L’authentification forte entre en vigueur pour les paiements en ligne

La directive européenne DPS2 impose désormais aux banques une authentification à deux facteurs pour accepter une transaction en ligne. Une nouvelle contrainte qui contrarie les efforts des marchands en ligne pour rendre le paiement le plus fluide possible. Un délai de grâce de 4 semaines est cependant accordé à partir du 15 mai pour aider les commerçants (et les clients) à s’adapter.

2 mn

Le paiement en ligne nécessite désormais une authentification à deux facteurs pour être accepté par la banque.
Le paiement en ligne nécessite désormais une authentification à deux facteurs pour être accepté par la banque. (Crédits : La Tribune Infographie/BHEDOUIN)

Retard après retard, la mise en œuvre de la directive européenne DSP2 sur « l'authentification forte » des paiements en ligne est enfin appliquée en France depuis le 15 mai. Désormais, tous les paiements en ligne de plus de 30 euros devront faire systématiquement l'objet d'une authentification à « au moins deux facteurs ».

Terminé donc le simple SMS envoyé sur le téléphone mobile pour valider une transaction. Il faut désormais soit un SMS associé à un code personnel (ou une identification biométrique), soit une transaction effectuée à partir de l'espace personnel de l'application bancaire mobile.

Les banques avaient jusqu'à fin décembre 2020 pour embarquer au moins 80% de leurs clients dans ce nouveau dispositif de sécurité, mais crise sanitaire oblige, elles ont obtenu un nouveau délai jusqu'au 15 mai.

Le second volet de l'application de la DSP2, transparent pour les clients, concerne les infrastructures de paiement avec la mise en place du nouveau protocole de sécurité, baptisé 3D-Secure 2.0, pour tous les achats en ligne. L'été dernier, la Banque de France avait, poliment mais fermement, pointé le retard pris par les banques dans le déploiement de ce nouveau protocole. D'autant que la Commission européenne avait refusé, l'an dernier, tout nouveau délai, après avoir déjà accepté de repousser l'échéance d'un an.

Réduire le taux de fraude en ligne

La DSP2 impose en effet que ce soit l'émetteur de la carte (la banque du porteur) qui gère la décision d'authentifier une transaction en ligne, et non plus le commerçant lui-même, en fonction de sa propre analyse du risque. L'objectif est de réduire le taux de fraude sur le commerce en ligne, qui est environ trois fois plus élevé que le taux de fraude (très faible, de l'ordre de 0,05%) constaté en magasin.

Ce basculement inquiète les e-commerçants qui redoutent une explosion des transactions  inachevées par des clients mal informés ou trop habitués au SMS. Le paiement depuis l'application bancaire peut également poser un problème en gênant le retour vers le site marchand une fois le paiement effectué, privant ainsi le marchand de l'opportunité d'un second achat. Plus globalement, ces nouvelles mesures d'authentification viennent contrecarrer les efforts des prestataires de paiement et des marchands d'offrir des modes de paiement avec le moins de « frictions » possibles (frictionless payment).

Comme le rappelle la Fédération bancaire française (FBF) dans un communiqué, les banques mettront progressivement cette authentification forte sur une durée de 4 semaines, à partir du 15 mai, pour laisser aux commerçants (et aux clients) le temps de s'adapter. Mais, passé ce délai, les banques sont en droit de refuser une transaction en ligne.

Les e-commerçants pourront également demander des exemptions pour les transactions de moins de 30 euros ou celles « jugées peu risquées par la banque et/ou le commerçant ». Une tolérance bien encadrée car limitée à un plafond de 150 euros.

2 mn

Paris Air Forum

Sujets les + lus

|

Sujets les + commentés

Commentaires 6
à écrit le 22/05/2021 à 6:39
Signaler
C'est beau l'univers bancaire où le client est au service de son créancier détenant ses avoirs... Au regard de l'automatisation des services bancaires et de l'allègement de la masse salariale requise, les banques trouvent encore le moyen de plu...

à écrit le 17/05/2021 à 14:53
Signaler
tout ça pour ne pas laisser la main aux systèmes cryptographiques* que les banques ne peuvent pas déchiffrer ! (et donc leur échappent*) *cf ecash/digicash et la suite

à écrit le 17/05/2021 à 14:05
Signaler
Une usine à gaz de plus, qui marginalise encore plus les non accro à tous ces délires informatiques et assimilés

à écrit le 16/05/2021 à 23:26
Signaler
Tout pour faire ch... le client, ou pour tracer et contrôler tous ses achats en vue de CAP22 !

à écrit le 16/05/2021 à 18:05
Signaler
On va finir par en revenir aux chèques si ça continue.... ou aux coquillages. C'est bien les coquillages. Çà devient débile, pour commander en ligne maintenant il faut, en plus de s'identifier sur le site, avoir un téléphone portable avec soi au m...

le 16/05/2021 à 19:39
Signaler
"avoir un téléphone portable avec soi au moment du paiement" souvent j'oublie de l'allumer (il est rangé dans un tiroir, pas d'usage hors sécurité en déplacement (à pieds ou voiture)) et dois descendre le chercher / allumer / patienter. Ma CB est int...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.