Paiement en ligne : fin de la validation par un code SMS

A l’avenir, la validation du paiement par un code SMS ne suffira plus pour sécuriser les achats en ligne supérieurs à 30 euros dans l’Union européenne. Les banques et commerçants devront mettre en place de nouvelles solutions comme la reconnaissance biométrique.
2mn de lecture
© SARINYAPINNGAM

A partir du 14 septembre, la deuxième directive européenne sur les services de paiement (dite DSP 2) entrera en vigueur dans l’Union européenne. Elle a pour objectif de renforcer la sécurité des opérations de paiement en ligne supérieurs à 30 euros en rendant obligatoire l’ « authentification forte », c’est-à-dire la double vérification de l’identité du consommateur.

Quel est le calendrier d’application en France ?

Plus de vingt pays de l’UE – dont la France, l’Allemagne et le Royaume-Uni - ont, toutefois, accordé un délai supplémentaire aux banques et commerçants pour se mettre en conformité avec la directive DSP2. Dans l’Hexagone, l’Observatoire de la sécurité des moyens de paiement, qui dépend de la Banque de France, a fixé un calendrier en deux temps :

- d’ici décembre 2020, plus des trois quarts des utilisateurs et des transactions réalisées sur Internet devront être passés à l’authentification forte

- un délai supplémentaire d’un an et demi maximum pourra être accordé pour trouver des solutions pour certaines situations spécifiques (personnes peu équipées en technologie, expatriés)

- d’ici mars 2021, les professionnels devront avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires.

Quels changements pour les consommateurs ?

A l’avenir, la validation des paiements en ligne par un code à usage unique envoyé par SMS, méthode très répandue connue sous le nom de « 3D Secure », ne suffira plus pour sécuriser les transactions. Elle devra être renforcée ou remplacée par d’autres solutions comme la reconnaissance biométrique (empreinte, reconnaissance faciale), l’émission d’un code personnel envoyé par courrier ou la connexion obligatoire à l’application mobile bancaire. L’accès aux comptes bancaires nécessitera également une authentification renforcée au minimum tous les 90 jours.

En revanche, l’authentification forte ne s’appliquera pas aux achats en ligne inférieurs à 30 euros, aux paiements aux automates de transport et de parking, aux virements entre comptes d’une même personne au sein d’une même banque ou encore aux virements vers des personnes enregistrées comme « bénéficiaires de confiance » par le client auprès de sa banque.

Quels changements pour les professionnels ?

Les banques, les opérateurs techniques du paiement et les commerçants devront se raccorder à une nouvelle version du protocole de paiement sécurisé sur Internet, 3-D Secure, qui permettra aux banques des commerçants et des clients de se connecter entre elles pour déclencher l’authentification renforcée et valider la transaction.

df
Sarah Corbeel
Publié le