Une nouvelle norme qui inquiète les commerçants en ligne
La généralisation progressive de l’authentification forte a été décidée dans le cadre de la deuxième Directive sur les services de paiements (DSP2). Le calendrier a été plusieurs fois modifié et l’entrée en vigueur de l’obligation de l’authentification forte, initialement prévue pour septembre 2019, a été repoussée.
Le seuil des montants soumis à la norme d’authentification forte est progressivement abaissé. En octobre 2020, il était de 2000 euros, puis il est passé à 1000 euros en janvier 2021, à 500 euros le 15 février 2021, à 250 euros le 15 mars. Depuis le 15 avril, il est fixé à 100 euros, et devrait concerner tous les achats, dès le 1er euro, à partir du 15 mai.
Les commerçants en ligne s’inquiètent d’une possible baisse de leur chiffre d’affaires, liée à un risque plus important d’échecs de paiement. D’après les chiffres de Natixis Payments, le taux d’authentification réussie chute de 10 points lors de chaque changement de norme.
La généralisation de l’authentification renforcée nécessite que toute la chaîne de paiement se mette à jour : l’acheteur, mais aussi sa banque, la banque du commerçant et le prestataire de paiement, ce qui multiplie mécaniquement le risque d’échec d’authentification.
C’est pour cette raison que la Banque de France a choisi d’opter pour une généralisation progressive, avec un objectif de pleine conformité atteint vers la mi-juin. Par ailleurs, les commerçants peuvent demander, pour certains de leurs clients, des exemptions aux banques, qui les accordent très largement.
En quoi consiste l’authentification forte ?
Depuis plusieurs semaines, seuls les paiements en ligne de plus de 250 euros étaient soumis à une authentification forte.
Ce dispositif, qui vise à renforcer la sécurité des achats sur Internet, permet de vérifier que la personne à l’origine du paiement est bien la titulaire de la carte bancaire utilisée. Il repose sur au moins 2 des 3 éléments suivants :
- La possession d’un appareil par l’acheteur : smartphone, montre connectée, carte à puce ;
- La détention d’une information seulement connue de l’acheteur : un code secret, un mot de passe ;
- Une donnée biométrique : empreinte digitale, reconnaissance faciale ou vocale par exemple.
Concrètement, pour valider son paiement, l’acheteur est le plus souvent invité à se connecter à l’application mobile de sa banque sur son smartphone, en rentrant un code ou en utilisant des données biométriques, ce qui permet de répondre aux 2 critères exigés sur les 3 existants.
L’utilisation du SMS contenant un code à usage unique, envoyé sur le smartphone de l’acheteur, n’est d’ores et déjà plus considérée comme suffisante par les autorités bancaires européennes pour lutter contre la fraude.