DSP2 et authentification forte : la réglementation qui sécurise vos paiements

La DSP2 (Directive sur les Services de Paiement 2) est une réglementation européenne votée en 2015 et entrée en vigueur en France le 13 janvier 2018. Elle succède à la DSP1 de 2007 et vise plusieurs objectifs :

• Renforcer la sécurité des paiements en ligne et lutter contre la fraude
• Protéger les données personnelles des consommateurs
• Harmoniser les règles de paiement au sein de l'Union européenne
• Favoriser l'innovation et la concurrence grâce à l'Open Banking

La mesure phare de cette directive ? L'authentification forte, qui impose aux banques et prestataires de paiement de vérifier votre identité de manière renforcée pour toutes les opérations sensibles.

Quelques années ont suffi pour faire du web et du mobile les principaux canaux de connexion avec votre banque. Très utilisés pour effectuer des virements, ces modes de contact ont fait évoluer nos habitudes bancaires et ont donc nécessité la mise en place de nouvelles mesures pour assurer plus de sécurité lors de l'accès à distance.

Avant la DSP2, un simple code reçu par SMS suffisait pour valider un paiement en ligne. Ce système, jugé insuffisamment sécurisé face à la sophistication des fraudes (phishing, SIM swapping...), a été remplacé par un dispositif plus robuste. Comment ? Avec l'authentification forte !

Désormais, la simple connaissance d'un code d'accès ne suffit plus pour accéder à votre banque en ligne. Vous devez vous authentifier et nous devons nous assurer de votre identité, avec un ou plusieurs éléments supplémentaires.

L'authentification forte (SCA – Strong Customer Authentication) repose sur la combinaison d'au moins 2 facteurs parmi les 3 catégories suivantes :

• Connaisance (ce que vous savez) : code secret, mot de passe, réponse à une question
• Possession (ce que vous possédez) : smartphone, carte bancaire, token physique
• Inhérence (ce que vous êtes) : empreinte digitale, reconnaissance faciale, reconnaissance vocale

Concrètement, voici comment cela se traduit :

• Soit un élément de possession, avec un code à usage unique envoyé sur votre téléphone préalablement sécurisé, code à ressaisir
• Soit des éléments de possession et de connaissance, en validant une notification au moyen d'un code de sécurité confirmation mobile
• Soit des éléments de possession et d'inhérence, en validant via l'empreinte digitale ou la reconnaissance faciale sur votre application bancaire

Si vous n'êtes pas à l'origine de l'opération, il vous suffit de ne pas saisir de code ou de refuser la notification.

Bon à savoir : chez Monabanq, l'authentification forte se fait principalement via notre application mobile. Vous recevez une notification à valider avec votre code de sécurité ou votre empreinte digitale. 

La DSP2 a donc décidé de renforcer la validation des opérations en y imposant l'utilisation de l'authentification forte. Toutes ces opérations sont dites sensibles, c'est-à-dire qu'elles ont une importance particulière dans la sécurité de votre compte :

• L'accès au compte en ligne (au moins tous les 180 jours)
• Ajout d'un bénéficiaire de virement
• Modification des données personnelles
• Enregistrement de RIB d'un compte externe
• Réalisation d'un virement vers un nouveau bénéficiaire
• Commande d'une nouvelle carte bancaire
• Modification des plafonds de paiement ou de retrait

Ces mesures vous protègent contre les tentatives de fraude : même si un escroc obtient vos identifiants de connexion, il ne pourra pas effectuer d'opérations sensibles sans accès à votre deuxième facteur d'authentification (votre smartphone par exemple).

Tous les terminaux de paiement devront à terme activer le 3D Secure, et chaque paiement en ligne devra voir son niveau de sécurité renforcé avec une authentification forte.

Le 3D Secure 2 (ou 3DS2) est le protocole qui met en oeuvre l'authentification forte pour les achats en ligne. Développé par Visa et Mastercard, il a remplacé l'ancienne version qui se limitait à un code SMS.

Comment ça marche ?

1. Vous effectuez un achat en ligne et saisissez les données de votre carte
2. Le système analyse plus de 150 données (adresses IP, géolocalisation, historiques d'achats, comportements...)
3. Si le risque est jugé faible, le paiement peut être validé sans action de votre part (paiement "frictionless")
4. Sinon, vous recevez une demande d'authentification : notification sur votre app bancaire, code SMS + code personnel, ou validation biométrique
5. Une fois l'authentification validée, le paiement est autorisé

Cette analyse en temps réel permet de détecter instantanément les anomalies suspectes et de bloquer les transactions frauduleuses avant qu'elles ne soient validées.

Pour ne pas alourdir inutilement le parcours d'achat, la DSP2 prévoit des exemptions dans certains cas :

• Paiements de faible montant : transactions inférieures à 30 € (dans la limite de 5 paiements consécutifs ou 100 € cumulés)
• Abonnements et paiements récurrents : seule la première transaction nécessite une authentification forte
• Bénéficiaires de confiance : vous pouvez ajouter des commerçants à votre "liste blanche" pour éviter l'authentification à chaque achat
• Analyse de risque favorable : si le taux de fraude du commerçant et de la banque est très bas, certaines transactions peuvent être exemptées

Ces exemptions permettent de conserver une expérience d'achat fluide tout en maintenant un haut niveau de sécurité.

Pour la DSP2, les paiements physiques en carte bancaire avec code secret sont déjà une authentification forte et ne nécessitent pas de réglementation supplémentaire. Il en va autrement pour les paiements sans contact.

Pour sécuriser les paiements, l'insertion de la carte bancaire dans le terminal sera réclamée si un nombre ou un montant de paiement dépasse le seuil autorisé de la banque.

Concrètement, vous devrez saisir votre code PIN :

• Après 5 paiements sans contact consécutifs
• Lorsque le cumul de vos paiements sans contact atteint 150 €
• Pour tout paiement supérieur à 50 €

Ces seuils peuvent varier légèrement d'une banque à l'autre. Chez Monabanq, vous pouvez consulter et gérer vos plafonds de paiement sans contact directement depuis votre espace client.

Bonne nouvelle pour les utilisateurs de paiement mobile (Apple Pay, Google Pay, Samsung Pay) : l'authentification forte est déjà intégrée au processus !

En effet, pour payer avec votre téléphone, vous devez :

• Déverrouiller votre appareil (code, empreinte ou reconnaissance faciale) = facteur de possession + connaissance ou inhérence
• Valider le paiement sur votre smartphone = facteur de possession

Cette double vérification répond aux exigences de la DSP2, ce qui explique que les paiements mobiles sont considérés comme très sécurisés.

La DSP2 n'impose pas l'utilisation d'un smartphone. Les banques doivent proposer des alternatives pour les personnes qui n'en possèdent pas :

• Code SMS + code personnel : vous recevez un code par SMS que vous devez associer à un code que vous seul connaissez
• Boîtier physique (token) : un appareil qui génère des codes à usage unique
• Validation par appel téléphonique : certaines banques proposent une authentification vocale

Si vous rencontrez des difficultés pour vous authentifier, n'hésitez pas à contacter votre banque afin de connaître les solutions adaptées à votre situation.

Au-delà de l'authentification forte, la DSP2 a également introduit l'Open Banking, qui permet à des services tiers (agrégateurs de comptes, initiateurs de paiement) d'accéder à vos données bancaires avec votre consentement.

Concrètement, cela vous permet :

• De visualiser tous vos comptes bancaires dans une seule application
• D'initier des virements depuis des applications tierces sans passer par le site de votre banque
• De bénéficier de services innovants d'analyse et de gestion de budget

Ces services sont strictement réglementés et nécessitent votre accord explicite. Vos données restent protégées et vous pouvez révoquer l'accès à tout moment.

Une nouvelle version de la directive, la DSP3, est actuellement en discussion au niveau européen. Elle devrait être adoptée courant 2025, avec une entrée en application prévue à l'horizon 2026-2027.

Les principales évolutions attendues :

• Renforcement des mesures contre la fraude, notamment les arnaques par manipulation
• Extension de l'Open Banking avec de nouvelles fonctionnalités
• Meilleure protection des consommateurs en cas de litige
• Intégration des paiements instantanés et des cryptomonnaies