Paiement en ligne : entrée en vigueur de nouvelles normes de sécurité

Faire du shopping sur internet devrait devenir plus sûr: de nouvelles normes de sécurité pour les paiements en ligne entrent en vigueur à partir de samedi et vont progressivement être adoptées par les commerçants.

Les émetteurs de cartes bancaires, banques, opérateurs de paiement, commerçants en ligne, etc. sont désormais tenus de déployer un dispositif dit "d'authentification forte" du client lors de paiements électroniques ou d'opérations bancaires sensibles.

Cela consiste à demander lors d'un paiement en ligne la validation par le client de deux critères de sécurité: l'usage d'un seul code reçu par SMS ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions.

À compter de samedi, "l'authentification forte est demandée par les banques françaises, en concertation avec l'écosystème des paiements, pour les achats en ligne", a indiqué la Fédération bancaire française dans un communiqué.

- Vingt fois plus de fraudes −

Concrètement, au moment de payer sur internet, le client recevra sur un téléphone préalablement identifié une notification l'invitant à s'authentifier, soit au moyen de la saisie d'un code personnel, soit par prise d'empreinte biométrique pour les mobiles équipés (empreinte digitale, reconnaissance faciale ou reconnaissance d'iris).

"Pour les clients qui n'auraient pas de smartphone, les banques proposent des solutions alternatives comme l'utilisation d'un SMS à usage unique couplé à un mot de passe connu par le client, ou encore l'utilisation d'un dispositif physique dédié", souligne la fédération bancaire.

Ce nouveau dispositif est prévu par la directive européenne dite "DSP2" visant à renforcer le niveau de sécurité des opérations de paiement sur internet en Europe, pour limiter les risques de fraude. Il survient dans le contexte particulier de la crise du Covid-19, qui s'est traduite par une explosion du commerce en ligne.

Or "le taux de fraude est vingt fois plus élevé en e-commerce (0,16% des montants) que dans les commerces de proximité", relève auprès de l'AFP Jean-Michel Chanavas, délégué général de Mercatel, une association professionnelle spécialiste des questions liées au paiement.

"Les commerçants sont tout à fait d'accord pour réduire le niveau de fraude", mais "l'enjeu était d'arriver à ce que les outils soient là", ajoute-t-il, se disant notamment vigilant quant aux "achats sur mobiles, où les taux d'échecs sont plus importants et où il reste encore des problèmes à résoudre".

- Mise en œuvre progressive -

"Tout ne va pas passer d'un extrême à l'autre", souligne pour sa part la fédération du e-commerce Fevad, rappelant que ces nouvelles normes de sécurité sont mises en œuvre par étapes depuis plusieurs mois. "On a beaucoup travaillé avec la Banque de France, avec les différents acteurs, les sites (internet). Tout le monde a fait en sorte que ce soit prêt."

L’authentification forte concernait déjà les montants supérieurs à 500 euros depuis le 15 février, à 250 euros depuis le 15 mars et les transactions au-delà de 100 euros depuis le 15 avril.

Certains marchands ont aussi pris de l'avance et basculé l'ensemble de leurs transactions: au total, plus de "80% des montants font d'ores et déjà l'objet d'une authentification forte", assure Jean-Michel Chanavas.

Pour les autres, "les établissements bancaires, à partir du 15 mai, mettront en œuvre progressivement cette mesure d'authentification forte sur une durée de quatre semaines, afin de laisser un temps d'adaptation aux commerçants", précise la fédération bancaire.

Ainsi, progressivement à partir de samedi, et définitivement après les quatre semaines d'adaptation, les banques pourront décliner toute transaction non conforme.

Les commerçants en ligne pourront cependant demander sous certaines conditions une exemption d'authentification forte. Par exemple sur les transactions de moins de 30 euros ou jugées peu risquées, comme des paiements réguliers pour des abonnements ou adressés à un bénéficiaire pré-autorisé par le consommateur dans son application bancaire.