Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet.
Achat sur Internet : sécurisation des paiements par carte bancaire avec 3D Secure
Lorsque les logos « Verified by Visa », « Visa Secure », « CB Paiement Sécurisé », « MasterCard SecureCode » ou « MasterCard Identify Check » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.
Étape 1 : saisie des informations bancaires
Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte,
– la date de validité de celle-ci,
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).
Étape 2 : l’authentification de la transaction
Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.
A compter du 15 mai 2021, pour les paiements dès 30 euros, cette authentification par code à usage unique reçu par SMS va être remplacée par un nouveau mode d’authentification forte, par l’intermédiaire des applications mobiles des banques accessibles depuis un smartphone, ou par une combinaison d’un code à usage unique et d’un autre procédé d’authentification du titulaire de la carte bancaire.
Évolution du système 3D Secure et du mode d’authentification
Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Puis les banques ont mis en place des systèmes basés sur un code à usage unique. Mais il est apparu que cette procédure présentait des faiblesses de sécurité. La directive européenne sur les services de paiement (DSP2) exige une « authentification forte » ou double authentification.
Comment se passe une transaction 3D Secure avec l’authentification forte ?
Un client qui souhaite acheter sur un site e-commerce va devoir suivre la procédure suivante :
1. Le client télécharge au préalable sur son téléphone l’application d’authentification de sa banque (la plupart des banques ont d’ores et déjà donné des noms commerciaux à l’authentification forte) et suit la procédure demandée.
2. Il récupère par SMS le code unique d’activation du service d’authentification forte envoyé par la banque.
3. Lors d’un paiement sur un site e-commerce, il reçoit sur son téléphone une demande d’authentification :
- soit par saisie du code personnel,
- soit par empreinte biométrique,
- soit par caractéristique personnelle.
4. Si les informations sont valides, la banque valide le paiement par une notification envoyée sur l’application.
Cette procédure d’authentification est un exemple. Elle peut légèrement différer selon le dispositif mis en place par la banque du titulaire de la carte. Pour connaître le mode d’emploi précis qui vous concerne, vous devez contacter votre banque ou consulter le site internet de votre établissement bancaire.
Les titulaires de carte bancaire qui ne disposent pas de smartphone, ou qui ne souhaitent pas installer l’application de leur banque, pourront continuer de régler par carte leurs achats en ligne. Des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boitier fourni aux clients permettant d’authentifier le paiement. Renseignez-vous auprès de votre banque.
Paiement en ligne par carte bancaire : quelques conseils pratiques
- Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
- Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet. C’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
- Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements par carte bancaire sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.
Que faire en cas d’opération frauduleuse ?
Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.
Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.
Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).
La banque doit rembourser immédiatement le montant de l’opération non autorisée et remettre le compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.
Attention aux mails frauduleux « Verified by Visa »
Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.
Bonjour,
Il est scandaleux d’obliger les gens à avoir un téléphone mobile pour faire des achats sur le Net. En effet, le SecureCode fonctionnait très bien avec serveur vocal vers un téléphone fixe. Du jour au lendemain, sans aucune information, on passe au tout « téléphone mobile ». Y aurait-il une loi qui oblige les individus à avoir un mobile ? j’en doute fort. Ce choix bancaire est une discrimination de moyen et devrait faire l’objet d’une levée de bouclier des services de protection des consommateurs. Merci
Bonjour,
Nous vous conseillons de prendre l’attache de votre conseiller qui pourra vous en dire plus sur ce point.
Meilleures salutations
L’Equipe de Lafinancepourtous.com
Bonjour j’ai changé de numéro de téléphone pour commander sur internet je doid le faire auprès de ma banque postale par téléphone ou me déplacer pour recevoir un code pour finaliser la commande ? ?? Merci
Bonjour,
A vous lire, on peut penser que le problème vienne de votre opérateur de téléphonie. Par ailleurs, les services de paiement de VISA fonctionnent sans interruption.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
J’ai réservé des billets SNCF ! Mais au moment de payer par ma carte VISA de la Société Générale, le paiement est refusé, car « Sécurité 3D ».. On me demande d’envoyer un SMS par mon téléphone mobile!.. Je suis la procédure : (Toutes mes coordonnées : jour de naissance, mois, année etc.). Ce que j’ai déjà fait dans un proche passé !… Mais mon SMS est refusé ? Se trouve dans le « dossier non envoyé ». Je vérifie tout le processus : il est exact! Je le renvoie une nouvelle fois, mis il est refusé! Encore une fois dans les « Dossier des non envoyés » !? La Banque VISA serait-elle totalement fermée le dimanche ???
Bonjour,
Oui, cela est possible mais à condition que de votre banque et le commerçant soient affiliés à ce procédé technique.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
Réponse à JoCol
Bonjour,
Oui, il convient d’en informer votre banque. Vous devez contester l’opération dans les plus brefs délais, et au plus tard dans un délai de 13 mois à partir de la date du débit de votre compte. Le délai de contestation est de 70 jours, porté à 120 jours par certaines banques, si la transaction litigieuse, suite au vol ou à la perte de votre carte, a été réalisée hors de l’Espace économique européen (Union européenne plus l’Islande, le Liechtenstein et la Norvège).
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
Bonjour,
Apparemment ce serait un bon procédé, mais encore mieux et (presque) parfait si on pouvait utiliser la e-carte-bleue avec le 3D Secure. Pouvez vous me dire si c’est possible ? Par avance, merci.
Cordialement
Bonjour,
Récemment j’ai voulu acheté des billets d’avion. J’ai fait une pemière commande pour laquelle je n’ai pas pu confirmer le paiement car je n’avais pas mon téléphone portable pour recevoir le code 3d secure. J’ai donc fait une autre commande quelques heures plus tard, cette fois-ci en possession de mon téléphone portable, et tout s’est passé correctement. Le problème est que quelques jours plus tard, je me suis vu débiter l’argent pour les deux commandes ! Qui est responsable dans ce cas ? L’agence de voyage, la banque, Visa …? Est-ce qu’une opposition auprès de ma banque est la meilleure solution ?
Merci de votre aide.
Johan
Bonjour,
Seul votre opérateur pourrait vous le dire. Mais, a priori, cela semble peu probable.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com