Paiement : L'authentification forte fait son chemin en ligne

VIE PRATIQUE Alors que les fraudes aux achats en ligne ont explosé depuis le début de la crise sanitaire, il est devenu urgent de sécuriser davantage les transactions. C’est l’objectif de la nouvelle procédure d’authentification forte des paiements

Julie Polizzi pour 20 Minutes

— 

La nouvelle norme d'authentification forte des paiements impose d'utiliser l'application mobile de votre banque pour valider vos achats en ligne.
La nouvelle norme d'authentification forte des paiements impose d'utiliser l'application mobile de votre banque pour valider vos achats en ligne. — IStock / City Presse

L’essor du e-commerce a entraîné avec lui son lot d’arnaques et de fraudes. Et la digitalisation de bon nombre de transactions depuis le début de la crise sanitaire n’a pas arrangé la situation. Alors que les acteurs institutionnels et associations de consommateurs appellent régulièrement les usagers à la vigilance, une nouvelle législation entend sécuriser davantage le paiement sur Internet.

L’UE à la manœuvre

Cette prise de conscience face aux enjeux financiers des transactions en ligne ne date pas d’hier. La deuxième directive européenne relative aux services de paiement dans le marché intérieur, dite DSP2, visant à encadrer ces modes de consommation, date du 25 novembre 2015.

Il a cependant fallu attendre 2018 pour qu’elle entre progressivement en vigueur dans l’Union. Comme certaines mesures impliquent des normes techniques complexes, des délais d’adaptation supplémentaires ont été accordés aux établissements financiers. Au terme d’un calendrier de transposition à rallonge, un changement est en marche depuis fin 2020 : celle de l’authentification forte des paiements.

Le mode d’emploi

Ce dispositif vise non seulement à renforcer la sécurité des achats sur Internet, mais aussi l’accès aux comptes en ligne. C’est lors de l’étape de vérification de votre identité que le législateur a accéléré. Il était auparavant fréquent de pouvoir effectuer son shopping en renseignant simplement ses coordonnées bancaires sur l’espace sécurisé du site d’e-commerce. De même, le simple envoi par votre banque d’un code à usage unique par SMS (dispositif 3D Secure) à entrer sur le site marchand n’est plus suffisant.

La nouvelle norme consiste désormais à vérifier que vous êtes bien à l’origine du paiement ou de la connexion à votre espace client à l’aide d’au moins deux ou trois des éléments de sécurité suivants : vous demander une information privée (mot de passe, code secret, question secrète…), imposer le recours à un appareil privé (smartphone, carte à puce, montre connectée…) et passer par l’utilisation d’une caractéristique personnelle (empreinte digitale, reconnaissance faciale…).

Si chaque banque propose son propre dispositif, le process implique en pratique bien souvent de valider son paiement grâce à l’application mobile de l’établissement bancaire, en s’y connectant au moyen de son code d’accès ou de son empreinte digitale.

Les opérations concernées

La généralisation de l’authentification forte des paiements s’est faite de façon échelonnée au cours des derniers mois. Au départ limité aux transactions de plus de 2.000 euros fin 2020, le seuil d’obligation a ensuite été progressivement abaissé à 1.000 euros en janvier 2021, puis à 500 et 250 euros, pour atteindre 100 euros mi-avril. Au 15 mai, toutes les autres transactions doivent y être soumises, au risque d’être refusées par la banque.

Face à un processus de vérification lourd au quotidien, le législateur a exclu certaines opérations. C’est notamment le cas des petites emplettes en ligne qui ne dépassent pas 30 euros, à condition que vous ne cumuliez pas plus de cinq achats consécutifs et que le montant total n’excède pas 100 euros. De même, vos paiements récurrents pour le même montant et au profit du même bénéficiaire (du type loyer) échappent à ce renforcement de sécurité.

Le casse-tête des usagers

Comment faire lorsqu’on ne souhaite pas installer l’application mobile de sa banque ? Il faudra tout de même utiliser votre smartphone pour valider le paiement sur son site web grâce à un code unique SMS. Et si le téléphone est trop ancien ? Certaines banques commercialisent des boîtiers-lecteurs qui permettent d’obtenir un code à usage unique lorsque la CB y est insérée, afin de réaliser les opérations depuis son ordinateur. Sauf que cette solution est fastidieuse et payante.

Hélas, comme le confirme la plateforme d’information téléphonique ABE-InfoServices, dédiée au secteur financier (34 14), la loi n’a pas prévu d’alternative gratuite. De quoi forcer les adeptes des achats en ligne sur ordinateur à passer le cap des transactions via un mobile.