Avec une hausse du e-commerce boostée par la crise sanitaire, la fraude à la carte bancaire n’a, hélas, pas été en reste. Mais alors que la validation d’un paiement par un code à usage unique (le 3D secure ou SMS OTP one time password) était majoritairement la règle, un nouveau système est devenu obligatoire depuis le 15 mai 2021 : l’authentification forte. Elle est issue de la directive des services de paiement dite DSP2 du 25 novembre 2015 dont l’un des objectifs est de mieux protéger les consommateurs lors d’achats en ligne.
Cette mise à jour du 3D Secure était rendue nécessaire notamment en raison d’un système parfois décrié par les consommateurs. En effet, ce dispositif n’était pas infaillible. Ainsi, ces dernières années, nous avons vu fleurir des réclamations de consommateurs nous expliquant avoir été victime d’une fraude par carte bancaire et avoir des difficultés à obtenir un remboursement de la banque en raison de la validation de l’opération par le code reçu par SMS. Or, ces derniers contestaient avoir reçu ce code et, a fortiori, avoir validé l’opération.
Sans compter que si ce système était largement répandu, certains e-commerçants ne l’avaient jamais mis en place!
Désormais, pour les opérations sensibles c’est-à-dire susceptibles de générer un risque de fraude telles que virement, paiement en ligne, ajout de bénéficiaire, connexion sur l’espace client de la banque…, l’authentification forte est requise. Le principe est donc simple : chaque opération va entraîner une vérification de son identité par la banque pour être validée. En outre, c’est la banque émettrice de la carte bancaire (celle du client) qui est à l’origine du système et non plus celle du commerçant.
L’authentification forte repose sur 3 éléments dont 2 sont obligatoires pour la validation (article L133-4 du code monétaire et financier) :
– Un élément que vous seul connaissez (mot de passe, code secret…)
– Un élément que vous seul possédez (téléphone mobile, carte bancaire…)
– Une caractéristique biométrique (empreinte digitale, reconnaissance faciale…).
Bien que la directive DSP2 ait fixé l’obligation de migrer vers l’authentification forte à compter du 15 mai 2021, les établissements bancaires ont obtenu un délai de 4 semaines supplémentaires pour se mettre en conformité. C’est donc depuis le 12 juin dernier que les banques peuvent refuser toute transaction non conforme. Cependant, toutes les opérations bancaires ne sont pas concernées, notamment celles inférieures à 30 euros (car peu risquées), les abonnements et opérations récurrentes, les bénéficiaires de confiance (via une liste blanche créée par le client)…
Rappelons que même si la directive DSP2 est entrée en vigueur par étapes et de manière progressive depuis janvier 2018, il n’en demeure pas moins que le consommateur pouvait déjà se prévaloir à cette date de certains droits. Parmi ceux-ci, l’obligation pour les banques de rembourser les transactions contestées y compris lorsqu’elles avaient été validées par le 3D secure. Force est de constater que dans la pratique, il s’est avéré malaisé de faire appliquer le texte.
C’est pourtant ce qui ressort de l’article L133-19 du code monétaire et financier qui dispose: ” V. – Sauf agissement frauduleux de sa part (qu’il appartient à la banque de démontrer), le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.
VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur”
Ce système d’authentification forte va donc davantage sécuriser le paiement en ligne et la connexion via son espace client bancaire, ce dont on ne peut que se réjouir. S’agit-il d’un système totalement infaillible pour autant ? Le doute reste permis car les escrocs rivalisent d’ingéniosité pour trouver des failles et détourner les systèmes. La vigilance du consommateur doit donc rester de mise!