Qu’est-ce que l’authentification forte ?

Afin de mieux lutter contre la fraude en ligne, les banques (et autres prestataires de services de paiement) doivent désormais recourir à un dispositif de sécurité renforcée pour authentifier leurs clients. Cette authentification forte intervient dans plusieurs cas : la plupart des paiements à distance, l’accès au compte ainsi que les opérations sensibles (ajout de bénéficiaire de virements, commande de chéquier, changement d’adresse, etc.).

Sommaire

iStock cadenas fermé posé sur des carte bancaires et un clavier

 

En quoi consiste l’authentification forte ?

L’authentification forte est un dispositif de vérification d’identité destiné à renforcer la sécurité des opérations en ligne : la plupart des paiements, l’accès au compte et certaines opérations sensibles (ajout de bénéficiaire de virement, changement d’adresse, etc.).

Pour valider l’opération et prouver que vous en êtes à l’origine, vous devez utiliser au moins 2 des 3 facteurs suivants :

- Un élément que vous seul connaissez : mot de passe, code secret, question secrète, etc.

- Un élément que vous seul possédez : téléphone portable, montre connectée, etc.

- Un élément biométrique   : reconnaissance faciale, vocale, empreinte digitale, etc.

Il pourra, par exemple, vous être demandé de saisir votre code secret puis d’effectuer une prise d’empreinte digitale.

Attention : Si l’un des éléments nécessaires à l’authentification forte est faux, l’opération (achat par carte bancaire sur un site marchand, virement par internet…) ou la connexion à votre espace bancaire personnel ne sera pas autorisée.

 

Dans quels cas s’applique l’authentification forte ?

L’authentification forte s’applique dans trois types de situation :

- La validation de la plupart des paiements en ligne auprès de commerçants de l’Union Européenne ;

- La connexion à votre Espace Client (a minima tous les 90 jours) ;

- La réalisation d’opérations en ligne dites sensibles (modification de l’adresse, ajout d’un bénéficiaire de virement, commande de chéquier, etc.)
 

Pour en savoir plus :
L’authentification forte est-elle exigée pour toutes les connexions à l’Espace Client ?
Les banques sont-elles les seules à devoir demander l’authentification forte ?
L’authentification forte est-elle exigée pour tous les paiements ?

 

Les banques sont-elles les seules à devoir demander l’authentification forte ?

Non.

Tous les prestataires de services de paiement (établissements de paiement ou de monnaie électronique par exemple) doivent demander une authentification forte lorsqu’ils vous proposent de réaliser une opération (sauf exemptions prévues par les textes).

Cela concerne également les agrégateurs de comptes et les initiateurs de paiement.
 

Pour en savoir plus :
Qu'est-ce qu'un initiateur de paiement et un agrégateur de comptes bancaires ?

 

Quelles sont les différentes solutions d’authentification forte ?

Il existe, actuellement, trois solutions d’authentification forte :

  • La solution par application mobile

Si vous possédez un téléphone récent, la solution par application mobile est simple et rapide.

Vous devez télécharger l’application mobile de votre banque.

Afin d’effectuer une opération, vous recevez une notification vous invitant à vous authentifier sur l’application, soit grâce à la saisie d’un code, soit grâce à une prise d’empreinte biométrique (empreinte digitale, reconnaissance faciale ou de l’iris).

Si vous ne possédez pas un téléphone compatible ou ne souhaitez pas l’utiliser, votre banque doit vous proposer d’autres solutions.

  • La solution par SMS et code personnel  

Vous devez valider l’opération en saisissant, dans deux champs différents, un code à usage unique (reçu par SMS ou serveur vocal) et un code « statique » qui vous a été communiqué par votre banque.

  • La solution par appareil physique  

Vous devez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.

 

Doit-on posséder un téléphone avec accès à internet pour bénéficier de l’authentification forte ?

Non.

Si vous ne possédez pas de téléphone avec accès à internet ou ne souhaitez pas l’utiliser pour l’authentification forte, votre banque doit vous proposer d’autres solutions. Il peut s’agir de  :

  • La solution par SMS et code personnel 

Vous devrez valider l’opération en saisissant, dans deux champs différents, un code à usage unique (reçu par SMS ou serveur vocal) et un code « statique » qui vous a été communiqué par votre banque.

  • La solution par appareil physique 

Vous devrez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.

 

L’authentification forte est-elle exigée pour toutes les connexions à l’Espace Client ?

Une authentification forte vous sera demandée tous les 90 jours, a minima, pour vous connecter à votre Espace Client.

L’authentification forte n’est pas exigée pour l’accès à certaines informations bancaires (solde du compte, dernières opérations).
 

Pour en savoir plus :
En quoi consiste l’authentification forte?

 

L’authentification forte est-elle exigée pour tous les paiements ?

L’authentification forte est exigée pour effectuer la plupart des opérations de paiement en ligne (transactions par carte bancaire sur un site internet, virements à distance par exemple).

Il existe, cependant, des cas dans lesquels votre banque peut ne pas exiger l’authentification forte :

  • les paiements au profit d’un bénéficiaire de confiance que vous aurez préalablement enregistré auprès d’elle. Cet enregistrement de bénéficiaire se fait, en revanche, par authentification forte ;
     
  • les paiements récurrents de même montant et au profit du même bénéficiaire (par exemple, un abonnement), à partir de la 2ème opération. Seule la première opération sera soumise à la procédure d’authentification forte ;
     
  • les virements entre 2 comptes ouverts à votre nom dans le même établissement ;
     
  • les paiements de faible valeur unitaire, ne dépassant pas 30 euros, sous réserve que leur montant cumulé ne soit pas supérieur à 100 euros ou que le nombre d’opérations consécutives sans authentification forte n’excède pas 5 ;
     
  • les paiements présentant un faible risque. Le niveau de risque d’un paiement est évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte (votre banque) et chez l’acquéreur (la banque du commerçant) qui traite la transaction.

 

Que se passe-t-il en cas d’opération frauduleuse si la banque n’a pas demandé d’authentification forte ?

Si l’opération de paiement non autorisée a été effectuée sans que la banque (ou le prestataire de services de paiement) n’ait exigé une authentification forte du client, ce dernier, hors agissement frauduleux de sa part, ne supporte aucune conséquence financière et doit être remboursé.

Si vous êtes victime d’une fraude à la carte bancaire, signalez-la immédiatement à votre banque et au plus tard dans un délai de 13 mois après le débit.
 

Pour en savoir plus :
La fraude à la carte bancaire : quelles précautions prendre et comment réagir ?

 

 

Mis à jour le : 28/05/2021 16:50