Depuis le samedi 15 mai et dans le cadre de la directive européenne relative aux services de paiement DSP2 adoptée fin 2015, les banques françaises ont une obligation d'authentification forte pour tous les achats en ligne. Avant cette directive, l'authentification forte pour réduire le risque de fraude bancaire était seulement recommandée.
Il s'agit de la dernière étape de la migration DSP2 dont le déploiement a été progressif. La précédente échéance était le 15 avril pour les paiements en ligne supérieurs à 100 €, avant donc de concerner désormais toutes les transactions.
Toutefois, la mesure d'authentification forte profite encore d'un délai d'adaptation de quatre semaines pour les commerçants. Une fois ce délai expiré, les établissements bancaires pourront refuser toute transaction considérée non conforme.
Pour certaines transactions de moins de 30 € ou des transactions jugées peu risquées (paiement récurrent comme un abonnement par exemple), il peut en outre exister une dispense à l'authentification forte.
L'authentification forte - ou parfois appelée authentification à deux facteurs - repose sur un minimum de deux facteurs d'identification comme le rappelle le site Cybermalveillance.gouv.fr. En l'occurrence, une information que seul l'utilisateur connaît (code secret ou mot de passe), un appareil détenu par l'utilisateur (smartphone, ordinateur...), un système de reconnaissance propre à l'utilisateur (biométrie notamment).
L’authentificat° forte implique, pr les achats online, de valider 2éléments parmi:
— FBF (@FBFFrance) May 14, 2021
?1info que vs connaissez
?1appareil que vs détenez
?1carac. perso
?Pas de ?? les banques proposent des solut° alternatives?SMS unique+MdP/utilisat° d’1dispositif dédiéhttps://t.co/Cp544YndW2
La Fédération bancaire française indique que pour les utilisateurs ne disposant pas d'un smartphone, les banques proposent des solutions alternatives comme un SMS à usage unique couplé à un mot de passe connu par le client, voire un dispositif physique dédié.
