le système 3D secure soit adossé à une loi n’a que peut d’importance de mon point de vue !

Ce qui est important c’est que c’est la première démarche qui cherche à préserver le consommateur, ça nous y étions habitué, mais aussi le commerçant, et ça c’est vraiment nouveau.

Un paiement garantie ne fait plus l’objet d’un remboursement. Donc, il n’y a plus perte de marchandise et perte financière cumulée.
Le montant total de ce type de transaction aussi infime soit il était cependant à forte progression ces 2 dernières années.

Là où je rejoins notre animateur dans son coup de gueule, c’est sur la non -information des banques à leurs clients qu’il soit coté consommateurs comme coté commerçants.

Deux réactions face à cette non-communication :

a ) essayer de limiter le chiffre d’affaire en progression constante du e-commerce au détriment du marché grande surface.

b ) savoir que ce système a des failles, et qu’à trop communiquer on risque de rendre un système obsolète dans le même temps qu’il naît.

Nous qui sommes presque tous des utilisateurs professionnels d’Internet, nous savons pertinemment qu’un système à toujours sa ou ses failles, et que de petits malins en recherche de reconnaissance passe le plus clair de leur temps à les trouver…

Les abandons en cours de transactions :

S’il nous est impérieusement demandé de mettre en service sur nos sites le système 3D sécure, il devrait en être de même alors pour les Banques dans la demande de mise en conformité des systèmes d’interprétations.

En effet la plus part des abandons, ne le sont pas par ce que votre client à rechigné à une ou deux étapes supplémentaires ( même si cela arrive ) mais au fait que toutes les banques n’ont pas le même système de gestion de la Master-Card en particulier.

Il en découle soit un abandon de la transaction, soit une non garantie du paiement alors qu’il devrait l’être dans ce cas, plus que dans le précédent.

Sur le plan technique, une Master-card doit être géré en visa simple pour passer correctement et tant que ces messieurs ne se sont pas harmonisés.
Le problème existait déjà dans l’ancien système, puis avait été résolu en grande partie.

C’est toujours rallant de perdre une ventes, c’est à nous d’informer, par nécessité puisque c’est la première fois que l’on cherche à nous protéger.

Ceci étant, autre réflexion :

A voir le marché que représente le e-commerce, à voir à quel frais on lance certain module de jeux, on ne comprend pas très bien pourquoi ce système a été lancé en lieu et place de la signature digitale avec lecteur optique ?

Je dois réfléchir là, à quelque chose de complètement extravagant…

 

[e-kiwi]

J'ai vu mon banquier il y a deux jours, on peut toujours annuler cette sécurité, il me l'a confirmé.

 

[polweb]

C'est vrai que l'on peux l'annuler, mais est ce une bonne chose.

le système à évolué de plus en plus de commerçant l'ont. Donc le public va finir par s'habituer et c'est quand même une sacré sécurité pour les petites boutiques non ?

A plus.

 

[blman]

Bein disons que :
- soit tu n'a pas 3D secure et si tu a des fraudes, c'est toi qui en assume le coût. En plus, ça veut dire développer des systèmes pour détecter la fraude ou passer par des services comme Fianet. Dans les 2 cas, ça a encore un coût supplémentaire, sachant qu'aucun système anti-fraude n'est infaillible.
- soit tu a 3D secure et évidemment, on constate un taux d'abandon de commande supérieur. Le nombre d'appel en service client est impressionnant, rien n'empêche de rediriger le client vers sa banque pour plus d'informations ou de proposer d'autres moyens de paiement comme Paypal où, personnellement, je n'ais quasiment jamais connu de tentative de fraude (ou alors elles sont très bien détecté en amont par Paypal).

Pour ma part, j'ai choisi de bosser avec 3D secure depuis plus d'un an maintenant. Je suis d'accord pour dire que les banques ont vraiment peu communiqué là dessus mais les internautes y sont de plus en plus habitués aussi.