De nouvelles procédures dites d’authentification forte encadrent la bonne exécution des principales opérations de paiement. L’accès aux comptes, les paiements en ligne chez certains e-commerçants, par carte bancaire et par virement font désormais l’objet d’une sécurité renforcée. Avant l’entrée en vigueur de la directive sur les services de paiement (DSP2), l’authentification forte était recommandée ; avec la DSP2, elle devient obligatoire.
Derrière un acronyme technique et la volonté de garantir au niveau européen un environnement plus sûr en matière de sécurité des paiements, la DSP2 entend également prévoir un cadre réglementaire concurrentiel équitable propice à l’émergence de nouveaux acteurs et favoriser le développement de solutions innovantes.
Promouvoir un écosystème vertueux, enjeu de la DSP2
Forte croissance de l’e-commerce, développement de l’usage du mobile à des fins de consultation ou d’opérations et apparition de nouveaux acteurs, bancaires et non bancaires, agrégateurs, émetteurs et initiateurs de paiement façonnent un environnement en pleine mutation. Un tel contexte est propice à la recrudescence de Cyberattaques et tentatives de fraudes. En permettant de renforcer le niveau de sécurité des paiements, la mise en place de la DSP2 permet de mieux protéger les utilisateurs et de renforcer leur confiance dans les achats en ligne.
Instaurer l’authentification forte, exigence de la DSP2
L’authentification forte autrement appelée identification à deux facteurs consiste à s’assurer que le détenteur du compte, particulier ou professionnel, est bien à l’origine de la demande de paiement ou d’accès au compte bancaire.
La DSP2 impose l’authentification forte du titulaire du compte lorsque celui-ci :
- accède à son compte de paiement en ligne pour une simple consultation ;
- initie une opération de paiement électronique (virement ou paiement par carte) ;
- exécute une action à distance présentant un risque élevé de fraude (mandat de prélèvement à distance, modification des données de sécurité personnalisées…).
Pour être satisfaite, l’exigence d’authentification forte requiert qu’au moins deux éléments parmi les trois catégories suivantes soient dûment renseignés : possession, connaissance, inhérence. Il peut s’agir d’une information que le détenteur est seul à connaître (mot de passe, code secret, code PIN…) combinée à l’assurance de l’utilisation d’un appareil qui appartient au seul détenteur (ordinateur, téléphone portable, montre connectée…) ou encore conjointe d’une caractéristique personnelle unique comme la voix, le visage ou une empreinte digitale.
En vertu de la DSP2, il suffit qu’un seul des deux éléments requis soit faux pour que la connexion aux fins de consultation ou d’opération de paiement soit refusée.
Une authentification à intervalles rapprochés et réguliers, quotidien de la DSP2
Désormais, une authentification renouvelée tous les 90 jours est nécessaire pour accéder à votre espace client « banque en ligne » et consulter vos comptes. Par ailleurs, l’utilisation systématique d’un code à usage unique envoyé sur le smartphone du détenteur du compte est nécessaire à la validation de certaines opérations de paiement électronique.
Vous pouvez consulter ici en images et en détail les différentes étapes de l’authentification renforcée en fonction des opérations souhaitées.
De rares exceptions aux obligations de la DSP2
La directive européenne prévoit quelques exceptions à l’obligation de mise en place de l’authentification forte. Il s’agit principalement de :
- paiements électroniques à distance d’un faible montant (ne dépassant pas 50 euros) ;
- paiements électroniques à distance au profit d’un bénéficiaire de confiance déjà enregistré auprès de la banque, à travers une liste qui lui est transmise par le titulaire du compte ;
- paiements sans contact ;
- paiements récurrents pour le même montant et au profit du même bénéficiaire, et ce, à partir de la deuxième opération (cela concerne notamment les paiements par abonnement) ;
- virement de compte à compte d’un même titulaire au sein de la même banque.
Des réflexes de prudence à conserver
Le contexte actuel, propice à la recrudescence de tentatives de phishing (ou hameçonnage) et de fraudes à la carte bancaire, oblige de rester particulièrement prudent. À la réception d’un mail d’un émetteur inconnu, soyez attentif à tous les signaux qui peuvent attirer votre attention (adresse email de l’émetteur inconnue, niveau de langage inapproprié, fautes d’orthographe, liens suspects). En cas de doute, il faut surtout ne pas ouvrir le mail ; si toutefois le mail est ouvert, n’ouvrez pas la pièce jointe, préférez supprimer l’email de votre boîte de réception et videz la corbeille. Nous vous invitons également à ne répondre à aucune sollicitation atypique ou demande de communication d’identifiants/codes confidentiels/codes de validation.