Sommaire

  • En quoi consiste l’authentification forte des paiements ?
  • Dans quels cas s’applique l’authentification forte ?
  • Les banques sont-elles les seules à devoir demander l’authentification forte ?
  • Quelles sont les différentes solutions d’authentification forte ?
  • Doit-on posséder un téléphone avec accès à internet pour bénéficier de l’authentification forte ?
  • L’authentification forte est-elle exigée pour toutes les connexions à l’Espace Client ?
  • L’authentification forte est-elle exigée pour tous les paiements ?
  • Que se passe-t-il en cas d’opération frauduleuse si la banque n’a pas demandé d’authentification forte ?

Sécurité des paiements en ligne : qu'est-ce qui va changer ?

Sécurité des paiements en ligne | Banque de France

En quoi consiste l’authentification forte ?

L’authentification forte est un dispositif de vérification d’identité destiné à renforcer la sécurité des opérations en ligne : la plupart des paiements, l’accès au compte et certaines opérations sensibles (ajout de bénéficiaire de virement, changement de coordonnées, etc.).

Pour valider l’opération et prouver que vous en êtes à l’origine, vous devez utiliser au moins 2 des 3 facteurs suivants :

  1. Un élément de connaissance (que vous seul connaissez) : mot de passe, code secret, question secrète, etc.
  2. Un élément de possession (que vous seul possédez) : téléphone portable, montre connectée, clé USB etc.
  3. Un élément d'inhérence de biométrie (ce que vous êtes) : reconnaissance faciale, vocale, empreinte digitale, etc.

Il pourra, par exemple, vous être demandé de saisir votre code secret puis d’effectuer une prise d’empreinte digitale.

Attention

Si l’un des éléments nécessaires à l’authentification forte est faux, l’opération (achat par carte bancaire sur un site marchand, virement par internet…) ou la connexion à votre espace bancaire personnel ne sera pas autorisée.

Dans quels cas s’applique l’authentification forte ?

L’authentification forte s’applique dans trois types de situation :

  • La validation de la plupart des paiements en ligne (sauf exemptions prévues par les textes de loi) auprès de commerçants de l’Union Européenne ;
  • L'accès à votre Espace Client (au minimum tous les 180 jours) ;
  • La réalisation d’opérations en ligne dites sensibles (modification de votre adresse, du numéro de téléphone associé au compte, ajout d’un bénéficiaire de virement, commande de chéquier, etc.)

Les banques sont-elles les seules à devoir demander l’authentification forte ?

Non.

Tous les prestataires de services de paiement (établissements de paiement ou de monnaie électronique par exemple) doivent être en mesure de vous authentifier fortement lorsque vous réalisez une opération en ligne (sauf exclusions prévues par les textes). Cela concerne également les agrégateurs de comptes et les initiateurs de paiement, mais aussi les services de paiement mobiles proposés par votre établissement bancaire (Paylib, Apple Pay, Samsung Pay, etc.).

Quelles sont les différentes solutions d’authentification forte ?

Il existe, actuellement, trois solutions d’authentification forte :

  • la solution par application mobile ;
  • la solution par SMS et code personnel ;
  • la solution par appareil physique.

Les trois solutions d'authentification forte

Doit-on posséder un téléphone avec accès à internet pour bénéficier de l’authentification forte ?

Non.

Si vous ne possédez pas de téléphone avec accès à internet ou ne souhaitez pas l’utiliser pour l’authentification forte, votre banque doit vous proposer au moins une autre solution sans surcoût. Il peut s’agir de :

  • La solution par SMS et code personnel :
    • Vous devrez valider l’opération en saisissant, dans deux champs différents, un code à usage unique (reçu par SMS ou serveur vocal) et un code personnel qui est spécifique à vos opérations en ligne. Ce dernier vous a été communiqué par votre banque ou vous l’avez défini à sa demande.
  • La solution par appareil physique :
    • Vous devrez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.

L’authentification forte est-elle exigée pour toutes les connexions à l’Espace Client ?

Une authentification forte vous sera demandée tous les 180 jours, au minimum, pour vous connecter à votre Espace Client.

L’authentification forte n’est pas exigée pour l’accès au seul solde du compte.

L’authentification forte est-elle exigée pour tous les paiements ?

L’authentification forte est exigée pour effectuer la plupart des opérations de paiement en ligne (transactions par carte bancaire, virements, etc.).

Il existe, cependant, des cas dans lesquels votre banque peut ne pas exiger l’authentification forte :

  • les paiements au profit d’un bénéficiaire de confiance que vous aurez préalablement enregistré auprès d’elle. Cet enregistrement de bénéficiaire se fait, en revanche, par authentification forte ;
  • les paiements récurrents de même montant et au profit du même bénéficiaire (un abonnement, un loyer, etc.), à partir de la 2ème opération. Seule la première opération sera soumise à la procédure d’authentification forte ;
  • les virements entre 2 comptes ouverts à votre nom dans le même établissement ;
  • les paiements de faible valeur unitaire, ne dépassant pas 30 euros, sous réserve que leur montant cumulé ne soit pas supérieur à 150 euros ou que le nombre d’opérations consécutives sans authentification forte n’excède pas 5 ;
  • les paiements présentant un faible risque. Le niveau de risque d’un paiement est évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte (votre banque) et chez l’acquéreur (la banque du commerçant) qui traite la transaction ;
  • les paiements initiés par le commerçant en l’absence du client. Il s’agit, par exemple, de l’échéance d’un abonnement souscrit avec une carte ou d’un service réservé sans connaissance du montant définitif de la transaction (taxi, hôtel…). En revanche, la souscription à l’abonnement doit donner lieu à une authentification forte.

Que se passe-t-il en cas d’opération frauduleuse si la banque n’a pas demandé d’authentification forteSignaler une fraude à la carte bancaire (Perceval) (Démarche en ligne) ?

Si l’opération de paiement non autorisée a été effectuée sans que la banque (ou le prestataire de services de paiement) n’ait exigé une authentification forte, le client ne supporte aucune conséquence financière et doit être remboursé. En revanche, la banque est en droit de refuser le remboursement si elle est en mesure de prouver que le client a agi frauduleusement.

En l’absence d’éléments justifiant le refus de rembourser (soupçon de fraude du porteur de la carte, preuve de la négligence grave de ce dernier, litige commercial, etc.), la banque peut se voir appliquer des pénalités de retard.

Celles-ci sont calculées, sur la base des sommes dues, au taux légal pour les particuliers majoré de 5 points. À partir du 8ème jour de retard, la majoration du taux est portée à 10 points puis à 15 points au-delà de 30 jours.

Si vous êtes victime d’une fraude à la carte bancaire, signalez-la immédiatement à votre banque et au plus tard dans un délai de 13 mois après le débit. Nous vous invitons aussi à en faire part aux forces de l'ordre via la plateforme PERCEVAL.

Pour en savoir plus, consultez l'article L. 133-18 du Code monétaire et financier.

Mise à jour le 3 Janvier 2025