La double authentification des achats sur Internet est désormais obligatoire pour toutes les transactions de plus de 30 euros. Les établissements bancaires ont un mois pour se mettre au diapason.
Les consommateurs vont devoir s’habituer à mémoriser ou conserver en lieu sûr davantage de mots de passe. Car depuis samedi 15 mai, la grande majorité de leurs achats réalisés en ligne doivent répondre à une nouvelle norme de sécurité imposée par la directive européenne relative aux services de paiements (DSP2).
Transposée progressivement par paliers depuis plusieurs mois, cette exigence impose aux transactions sur Internet une double authentification. Celle-ci est désormais imposée à tous les achats de plus de 30 euros, après avoir été rendue obligatoire pour les opérations de plus de 2.000€ (octobre 2020), de 1.000€ (5 janvier 2021), de 500€ (15 février), de 250€, puis de 100€ (15 avril).
Opérations sensibles et exceptions
La double authentification sera aussi effective pour les opérations bancaires "sensibles", telles que les virements, les changements de code de carte bleue ou l’ajout d’un bénéficiaire pour les virements.
Elle sera en revanche exemptée pour des paiements considérés au contraire comme peu risqués, même lorsqu'ils dépassent les 30€, tels que des abonnements.
En dehors de ces rares exceptions, pour valider leurs achats, il sera désormais demandé aux consommateurs de s’authentifier par au moins deux éléments : un mot de passe, l’utilisation d’un terminal personnel (smartphone, PC…) ou un élément biométrique (empreinte digitale, reconnaissance faciale).
Applis bancaires
Ce sont les banques qui ont la charge de déployer cette procédure via leurs applications mobiles : dans la majorité des cas, les internautes devront confirmer leurs achats en s’y connectant depuis leur téléphone. Une méthode que la plupart des réseaux bancaires ont déjà mis en place depuis plusieurs années avec la numérisation de leurs services afin de renforcer la sécurité de leurs opérations.
En revanche, certains établissements ne proposeraient pas encore de solution alternative pour les clients ne possédant pas de smartphone (comme l’utilisation d’un SMS à usage unique associé à un code personnel par exemple). Elle est pourtant obligatoire, et pour cause : le taux d’équipement de smartphone au sein de la catégorie de population âgée reste encore faible.
D’après des données Statista de 2019, 95% à 98% de la population française des 18-39 ans détient un smartphone, mais le taux d’équipement descend déjà à 80% chez les 40-59 ans, à 62% chez les 60-69 ans, et tombe surtout à 44% pour les 70 ans et plus.
Les banques ont encore un peu moins d’un mois pour se mettre au diapason : le législateur a accordé quatre semaines à compter du 15 mai pour déployer leur système complet de double authentification.
