UFC-Que Choisir de Côte d'Or

Banque & Crédits

La sécurité renforcée des moyens de paiements repoussée en France à 2022

L’Europe veut rendre le commerce électronique plus sûr et lutter contre la fraude à la carte bancaire. La preuve avec la 2ème directive sur les services de paiement, qui impose aux Etats membres de l’UE une sécurisation renforcée des moyens de paiement et des accès aux comptes en ligne par le système de « l’authentification forte du client ». Cette mesure qui devait entrer en vigueur le 14 septembre 2019 dans tous les pays européens ne verra pas le jour avant 2022 en France, afin de laisser le temps aux banques et cybermarchands de se mettre en conformité. Dommage car l’observatoire de la sécurité des moyens de paiement nous apprend que la fraude bancaire a dépassé le milliard d’euros en France en 2018. Qu’est-ce que l’authentification forte du client ? Quels changements pour les consommateurs ? Le Centre Européen des Consommateurs France, spécialiste des questions consuméristes européennes, vous explique tout.

Quelles seront les nouvelles règles pour payer en ligne ?
Jusqu’à présent, en France, le consommateur avait l’habitude de recevoir un SMS sur son téléphone pour authentifier et valider un paiement en ligne par carte. À partir du 14 septembre 2019, tous les paiements en ligne ou accès aux comptes en ligne devaient passer par une double voire une triple vérification : c’est ce qu’on appelle « l’Authentification Forte du Client ». Pour sécuriser son paiement, le consommateur doit prouver son identité et sa volonté de payer à l’aide de minimum deux de ces différents facteurs d’authentification :

  • entrer un élément dont il est seul à en avoir connaissance (mot de passe, code secret, question secrète…) ;
  • recevoir un code sur un appareil qu’il possède (téléphone, appareil connecté, carte à puce…) ;
  • prouver son identité par un élément qui le caractérise : empreinte digitale, reconnaissance faciale ou vocale…

Trois types de paiement exonérés de ces nouvelles mesures

Afin de sécuriser les paiements en ligne sans rendre la démarche d’achat trop compliquée, des dérogations ont été prévues. L’authentification forte ne sera pas obligatoire pour :

  • Les paiements de moins de 30€ ;
  • Les paiements composés de 5 transactions successives maximum ou si le montant cumulé ne dépasse pas 100€ ;
  • Les paiements vers un bénéficiaire inscrit sur une « liste de confiance » (la banque pouvant refuser de placer un bénéficiaire sur cette liste en fonction de son analyse des risques) ;
  • Les transactions entre 30 et 500€ à faible risque, c’est-à-dire si le taux de fraude calculé par la banque du bénéficiaire ou de l’émetteur est en dessous d’un certain seuil (jusqu’à 120 différentes informations comme la facture, le nom des produits achetés, l’adresse IP de l’ordinateur à partir duquel la commande a été passée, pourront être analysées pour évaluer le risque de cette transaction).

Une mesure repoussée en 2022 en France

Initialement prévue pour être mise en application dès le 14 septembre 2019 dans l’ensemble des pays de l’UE, la France, l’Allemagne, le Royaume-Uni, l’Italie et l’Espagne ont déjà annoncé qu’ils accordaient plus de temps aux banques, prestataires de paiement et cybercommerçants pour se mettre en conformité avec ces nouvelles exigences.

Ainsi, l’authentification forte ne sera pas appliquée avant 2020 au Royaume-Uni, voire 2022 en France. D’ici là, l’envoi d’un code à usage unique par SMS « 3D Secure », utilisé couramment en France reste en application. Et la prudence est de mise envers les faux e-mails ou phishing, que les consommateurs pourraient recevoir concernant la mise en place de cette nouvelle mesure : les banques ne demandent JAMAIS à leurs clients de confirmer par e-mail des données personnelles.

Source Communiqué de Presse du CECF (Centre Européen des Consommateurs France) du 12/09/2019