L’authentification forte des paiements : de quoi s’agit-il ?

L’Union Européenne impose de nouvelles obligations aux banques et aux autres prestataires de services de paiement afin d’améliorer la sécurité des paiements en ligne et l’accès aux informations sur le compte. L’authentification forte des paiements, ou « Strong Customer Authentication » (SCA) en anglais, entrera en vigueur le 14 septembre 2019. Toutefois, les normes techniques étant complexes, sa mise en œuvre, en France, ne sera pas achevée avant plusieurs mois.
En quoi consiste l’authentification forte des paiements ? Dans quels cas sera-t-elle exigée ? Que se passe-t-il en cas d’opération frauduleuse si ma banque n’a pas demandé d’authentification forte ?

Sommaire

 

En quoi consiste l’authentification forte des paiements ?

L’authentification forte est un dispositif destiné à renforcer la sécurité des paiements en ligne et l’accès à un compte par Internet.

Il consiste à vérifier que vous êtes bien à l’origine du paiement par Internet ou de la connexion à votre « espace client » à l’aide d’au moins 2 des 3 éléments suivants :

  • une information que vous êtes seul(e) à connaître : mot de passe, code secret, question secrète, …
  • l’utilisation d’un appareil qui n’appartient qu’à vous : téléphone portable, carte à puce, montre connectée, …
  • une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale, …

Attention : Si l’un des éléments nécessaires à l’authentification forte est faux, l’opération (achat par carte bancaire sur un site marchand, virement par internet…) ou la connexion à votre espace bancaire personnel ne sera pas autorisée.
 

 

L’authentification forte sera-t-elle exigée pour tous les paiements ?

Dans la plupart des cas, l’authentification forte sera exigée pour effectuer des opérations en ligne (paiement par carte bancaire sur un site internet, virement à distance par exemple) ou accéder à votre espace client (consultation de vos comptes, etc.).

Il existe toutefois des exceptions, en particulier pour :

  • les opérations ne dépassant pas 30 euros, sous réserve que leur montant cumulé ne soit pas supérieur à 100 euros ou que le nombre d’opérations consécutives sans authentification forte n’excède pas 5 ;
     
  • les paiements sans contact (par carte bancaire, application téléchargée sur le téléphone, etc.) ne dépassant pas 50 euros, sous réserve que leur montant cumulé ne soit pas supérieur à 150 euros ou que le nombre d’opérations consécutives sans authentification forte ne dépasse pas  5 ;
     
  • une série de paiements récurrents pour le même montant et au profit du même bénéficiaire, à partir de la 2ème opération. Seule la première opération sera soumise à la procédure d’authentification forte ;

 

Attention : l’authentification forte peut ne pas être demandée pour les virements entre 2 comptes ouverts à votre nom dans le même établissement et  pour l’accès à certaines informations bancaires (solde du compte, dernières opérations).

À noter : de nouveaux dispositifs d’authentification renforcée viendront progressivement remplacer l’utilisation d’un code reçu par SMS. Ils pourront, par exemple, reposer sur une application, pour smartphone ou carte SIM (compatible avec tous les téléphones), nécessitant la saisie d’un code secret ou la vérification d’une donnée biométrique (empreinte digitale, reconnaissance de la voix ou du visage). L’adaptation des systèmes de paiement à ces nouvelles normes de sécurité étant complexe, la généralisation de l’authentification forte n’interviendra pas avant quelques mois (d’ici décembre 2020 pour une majorité des clients).
 

Pour en savoir plus :
Que se passe-t-il en cas d’opération frauduleuse si ma banque n’a pas demandé d’authentification forte ?
 

 

Que se passe-t-il en cas d’opération frauduleuse si ma banque n’a pas demandé d’authentification forte ?

Si votre banque (ou votre prestataire de services de paiement) n’a pas vérifié votre paiement au moyen d’une authentification forte, vous n’aurez à supporter aucune conséquence financière si une opération que vous n’avez pas autorisée a été débitée sur votre compte.

Signalez sans délai l’opération non autorisée à votre banque (ou à votre prestataire de services de paiement) et au plus tard dans un délai de 13 mois après le débit. Elle doit rembourser immédiatement le montant de l’opération non autorisée et remettre votre compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.

 

Pour en savoir plus :
La fraude à la carte bancaire : quelles précautions prendre et comment réagir ?

Mis à jour le : 11/07/2019 09:41