Au-delà de 30 €, le code reçu par SMS n’est désormais plus suffisant pour valider un achat en ligne. Depuis samedi 15 mai, la directive européenne relative aux services de paiement, dite DSP2, impose de nouvelles normes de sécurité pour les paiements par carte bancaire sur internet. Les banques sont désormais obligées de mettre en place une procédure d’authentification forte de leurs clients afin de mieux les protéger contre les risques de fraude lors de paiements en ligne ou d’opérations bancaires dites sensibles.
En quoi consiste l’authentification forte ?
Au moment de payer sur internet, il vous sera demandé, pour vous authentifier, au moins deux éléments parmi les suivants :
- une information que vous seul connaissez (code secret, mot de passe) ;
- l’utilisation d’un appareil que vous détenez (téléphone, ordinateur, etc.)
- ou une caractéristique personnelle (empreinte digitale, reconnaissance faciale).
Si un des deux éléments est faux, le paiement ne sera pas validé. Chaque banque utilise son propre système d’authentification qui passe, le plus souvent, par le téléchargement de l’application mobile de la banque. « Pour les clients qui n'auraient pas de smartphone, les banques proposent des solutions alternatives comme l'utilisation d'un SMS à usage unique couplé à un mot de passe connu par le client, ou encore l'utilisation d'un dispositif physique dédié », précise la Fédération bancaire française dans un communiqué.
La double authentification concernera également les opérations dites « sensibles », telles que la réalisation d’un virement, la commande d’un chéquier, la modification du code PIN de votre carte bancaire ou l’ajout d’un bénéficiaire pour les virements.
A partir de quel montant ?
L’authentification forte s’applique aux achats d’un montant supérieur à 30 €. Pour éviter une application brutale et laisser un temps d’adaptation aux commerçants, les établissements bancaires ont quatre semaines pour mettre en œuvre la mesure.
La double authentification a d’abord été rendue obligatoire pour les transactions supérieures à 2 000 € en octobre 2020, puis 1 000 € depuis le 5 janvier 2021, 500 € depuis le 15 février, 250 € depuis le 15 mars et 100 € depuis 15 avril dernier.
Quelles sont les exemptions possibles ?
Les e-commerçants pourront demander une exemption d’authentification forte pour :
- les transactions de moins de 30 € ;
- les paiements jugés peu risqués, quel que soit le montant, comme les abonnements ou les opérations vers un bénéficiaire de confiance.
Le paiement par carte sur internet est sécurisé, toutefois ne communiquez pas les informations relatives à votre carte bancaire si vous n’êtes pas sûr du commerçant. Vérifiez bien son identité et ne communiquez jamais votre code confidentiel de carte à 4 chiffres. Vous pouvez utiliser votre carte bancaire classique ou une e carte bancaire si vous avez opté pour ce service.
Le numéro de la carte bancaire et les autres données à communiquer
Les données de la carte ne doivent pas être communiquées sans raison valable et sans précaution.
Pour payer un achat en ligne ou pour réserver à distance (location de voitures ou réservation d’hôtel, etc.) même par téléphone, vous devrez fournir :
• le numéro de la carte (16 chiffres sur le devant),
• sa date d’expiration,
• le cryptogramme visuel (3 derniers chiffres de la référence de votre carte au verso sur le panneau de signature).
La Commission Nationale de l’Informatique et des
libertés (CNIL) recommande aux commerçants de ne pas stocker les coordonnées bancaires de leurs clients.
Préférez la saisie du numéro à chaque paiement par carte sur Internet et faites-vous toujours confirmer le montant et la date de l’opération.
Enfin, pensez à adopter les réflexes sécurité des achats en ligne.
Transcription
Votre authentification en tant que porteur de la carte bancaire
Pour vérifier que la carte est utilisée pour un achat en ligne
par son propriétaire, de plus en plus de sites demandent de fournir un renseignement supplémentaire. Il peut être différent d’une banque à l’autre. De plus en plus, on entend parler d’authentification forte du client ou double authentification.
On peut ainsi trouver par exemple un code de sécurité à usage unique notamment :
• affiché par un petit boîtier électronique,
• affiché par un petit lecteur de carte,
• reçu par téléphone (SMS) au moment de la transaction…
Attention, il ne s’agit pas de votre code confidentiel.
Pour vous authentifier, vous êtes redirigé vers une page de votre banque afin d’y saisir ce code qu’elle contrôle. Tout refus de saisie entraîne une annulation de la transaction. A aucun moment le commerçant ne sera en possession de cette information.
Cette authentification équipera progressivement l’ensemble des porteurs de cartes bancaires, le système se met en place progressivement sur les sites Internet marchands.
Transcription
Les précautions à prendre
- Ne communiquez jamais votre code confidentiel,
- Saisissez vous-même les données de votre carte à chaque paiement : ne les enregistrez pas dans votre compte client sur le site marchand,
- Vérifiez que le site sur lequel vous payez est sécurisé (un petit cadenas apparaît en bas de page),
- Conservez toujours la confirmation du montant, de la date et la référence de l’opération.
Pour aller plus loin : Legifrance – La carte bancaire aux art. L133-1 et s. C. mon. et fin.
Clés mag
Abonnez-vous
ici pour retrouver toutes les actus et nouveautés des clés de la banque :
Vidéos, mini-guides, etc.
Merci pour votre inscription à la newsletter