Depuis 2021, une loi européenne impose aux banques d’authentifier vos paiements sur Internet en vérifiant votre identité. Pourtant, beaucoup de sites ne respectent toujours pas cette procédure 3D Secure. Devez-vous pour autant fuir ces sites marchands ?

La directive européenne sur les services de paiement (DSP2) facilite depuis trois ans l’usage des moyens de paiement et renforce la sécurité des opérations de paiements des entreprises. L’outil développé pour respecter la législation nous est désormais familier : l’authentification forte. Au moment de payer votre achat sur Internet, après avoir complété les numéros de votre carte bancaire, vous devez fournir un mot de passe ou un code numérique à travers votre téléphone mobile via un SMS. La plupart du temps, les banques utilisent leur application mobile pour confirmer un paiement. Au moment de payer un achat, vous recevez une notification sur votre smartphone. Vous n’avez plus qu’à saisir le mot de passe utilisé sur le site de votre banque, votre empreinte biométrique, faciale ou le son de votre voix.

Rassurez-vous, si vous ne possédez pas de smartphone, la charte du comité national des moyens de paiement impose aux banques de proposer une solution sans surcoût.

Quelques exceptions

En France, l’authentification forte est devenue obligatoire depuis le 15 mai 2021. Attention, les commerçants peuvent néanmoins demander à leur banque des exemptions dans les cas suivants :

- Paiements de faible valeur, 30 euros maximum, à condition que le montant cumulé des dernières opérations effectuées sans exemption ne dépasse pas 100 euros. Impossible de réaliser plus de cinq opérations de ce type dans un temps restreint.

- Achats de plus de 30 € jugés peu risqués. Les banques apprécient ce risque en fonction du taux de fraude moyen. Si votre banque parvient à maintenir son taux en dessous de 0,13 %, elle vous exemptera jusqu’à 100 euros d’achat sans authentification. Pour relever ce seuil à 250 euros, le taux devra être ramené à 0,06 %.

- Abonnements ou dépenses régulières sur un même site : vous recevrez une authentification forte que lors du premier paiement. Le principe équivaut en cas d’un paiement en plusieurs fois ou différé.

- Paiements effectués chez un e-commerçant que vous avez désigné comme bénéficiaire de confiance. Dans ce cas, les émetteurs de carte vous proposent de désigner une liste blanche de sites marchands.

Les paiements effectués chez un e-commerçant affichant un faible taux de fraude ou sur un site localisé hors de l’Espace économique européen peuvent également se voir exemptés. Si vous payez avec une carte bancaire prépayée anonyme, pas non plus d’authentification forte à compléter.

Pour vous assurer de la fiabilité du site marchand, vérifiez qu’il comporte un cadenas vert dans la barre du navigateur. Il indique que la connexion est sécurisée.

Les banques responsables

Cette étape du paiement permettant à l’acheteur de procéder au règlement garde ses failles, d’après une étude d’Hipay, réalisée en 2019. Ce conseil en stratégie de paiement montre que 58 % des clients ont déjà abandonné leur panier d'achats lors de la phase de paiement.

Or, cette directive européenne responsabilise les banques des acheteurs. Si vous procédez à un paiement sur un site et que votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, l’opération est réputée "non autorisée". Votre responsabilité n’est pas engagée et votre banque doit vous rembourser l’intégralité des sommes indûment débitées, confirme le Code monétaire et financier.