Pricebank
Questions - Réponses
Questions fréquentes
Qu'est-ce que l'authentification forte ou DSP2 ?

Qu'est-ce que l'authentification forte ou DSP2 ?

Banques en ligne

Rédigé par Stéphanie LORMEAU

Publié le 23 Février 2021

La DSP2 est l’acronyme pour Directive Européenne sur les Services de Paiement. Son objectif consiste à consolider la sécurité des paiements en ligne. Cette SCA en anglais (Strong Customer Authentication) doit sécuriser la communication entre les banques et les TPP (Third Party Providers).

Tout savoir sur la réglementation DPS2

La réglementation vise aussi à renforcer les droits des consommateurs et donc à obliger l’authentification forte lors de la consultation de comptes et de réalisation d’opérations. Ce sont donc des contraintes techniques qui inquiètent les e-commerçants soucieux de réduire au maximum les points de friction sur le parcours client.

Cependant, devant les bugs lors des tests de migration en 2020, les autorités ont repoussé l’application généralisée de la DSP2 au 30 juin 2021. Observons l’impact pour les détenteurs de cartes bancaires en revenant sur les principes de cette directive européenne.

Qu’est-ce que la réglementation DSP2 ?

La DSP2 est la transposition en France de la direction européenne 2015/2366 dite des services de paiement dans le marché intérieur. Son entrée en vigueur remonte au 13 janvier 2018 mais plusieurs dispositions ne sont effectives qu’au fil des années suivantes.

Le cadre réglementaire vient encadrer et réguler l’activité de nouveaux venus dans la sphère bancaire : les tiers de paiement (ou bien appelés PSP : Prestataire de Services de Paiement). Cette deuxième directive inclut ces PSP dans l’adoption obligation du système d’authentification forte des paiements en ligne.

Qu’est-ce que l’authentification ? L’authentification concerne la procédure de vérification et de validation de l’identité d’une personne ou d’une entité, au moment d’un échange électronique, afin d’avoir le contrôle d’accès à un réseau, logiciel ou système informatique.

Qu’est-ce que l’authentification forte ?

L’authentification forte est une procédure qui renforce la sécurité des paiements en ligne ou l’accès à un espace en ligne personnel. Son objectif est d’éviter les fraudes en permettant de bien vérifier l’identité de la personne à l’initiation d’une transaction en ligne.

Le fonctionnement de l’authentification forte consiste à valider l’opération ou la connexion en combinant deux des trois éléments suivants :

  • Connaissance : une information que seule la personne connaît (code secret, mot de passe, question secrète, etc.) ;
  • Possession : un appareil que seule la personne détient (carte à puce, smartphone, montre connectée, etc.) ;
  • Inhérence : une caractéristique biométrique (reconnaissance vocale, faciale ou empreinte digitale).

Cette réglementation rend caduque le système 3D-Secure qui fonctionne uniquement par l’envoi d’un code sms. Le système est considéré comme non optimisé en matière de sécurité, d’où la volonté de rajouter une couche supplémentaire d’authentification.

Les étapes de validation d'un paiement en ligne avec authentification forte :

DSP2
DSP2
DSP2
DSP2
DSP2
DSP2
DSP2
DSP2

Qu’est-ce qu’un TPP (Third Party Providers) ?

Un Third Party Providers (ou bien en français "PSP": Prestataire de Services de Paiement) est un acteur intervenant dans le cadre d’une transaction en ligne.

On trouve deux groupes de PSP :

  • les banques qui gèrent les comptes des clients ;
  • les tiers prestataires qui fournissent des services bancaires en ligne et accèdent donc aux comptes bancaires de leurs utilisateurs via des API.

La DSP2 crée deux nouveaux statuts :

  • les Prestataires de Services d’Informations sur les Comptes (PSIC) ou, en anglais Account Information Service Provider (AISP) : ce sont les agrégateurs de comptes comme Bankin, Linxo, Max, La FinBox, etc. ;
  • les Prestataires de Services d’Initiation de Paiement (PSIP) ou, en anglais, Payment Initiation Service Provider (PISP) : ce sont les services qui permettent de faire un virement sans entrer ses coordonnées bancaires comme SlimPay, Soforbanking, etc.

Quelles sont les opérations concernées par l’authentification forte ?

La DSP2 oblige à utiliser l’authentification forte pour les actions suivantes :

  • la connexion à son compte de paiement en ligne ;
  • la validation d’une transaction de paiement électronique qu’il s’agisse d’un paiement par carte ou d’un virement ;
  • l’exécution d’une tâche risquée passant par une communication à distance comme l’enregistrement d’un nouveau bénéficiaire de virement sur son compte en banque.

Quelles sont les opérations non soumises à la DSP2 ?

Parmi les opérations qui ne tombent pas sous le joug de la DSP2, on peut mentionner :

  • les paiements à distance inférieurs à 30 euros (jusqu’à 100 euros de paiement cumulé ou cinq opérations sans authentification forte) ;
  • les paiements sans contact inférieurs à 50 euros (jusqu’à 150 euros de paiement cumulé ou cinq opérations sans authentification forte) ;
  • les paiements initiés en direction d’un tiers de confiance expressément signalé comme tel par l’initiateur de la transaction (liste blanche) ;
  • les paiements récurrents type abonnements ou loyer ;
  • les opérations affichant un niveau de risque peu élevé par rapport à l’activité enregistrée par tel commerçant ;
  • la consultation d’un compte courant à condition que la procédure d’authentification forte ait été réalisée dans les 90 jours ;
  • les paiements au parking et aux barrières de péage d’autoroutes ;
  • les virements entre deux comptes d’une même personne hébergés dans un même établissement bancaire ;
  • les transactions MOTO (Mail Orders et telephone Orders) qui ne sont pas qualifiées comme des paiements électroniques ;
  • les paiements par cartes d’affaires professionnelles ;
  • les opérations impliquant un émetteur ou un acheteur localisé hors Europe.

Qu’apporte la DSP2 aux droits des consommateurs ?

Le renforcement des droits des consommateurs est un autre volet de la direction européenne sur les paiements. On peut mentionner :

  • la baisse du montant de franchise à verser avant opposition (de 150 euros à 50 euros) en cas d’utilisation frauduleuse d’une carte bancaire suite à un vol ou à une perte avec validation du code confidentiel ;
  • le raccourcissement des délais de remboursement (voire leur effacement) ;
  • l’interdiction de surfacturer les paiements par carte de crédit ;

On peut également noter la possibilité de faire du cashback en magasin physique, puisque la DSP2 permet le traçage des paiements depuis l’enseigne concernée et le point de vente.

Quel est le calendrier de la DSP2 ?

L’application de la directive européenne chamboule un secteur des paiements en ligne bien rôdé. L’e-commerce est attentif à fluidifier au maximum le parcours d’achat de sa clientèle sur leur site. Or, le paiement est un moment critique où la moindre friction peut tout faire échouer. C’est ce risque encouru que dénoncent les e-commerçants avec l’application de la DSP2 qui ajoute une étape dans ce parcours. D’où une ère de transition et de test.

Toutefois, face aux doutes exprimés et aux différents bugs constatés, la Banque de France a décidé de reporter la date butoir préalablement fixée au 31 décembre 2020. Le processus a adopté une nouvelle phase de bilan d’une durée de trois mois. L’entrée en vigueur était alors établie pour le 01 avril 2021. Or, l’impact de la pandémie a changé la donne.

La Banque de France joue la carte de la compréhension et de la souplesse en reportant une fois encore au 30 juin 2021 l’application de la DSP2. Mais, au-delà, et sauf nouveau retournement de situation, les acteurs en ligne doivent se conformer. S’ils ne le font pas, les opérations sont rejetées au risque de perdre des clients en route.

Des banques déjà conformes

Les banques ont déjà mis leur dispositif en ordre de bataille et ont prévenu leurs clients de l’évolution de l’authentification des paiements en ligne. Ainsi, ces prestations sont baptisées Certicode Plus pour La Banque Postale, Sécuripass du côté du Crédit Agricole ou Confirmation Mobile chez le Crédit Mutuel.

Le principe est identique : la banque transmet une notification sur le mobile du client qui se substitue à l’ancien code SMS. Le client doit au préalable désigner son appareil comme digne de confiance.

La notification permet la connexion à l’application mobile bancaire, tandis que le code secret ou la reconnaissance biométrique (Face ID, Touch ID, etc.) sert à l’authentification. En combinant ces deux éléments, l’authentification forte est respectée et le paiement validé.

DSP2 : et si je n’ai pas de smartphone ?

Les personnes dont le téléphone mobile n’intègre pas de dispositifs biométriques d’authentification peuvent demander un boitier à connecter à leur mobile. Ce lecteur d’empreintes digitales pallie ainsi cette carence.

Et pour les personnes qui n’ont pas de mobile ou qui ne veulent pas télécharger l’application mobile de leur banque ? Les banques proposent des solutions alternatives à l’instar du Crédit Mutuel qui fournit un lecteur Digipass à partir de 29 euros (à la souscription).

Son fonctionnement est simple : afficher un code unique à huit chiffres après avoir scanné un QR Code à l’écran au moment de payer en ligne. L’utilisateur n’a plus qu’à taper le code pour authentifier et valider la transaction.

Enfin, d’autres établissements bancaires proposent comme autre solution le code SMS-OTP. Ces banques transmettent toujours un code SMS à usage unique ou par le biais d’un serveur vocal. C’est la 3D-Secure v2 qui combine le précédent code usage unique fourni avec un code fixe délivré par la banque tel que le code d’accès à l’espace personnel en ligne.

Qu’arrive-t-il en cas de fraude en l’absence d’authentification forte ?

Si le tiers de paiement ou la banque ne vérifie pas le paiement en appliquant les règles de la DSP2, la faute leur incombe. Le client n’est pas coupable en cas de fraude et de débit du compte suite à une opération non vérifiée.

Que faut-il faire ? La victime signale la fraude dès qu’il en a connaissance à sa banque ou au TPP. La personne peut le faire jusque 13 mois après la date du débit frauduleux. Le remboursement de la somme est alors immédiat.

Vous avez des questions sur la DSP2 dans votre quotidien ? Professionnel ou client, vous êtes témoin d’opérations invalidées suite à des dysfonctionnements de la procédure d’authentification forte ? Racontez-nous vos expériences ou demandez-nous des précisions !

6 commentaires sur "Qu'est-ce que l'authentification forte ou DSP2 ?"

xls56 11/01/2023 à 04h26
Bonjour, J'ai été victime d'une arnaque sur mon compte bancaire. Les escrocs ont pénétré mon compte sans que je leur ai communiqué, ni identifiant, ni mot de passe. De plus ils ont effectué 2 achats avec ma CB l'un le premier sur un faux site internet (Orange de 227.94€) remboursée par la banque et la seconde sur le site Revolut d'un montant de 1 382€, que la Caisse d'Epargne refuse de me rembourser parce que validée par une double authentification. Pourquoi une différence de traitement dès lors que la DSP2 est imposée aux banques depuis le 15 mai 2021, pour tous paiements en ligne supérieurs à 30€ ? À qui incombe la double authentification DSP2 à la banque ou au site internet ? Au plaisir de vous lire
Réponse de 11/01/2023 à 09h20

Bonjour

Depuis le 15 mai 2021, la DSP2 rend obligatoire l'« authentification forte » par les banques. Elle vise à renforcer la sécurité des paiements en ligne ainsi que l'accès aux comptes bancaires en ligne. Sur un paiement et sans DSP2, les banques rejetent toute transaction non conforme, sauf si le commerçant a bénéficié d'une exemption d'authentification forte.

Dans votre cas, la Caisse d'Épargne doit vous apporter des preuves écrites de cette authentification forte (date, heure, quel portable, par sms, via l'appli de la Caisse d'Epargne ?...). Pour plus d'accompagnement, il existe la plateforme Info Escroqueries (ministère de l'Intérieur) ouverte du lundi au vendredi, de 9h à 18h30 : 0 805 805 817 (appel et service gratuits). Ensuite, si rien ne change dans votre dossier, il est possible de faire une réclamation à votre banque pouvant déboucher jusqu'à un recours au médiateur bancaire.

Bon courage,

kikigrandmere 17/06/2021 à 08h57
as t on pensé aussi aux seniors qui ne manipulent pas facilement ces objets (d'ailleurs j'ai bien du mal à comprendre le vocabulaire) il est hors de question que j'achète un smartphone uniquement pour faire des paiements par internet. En fait je crois que c'est une magouille des banques pour ne plus rembourser les fraudes...On a inventé un système que l'on ne sait pas gérer, et voilà on en paye les conséquences.
CORALIE D 17/05/2021 à 23h56
bonjour, sur France 5 un intervenant de moneyvox a indiqué que "la banque de France a demandé que les banques proposent des solutions sans surcoût pour les utilisateurs ne disposant pas de smartphone récent pouvant télécharger l'appli bancaire" - il semble donc en effet que le coût du boitier du crédit mutuel ne soit pas "en règle" avec ce que la banque de france a demandé - pour ma part nous sommes BNP et HELLOB et quand on les appelle ils n'ont jamais entendu de solutions alternatives et nous indiquent d'acheter un smartphone récent et de télécharger leur appli et la clé digitale - pourtant sur le site moneyvox on indique des solutions alternatives pour chaque banque - alors si elles ne sont pas au courant c'est grave - il est à noter que même pour se connecter à son compte sans faire de paiement il faudra cette double authentification c'est sidérant - bonne journée
Réponse de 18/05/2021 à 16h45
Merci pour votre commentaire et vos infos. Oui, il semble normal que les banques puissent proposer à leurs clients qui ne veulent pas utiliser de smartphone, des solutions alternatives gratuites pour l'authentification forte, mais c'est pourtant loin d'être le cas dans toutes les banques... Il faudra certainement que les institutions soient plus persuasives (ou directives avec les banques) pour qu'elles obtempèrent et que les clients ne soient pas lésés.
Michel 16/05/2021 à 18h35
Bonjour, J'ai entendu dire que le coût des nouvelles mesures DSP2 ne devait pas être supporté par le client ; est-ce exact ? Car n'ayant pas de smartphone - et ne voulant pas en avoir un - le Crédit Mutuel me demande d'acheter 29 € un boîtier sur lequel il m'enverra un code ; est-ce légal ?
Réponse de 17/05/2021 à 16h44
Bonjour, après maintes recherches, nous n'avons pas réussi à confirmer ce que vous avez entendu !! Sauf erreur, aucune règle, aucun écrit n'empêche le Crédit Mutuel de facturer la solution d'authentification forte proposée à la place de son application sur Smartphone. Chaque banque doit proposer plusieurs solutions à ses clients, mais rien ne précise les contours encadrant ces solutions... Bon à savoir : l'envoi d'un code à usage unique par SMS associé à l'utilisation d'un mot de passe déterminé au préalable et identique pour chaque paiement en ligne est une autre solution autorisée par les institutions européennes. Solution à envisager et à discuter avec le Crédit Mutuel si vous ne voulez pas du boitier... Bon courage !
Pascale 21/04/2021 à 19h53
Sous couvert de "protection", il s'agit en réalité d'obliger les gens à installer Internet sur leur téléphone ou de les contraindre à en acheter un, non ?
Réponse de 22/04/2021 à 11h52
C'est vrai que cela pourrait sembler être le cas, mais les banques proposent d'autres alternatives si vous ne voulez/pouvez pas le faire avec un smartphone !
simone 24/03/2021 à 09h33
bonjour, je eu un fraude en date 24/03/2020. Est que je peux recupere mon argent ou c' est trop tard?
Réponse de 25/03/2021 à 10h55
Bonjour, non, ce n'est pas trop tard, mais ne tardez pas à le signaler, vous avez 13 mois, donc jusqu'au 23/04/2021 !!

Laisser un commentaire

Pseudo :
Commentaire :
Cet article vous a-t-il été utile ?
Pour poursuivre votre navigation :
Plan du site
Banque en ligne
Fiche banque
Épargne
Crédit
Calculatrices
Assurance
S'informer
Comparer