La sécurité des paiements en ligne va être renforcée pour limiter la fraude bancaire
Afin de réduire la fraude et mieux protéger juridiquement les consommateurs, la DSP2 (Directive européenne sur les services de paiement 2e version) prévoit un renforcement de la sécurisation des paiements en ligne. L’envoi d’un code personnel par SMS ne sera plus suffisant et des dispositifs « d’authentification forte » devront être mis en place d’ici décembre 2020. Le point dans cet article.
Les enjeux de la DSP2
La directive européenne sur les services de paiement prévoit de renforcer l’identification des clients qui achètent en ligne via un dispositif d’authentification forte. Concrètement, elle permet de limiter la fraude en s’appuyant sur les innovations technologiques.
Avec la DSP2, les établissements bancaires deviennent responsables de l’authentification de l’acheteur, et non plus les propriétaires de sites marchands.
Enfin, les prestataires d’agrégation de comptes et les initiateurs de paiements devront désormais être agréés. La nature des services qu’ils offrent aux banques et à leurs clients ainsi que leur fonctionnement seront encadrés par la DSP2. Les consommateurs devraient donc être mieux couverts juridiquement et la concurrence entre les différents services de paiement devrait être stimulée.
La DSP2 pour les professionnels
De nouvelles mesures de sécurité entreront en vigueur ce samedi 14 septembre, mais pour éviter des perturbations du marché du e-commerce, l’ABE (Autorité bancaire européenne) a accordé aux acteurs concernés un « délai supplémentaire limité ». Ils auront jusqu’à décembre 2020 pour se mettre aux normes.
Quant aux « professionnels de la chaîne des paiements », ils auront jusqu’en mars 2021 pour se mettre en conformité avec les nouvelles normes en matière de sécurité des paiements.
L’OSMP (Observatoire de la sécurité des moyens de paiements) prévoit que « plus des trois quarts des utilisateurs et des transactions réalisées sur internet » seront soumis à l’authentification forte en fin d’année prochaine.
Pour Marc Lolivier, le directeur général de la FEVAD (Fédération du e-commerce et de la vente à distance), le passage à l’authentification forte pour les acteurs du e-commerce sera le « chantier du siècle ». Rien qu’en France, cela touche « 38 millions de Français, plus de 200 000 entreprises et plus de 50 commandes traitées à la seconde ».
Qu’est-ce que la DSP2 change pour le consommateur ?
L’envoi d’un SMS contenant un code d’authentification ne sera donc plus suffisant pour autoriser un paiement en ligne. De nouvelles mesures d’identification seront ajoutées progressivement comme la biométrie, la reconnaissance faciale, ou la connexion obligatoire à l’application mobile de la banque.
« Les achats en ligne ne seront pas touchés par la DSP2 au 14 septembre. Aucune modification ne sera faite dans les modalités de paiement des achats à distance », a déclaré Marie-Anne Barbat-Layani, la directrice générale de la FBF (Fédération bancaire française).
En revanche, la plupart des banques ont déjà prévenu leurs clients que désormais une authentification renforcée leur sera demandée pour accéder à leurs comptes en ligne tous les 90 jours.
Un dispositif d’authentification forte ne sera pas nécessaire pour les paiements d’un montant inférieur à 30 euros, pour les règlements effectués sur les distributeurs de tickets de transport ou les automates de parking. Les virements internes entre deux comptes ouverts au sein d’une même banque ou vers des bénéficiaires enregistrés seront également exempts de ce dispositif de sécurité renforcée.
L’UFC-Que Choisir appelle à la vigilance
Dans un communiqué du jeudi 12 septembre, l’association de consommateurs alerte sur le fait que le délai supplémentaire accordé aux professionnels « ne doit pas entraîner un report du droit des victimes de fraude à être remboursé immédiatement ». Les banques sont en effet tenues de rembourser automatiquement les clients victimes de fraude bancaire.
