Paiements à distance : plus de sécurité dès mai 2021

Paiements à distance : les lacunes des dispositifs actuels

Le dispositif actuel, dit « 3dsecure » repose sur un code unique par transaction envoyé par la banque via un SMS sur un téléphone portable qui est en principe celui du client. Rien ne prouve que celui qui utilise le SMS est bien le destinataire souhaité (détournement), pas plus que le propriétaire du téléphone, qui a pu être volé.

Principes de l’authentification forte

L’authentification est considérée comme forte lorsqu’elle réunit deux des trois éléments suivants :

• l’information : une donnée que vous seul connaissez, comme un mot de passe ;
• la propriété : quelque chose que vous seul possédez, comme un code unique généré par SMS, une carte bancaire ou un appareil sécurisé que vous utilisez – tel votre smartphone ;
• le caractère unique : un trait distinctif qui vous est propre, typiquement une caractéristique biométrique comme une empreinte digitale, votre visage ou votre voix.

Quand avez-vous besoin de recourir à l’authentification forte ?

L’authentification forte est requise notamment pour :

• l’accès à l’espace client de votre banque ;
• toute action en ligne comportant un risque de fraude (ex : changement d’adresse, virement occasionnel) ;
• le paiement en ligne.

En matière de paiement, des exceptions sont possibles :

• les opérations à faible montant (< 30 €) ;
• les abonnements et opérations récurrentes: cela sera valable dès la deuxième opération, l’opération initiale nécessitant une authentification comme lorsque le montant sera modifié ;
• les transactions réalisées auprès de bénéficiaires de confiance: chaque usager a la possibilité de se créer une liste de bénéficiaires de confiance, la liste blanche (ex : enseigne chez laquelle il fait régulièrement des achats). Cette liste est stockée par sa banque ;
• les opérations peu risquées dans l’espace client de sa banque: virement interne de compte à compte, interrogation de solde/dernières opérations.