Mars 2021 : d’ici 6 mois, de nouvelles règles destinées à sécuriser vos paiements par carte bancaire sur internet seront mises en place. À quoi vont-elles ressembler ?

C’était il y a un an, presque jour pour jour : le samedi 14 septembre 2019 entrait officiellement en vigueur une série de nouvelles règles techniques destinées à améliorer la sécurité de vos comptes bancaires, mais aussi de vos achats sur internet face aux risques croissants liés à la cybercriminalité. Des règles issues d’un texte européen, la « directive révisée sur les services de paiement », ou DSP2.

Au cœur de la DSP2, un concept : l’authentification forte. Soit l’usage non plus d’un facteur unique (un numéro de carte bancaire par exemple), mais d’une combinaison de facteurs pour s’assurer que la personne qui tente de se connecter à votre banque en ligne ou de payer avec votre carte est bien vous, et pas un usurpateur. Principale victime de cette nouvelle ère : le code SMS à usage unique, expédié au moment du paiement en ligne. Bien pratique, mais pas suffisamment sûr selon les critères de la DSP2.

Une montée en charge progressive

Pourtant, vous l’aurez sans doute remarqué si vous achetez en ligne : un an plus tard, le code SMS est toujours là. C’est normal : l’écosystème du commerce en ligne - les commerçants, les prestataires de services de paiement, les banques - a obtenu un délai des pouvoirs publics pour mettre en œuvre les nouvelles règles. Plus précisément, il a obtenu l’autorisation d’effectuer une montée en charge progressive. Objectif : éviter une explosion des échecs de paiement et donc un manque à gagner.

L’échéance, toutefois, approche. La date limite pour généraliser l’authentification forte est en effet fixée à mars 2021. À six mois du terme, où en sommes-nous ? Que sait-on de la manière dont les parcours d’achats vont évoluer ? Faisons le point.

Qu’est-ce qui va remplacer le code SMS ?

Pour remplacer le code SMS, les banques n’ont pas le choix : elles doivent équiper leurs clients d’une nouvelle solution d’authentification compatible avec la DSP2. Plus facile à dire qu’à faire : le code SMS a en effet l’avantage d’être quasi universel : il fonctionne aussi bien avec un vieux Nokia qu’avec un iPhone dernier cri.

Finalement, ce n’est pas une, mais des solutions que vont proposer les banques, de façon à couvrir tous les cas de figure. Dans un article publié sur son site web, la Fédération du e-commerce et de la vente à distance (Fevad) en donne le détail.

Si vous êtes équipé d’un smartphone, il vous faudra, si ce n’est déjà fait, installer l’application mobile de votre banque. Au moment de payer sur internet, vous recevrez une notification qui vous invitera à vous authentifier via cette application. Pour cela, deux solutions : la biométrie (empreinte digitale, reconnaissance faciale, reconnaissance d’iris) si votre smartphone est équipé d’un capteur ou la saisie d’un code personnel statique fourni par votre banque.

Si vous avez un vieux mobile (ou que vous ne souhaitez pas installer l’appli de votre banque), la validation de la transaction pourra se faire grâce à la combinaison de 2 codes : un code à usage unique reçu par SMS ou par message vocal, plus un code statique fourni par votre banque.

Si vous n’avez pas de mobile, mais que vous souhaitez malgré tout faire du shopping en ligne, votre banque pourra vous équiper d’un appareil dédié à l’authentification forte : un générateur de code par exemple, ou une clé USB sécurisée.

Faudra-t-il s’authentifier à chaque achat ?

Non, et heureusement pour le confort d’utilisation et la fluidité du parcours d’achat. Le site de commerce en ligne où vous faites vos emplettes sera autorisé à ne pas déclencher d’authentification forte dans certains cas de figure :

  • si le montant du paiement est inférieur à 30 euros ;
  • si vous avez désigné le site comme bénéficiaire de confiance, parce que vous avez l’habitude d’y faire des achats et que tout s’est toujours bien passé ;
  • s’il s’agit d’un paiement récurrent, pour régler par exemple un abonnement mensuel à Netflix ou à Spotify ;
  • si la transaction est considérée comme présentant peu de risques, sur la base des statistiques globales du e-commerçant.

Quand est-ce que le code SMS va vraiment être mis au rancart ?

Selon la Fevad, l’équipement des porteurs de cartes avec les nouvelles solutions de paiement va s’étaler jusqu’en mars 2021, mais s’intensifier surtout à partir du début de l’année prochaine. Objectif : ne pas trop perturber les consommateurs qui vont faire leurs courses de Noël en ligne. Un enjeu d’autant plus crucial que le contexte sanitaire devrait pousser de nombreux acheteurs à privilégier le shopping numérique.

A consulter : comment obtenir une carte bancaire gratuite ?