L’authentification forte vise à vérifier que la personne qui utilise une carte de crédit en ligne est bien son propriétaire. Tout comme pour l’accès aux comptes sur Internet, il s’agit de renforcer le niveau de sécurité des paiements en ligne. La directive européenne sur la sécurité des paiements (dite DSP2), appliquée dès le 14 septembre 2019, n’est devenue « obligatoire » que depuis le 30 décembre 2020, à cause de « diverses contraintes sur les normes techniques ».
Pour authentifier un paiement, deux des trois éléments suivants doivent être réunis :
- Un mot de passe ou un code (que le propriétaire de la carte est le seul à connaître) : code à usage unique par SMS, carte bancaire à cryptogramme dynamique, saisie d’un code choisi dans l’application mobile bancaire…)
- Un téléphone mobile, une clé USB, etc.
- Une empreinte digitale ou une reconnaissance vocale ou faciale (caractéristique personnelle).
Dans la plupart des cas, l’authentification forte est exigée pour effectuer des paiements en ligne. Des exceptions sont prévues pour :
- Les opérations inférieures à 30 €
- Les paiements sans contact, qu’ils s’effectuent par carte bancaire ou par application mobile. Ils ne doivent pas excéder 50 €.
- Les abonnements et opérations récurrents d’un même montant et pour un même destinataire. La première opération sera seule soumise à l’authentification forte.
L’objectif est de faire diminuer les fraudes aux cartes bancaires en paiement à distance et de protéger les consommateurs.