Quelles sont les transactions non concernées par la SCA?

La deuxième Directive sur les services de paiement (ou DSP2) impose l'authentification forte mais décrit également les cas considérés comme en dehors du cadre de cette obligation et où les transactions peuvent être réalisées sans authentification forte.

Il s'agit des cas suivants :

  • Les transactions initiées par le marchand (ou "MIT")

    C'est à dire les paiements réalisés sans la présence online de l'acheteur (paiement par fichier, paiement par web services de serveur à serveur, duplication).

    Par exemple lorsque le marchand gère lui même les récurrences dans le cas d'un abonnement à montant et dates d'échéance variables.

    L'authentification forte est néanmoins obligatoire lors de l'enregistrement du moyen de paiement et lors du premier paiement d'un abonnement ou d'un paiement en plusieurs fois.

  • Les paiements VAD (ou "MOTO" - Mail Order Telephone Order)

    Il s'agit d'achats initiés par courrier, courriel ou téléphone et dont la saisie des données de la carte est réalisée par un opérateur.

  • Les transactions hors Espace Economique Européen ( ou one-leg transactions)

    Paiements pour lesquels l'un des acteurs du paiement, l'acquéreur ou l'émetteur, ne se trouve pas dans l'UE.