Informations spécifiques aux pays à propos de la DSP 2

 

Vous trouverez sur cette page :

  • Migrations récentes vers la DSP 2 : vous trouverez dans cette section la liste la plus récente des pays qui ont commencé à appliquer la DSP 2 
  • Une liste pays par pays des plans de migration et des dates de mise en œuvre de la DSP 2, tels que présentés par l'autorité nationale compétente (ANC) du pays.

Les émetteurs individuels pouvant ne pas tenir compte des conseils de l'autorité nationale compétente, nous vous recommandons vivement de mettre en place les transactions avec authentification forte du client à partir du 1er janvier 2021, indépendamment des plans nationaux de mise en œuvre. 

 

Migrations récentes vers la DSP 2

Autriche

Depuis le 14 janvier, des soft declines ont été constatés sur un très faible pourcentage de transactions non authentifiées qui ont été retournées au-delà d'un montant de 250 EUR.

Certains émetteurs appliquent également le soft decline sur des transactions dont le montant est supérieur à zéro, mais toujours dans une très faible mesure.

Le 16 mars, de nombreux émetteurs autrichiens ont étendu leur politique de « soft decline » à toutes les transactions.

Belgique

Pendant plusieurs semaines, les émetteurs belges ont appliqué le soft decline sur un très petit nombre de transactions non authentifiées, sans tenir compte du montant.

Depuis le 23 mars, ils ont renforcé cette approche sur les transactions de plus de 250 EUR.

Depuis le 19 avril, les émetteurs belges ont commencé à recourir au soft decline pour une grande partie des transactions sans authentification de plus de 100 EUR qui entrent dans le champ d'application.

Depuis le 18 mai, cette mesure a été étendue à certaines transactions inférieures à 100 euros.

Bulgarie

Plusieurs émetteurs bulgares ont commencé à utiliser le soft decline dès les dernières semaines de 2020 et ont continué à le faire sans augmentation visible avant le 3 mai, jour où ils sont passés à environ 1 % de transactions non authentifiées dans le champ d'application de la DSP 2.

Chypre

Depuis le début de l'année 2021, un faible pourcentage (moins de 1 %) des transactions est refusé pour cause d'authentification requise. Cette situation n'a pas beaucoup changé depuis lors.

Danemark

Depuis le lundi 11 janvier, nous constatons que plusieurs banques émettrices appliquent la directive DSP 2 de manière généralisée au Danemark. 

Le vendredi 15 janvier, un émetteur qui avait annulé des soft declines plus tôt dans la semaine a recommencé à appliquer la directive DSP 2.

En février, toutes les banques émettrices continuent d'appliquer la DSP 2, y compris le soft decline, à tous les types de transactions qui relèvent du champ d'application de la réglementation.

Finlande 

Depuis le 12 janvier, nous constatons que la directive DSP 2 est appliquée en Finlande, principalement par une seule et même banque émettrice. 

Le 10 février, des émetteurs supplémentaires ont également commencé à utiliser les codes soft decline. En mars et avril, la situation est restée la même.

France

Conformément au plan de migration, nous avons constaté que, depuis le 15 mars, des « soft declines » sont appliqués aux transactions non authentifiées supérieures à 250 EUR.

Le 19 avril, un peu plus tard qu'annoncé, les refus pour cause d'authentification requise ont augmenté de façon significative pour les transactions de plus de 100 EUR.

Depuis le dimanche 16 mai, l'application de la DSP 2 est nettement plus visible pour les transactions de moins de 100 euros. Le mardi 18 mai, d'autres émetteurs ont commencé à montrer le même comportement.

Allemagne

Depuis le 14 janvier, des soft declines ont été constatés sur un très petit pourcentage (moins de 1 %) de transactions non authentifiées qui ont été retournées au-delà d'un montant de 250 EUR.

Depuis le 15 février, les émetteurs allemands ont intensifié le recours au soft decline sur toutes les valeurs de transaction. Le pourcentage global reste faible.

Le 15 mars, nous avons constaté une augmentation (jusqu'à plus de 5 %) de l'utilisation du soft decline sur les transactions non authentifiées entre 0 et 30 EUR.

Grèce

Depuis le 1er avril 2021, les émetteurs grecs ont commencé à appliquer des « soft declines » pour les transactions de plus de 30 EUR. Cela concerne environ 10 à 20 % des transactions non authentifiées.

Hongrie

Bien que la migration était prévue le 30 décembre, la première augmentation du nombre de refus a été visible juste après minuit le 31 décembre. Cela se produit pour un seul émetteur, qui n'utilise pas les codes de refus d'autorisation soft decline. Le matin du 5 janvier, l'utilisation des codes soft decline a été adoptée.

Depuis le 28 janvier, au moins un émetteur exige spécifiquement que les transactions soient authentifiées avec 3DS2 et applique un soft decline sur celles qui sont authentifiées avec 3DS1.

Italie

Depuis le début de l'année 2021, les émetteurs italiens ont commencé à avoir recours au soft decline sur un faible pourcentage de transactions supérieures à 500 EUR. Depuis le 28 février, le soft decline est également appliqué pour la première fois sur les transactions de 100 EUR et plus. Depuis le 1er mars, une augmentation a été constatée (environ 5 % des transactions au-delà de ce seuil). Cette situation semble s'être encore accentuée le 20 avril.

En mai, les émetteurs italiens ont commencé à appliquer la même logique aux transactions de tous les montants.

Irlande

Depuis le début du mois de mars, les émetteurs demandent une authentification pour les transactions supérieures à 500 €. En avril, cette demande reste la même et est appliquée à plus de la moitié de ces transactions.

Lettonie

Depuis le 18 janvier, nous constatons que la directive DSP 2 est appliquée en Lettonie, principalement par une seule et même banque émettrice. 

Lituanie

Depuis janvier, les émetteurs lituaniens appliquent les règles de conformité de la directive DSP à un sous-ensemble de transactions de plus de 250 euros.

Depuis le 1er mars, ils ont commencé à inclure les transactions de 100 EUR et plus. L'obligation d'utiliser l'authentification forte du client s'applique désormais à plus de 20 % des transactions supérieures à ce montant.

Depuis le 26 avril, le soft decline est appliqué aux cartes Visa lituaniennes pour toutes les transactions de plus de 30 EUR.

Malte

Les taux de soft decline restent minimes jusqu'en mai.

Pays-Bas

Certains émetteurs néerlandais ont commencé à appliquer le soft decline sur les transactions non authentifiées supérieures à 250 EUR au 5 janvier et aux souscriptions d'abonnement à 0 EUR au 6 janvier.  

Depuis la deuxième semaine de février, les émetteurs ont également commencé à appliquer le soft decline sur une partie des transactions supérieures à 75 EUR.

Depuis le 2 mars, nous constatons une augmentation des « soft declines » pour les transactions comprises entre 30 et 75 EUR.

Le 16 mars, les émetteurs ont également commencé à appliquer la conformité DSP 2 aux transactions de moins de 30 EUR.

Norvège

En Norvège, tous les émetteurs ont migré vers la logique DSP 2 le 28 décembre avant de faire marche arrière quelques heures après. Depuis, des soft declines ont été constatés sur un petit pourcentage de transactions non authentifiées qui ont été retournées.

Tout au long du mois de janvier, les émetteurs ont augmenté les exigences de la DSP 2 sur tous les montants des transactions, avec une certaine stabilité pendant le mois de février.

Pologne

Des soft declines ont été constatés sur un petit pourcentage de transactions non authentifiées qui ont été retournées.

En avril, cela s'applique à 1 à 3 % des transactions, quel que soit le montant. 

Portugal

Les taux de soft decline restent minimes jusqu'en mai.

Slovaquie

En avril, le taux de soft decline est inférieur à 1 % des transactions.

Slovénie

Les taux de soft decline restent minimes jusqu'en mai.

Espagne

Depuis le 1er février, les émetteurs espagnols ont commencé à appliquer le soft decline sur les transactions non authentifiées supérieures à 30 EUR. À l'heure actuelle, cela se produit sur un sous-ensemble de transactions pour différents émetteurs.

Dans de nombreux cas, ce comportement a fait l'objet d'une marche arrière le 2 février avant d'être restauré le 8 février. Il reste ensuite stable en mars et avril, et le soft decline est appliqué à environ 5 % des transactions qui entrent dans le champ d'application.

Le 30 avril, l'Espagne a considérablement augmenté son utilisation du soft decline sur les transactions non authentifiées entre 0 et 30 EUR.

Royaume-Uni

Le taux de soft declines était déjà très faible depuis le début de l'année 2021. Le 1er juin 2021, conformément au plan de migration, une légère augmentation a été constatée dans la conformité à la DSP 2 pour toutes les valeurs de transaction.

Suède

Des soft declines ont été constatés sur un petit pourcentage de transactions non authentifiées qui ont été retournées, principalement par une seule et même banque émettrice. 

Lors de la semaine du 15 février, les émetteurs suédois ont intensifié le recours au soft decline sur toutes les valeurs de transaction. Le pourcentage global reste faible.

Pays accusant un retard confirmé dans l'application de la SCA

Autriche
Le FMA (Régulateur des marchés financiers) a annoncé une prolongation de la mise en application pour tous les modes de paiement. Le FMA a repoussé l'échéance de mise en œuvre de la SCA jusqu'au 31 décembre 2020.

Au cours de la troisième semaine de décembre, l'Autorité des Marchés Financiers a présenté à ses émetteurs le plan de migration suivant :

  • À compter du 15 janvier : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 250 EUR
  • À compter du 15 février : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 150 EUR
  • À compter du 15 mars : entrée en vigueur de l'authentification forte du client pour toutes les transactions

Les émetteurs n'ont pas tous confirmé qu'ils suivront ce plan.

Belgique
La Banque nationale de Belgique (BNB) a précédemment annoncé que même si la date limite du 14 septembre n'a pas changé, l'entrée en vigueur sera retardée jusqu'à ce qu' un plan de migration précis soit finalisé et accepté. Le nouveau plan de migration du 7 octobre 2020 prévoit que le test de soft decline pour les transactions supérieures à 1 500 EUR sera évalué le 15 novembre 2020 et que le seuil sera abaissé à 500 EUR le 18 janvier, à 100 EUR le 23 février et à 0 EUR le 23 mars 2021.

  • À compter du 19 janvier : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 1500 EUR
  • À compter du 23 février : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 500 EUR
  • À compter du 23 mars : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 250 EUR
  • À compter du 19 avril : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 100 EUR
  • À compter du 18 mai : entrée en vigueur de l'authentification forte du client pour toutes les transactions

Actuellement (mi-octobre), on observe une application du refus d'autorisation (« soft decline ») au-delà de 1 500 EUR.

Chypre
La CBC (Banque centrale de Chypre) a annoncé qu'elle n'avait pas l'intention de prendre des mesures de contrôle contre les institutions autorisées n'ayant pas mis en œuvre la SCA lors des transactions à distance par carte électronique d'ici le 31 décembre 2020, à condition que ces institutions aient soumis un plan de migration à la Banque centrale de Chypre.

Cette annonce fait suite à  une annonce précédente selon laquelle les entités sujette à la réglementation qui soutiennent actuellement un élément non réutilisable et non reproductible pour les transactions en ligne par carte, se verront accorder une période de migration limitée afin de se préparer de manière adéquate à l'entrée en vigueur de l'exigence SCA lors des transactions à distance par carte électronique.

Danemark
L'agence de régulation financière Finanstilsynet a annoncé un délai de 18 mois. En coopération avec tous les émetteurs de carte basés au Danemark, l'agence de régulation financière danoise va désormais exécuter concrètement les plans de mise en œuvre qui ont été discutés avec les acteurs du marché concernant la façon dont ces derniers assureront la conformité aux règles d'ici le 11 janvier 2021. Cette annonce fait suite à celle selon laquelle il n'y aurait aucun délai.

 

Finlande
La FIN-FSA(Autorité finlandaise de surveillance financière) a annoncé un retard dans l'application de la mesure. Ces pays se conformeront à l'échéance du 31 décembre 2020 proposée par l'EBA (Autorité bancaire européenne), ainsi qu'aux mesures de contrôle prescrites.

En Finlande, les refus d'autorisation (« soft declines ») sont appliqués dans une moindre mesure aux transactions initiées par les clients (sans SCA) et aux transactions initiées par les marchands sans référence networkTxReference.

France
La BF (Banque de France) a annoncé la mise en place d'un plan de migration. Le calendrier proposé s'étend sur 18 mois. De plus, les solutions d'authentification non 2FA seront au fur et à mesure interdites pour une « grande majorité » de clients avant décembre 2020. En mars 2021, tous les marchands devraient se connecter au nouveau dispositif 3DS.

Le 28 octobre 2019, la France a rendu public un communiqué de presse affirmant que la dernière date d'échéance sera fixée au 31 décembre 2020 aussi bien pour les solutions d'authentification des consommateurs que pour la connexion des marchands au nouveau dispositif 3DS.

L'Observatoire de la sécurité des moyens de paiement a publié le plan de migration pour la SCA en France qui indique que la date ultime pour l'application de la SCA est le 31 mars 2021.

Le 22 septembre 2020, la Banque de France (BF) a annoncé un plan de mise en place du refus d'autorisation de type « soft decline » pour les transactions non conformes. Le plan s'étend sur la période d'octobre 2020 à mars 2021.

Selon les dernières informations (qui datent de début décembre), le plan de migration est le suivant :

    • De septembre à décembre 2020 : transactions non 3D Secure de plus de 2 000 EUR
    • À compter du 5 janvier 2021, transactions non sécurisées de 1 000 EUR et plus
    • À compter de février 2021, transactions non sécurisées de 500 EUR et plus

Mi-février, ce plan a été finalisé :

  • À compter du 15 mars 2021, les transactions non sécurisées de 250 EUR et plus
  • À compter du 15 avril 2021, les transactions non sécurisées de 100 EUR et plus
  • À compter du 15 mai 2021, toutes les transactions non sécurisées

 

Au cours des migrations, aucun refus d'autorisation « soft decline » ne sera appliqué en cas de non-conformité à la directive DS P2 à l'égard des MCC suivants :

France_MCC_exceptions.png

Allemagne
La BaFin (Autorité fédérale de surveillance des services financiers) a annoncé que la mise en application de la directive DSP 2 serait retardée. Cette déclaration a été suivie d'un communiqué de presse) précisant que l'exigence de SCA ne sera pas appliquée avant le 31 décembre 2020 , sous réserve que certaines étapes soient achevées.

Début décembre, l'Autorité fédérale de supervision financière allemande (ou BaFin) a présenté à ses émetteurs le plan de migration suivant :

  • À compter du 15 janvier : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 250 EUR
  • À compter du 15 février : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 150 EUR
  • À compter du 15 mars : entrée en vigueur de l'authentification forte du client pour toutes les transactions

Les émetteurs n'ont pas tous confirmé qu'ils suivront ce plan.

Grèce
La Banque de Grèce a annoncé qu'elle repoussait l'application de la SCA jusqu'au 31 décembre 2020

Hongrie
La MNB (Banque de Hongrie) a annoncé un plan de prolongation de 12 mois avant la migration vers la SCA. L'échéancier s'étend sur 12 mois à compter du 14 septembre 2019. Plus de détails suivront.

Irlande
La Banque centrale d'Irlande a annoncé un retard dans l'application de la directive pour tous les moyens de paiement au cours d'une période de migration limitée. Le plan de migration est le suivant :

  • Du 1er janvier au 28 février 2021 : authentification forte du client pour toutes les transactions présentées de manière sécurisée supérieures à 500 €
  • Du 1er mars au 31 mars 2021 : authentification forte du client pour toutes les transactions présentées de manière sécurisée supérieures à 250 € et toutes les transactions autorisées directement font l'objet d'un soft decline si le montant est supérieur à 750 €
  • Du 1er avril au 30 avril 2021 : authentification forte du client pour toutes les transactions présentées de manière sécurisée selon les besoins (c.-à-d. sans seuil de valeur) et toutes les transactions autorisées directement font l'objet d'un soft decline si le montant est supérieur à 500 €
  • Du 1er mai au 31 mai 2021 : authentification forte du client pour toutes les transactions présentées de manière sécurisée selon les besoins (c.-à-d. sans seuil de valeur) et toutes les transactions autorisées directement font l'objet d'un soft decline si le montant est supérieur à 250 €
  • Du 1er juin au 30 juin 2021 : authentification forte du client pour toutes les transactions présentées de manière sécurisée selon les besoins (c.-à-d. sans seuil de valeur) et les transactions autorisées directement font l'objet d'un soft decline si le montant est supérieur à 150 €

Italie
La Banca d'Italia (Banque d'Italie) a annoncé une période de migration. Elle invite les parties qui souhaitent profiter de cette période de migration à présenter un plan de migration détaillé. L'échéance pour la période de migration est fixée au 31 décembre 2020.

  • À compter du 1er janvier : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 1 000 EUR
  • À compter du 1er février : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 500 EUR
  • À compter du 1er mars : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 100 EUR

Lituanie
La Lietuvos Bankas (Banque de Lituanie) a annoncé une période de migration. Elle invite les parties qui souhaitent profiter de cette période de migration à présenter un plan de migration détaillé. Aucun échéancier précis n'a été communiqué.

Luxembourg
La CSSF (Commission de surveillance du secteur financier) a annoncé que la mise en œuvre de la SCA serait retardée pour tous les moyens de paiement. Elle souligne l'intérêt d'une harmonisation du plan de migration avec l'ABE et demande aux parties qui souhaitent profiter de cette période supplémentaire de soumettre un plan de migration détaillé. En décembre 2019, la CSSF a annoncé que les PSP devraient être en conformité avec la SCA en date du 31 décembre 2020.

Malte
La Banque centrale de Malte a annoncé une prolongation de la période d'application de la SCA après le 14 septembre. En octobre 2019, elle a annoncé que les mesures liées à la SCA entreront en vigueur le 31 décembre 2020.

Pays-Bas
La DNB (banque néerlandaise) a annoncé que l'application de la SCA serait repoussée jusqu'au 14 septembre. La DNB encourage les parties prenantes du marché à se concerter afin de garantir un déroulement harmonieux de la phase migration vers la SCA et d'assurer sa réalisation le 31 décembre 2020.

À compter du 1er octobre 2020, les émetteurs diminueront progressivement le volume de transactions non authentifiées, à commencer par les montants compris entre 250 EUR et 30 EUR.

Les marchands doivent veiller à ce que leur mise en œuvre ou leur fournisseur de services soit prêt à prendre en charge les nouveaux flux de transactions obligatoires, y compris l'authentification 3DS. Faute de mettre en œuvre et de tester les nouveaux flux de transactions, la conversion des marchands pourrait être compromise à partir de cette date.

Norvège
La Finanstilsynet (autorité norvégienne de surveillance financière) a annoncé que la période d'application de la SCA serait prolongée. Les parties souhaitant bénéficier de cette extension devront s'adresser à la Finanstilsynet. L'autorité de surveillance prévoit une période de migration allant jusqu'au 31 décembre 2020.

Pologne
La KNF (autorité polonaise de surveillance financière) a annoncé que la période d'application de la SCA serait prolongée. Les parties souhaitant bénéficier de cette extension devront manifester leur intérêt avant le 14 septembre. Aucun échéancier précis n'a été communiqué.

Portugal
Le 17 octobre 2019, la Banco de Portugal (Banque du Portugal) a annoncé que l'échéance pour les banques/PSP pour appliquer l'intégralité des exigences d'authentification forte du client lors des transactions par carte dans le cadre de e-commerce est fixée au 31 décembre 2020.

Slovénie
La Banka Slovenije (Banque de Slovénie) a annoncé que la mise en application de la SCA serait repoussée. En novembre la Banque de Slovénie a annoncé une période de transition qui s'étend jusqu'au 31 décembre 2020.

Espagne
La BdE (Banque d'Espagne) a annoncé que la période d'application de la SCA serait prolongée. Le plan espagnol de migration vers la SCA comprend la mise en place progressive de la SCA et fixe le délai au 31 décembre 2020.

À la fin du mois de décembre 2020, un nouveau plan de migration a été publié :

  • À compter du 1er janvier : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 250 EUR
  • À compter du 1er février : entrée en vigueur de l'authentification forte du client pour les transactions de plus de 30 EUR
  • À compter du 1er mars : entrée en vigueur de l'authentification forte du client pour toutes les transactions

Ce plan stipule que des exemptions peuvent être appliquées. L'acceptation finale sera toujours du ressort des émetteurs.

Suède
Si les parties peuvent demander une prolongation, il appartient néanmoins à l'organe de surveillance de faire appliquer la réglementation. À l'heure actuelle, il est difficile de savoir quelles banques ont demandé une prolongation.

Nous constatons que certains émetteurs appliquent déjà les refus d'autorisation (« soft declines »).

Royaume-Uni
La FCA (Financial Conduct Authority) a annoncé un plan de prolongation de 18 mois avant la migration vers l'exigence SCA. L'échéancier s'étend sur 18 mois à compter du 14 septembre 2019. Plus de détails suivront.

Le 28 janvier 2020, au Royaume-Uni, la FCA (Financial Conduct Authority) a rendu publique la date de mise en application pour le marché britannique. Celle-ci était fixée au 14 mars 2021 au Royaume-Uni. 

Le 30 avril 2020, en raison des circonstances exceptionnelles liées à la crise COVID, la FCA a annoncé un délai supplémentaire de 6 mois avant l'entrée en vigueur de l'authentification forte du client. L'échéance a ainsi été déplacée du 14 mars 2021 au 14 septembre 2021.

Le 20 mai 2021, la FCA a finalement décidé de repousser cette échéance au 14 mars 2022. Toutefois, dès le 1er juin 2021, comme prévu, des contrôles aléatoires des transactions seront réalisés par les émetteurs afin de déterminer leur conformité en matière de SCA. Le cas échéant, les transactions pourront être rejetées.

Les pays n'ayant pas de position arrêtée

Même s'ils n'ont pas publiquement commenté les délais de migration vers la SCA, les pays suivants devraient respecter l'échéance du 31 décembre 2020 fixée par l'ABE :

  • Bulgarie
  • Croatie
  • République tchèque
  • Estonie
  • Lettonie
  • Le Liechtenstein
  • Roumanie
  • Slovaquie

 

 

 

 

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 19 sur 22