Paiements en ligne : la double authentification se généralise

Paiements en ligne : la double authentification se généralise

Par Frédéric Picard et Irène Corne 

Si le taux de fraude sur les paiements sans contact diminue, celui sur les paiements à distance est en légère augmentation.

L’inquiétude que cela suscite doit toutefois être relativisée avec l’entrée en vigueur progressive de la directive sur les services de paiement (DSP2) qui oblige désormais les services de paiement à mettre en place une authentification forte afin d’améliorer la sécurité des paiements en ligne.

La fraude sur les paiements sans contact en baisse, celle sur les paiements à distance en légère augmentation

Si le recours au paiement sans contact ne cesse de croître depuis qu’il a été institué, le contexte de la pandémie de COVID-19 a largement favorisé l’emploi de ce mode de paiement. En effet, par rapport à 2019, le taux de paiements sans contact en magasin physique est passé de 33 % à 47 %. L’augmentation du plafond, passé de 30 à 50 euros le 11 mai 2020, a par ailleurs largement contribué à cette hausse. La généralisation du recours à ce mode de paiement ne va toutefois pas sans poser de difficulté puisqu’elle s’accompagne d’un risque de fraude en cas de perte ou de vol de la carte, toujours plus grand à mesure que les plafonds sont relevés.

Pour autant, le taux de fraude pour les paiements sans contact n’a jamais été aussi bas (0,013 % en 2020 contre 0.019 % en 2019). En revanche, le taux de fraude sur l’ensemble des opérations par carte bancaire a augmenté. Cette augmentation est due à la hausse du recours aux paiements à distance lors de la crise sanitaire (+ 13,5 %), qui s’est accompagnée d’une hausse du taux de fraude sur ces paiements (+ 16,4 %).

S’il convient de rester vigilant face à cette augmentation des fraudes au paiement à distance, il faut noter que l’application généralisée de la DSP2 va permettre d’améliorer ce taux.

Paiements à distance : que change la dsp2 ?

La 2e Directive sur les services de paiement est entrée en vigueur dans l’Union européenne depuis le 13 janvier 2018 et vise notamment à renforcer la sécurité des paiements en prévoyant des exigences de sécurité plus strictes pour les paiements en ligne : les prestataires de services de paiement doivent désormais prévoir une authentification forte des clients. L’authentification forte, jusqu’à lors recommandée, est donc devenue obligatoire avec la DSP2, et ce depuis le 14 septembre 2019. Afin de faciliter la transition vers une application généralisée de l’authentification forte, plusieurs étapes ont été fixées. Le plan de migration de l’Observatoire de la Sécurité des Moyens de Paiement a notamment prévu une baisse progressive du montant au-dessus duquel l’authentification forte doit être mise en place. L’étape finale, initialement prévue pour le 15 mai 2021, a été repoussée au 15 juin 2021 afin de laisser aux sites marchant le temps de s’adapter.

Cette exigence d’une authentification forte du client a été transposée à l’article L. 133-4 du Code monétaire et financier. Elle repose sur l’utilisation de deux éléments ou plus parmi les suivants :

  • Un élément que seul l’utilisateur connait (mot de passe, code)
  • Un élément que seul l’utilisateur possède (téléphone mobile…)
  • Une caractéristique personnelle de l’utilisateur (empreinte digitale, reconnaissance faciale…)

La DSP2 prévoit toutefois certaines exceptions à l’authentification forte. Les paiements à faible montant (moins de 30 euros), les opérations qui présentent un niveau de risque faible, les transactions récurrentes (tels que les abonnements), celles vers un bénéficiaire de confiance ou encore les opérations pour lesquels l’émetteur du paiement ou l’acquéreur de la carte sont basés hors Europe, ne sont pas concernés par la DSP2.

***

Fort de son expérience de plus de 25 ans en droit des nouvelles technologies, le cabinet HAAS Avocats a créé un pôle dédié à la Règlementation Financière et aux Fintech. 

Pour nous contacter, cliquez ici. 

Frédéric PICARD

Auteur Frédéric PICARD

Suivez-nous sur Linkedin