L’authentification forte entre en fonction le 15 mai

Tous les paiements de plus de 30 euros seront vérifiés à l’aide d’au moins deux éléments d’authentification, à la mi-mai. Cette procédure, le DSP2, va hanter vos nuits et vos jours dans les prochaines semaines. Qu’est-ce que c’est encore que ça ? Suis-je concerné ? Quel est le bénéfice ? Pour qui ? Toutes les questions sont légitimes ! Vous devriez recevoir, si ce n’est déjà le cas, un courrier de votre établissement bancaire vous signalant une mise en authentification forte de vos moyens de paiement.

L’authentification forte, ou 2e directive européenne sur les services de paiement (DSP2) est exigée dorénavant pour tous les paiements électroniques en ligne. Dès septembre 2019, l’Observatoire de la sécurité des moyens de paiement (OSMP) avait publié un plan de migration pour assurer la mise en œuvre en France.

Mais quel est ce nouvel anachronisme ? Créé par la loi n° 2016-1691 du 9 décembre 2016, sous la présidence de François Hollande l’OSMP est une instance destinée à favoriser l’échange d’informations et la concertation entre toutes les parties concernées — les consommateurs, commerçants et entreprises, autorités publiques et administrations, banques et les gestionnaires de moyens de paiement — par le bon fonctionnement des moyens de paiement et la lutte contre la fraude. À ce titre, l’OSMP reprend toutes les missions précédemment dévolues à l’Observatoire de la sécurité des cartes de paiement créé en 2001, auquel il succède, sur un périmètre élargi à l’ensemble des moyens de paiement scripturaux.

À partir du 15 mai prochain, toutes les transactions en ligne de plus de 30 euros seront vérifiées à l’aide d’au moins deux éléments d’authentification sur les trois suivants : un code de saisie que seul l’utilisateur connaît, par une notification de la banque reçue sur le terminal téléphonique de l’utilisateur, ou une caractéristique personnelle de l’utilisateur (empreinte digitale, reconnaissance faciale ou reconnaissance d’iris). Selon un calendrier précis et déjà mis en place pour le mois de janvier 2020.

Les niveaux ainsi décidés s’échelonnent à partir du mois d’octobre 2020. C’est pourquoi les transactions de 2000 € non authentifiées selon le protocole DSP2 sont rejetées. Le seuil du montant de la transaction diminue pour arriver progressivement à zéro. Cela fait donc dix jours, depuis le 15 février 2021 qu’un règlement de 500 € sera rejeté le cas échéant.

Dans le rapport annuel de 2019, l’OSMP dresse le portrait des opérations de paiement scripturales (l’argent en chiffre enregistré dans les banques dans les comptes courants forme ce qu’on appelle la monnaie scripturale) réalisées par les particuliers, les entreprises et les administrations représentent en 2019 un volume de 26 milliards de transactions pour un montant total de 28 658 milliards d’euros. « Comme les années précédentes, la carte continue d’avoir la préférence des Français qui l’utilisent dans plus de la moitié des transactions scripturales en volume (55 %, contre 53 % en 2018) pour un montant total de 599 milliards d’euros en 2019 », explique la commission. Concomitant au refus rencontré de plus en plus grand du paiement par chèque. Le déclin continu du chèque, observé depuis les années 2000, s’est encore poursuivi en 2019 « tant en nombre qu’en valeur d’opérations (- 9 % dans les deux cas), avec une émission de près de 1,6 milliard de chèques en 2019, pour un montant global de 814 milliards d’euros. » Il reste cependant ancré dans les habitudes de paiement, ce pour les règlements de montants élevés. Il conserve sa troisième place des moyens de paiement le plus utilisé, avec 6 %, en valeur de transactions, derrière la carte bancaire (55 %), prélèvement (17 %), et juste devant le retrait d’espèces (5 %).

Conditions de mises en œuvre

La mise en place de telles mesures d’authentification forte est justifiée par le rapport : « En cumulant les transactions de paiement et de retrait, la carte enregistre également une hausse de ses montants de fraude en 2019 (470, contre 439 millions d’euros en 2018, soit + 7 % sur un an), et représente toujours une écrasante majorité (97 %) du nombre de transactions frauduleuses », ajuste la commission. Soit, le bénéfice est axé sur la diminution des fraudes pour le consommateur, les commerçants, et surtout les banques auprès desquelles vous devez demander le remboursement des sommes selon des critères définis. Il peut vous être demandé de supporter une partie des pertes (50 € maximum).

La note de l’observatoire de la sécurité des moyens de paiements conclut en stipulant « En parallèle, en lien avec les réseaux de paiement par carte, la Banque de France établira des lignes directrices sur les conditions de mise en œuvre de l’authentification forte pour quelques cas d’usage emblématiques (paiement one-click avec carte préenregistrée sur le site marchand, paiement effectué avec un portefeuille électronique sur lequel la carte de paiement est enregistrée, abonnements en ligne, réservation de service de type VTC, etc.) »

Une question demeure, « Quid de la sécurité des données ainsi enregistrées auprès des différents établissements bancaires ? » Que deviennent-ils, lorsque l’on change de banque ? D’autant plus qu’après la fuite des données médicales de 500 000 Français, le doute est plus que permis.