Mise en œuvre de la DSP2 : les changements pour les usagers bancaires et acheteurs en ligne
Les nouvelles règles de sécurité issues de la « directive révisée sur les services de paiement » DSP2 sont entrées en vigueur le samedi 14 septembre. L’objectif est à la fois de renforcer la sécurité des paiements électroniques et de libéraliser la concurrence. Pour les consommateurs, la mise en œuvre de la DSP2 entraîne certains changements en matière de services bancaires dématérialisés et de paiements en ligne ou sans contact.
Authentification forte pour la connexion aux services bancaires web ou en ligne
Les nouvelles règles vont en premier lieu contraindre les banques, les commerçants et les autres acteurs de l’écosystème des paiements à ajuster leurs systèmes d’information et leurs process. Mais les usagers bancaires et acheteurs devront également changer certaines de leurs habitudes.
Important Ceux qui privilégient leur compte en ligne pour des virements vont se soumettre à une double authentification pour se connecter à leur espace personnel sur l’interface web.
Au moins tous les 90 jours, en plus de l’identifiant et du code secret, le client doit saisir un code additionnel à usage unique. Ce code lui est envoyé par SMS, par message vocal sur sa ligne téléphonique fixe ou via l’application mobile de la banque.
Pour ceux qui préfèrent le smartphone pour accéder aux services bancaires, le changement sera limité, l’authentification forte étant généralement intégrée par défaut dans les applications.
Dans certains cas, le compte est directement lié à l’identifiant unique de l’appareil. Alternativement, l’outil se sert des données biométriques du client (empreinte digitale ou reconnaissance faciale) pour la connexion.
Je compare les offres bancaires
Des règles moins contraignantes pour les paiements sans contact que ceux en ligne
Important Les paiements effectués par carte bancaire sur les plateformes de e-commerce sont également concernés par l’authentification forte.
L’objectif est de réduire le nombre de fraudes sur ce secteur. Aussi, les informations communiquées habituellement pour régler ses achats sur Internet ne suffisent plus. En plus des données de la carte bancaire (numéro, date de validité et cryptogramme à 3 chiffres), il faut saisir un code secret sur la page web ou dans l’appli.
L’utilisateur peut néanmoins échapper à cette contrainte :
- pour des montants limités (moins de 30 euros) ou récurrents (abonnements),
- mais également pour les paiements sur le site d’un marchand affichant un taux de fraude faible ou déclaré comme fiable par le client.
S’agissant des paiements sans contact dans les magasins physiques, la DSP2 a prévu deux cas exigeant l’authentification forte afin de préserver la praticité de la méthode. L’insertion de la carte dans le terminal et la saisie du code secret sont obligatoires uniquement si le total cumulé des paiements consécutifs effectués dépasse 150 euros ou après 5 transactions consécutives depuis la dernière authentification forte.
Pour contourner ces restrictions, déjà imposées par la plupart des banques, le règlement par mobile avec authentification biométrique est une option.
Je compare les offres bancaires
Un délai supplémentaire de 3 ans pour s’adapter aux règles introduites par la DSP2
Important Pour permettre aux établissements bancaires et professionnels de la vente en ligne de s’adapter aux nouvelles règles de la DSP2, les autorités leur accordent jusqu’en 2022.
En effet, ils doivent non seulement modifier leurs systèmes, mais également informer et former leurs clients à la double authentification. Une récente étude révèle en effet que près de 60 % des Français n’en ont jamais entendu parler. Durant ces trois années, le mécanisme du code unique reçu par SMS sera maintenu.
