Carte bancaire : « Pourquoi je réussis parfois à payer en ligne sans valider sur mon téléphone ? »

Depuis 2021, les paiements par carte bancaire sur internet peuvent déclencher une étape supplémentaire d'authentification, souvent via l'application mobile de sa banque. Pourtant, parfois, aucune validation n'est requise. Un lecteur de MoneyVox se demande pourquoi.

Bonjour Benoît, et merci pour votre question. Vous avez raison. Désormais, au moment de valider un paiement par carte bancaire sur un site internet, il est fréquent de devoir en passer par une étape supplémentaire : la confirmation du paiement dans l'application mobile de votre banque. C'est ce que l'on appelle une authentification forte.

Plus précisément, cette nouvelle contrainte a été généralisée depuis mai 2021. Mais son origine remonte à 2018, avec l'entrée en vigueur d'un texte réglementaire européen, la directive révisée sur les services de paiement (DSP2). Son objectif : sécuriser les paiements par carte sur internet, à l'époque 17 fois plus exposé à la fraude que leur équivalent en magasin. La mesure a déjà commencé à porter ses fruits : certes, les paiements internet restent 14 fois plus exposés à la fraude, mais celle-ci n'a jamais été aussi faible qu'au 1er semestre 2023 (1).

Carte bancaire : ce qui change pour la sécurité de vos paiements

Des cas d'exemption

Voilà pour le cadre. Toutefois, comme vous avez pu le constater, Benoît, tous les paiements web ne déclenchent pas une authentification forte. Rassurez-vous, il ne s'agit ni d'un dysfonctionnement, ni d'un manquement de la part du commerçant, mais d'un cas de figure prévu par la réglementation.

La généralisation de l'authentification forte, en effet, a suscité une crainte de la part des commerçants : celle d'une hausse des échecs de paiement. Pour limiter les risques du manque à gagner, ils ont donc obtenu la possibilité de demander à la banque du client - celle qui supporte le risque de fraude - une exemption au déclenchement de l'authentification forte.

Les cas d'usage de ces exemptions, cependant, sont encadrés. Ils concernent principalement :

• les paiements de faible valeur, 30 euros maximum, à condition que le montant cumulé des dernières opérations effectuées sans exemption avec votre carte bancaire ne dépasse pas 100 euros, ou que leur nombre n'excède pas 5 ;
• les paiements présentant un faible niveau de risque. Celui-ci est apprécié en fonction du taux de fraude global affiché par votre banque sur ce type de paiement : plus il est bas, plus le montant du paiement pouvant bénéficier d'une exemption augmente. Le taux de fraude du commerçant peut également être considéré dans la décision de la banque de demander, ou non, une authentification forte ;
• les paiements effectués avec un compte client. Si vous avez l'habitude d'acheter en ligne chez un commerçant, vous avez peut-être pris le temps d'y créer un compte client. Si, au moment de vous y connecter, le commerçant vous propose une authentification forte, il peut ensuite bénéficier d'une exemption pour le paiement.

Amazon, Veepee, Netflix : que changent les nouvelles règles de paiement ?

(1) Source : Observatoire de la sécurité des moyens de paiement de la Banque de France