Depuis le 15 mai 2021, en application de la directive européenne sur les services de paiement, l’authentification forte est exigée pour les paiements en ligne sans minimum de montant. Un sursis de quatre semaines a été accordé aux banques pour éviter un changement trop brutal. L’e-commerce est également affecté par cette nouvelle obligation.
La dernière étape de la directive sur les services de paiement 2ème génération, dites « DSP2 », est entrée en vigueur le 15 mai 2021. Cette législation européenne a pour ambition de sécuriser les comptes en ligne tout en favorisant l’innovation sur le marché du paiement.
La DSP2 s’applique depuis le 13 janvier 2018 mais l’obligation d’authentification forte a été introduite par palier. En octobre 2020, ce seuil était fixé à 2000 euros puis est passé à 1000 euros en janvier, à 250 en mars et à 100 euros le 15 avril dernier. Désormais, l’ensemble des transactions qui sont dans le périmètre de ce texte et qui ne font pas l’objet d’une exemption devront faire l’objet d’une authentification forte.
1- QU’EST-CE QUE L’AUTHENTIFICATION FORTE ?
L’authentification forte, également appelée authentification à deux facteurs, combine l’utilisation de deux éléments parmi les trois catégories suivantes : quelque que l’on sait, tels qu’un mot de passe ou un code PIN, quelque chose que l’on possède comme un smartphone ou un ordinateur et quelque chose que l’on est ce qui correspond à une caractéristique personnel (empreinte digitale, voix…). Ces facteurs doivent être « indépendants » de sorte que « la compromission de l’un ne remet pas en question la fiabilité des autres », d’après la directive.
Cela signifie que l’usage d’un seul code reçu par SMS n’est plus suffisant pour s’authentifier lors d’un paiement en ligne ou d’une opération bancaire sensible. En pratique, la personne va désormais recevoir une notification l’invitant à s’authentifier sur son téléphone. Deux possibilités s’offrent à lui : soit il saisit un code personnel, soit il s’authentifie par empreinte biométrique.
Pour les personnes dépourvues de smartphone, la Fédération bancaire française (FBF) précise que les banques proposeront des solutions alternatives comme l’utilisation d’un SMS à usage unique couplé à un mot de passe connu par le client ou l’utilisation d’un dispositif physique dédié.
2- A QUELS SERVICES S’APPLIQUE L’OBLIGATION DE DOUBLE AUTHENTIFICATION ?
Cette obligation s’applique aux banques, aux e-commerçants et aux prestataires de services de paiement. La plupart des banques proposent déjà leurs propres services d’authentification forte, tels que Certicode et Certicode Plus de La Banque Postale, SécuriPass du Crédit Agricole ou encore la Clé Digitale de BNP Paribas. Les opération dites « sensibles », telles que la commande d’un chéquier ou l’ajout d’un RIB bénéficiaire, sont également soumises à cette obligation.
Le statut de « prestataires de services de paiement (PSP) » a été introduit par la DSP2. Il désigne des sociétés non bancaires qui effectuent des transactions financières, dont certaines fintech font parties. Elles prennent la forme d’établissements de paiement, d’établissement de monnaie électronique ou encore d’établissements de crédit.
Le commerce en ligne est également touché par l’extension de cette obligation. En effet, les e-commerçants ont l’obligation de permettre aux banques et prestataires de paiement de mettre en place la 3DSecure 2, un protocole sécurisé de paiement sur Internet. Bien que seule la banque du client reste décisionnaire, les e-commerçants doivent prouver qu’ils ont bien mis en œuvre cette réglementation.
Pour éviter un changement trop brutal, les établissements bancaires ont encore quatre semaines pour instaurer un mécanisme d’authentification forte.
3- EXISTE-T-IL DES EXCEPTIONS ?
Les e-commerçants peuvent se soustraire à cette obligation pour les transactions de moins de 30 euros. Sont également concernées les transactions jugées peu risquées par les banques et/ou le commerçant, quel que soit le montant. En pratique, il s’agit des paiement récurrents, tels que les abonnements, les opérations vers un bénéficiaire de confiance…
