Date de publication : 05 mai 2021
Pour réduire les fraudes sur les paiements et les opérations bancaires en ligne, une nouvelle règlementation se met en place au niveau européen. Cette nouvelle procédure est obligatoire depuis le 15 avril 2021 pour les montants supérieurs à 100€. On parle de « double authentification ».
Elle était déjà en place depuis plusieurs semaines pour les montants supérieurs à 250 €.
A partir du 15 mai, seules les transactions inférieures à 30 € ou les transactions habituelles et régulières effectuées par un même émetteur seront dispensées de cette procédure.
Concrètement, il ne suffit donc plus de renseigner les informations de sa carte bancaire (numéro, date d’expiration et cryptogramme). Le dispositif de sécurisation supplémentaire 3D Secure (envoi d’un code de validation par SMS) ne suffit plus non plus. En vertu de la directive européenne DSP2, au moins un autre élément d’authentification est exigé.
De plus en plus de clients ont d’ailleurs reçu de leur banque (ou vont prochainement recevoir) un message d’information, au moment de se connecter à leur compte bancaire.
Par exemple, pour la Bred : « Dans les prochaines semaines, le code à usage unique reçu par SMS ne suffira plus. Pour continuer à effectuer vos paiements par carte bancaire sur Internet, BREDSecure devient obligatoire. » L’établissement indique ensuite comment activer ce système via une application mobile préalablement téléchargée sur son smartphone.
Pour les paiements, l’authentification forte impose que deux preuves d’identification distinctes soient apportées par le client.
Ces preuves peuvent être :
La solution la plus couramment utilisée aujourd’hui par les banques est celle de l’envoi (après renseignement des informations bancaires par le client), d’une notification sur téléphone mobile qui invite à s’authentifier dans son appli bancaire.
Cette authentification sera ensuite possible soit en tapant un code (le plus souvent celui permettant d’accéder à ses comptes bancaires en ligne mais pas forcément), soit en posant son doigt sur le capteur biométrique intégré au téléphone. En principe, seul le propriétaire du compte peut apporter ces deux preuves !
Le nom commercial de cette procédure est différent pour chaque banque : BREDSecure à la Bred, Certicode à la Banque postale, Clé digitale chez BNP Paribas, Sécuripass au Crédit agricole, etc.
Une banque qui recevrait une transaction de paiement de plus de 100 € sans authentification forte n’effectuera temporairement pas la transaction et demandera qu’elle soit représentée avec une authentification forte valide.
Cette procédure devra obligatoirement être mise en place au 30 juin 2021. Si votre banque (ou votre prestataire de services de paiement) n’a pas vérifié votre paiement au moyen d’une authentification forte, vous n’aurez à supporter aucune conséquence financière si une opération que vous n’avez pas autorisée a été débitée sur votre compte.
Quelque 70 % des clients utilisent leur smartphone pour ces opérations, mais pour les personnes n’ayant pas de smartphone, les banques doivent proposer des solutions alternatives.
UFC Que Choisir de Rambouillet