CONSEILS

Sécurité des paiementsTout savoir sur l’authentification forte

JM

par Justine Marenda

Sécurité des paiements Tout savoir sur l’authentification forte
© Dilok - stock.adobe.com

Afin de renforcer le niveau de sécurité des paiements et de lutter contre la fraude, la deuxième directive européenne sur les services de paiement (dite DSP2) oblige les banques à vérifier certaines opérations bancaires par authentification forte. Mais concrètement, qu’est-ce que c’est ? Quand s’applique-t-elle ? Qui est concerné ? Quelle conséquence lorsqu’elle n’est pas mise en œuvre ?

SOMMAIRE

Qu’est-ce que l’authentification forte ?

L’authentification forte est un dispositif permettant de vérifier votre identité au moment de valider certaines opérations bancaires. Cette vérification s’effectue au moyen de 2 éléments au moins parmi les 3 suivants :

  • un mot de passe, un code secret ou une question secrète (dits « éléments de connaissance ») ;
  • un téléphone mobile, une montre connectée ou un boîtier électronique (dits « éléments de possession ») ;
  • une empreinte digitale, la forme de l’iris ou la reconnaissance vocale (dits « éléments d’inhérence »).

Concrètement, l’authentification forte, ça ressemble à quoi ?

La solution la plus courante aujourd’hui est celle de l’application mobile de la banque. Avant de valider une opération bancaire, votre banque vous envoie une notification sur votre téléphone mobile vous invitant à vous authentifier dans l’application bancaire avant de valider l’opération.

L’authentification se fait soit en saisissant un code (celui que vous utilisez pour accéder à votre espace personnel, ou un code particulier choisi pour l’authentification), soit par votre empreinte digitale sur le capteur de votre téléphone (ou par reconnaissance faciale, avec l’appareil photo).

En l’absence de téléphone permettant d’utiliser l’application mobile de la banque, cette dernière doit vous proposer une solution alternative. Cela peut être :

  • l’envoi d’un SMS et l’utilisation d’un code personnel : un code à usage unique reçu par SMS ou service vocal ainsi que votre code personnel ou mot de passe habituel pour vos opérations en ligne ;
  • l’usage d’un dispositif physique dédié : cela peut être notamment un boîtier autonome qui génère un code à usage unique ou bien un lecteur de carte. Par exemple, au Crédit mutuel, avec le Digipass, il faut scanner le QR code affiché sur l’ordinateur, puis saisir son code sur le boîtier. Cela génère un code à 8 chiffres à usage unique, qu’il faut saisir sur l’ordinateur pour valider l’opération. La Banque populaire propose à ses clients ne disposant pas de smartphone le lecteur Pass CyberPlus.

Selon l’Observatoire de la sécurité des moyens de paiements, la banque doit proposer au moins une alternative gratuite à l’application mobile.

Comparateur

Banques

Voir le comparatif

Les banques sont-elles les seules concernées par l’authentification forte ?

Non. En plus des banques, l’ensemble des prestataires de services de paiement est concerné. Par « prestataires de service de paiement », on entend :

  • les établissements de paiement (exemples : compte Nickel, Paytop, Cashbee) ;
  • les établissements de monnaie électronique (exemples : Lydia, Lyf, les cartes UP) ;
  • les établissements de crédit (exemples : CA Consumer Finance marque Sofinco, Cofidis) ;
  • les prestataires de service d’information sur les comptes (exemples : Linox, Bankin) ;
  • les services de paiement mobile (exemples : Apple Pay, Samsung Pay, Paylib).

L’authentification forte émanant de la réglementation européenne, elle s’applique lorsque les banques ou les prestataires de service de paiement du payeur et du bénéficiaire sont situés dans l’Union européenne. La réglementation s’applique également si un seul des deux est situé en Islande, en Norvège et au Liechtenstein.

Dans quels cas l’authentification forte est-elle nécessaire ?

La réglementation impose l’authentification forte dans 3 cas :

  • l’accès à l’espace client en ligne tous les 180 jours ;
  • la plupart des opérations de paiement électronique ;
  • l’exécution d’une opération en ligne susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse (exemples : changement d’adresse, changement de numéro de téléphone lié au compte, ajout d’un bénéficiaire de virement, etc.).

Concernant l’accès à l’espace client, cette authentification forte s’ajoute à la saisie de l’identifiant et du mot de passe.

→ Lettre type : Fraude à la carte bancaire - Demande de remboursement

Quelles sont les exceptions à l’authentification forte ?

Il existe plusieurs cas dans lesquels votre banque peut ne pas exiger l’authentification forte.

Pour accéder à l’espace client

L’authentification forte est-elle requise pour chaque connexion à mon espace client en ligne de ma banque ?

Non. L’accès à l’espace en ligne doit faire l’objet d’une authentification forte (en plus de l’utilisation de l’identifiant et du mot de passe) tous les 180 jours, et non à chaque connexion. L’authentification forte n’est pas non plus nécessaire si l’espace en ligne ne permet que de consulter le solde du compte et/ou les opérations qui se sont déroulées dans les derniers 90 jours.

Pour les paiements

J’ai voulu payer 65 € de courses sans contact, mais le paiement a été refusé. Il a fallu que je tape mon code confidentiel. Est-ce normal ?

Oui. Tout d’abord, le paiement sans contact n’est possible, pour le moment, que pour les montants inférieurs ou égaux à 50 €.

Ensuite, même pour un paiement sans contact inférieur, l’authentification forte par composition du code n’est pas systématique, mais elle peut être régulièrement demandée. En effet, pour des raisons de sécurité, il est nécessaire de composer son code confidentiel lorsque l’on dépasse 5 opérations consécutives depuis la dernière authentification forte ou lorsque le montant cumulé des paiements sans composition du code confidentiel dépasse 150 €. Pour plus de sécurité, certaines banques ont abaissé ce plafond. N’hésitez pas à contacter votre banque pour le vérifier.

J’ai payé sur Internet un achat pour une valeur de 20 €. Je suis étonné de ne pas avoir eu à valider l’opération via mon application bancaire. Qu’en est-il ?

Les paiements à distance de faible valeur ne sont pas soumis à l’authentification forte. Sont concernés les paiements ne dépassant pas 30 € sous réserve que leur montant cumulé des précédentes opérations ne soit pas supérieur à 100 € ou que le nombre d’opérations consécutives sans authentification forte n’excède pas 5.

Je vais prendre un abonnement d’un an dans une salle de sport. Vais-je devoir valider les prélèvements chaque mois ?

Non, l’authentification forte n’est pas requise pour les opérations de même montant et au profit du même bénéficiaire à partir de la deuxième opération. Seule la première est soumise à l’authentification forte.

J’effectue plus ou moins régulièrement des virements à ma fille et, contrairement à un nouveau bénéficiaire, l’authentification forte de ma banque ne se déclenche pas. Est-ce normal ?

Oui, c’est uniquement l’enregistrement ou la modification du bénéficiaire qui doit faire l’objet d’une authentification forte. Les virements au profit d’un bénéficiaire de confiance préalablement enregistré en sont exemptés.

J’envisage d’ouvrir un deuxième compte dans ma banque actuelle. Devrai-je authentifier chaque virement que j’effectue d’un compte à l’autre ?

Non. Dès lors que les deux comptes à votre nom sont ouverts dans le même établissement, l’authentification forte ne sera pas requise. Ce sera uniquement le cas pour les virements effectués sur un compte ouvert auprès d’un autre établissement, même s’il est également à votre nom.

N’ayant pas de téléphone permettant d’utiliser l’application bancaire, je dispose d’un boîtier pour les paiements avec authentification forte. Aurai-je besoin de mon boîtier pour payer mon stationnement ?

Non. L’authentification forte n’est pas demandée pour payer directement en borne les frais de stationnement ou un titre de transport. Votre carte bancaire sera suffisante pour procéder au paiement.

Sur certains sites, l’authentification forte est demandée quasi systématiquement pour tout paiement, mais sur d’autres, elle n’est jamais demandée. Pourquoi ?

Les professionnels peuvent demander à être exemptés de l’authentification forte s’ils démontrent qu’il y a un faible risque de fraude. Le niveau de risque d’un paiement est évalué en fonction du taux moyen de fraude chez l’émetteur de la carte (votre banque) et chez l’acquéreur (la banque du commerçant) qui traite la transaction.

J’ai réservé sur Internet une nuit d’hôtel, mais je n’ai pas pu m’y rendre. L’hôtel m’a débité une somme pour non-présentation, sans que j’aie eu à valider ce débit par authentification forte. Est-ce normal ?

Oui. L’authentification forte doit avoir lieu lors de la réservation. En revanche, le paiement initié par le commerçant pour percevoir les frais de non-présentation (clause dite de « no-show ») est exempté d’authentification forte, cette dernière ayant déjà eu lieu lors de la réservation.

Les conséquences de l’authentification forte en cas d’opération frauduleuse

Je découvre un débit de carte bancaire frauduleux sur mon compte. L’application ne m’a jamais demandé de valider cette opération. La banque doit-elle me rembourser ?

Oui. Faute d’authentification forte, la banque doit vous rembourser immédiatement. Dans cette situation, la seule exception possible au remboursement exige que la banque prouve la fraude du client.

Signalez le plus rapidement possible, par lettre recommandée avec accusé de réception, l’opération à votre banque, au plus tard dans les 13 mois à compter du débit sur votre compte bancaire.

J’ai été victime de spoofing. L’escroc, appelant avec le numéro de téléphone de ma banque, m’a mis en confiance et j’ai validé par authentification forte des opérations sous couvert de protéger mes comptes. La banque doit-elle me rembourser ?

Oui. Les opérations non autorisées doivent par principe être remboursées immédiatement, même en cas d’authentification forte. Cependant, la banque peut refuser le remboursement si elle prouve la fraude du client ou une négligence grave de ce dernier.

Dans cette situation précise, la Cour de cassation a publié un communiqué de presse à la suite de l’arrêt du 23 octobre 2024 de la Chambre commerciale (pourvoi n23-16267). Elle considère que « le client qui se fait piéger au téléphone par un faux conseiller bancaire ne peut se voir reprocher par sa banque d’avoir commis une négligence grave. Il a donc le droit d’être remboursé par sa banque des virements frauduleux ». Le client avait été contacté par téléphone et le numéro d’appel correspondait à celui de sa conseillère bancaire.

Attention, la notion de négligence grave relève de l’appréciation souveraine des juges. La solution pourrait être différente selon les circonstances entraînant la fraude.

→ Lire aussi : Fraudes bancaires - Comment se prémunir, comment réagir

La banque tarde à me rembourser. Existe-t-il une sanction ?

Oui. En cas d’opération frauduleuse, la banque doit en principe rembourser immédiatement et au plus tard à la fin du premier jour ouvrable suivant.

En l’absence de remboursement immédiat, et faute de prouver la fraude ou une négligence grave de son client, la banque est redevable de pénalités de retard 

  • les sommes dues produisent des intérêts au taux légal majoré de 5 points ;
  • au-delà de 7 jours de retard, les sommes dues produisent des intérêts au taux légal majoré de 10 points ;
  • au-delà de 30 jours de retard, les sommes dues produisent des intérêts au taux légal majoré de 15 points.

La prochaine directive sur les services de paiements (DSP 3) est en cours d’élaboration au niveau européen. Les règles concernant la protection des consommateurs et l’authentification forte sont amenées à évoluer. Par exemple, par la clarification de l’exception de l’authentification forte pour les paiements initiés par le commerçant, la simplification de l’authentification forte pour l’accès au compte, pour éviter certaines fraudes, l’obligation de vérifier la concordance entre le nom du bénéficiaire et celui de l’IBAN pour les virements, etc.

Lire aussi

Paiements en ligne - La double authentification s’impose
Fraudes bancaires - Comment se prémunir, comment réagir
Arnaque - Comment repérer un faux conseiller bancaire
Arnaque au faux conseiller bancaire - Les banques doivent rembourser les clients piégés

JM

Justine Marenda

Soutenez-nous, rejoignez-nous

La force d'une association tient à ses adhérents ! Aujourd'hui plus que jamais, nous comptons sur votre soutien. Nous soutenir

image nous soutenir

Newsletter

Recevez gratuitement notre newsletter hebdomadaire ! Actus, tests, enquêtes réalisés par des experts. En savoir plus

image newsletter