Les nouvelles règles pour la sécurité de votre carte bancaire

information fournie par Moneyvox •20/01/2021 à 10:34

Simple et rapide d'utilisation, la carte bancaire est le moyen de paiement privilégié par la majorité des Français pour leurs achats (Crédit photo: © joyfotoliakid - stock.adobe.com)

En 2019, par rapport aux paiements en magasin, les opérations en ligne étaient à l'origine de 17 fois plus de fraudes. Une statistique qui explique la volonté des autorités d'améliorer la sécurité de ces opérations.

Par MoneyVox,

Simple et rapide d'utilisation, la carte bancaire est le moyen de paiement privilégié par la majorité des Français pour leurs achats. Mais si celle-ci présente des avantages certains, son niveau de sécurité est parfois remis en cause, en particulier lors des paiements sur internet. En effet, les failles de sécurité engendrent un nombre important de fraudes à la carte bancaire. Piratées, celles-ci sont alors réutilisées par des tiers et les titulaires voient leurs comptes débités d'opérations qu'ils n'ont pas initiées. Heureusement, la législation est en train d'évoluer afin de renforcer le niveau de sécurité du e-commerce.

Paiements en ligne : quels sont les changements législatifs prévus ?

En matière de sécurité des opérations réalisées par carte bancaire sur internet, la DSP2, Directive révisée sur les Services de Paiements, fait figure de référence. Faisant suite à la DSP1 de 2007, cette réglementation est valable pour l'ensemble des pays de l'Union européenne. Elle introduit la notion d'authentification forte qui concerne les paiements supérieurs à 30 euros, mais également d'autres éléments qui ne sont pas directement liés à la sécurisation des paiements. On retrouve par exemple l'interdiction de la surfacturation en fonction du type de débit de la carte (immédiat ou différé), une baisse de la franchise sur les paiements frauduleux de 150 à 50 euros ou encore un droit au remboursement inconditionnel pour toutes les opérations en euros.

Qu'est-ce que l'authentification forte ?

Avant les prérogatives de la DSP2, le système d'authentification des paiements par carte bancaire sur internet était le suivant : lors de la transaction, le cryptogramme affiché au verso de la carte devait être saisi. En complément, un code à usage unique était parfois envoyé par SMS au porteur de la carte, ou, plus rarement, ce dernier devait répondre à une question secrète. Un système qui, au vu du nombre de fraudes en ligne, a rencontré ses limites.

Pour regagner la confiance des consommateurs, la directive DSP2 introduit de nouvelles mesures d'authentification forte. Les banques ont toutes déjà communiqué au sujet des dispositifs créés. Ils répondent aux noms de Sécur'Pass à la Caisse d'Epargne, Sécuripass au Crédit Agricole, Certicode Plus à la Banque Postale ou encore Confirmation Mobile au Crédit Mutuel. Finis les codes reçus par SMS : en se connectant à l'application de la banque via son Smartphone, l'utilisateur peut désigner son mobile comme « appareil de confiance ». Lors d'un paiement en ligne, une notification apparaîtra alors sur le téléphone demandant la contre-validation de l'opération. Celle-ci peut être confirmée par le moyen d'un code secret, d'un capteur d'empreinte ou de la reconnaissance faciale.

Pour les personnes qui ne possèdent pas de smartphone ou qui ne veulent pas télécharger l'application de leur banque, il est possible d'opter pour un autre système tel qu'un boîtier séparé ou une double validation via un code par SMS et un code personnel.

Quand est-ce que la DSP2 va être appliquée ?

La DSP2 est entrée en vigueur il y a déjà 3 ans, le 13 janvier 2018, mais sa mise en place effective est progressive. Le calendrier initial prévoyait une échéance au 31 décembre 2020, puis un bilan au 31 mars 2021. Néanmoins, le contexte sanitaire a obligé la Banque de France a revoir cette deadline en la repoussant de 3 mois supplémentaires, soit une fin d'application au 30 juin 2021. Cette mise en œuvre échelonnée a pour objectif de laisser le temps suffisant aux acteurs du e-commerce pour s'adapter et faire évoluer leur fonctionnement vers davantage de sécurité.

La réglementation les autorise, dans certains cas précis jugés peu risqués, à réaliser des paiements sans authentification forte : les paiements de moins de 30 euros ; les paiements vers un e-commerçant que vous avez expressément désigné comme digne de confiance ; les paiements récurrents, par exemple pour régler un abonnement ; les transactions présentant un niveau de risque faible en fonction de l'historique du commerçant.