Lors d’un achat, un paiement peut être refusé même si l’acheteur a été correctement authentifié. En effet, l’authentification et la demande d’autorisation sont 2 étapes distinctes.
L’authentification
L’authentification dans le cas de 3D Secure a pour objectif de vérifier que l’acheteur est bien le porteur (propriétaire) de la carte.
Pour authentifier un porteur, la méthode la plus répandue est l’envoi d’un SMS. Cette étape est assurée par la banque du porteur (banque émettrice) via une redirection depuis la page de paiement. (En savoir plus sur le 3D Secure)
Une fois que le porteur est authentifié, il revient sur la plateforme de paiement pour l’autorisation.
A savoir :
- la plateforme de paiement ne gère pas l’authentification, cette action est déléguée à la banque émettrice
- le cryptogramme n’est absolument pas contrôlé à ce stade et il n’est jamais envoyé au serveur d’authentification.
L’autorisation
La demande d’autorisation est effectuée auprès de la banque et permet de savoir si le paiement est accepté.
Cette étape se passe après l’authentification effectuée si la réponse de cette dernière est positive. Dans ce contexte, la plateforme de paiement envoie une demande d’autorisation incluant les champs remis par le serveur d’authentification afin de permettre d’activer le transfert de garantie propre au 3D Secure.
Puis, la banque applique ses contrôles (solde, d’encours, de nombre de paiements sur la période, etc… ) et peut refuser le paiement via un code retour.
A savoir :
- la signification des codes retours n’est pas communiquée par les banques afin de limiter la fraude.