Pour faire face à la fraude, les règles de sécurité encadrant vos paiements sur internet, notamment par carte bancaire, se durcissent. Quand ces nouvelles mesures vont-elles entrer en vigueur ? Qu'est-ce que ça change pour vous ? Ce qu’il faut savoir avant de faire ses courses en ligne.

Ce n’est pas un hasard si la carte bancaire est le moyen de paiement préféré des Français : elle incarne un compromis idéal entre facilité d’usage et sécurité… À une nuance près, toutefois. Lorsqu’il s’agit d’acheter sur internet, la carte bancaire, avec son numéro à rallonge, n’est pas très pratique. Elle est aussi nettement moins sûre : en 2019, le niveau de fraude était ainsi 17 fois plus élevés pour les paiements en ligne que pour les paiements en magasins physiques !

Lire aussi : Quels sont les moyens de paiement les plus fraudés ?

Réduire cet écart en sécurisant mieux les achats sur internet, c’est une des ambitions de la directive révisée sur les services de paiement (DSP2), une réglementation européenne entrée en vigueur en janvier 2018. Pour y parvenir, le texte impose l’usage de nouvelles règles de sécurité pour les paiements en ligne. Des règles qui vont s’appliquer de plus en plus fréquemment, à mesure que la date limite pour les mettre en œuvre approche. Cela n’est pas sans conséquence pour vous, les usagers, qui allez devoir prendre de nouvelles habitudes, si ce n’est déjà fait.

Quand les nouvelles règles de sécurité vont-elles s’appliquer ?

Nous sommes entrés dans la dernière ligne droite. Depuis l’entrée en vigueur de la DSP2, il y a 3 ans, les institutions européennes ont laissé du temps et de la marge aux pays membres pour opérer la transition vers les nouvelles règles. La date butoir était normalement fixée au 31 décembre 2020. La Banque de France a ajouté une phase de bilan de trois mois, jusqu’au 31 mars 2021. Puis la Covid-19 a encore changé la donne : pour compenser le retard pris à cause de la pandémie, la banque centrale a ajouté une marge de flexibilité supplémentaire de 3 mois. Les acteurs du commerce en ligne ont donc jusqu’au 30 juin 2021 dernier délai pour se mettre en conformité : au-delà de cette date, les transactions non conformes aux nouvelles normes seront systématiquement rejetées, avec les conséquences que cela pourrait avoir sur leur chiffre d’affaires.

En quoi consiste les nouvelles règles ?

Jusqu’ici, lorsque vous effectuiez un paiement par carte sur internet, deux dispositifs permettaient au commerçant de s’assurer que la carte bancaire utilisée était bien la vôtre : le cryptogramme à 3 chiffres, situé au dos de votre carte, et parfois une étape supplémentaire d’authentification, où vous deviez répondre à une question secrète ou saisir un code à usage unique reçu par SMS. Ces deux dispositifs n’ont pas été jugés assez sûrs par la DSP2, qui impose un recours à une authentification forte, plus robuste.

Votre banque vous a probablement déjà informé sur cette authentification forte, et sur les dispositifs qu’elle a mis en place pour répondre aux exigences : ils se nomment Sécuripass au Crédit Agricole, Certicode Plus à La Banque Postale, Sécur’pass à la Caisse d’Epargne, Confirmation Mobile au Crédit Mutuel… Tous fonctionnent, à peu de choses près, sur le même principe. En lieu et place du code SMS, votre banque envoie une notification sur votre mobile, que vous avez préalablement désigné comme « appareil de confiance ». Elle vous permet de vous connecter à son application et, après authentification grâce à un code secret ou au capteur biométrique intégré à votre smartphone, de confirmer que vous êtes bien à l’origine du paiement.

Attention ! Le recours à l’authentification forte va s’intensifier dans les semaines à venir, à l’approche de la date limite. Assurez-vous de bien maîtriser son usage et si ce n’est pas le cas, n’hésitez pas à vous rendre sur le site web de votre banque - toutes ont publiées des informations sur le sujet - ou à contacter un conseiller.

L’authentification forte déjà en place pour l’accès à la banque en ligne

Depuis septembre 2019, le recours à l’authentification forte, une fois au moins tous les 90 jours, est déjà obligatoire pour accéder à votre espace bancaire en ligne. Vous en avez sans doute déjà fait l’expérience, notamment si vous privilégiez l’ordinateur au mobile pour gérer vos comptes : de temps en temps, votre banque vous demande de saisir un code, en plus de votre identifiant et de votre mot de passe habituel. C’est le cas également, cette fois de manière systématique, pour certaines opérations jugées sensibles, comme l’ajout d’un bénéficiaire de virement.

Lire aussi : Compte bancaire, paiements : ce qui change pour votre sécurité

Que se passe-t-il si je ne veux (ou ne peux) pas utiliser l’application mobile de ma banque ?

Vous l’aurez compris : l’authentification forte s’appuie beaucoup sur le mobile, qui a l’avantage, pour les plus récents au moins, d’intégrer des dispositifs de sécurité - analyse de l’empreinte digitale, de la forme du visage, de l’iris - compatibles avec la DSP2. Que se passe-t-il, en revanche, si vous n’avez pas de smartphone ? Ou tout simplement si vous ne souhaitez pas installer et utiliser l’application mobile de votre banque ? Certaines enseignes ont prévu des alternatives. Le Crédit Mutuel propose par exemple à ses clients d’acheter pour 29 euros un lecteur baptisé Digipass. Il permet, au moment du paiement en ligne, de scanner un QR Code à l’écran et d’obtenir ainsi un code unique à 8 chiffres, à saisir pour authentifier l’opération.

Autre alternative : les banques peuvent continuer à envoyer à leurs clients un code à usage unique par SMS ou par serveur vocal. Ce dernier, toutefois, devra être associé à un code personnel statique fourni par la banque, qui peut être par exemple le code d’accès à son espace bancaire en ligne.

Tous les paiements en ligne sont-ils concernés ?

On le voit : le passage à l’authentification forte, si elle est de nature à faire baisser la fraude sur les paiements en ligne, complique aussi potentiellement les parcours d’achat. Une des inquiétudes des e-commerçants, qui explique en partie leur lenteur dans la transition, est ainsi de voir exploser les abandons de panier d’achat. C’est pourquoi la réglementation les autorise, dans certains cas précis jugés peu risqués, à autoriser des paiements sans authentification forte.

Voici la liste de ces exemptions. Elle inclut :

  • les paiements de moins de 30 euros ;
  • les paiements vers un « bénéficiaire de confiance », c’est-à-dire vers un e-commerçant que vous avez expressément désigné comme digne de confiance ;
  • les paiements récurrents, par exemple pour régler un abonnement ;
  • les transactions présentant un niveau de risque faible, au regard de l’historique du commerçant.

Bon à savoir : où et comment obtenir une carte bancaire gratuite pour payer en ligne ?