Depuis le 15 mai 2021, en application de la directive sur les services de paiement 2ème génération (DSP2), l’authentification forte est obligatoire pour tous les paiements en ligne sans minimum de montant. Cette mesure vise à sécuriser les comptes en ligne et à favoriser l’innovation sur le marché du paiement.
Qu’est-ce que l’authentification forte ?
L’authentification forte, également appelée authentification à deux facteurs, combine l’utilisation de deux éléments parmi les trois catégories suivantes: quelque chose que l’on sait (un mot de passe ou un code PIN), quelque chose que l’on possède (un smartphone ou un ordinateur) et quelque chose que l’on est (une caractéristique personnelle comme une empreinte digitale ou une voix). Pour être considérée comme forte, ces facteurs doivent être « indépendants » de sorte que « la compromission de l’un ne remet pas en question la fiabilité des autres », selon la directive.
Quels services sont concernés par l’obligation de double authentification ?
L’obligation de double authentification s’applique aux banques, aux e-commerçants et aux prestataires de services de paiement (PSP). Elle concerne les opérations dites « sensibles », comme la commande d’un chéquier ou l’ajout d’un RIB bénéficiaire, ainsi que les paiements en ligne effectués sur un site ou une application de commerce en ligne ou encore les retraits d’argent aux distributeurs.
Qu’en est-il des exemptions et des exceptions à l’obligation d’authentification forte ?
Il existe certaines exemptions et exceptions à l’obligation d’authentification forte prévues par la DSP2. Par exemple, les paiements en ligne effectués avec une carte de paiement physique ou une carte de débit ne sont pas concernés par cette obligation. De même, les paiements inférieurs à 30 euros ne sont pas soumis à l’authentification forte. Enfin, les paiements réalisés avec une carte virtuelle ou un porte-monnaie électronique sont exemptés jusqu’au 1er septembre 2021.
La mise en place de l’authentification forte pour les paiements en ligne vise à renforcer la sécurité des comptes en ligne contre les fraudes et à encourager l’innovation sur le marché du paiement. Cette obligation concerne les banques, les e-commerçants et les prestataires de services de paiement et s’applique aux opérations sensibles et aux paiements en ligne sans minimum de montant. En d’autres termes, l’authentification forte est obligatoire pour toutes les transactions couvertes par la DSP2 qui ne font pas l’objet d’une exemption. Les prestataires de services de paiement sont également tenus de mettre en place des processus de gestion des risques, de suivi et de notification des incidents de sécurité.
