Transactions avec authentification forte du client

À compter du 14 mars 2022, la Financial Conduct Authority (FCA) exigera la mise en place d’une authentification forte du client pour l’ensemble des utilisateurs du Royaume-Uni, ce qui pourrait avoir des répercussions sur les procédures d’achats en ligne. Cette obligation s’applique déjà aux utilisateurs et utilisatrices de l’Espace économique européen (EEE) depuis le 31 décembre 2020. Si l’App Store et Apple Pay appliquent bien l’authentification forte du client, vous devez en revanche vérifier la mise en œuvre de StoreKit et d’Apple Pay dans votre app afin de vous assurer que la procédure de traitement des achats respecte les nouvelles normes.

Ce qui va changer

Les réglementations du Royaume-Uni et de l’Union européenne exigent l’authentification forte du client pour certains achats en ligne afin de lutter contre la fraude. Avant d’être validées, les transactions effectuées par carte de crédit ou de débit sur un site web, dans une app ou sur l’App Store doivent faire l’objet d’une authentification de la part de la banque ou du prestataire de services de paiement.

  • Concernant les abonnements à renouvellement automatique (anglais), l’authentification forte du client ne sera obligatoire qu’au moment de la première transaction. Cette réglementation ne s’applique pas aux renouvellements ultérieurs.
  • Il se peut que l’authentification forte du client ne soit pas obligatoire pour les achats de moins de 30 € ou 25 £.
  • Les achats effectués avec Apple Pay, méthode d’ores et déjà conforme aux obligations prévues par l’authentification forte du client, ne feront l’objet d’aucune authentification supplémentaire.
  • Les achats réglés par le biais d’une facture de téléphone mobile, d’autres services de paiement ou d’un solde de compte Apple ne feront l’objet d’aucune authentification supplémentaire.

Gestion des transactions effectuées avec StoreKit

Concernant les achats intégrés pour lesquels l’authentification forte du client sera obligatoire, l’utilisateur ou l’utilisatrice devra authentifier sa carte bancaire. Le processus d’achat sera momentanément interrompu tandis que le système redirigera l’utilisateur ou l’utilisatrice vers l’app ou le site web de la banque ou du prestataire de services de paiement afin de compléter la procédure d’authentification. Après une réorientation sur l’App Store, un message leur confirmera la bonne exécution de la transaction. La gestion de ces transactions interrompues s’apparente aux achats avec l’option Demander l’autorisation d’achat, qui doivent être approuvés par la personne responsable du groupe familial, ou à la procédure exigeant l’acceptation des modifications des conditions générales d’utilisation sur l’App Store avant d’effectuer un achat.

Nous vous recommandons vivement de vérifier que votre app gère correctement les transactions interrompues en initialisant un observateur de transactions pour répondre aux nouvelles transactions et synchroniser celles en cours avec Apple. Cet observateur aidera votre app à gérer les transactions soumises à l’authentification forte du client. Il peut notamment mettre à jour votre file d’attente de paiements en le faisant passer à « échec » ou « différé » lorsque l’utilisateur ou l’utilisatrice quitte l’app. Lorsque le système redirigera cette personne vers l’App Store une fois l’authentification effectuée, une nouvelle transaction affichant « acheté » sera immédiatement transmise à l’observateur, avec potentiellement une nouvelle valeur pour la propriété transactionIdentifier. Vous pouvez tester des cas de figure d’achat interrompus dans Sandbox pour un compte Apple Sandbox spécifique.

Ressources

Gestion des transactions avec Apple Pay

Apple Pay comprend un système d’authentification intégré et ne nécessite aucune disposition supplémentaire en la matière de la part des banques. Toutefois, afin d’éviter tout problème de paiement effectué avec Apple Pay sur vos apps et sites web, veillez à utiliser le bon code de pays sur les demandes de paiement et vérifiez que le montant final de la commande apparaît bien sur la notification de paiement.

La valeur countryCode associée à PKPaymentRequest (pour les apps) et à ApplePayPaymentRequest (pour les sites web) doit correspondre aux deux lettres du code du pays dans lequel les fonds sont traités. Cela permet de garantir que le cryptogramme respectera bien les dispositions de la DSP2 (deuxième directive sur les services de paiement) lorsque le countryCode du commerçant et l’émetteur de la carte utilisée pour le paiement correspondront tous les deux à des pays de l’EEE.

Le montant qui figure sur la notification de paiement doit être le montant effectivement réglé et non pas le montant en attente de règlement. Cette disposition facilite l’édition dynamique de liens, lorsque la somme et l’identifiant du commerçant sont inclus dans le cryptogramme pour prouver l’origine et l’authenticité de la transaction.

Consulter la documentation Apple Pay