En quoi consiste l’authentification forte ?
L’authentification forte est un dispositif de vérification d’identité destiné à renforcer la sécurité des opérations en ligne : la plupart des paiements, l’accès au compte et certaines opérations sensibles (ajout de bénéficiaire de virement, changement de coordonnées, etc.).
Pour valider l’opération et prouver que vous en êtes à l’origine, vous devez utiliser au moins 2 des 3 facteurs suivants :
Un élément de connaissance (que vous seul connaissez) : mot de passe, code secret, question secrète, etc.
Un élément de possession (que vous seul possédez) : téléphone portable, montre connectée, clé USB etc.
Un élément d'inhérence de biométrie (ce que vous êtes) : reconnaissance faciale, vocale, empreinte digitale, etc.
Il pourra, par exemple, vous être demandé de saisir votre code secret puis d’effectuer une prise d’empreinte digitale.
Attention : Si l’un des éléments nécessaires à l’authentification forte est faux, l’opération (achat par carte bancaire sur un site marchand, virement par internet…) ou la connexion à votre espace bancaire personnel ne sera pas autorisée.
Découvrez l’authentification forte en vidéo sur la chaîne Youtube de la Banque de France.
Dans quels cas s’applique l’authentification forte ?
L’authentification forte s’applique dans trois types de situation :
- La validation de la plupart des paiements en ligne (sauf exemptions prévues par les textes de loi) auprès de commerçants de l’Union Européenne ;
- L'accès à votre Espace Client (au minimum tous les 180 jours) ;
- La réalisation d’opérations en ligne dites sensibles (modification de votre adresse, du numéro de téléphone associé au compte, ajout d’un bénéficiaire de virement, commande de chéquier, etc.)
Pour en savoir plus :
L’authentification forte est-elle exigée pour toutes les connexions à l’Espace Client ?
Les banques sont-elles les seules à devoir demander l’authentification forte ?
L’authentification forte est-elle exigée pour tous les paiements ?
Les banques sont-elles les seules à devoir demander l’authentification forte ?
Non.
Tous les prestataires de services de paiement (établissements de paiement ou de monnaie électronique par exemple) doivent être en mesure de vous authentifier fortement lorsque vous réalisez une opération en ligne (sauf exclusions prévues par les textes). Cela concerne également les agrégateurs de comptes et les initiateurs de paiement, mais aussi les services de paiement mobiles proposés par votre établissement bancaire (Paylib, Apple Pay, Samsung Pay, etc.).
Pour en savoir plus :
Qu'est-ce qu'un initiateur de paiement et un agrégateur de comptes bancaires ?
Qu'est-ce qu'un portefeuille électronique ?
Quelles sont les différentes solutions d’authentification forte ?
Il existe, actuellement, trois solutions d’authentification forte :
La solution par application mobile
Si vous possédez un téléphone récent, la solution par application mobile est simple et rapide.
Vous devez télécharger l’application mobile de votre banque.
Afin d’effectuer une opération, vous recevez une notification vous invitant à vous authentifier sur l’application, soit grâce à la saisie d’un code, soit grâce à une prise d’empreinte biométrique (empreinte digitale, reconnaissance faciale ou de l’iris).
Si vous ne possédez pas un téléphone compatible ou ne souhaitez pas l’utiliser, votre banque doit vous proposer au moins une autre solution sans surcoût.
La solution par SMS et code personnel
Vous devez valider l’opération en saisissant, dans deux champs différents, un code à usage unique (reçu par SMS ou serveur vocal) et un code personnel qui est spécifique à vos opérations en ligne. Ce dernier vous a été communiqué par votre banque ou vous l’avez défini à sa demande.
La solution par appareil physique
Vous devez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.
Doit-on posséder un téléphone avec accès à internet pour bénéficier de l’authentification forte ?
Non.
Si vous ne possédez pas de téléphone avec accès à internet ou ne souhaitez pas l’utiliser pour l’authentification forte, votre banque doit vous proposer au moins une autre solution sans surcoût. Il peut s’agir de :
La solution par SMS et code personnel
Vous devrez valider l’opération en saisissant, dans deux champs différents, un code à usage unique (reçu par SMS ou serveur vocal) et un code personnel qui est spécifique à vos opérations en ligne. Ce dernier vous a été communiqué par votre banque ou vous l’avez défini à sa demande.
La solution par appareil physique
Vous devrez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.
L’authentification forte est-elle exigée pour toutes les connexions à l’Espace Client ?
Une authentification forte vous sera demandée tous les 180 jours, au minimum, pour vous connecter à votre Espace Client.
L’authentification forte n’est pas exigée pour l’accès au seul solde du compte.
Pour en savoir plus :
En quoi consiste l’authentification forte?
L’authentification forte est-elle exigée pour tous les paiements ?
L’authentification forte est exigée pour effectuer la plupart des opérations de paiement en ligne (transactions par carte bancaire, virements, etc.).
Il existe, cependant, des cas dans lesquels votre banque peut ne pas exiger l’authentification forte :
- les paiements au profit d’un bénéficiaire de confiance que vous aurez préalablement enregistré auprès d’elle. Cet enregistrement de bénéficiaire se fait, en revanche, par authentification forte ;
- les paiements récurrents de même montant et au profit du même bénéficiaire (un abonnement, un loyer, etc.), à partir de la 2ème opération. Seule la première opération sera soumise à la procédure d’authentification forte ;
- les virements entre 2 comptes ouverts à votre nom dans le même établissement ;
- les paiements de faible valeur unitaire, ne dépassant pas 30 euros, sous réserve que leur montant cumulé ne soit pas supérieur à 150 euros ou que le nombre d’opérations consécutives sans authentification forte n’excède pas 5 ;
- les paiements présentant un faible risque. Le niveau de risque d’un paiement est évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte (votre banque) et chez l’acquéreur (la banque du commerçant) qui traite la transaction ;
- les paiements initiés par le commerçant en l’absence du client. Il s’agit, par exemple, de l’échéance d’un abonnement souscrit avec une carte ou d’un service réservé sans connaissance du montant définitif de la transaction (taxi, hôtel…). En revanche, la souscription à l’abonnement doit donner lieu à une authentification forte.
Que se passe-t-il en cas d’opération frauduleuse si la banque n’a pas demandé d’authentification forte ?
Si l’opération de paiement non autorisée a été effectuée sans que la banque (ou le prestataire de services de paiement) n’ait exigé une authentification forte, le client ne supporte aucune conséquence financière et doit être remboursé. En revanche, la banque est en droit de refuser le remboursement si elle est en mesure de prouver que le client a agi frauduleusement.
En l’absence d’éléments justifiant le refus de rembourser (soupçon de fraude du porteur de la carte, preuve de la négligence grave de ce dernier, litige commercial, etc.), la banque peut se voir appliquer des pénalités de retard.
Celles-ci sont calculées, sur la base des sommes dues, au taux légal pour les particuliers majoré de 5 points. À partir du 8ème jour de retard, la majoration du taux est portée à 10 points puis à 15 points au-delà de 30 jours.
Si vous êtes victime d’une fraude à la carte bancaire, signalez-la immédiatement à votre banque et au plus tard dans un délai de 13 mois après le débit. Nous vous invitons aussi à en faire part aux forces de l'ordre via la plateforme PERCEVAL
Pour en savoir plus :
Article L. 133-18 du code monétaire et financier