Paiement par carte bancaire sur Internet : 3D Secure et authentification forte

la finance pour tous

Le système d’authentification 3D Secure a pour objet de sécuriser les paiements en ligne par carte bancaire. Code reçu par SMS, notification sur l’application bancaire, authentification par empreinte digitale ou reconnaissance faciale… permettent d’authentifier l’acheteur comme étant le porteur de la carte utilisée pour le paiement.

Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet.

Achat sur Internet : sécurisation des paiements par carte bancaire avec 3D Secure

Lorsque les logos « Verified by Visa », « Visa Secure », « CB Paiement Sécurisé », « MasterCard SecureCode » ou « MasterCard Identify Check » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.

Étape 1 : saisie des informations bancaires

Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte, 
– la date de validité de celle-ci, 
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).

Étape 2  : l’authentification de la transaction

Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.

Exemples d'écrans 3D secure

A compter du 15 mai 2021, pour les paiements dès 30 euros, cette authentification par code à usage unique reçu par SMS va être remplacée par un nouveau mode d’authentification forte, par l’intermédiaire des applications mobiles des banques accessibles depuis un smartphone, ou par une combinaison d’un code à usage unique et d’un autre procédé d’authentification du titulaire de la carte bancaire.

Évolution du système 3D Secure et du mode d’authentification

Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Puis les banques ont mis en place des systèmes basés sur un code à usage unique. Mais il est apparu que cette procédure présentait des faiblesses de sécurité. La directive européenne sur les services de paiement (DSP2) exige une « authentification forte » ou double authentification.

Comment se passe une transaction 3D Secure avec l’authentification forte ?

transaction 3D Secure avec authentification forte

Un client qui souhaite acheter sur un site e-commerce va devoir suivre la procédure suivante :

1. Le client télécharge au préalable sur son téléphone l’application d’authentification de sa banque (la plupart des banques ont d’ores et déjà donné des noms commerciaux à l’authentification forte) et suit la procédure demandée.

2. Il récupère par SMS le code unique d’activation du service d’authentification forte envoyé par la banque.

3. Lors d’un paiement sur un site e-commerce, il reçoit sur son téléphone une demande d’authentification :

  • soit par saisie du code personnel,
  • soit par empreinte biométrique,
  • soit par caractéristique personnelle.

4. Si les informations sont valides, la banque valide le paiement par une notification envoyée sur l’application.

Cette procédure d’authentification est un exemple. Elle peut légèrement différer selon le dispositif mis en place par la banque du titulaire de la carte. Pour connaître le mode d’emploi précis qui vous concerne, vous devez contacter votre banque ou consulter le site internet de votre établissement bancaire.

Les titulaires de carte bancaire qui ne disposent pas de smartphone, ou qui ne souhaitent pas installer l’application de leur banque, pourront continuer de régler par carte leurs achats en ligne. Des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boitier fourni aux clients permettant d’authentifier le paiement. Renseignez-vous auprès de votre banque.

Paiement en ligne par carte bancaire : quelques conseils pratiques

  • Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
  • Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet. C’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
  • Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements par carte bancaire sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.

Que faire en cas d’opération frauduleuse ?

Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.

Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.

Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).

La banque doit rembourser immédiatement le montant de l’opération non autorisée et remettre le compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.

Attention aux mails frauduleux « Verified by Visa »

Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.

    286 commentaires sur “Paiement par carte bancaire sur Internet : 3D Secure et authentification forte”
    1. Bonjour, j’aimerais savoir si les paiements en ligne bénéficie également d’un numéro de transaction ? Merci pour votre disponibilité.

      1. Bonjour,

        Nous ne comprenons pas le sens de votre question. Pouvez-vous préciser l’objet de votre demande ?

        Meilleures salutations

        L’équipe de lafinancepourtous.com

    2. Hier j’ai payé avec un iphone.Aujourdhui c’est mon mari ,la banque n’arrive pas à l’authentification de la même carte ,il a essayé plusieurs fois.

      1. Bonjour,
        Vous devez contacter votre conseiller bancaire pour examiner le ou les moyens de paiement associés à votre téléphone et vérifier les modalités d’authentification.
        Meilleures salutations.
        L’Equipe de Lafinancepourtous.com

    3. Bonjour, j’ai fais une commande sur le site Etsy de 53€ et bizarrement je n’ai pas eu besoin d’authentification forte. Est-ce normal ? Je pensais que c’était devenu obligatoire.
      Merci

      1. Bonjour,
        La majorité des paiements en ligne font l’objet d’une authentification forte. Sauf pour les transactions de petits montants, les transactions jugées peu risquées ou les paiements réguliers, selon l’accord négocié entre le commerçant et sa banque.
        Meilleures salutations.
        L’Equipe de Lafinancepourtous.com

    4. Bonjour,
      j’essaie de faire des transferts sur western union depuis le mois de décembre avec une carte bancaire étrangère enregistrée sur mon compte western union. mais je ne reçois pas le sms pour la validation de ma carte. Comment savoir si c’est le système western union qui ne prends plus les cartes étrangères ou si c’est la banque qui bloque mes transactions ?

      1. Bonjour,
        Nous ne pouvons pas répondre à votre question. Vous devez interroger chacun de vos interlocuteurs pour connaître les raisons de ce dysfonctionnement.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    5. Bonjour,
      J’ai validé un achat en ligne avec un code erroné. J’ai fait »marche arrière », ce qui n’a pas fonctionné. Et je découvre que le paiement a été néanmoins validé. Ma Banque me repond que c’est le site qui a forcé le paiement et qui ne respecte pas la réglementation européenne. ??? J’ai bcp de mal à comprendre cet argument. Si un site peut forcer le paiement, c’est donc que le securecode n’a pas d’intérêt ? Merci

      1. Bonjour
        Il convient tout d’abord de vérifier si le site en question est installé dans un pays de l’Union Européenne. En effet, seuls ceux-ci sont tenus à recourir systématiquement à l’authentification forte. Si ce site est bien dans l’Union Européenne, vous pouvez demander à votre banque de rejeter le paiement si le service ou le produit n’a pas été délivré (voir https://www.lafinancepourtous.com/pratique/banque/moyens-de-paiement/la-carte-bancaire/remboursement-dun-achat-litigieux-par-carte-bancaire-la-retrofacturation-ou-chargeback/).
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    6. Bonjour, le 06/12 je perçois mon salaire par virement soit 1400€. Le jeudi 09/12 je veux régler ma cantine et loyer : paiement refusé. J’appelle ma banque. Celle-ci me dit vous avez effectuée un paiement bancaire de 1200€ donc vous ne pouvez payer ni retirer d’argent. Le 10/12 je fais opposition sur ma CB et là on me dit transaction vers western union de 950# transaction non autorisée. La banque refuse de me rembourser me disant que j’ai effectué cette transaction en validant avec le pass sécurité alors que pour faire cette transaction, si par supposition je l’avais faite, il aurait fallut je suppose me connecter sur le site western union alors que dois-je faire ? Merci de votre aide.

      1. Bonjour,

        Il convient de contacter le service clientèle de votre banque afin de leur expliciter cette situation. A défaut d’une réponse favorable, vous pouvez saisir le médiateur de la banque.

        Meilleures salutations
        L’équipe de lafinancepourtous.com

    7. Bonjour.
      J’aurai une question : qui demande l’authentification du réglement : la banque ou le site marchand ? J’ai un problème de non demande d’authentification et ma banque et le site marchand se renvoient la balle pour la responsabilité

      1. Bonjour,
        En principe, tous les paiements en ligne doivent faire l’objet d’une authentification forte. Sauf pour les transactions de petits montants, les transactions jugées peu risquées ou les paiements réguliers, selon l’accord négocié entre le commerçant et sa banque.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

      2. Bonjour, j’ai eu le même problème que Georges lors de paiements par carte bancaire sur deux sites marchands distincts. Une fois fin 2021 et une autre fois en ce mois de janvier 2022. Pour cette dernière, l’authentification forte sur mon application mobile ne m’était pas demandée pour une commande d’un montant total de 16€. Une semaine auparavant, elle m’avait pourtant été demandée lors d’un achat de 4€ frais de port inclus chez un autre site marchand.
        Je pensais pourtant que l’authentification forte devait être systématique lors d’un achat en ligne par carte bancaire, mais ce n’est visiblement pas le cas comme me l’a confirmé ma banque en ce début 2022 dans un message de réponse laconique.

        1. Bonjour
          Il convient tout d’abord de vérifier si le site en question est installé dans un pays de l’Union Européenne. En effet, seuls ceux-ci sont tenus à recourir systématiquement à l’authentification forte. Ensuite, les achats de faibles montant (< 30 €) ne font pas systématiquement l’objet d’une authentification forte, cela peut dépendre de multiples facteurs (ex : service consommable en ligne ou livrable après encaissement). Enfin, certains marchands, chez lesquels le taux de fraude est faible, peuvent aussi être dispensés de ce type de vérification.
          Meilleures salutations
          L’équipe de lafinancepourtous.com

    8. Bonjour, que faire en cas de paiement sur un site qui demande une authentification renforcée (donc qui m’oblige à valider l’opération) et que ce site s’avère être frauduleux ? (site qui disparait après le paiement)

      Ma banque refuse tous remboursements prétextant être étrangère à un litige commercial entre moi et le commerçant.

      Cordialement

      1. Bonjour,
        Vous pouvez tenter de mettre en œuvre la procédure de rétrofacturation (chargeback) auprès de la société émettrice de votre carte bancaire (pour en savoir plus : https://www.lafinancepourtous.com/pratique/banque/moyens-de-paiement/la-carte-bancaire/remboursement-dun-achat-litigieux-par-carte-bancaire-la-retrofacturation-ou-chargeback/ ).
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    9. bonjour, depuis mon changement de carte bancaire je ne peux plus payer mes courses en lignes. j’ai pris rdv avec mon conseiller et nous avons fait le nécessaire pour la confirmation mobile. Donc tout est OK mais cela ne marche pas quand même. que faire ? Je rappelle que sinon tous mes paiements internet fonctionnent parfaitement. Cordialement

      1. Bonjour,
        Votre situation est complexe puisque vous indiquez que vous pouvez régler par carte bancaire vos achats en ligne, à l’exception d’un site commerçant. Si c’est le cas, vous devez voir sur ce site de e-commerce si vous avez ou non enregistré le numéro de votre précédente carte bancaire. Il serait alors nécessaire de mettre à jour ces coordonnées.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

      1. Bonjour,

        Vous pouvez contester le paiement frauduleux et faire opposition sur votre carte, par écrit, auprès de votre agence bancaire. Si le dispositif d’authentification forte n’a pas été demandé pour ce paiement, votre banque devra vous rembourser des sommes débitées frauduleusement. Sinon, l’utilisation frauduleuse peut rester à votre charge, dans la limite d’un plafond de 50 euros.

        Meilleures salutations

        L’équipe de lafinancepourtous.com

        1. Bonjour
          Et après contestation la banque te donne comme réponse  » non fonder  »
          Je suis dans ce même cas et j’ai perdu près de 1000 € et ma banque ne veut toujours pas me rembourser
          Qu’est ce que je fais ?

          1. Bonjour,
            Il est toujours possible pour un client de bonne foi de solliciter le médiateur de sa banque en vue d’obtenir le remboursement d’une opération, en lui communicant le dossier de réclamation refusé et en rappelant les circonstances de l’opération ainsi que les raisons précises de sa demande. Il est également possible de négocier avec l’e-marchand concerné avec le même objectif et, si celui-ci ne répond pas ou négativement, de poser un dossier de médiation – s’il est français, auprès de la FEVAD, qui regroupe cette profession.
            Meilleures salutations
            L’équipe de lafinancepourtous.com

286 commentaires

Commenter