Depuis le 15 mai 2021, et en application de la Directive européenne DSP2, l'authentification forte est demandée par les banques françaises pour les achats en ligne.
Face à l’explosion de la fraude (de 20 fois supérieure sur internet que dans les commerces de proximité), les émetteurs de cartes bancaires, banques, opérateurs de paiement, commerçants en ligne, etc., sont depuis le 15 mai tenus de déployer un dispositif dit "d’authentification forte" du client lors de paiements électroniques ou d’opérations bancaires sensibles.
L'authentification forte implique, lors d'achats en ligne, de valider deux éléments parmi les suivants : une information que seul le consommateur connaît (code secret, mot de passe) ; l’utilisation d’un appareil qu’il détient (téléphone, ordinateur, boîtier fourni par la banque) ; une caractéristique personnelle (empreinte digitale, reconnaissance faciale). Cela signifie que l'usage d'un seul code reçu par SMS (système 3D sécure) n'est plus suffisant pour s'authentifier lors d'un paiement en ligne ou d'une opération bancaire sensible. En pratique, le consommateur va désormais recevoir une notification l'invitant à s'authentifier sur son téléphone. Pour les personnes dépourvues de smartphone, la Fédération bancaire française (FBF) précise que les banques proposeront des solutions alternatives comme l'utilisation d'un SMS à usage unique couplé à un mot de passe connu par le client ou l'utilisation d'un dispositif physique dédié.
Depuis le début de l'année 2021, les banques françaises ont procédé à une baisse progressive du montant au-dessus duquel l'authentification forte doit s'appliquer :
Dans un souci d'éviter une application brutale, et en concertation avec les autorités, les établissements bancaires, depuis le 15 mai, mettent en oeuvre progressivement cette mesure d'authentification forte sur une durée de 4 semaines, afin de laisser un temps d'adaptation aux commerçants.
Progressivement à partir du 15 mai, et définitivement après les 4 semaines d'adaptation, les banques pourront décliner toute transaction non conforme.
Cependant, les e-commerçants peuvent demander une exemption d'authentification forte pour les transactions remplissant les conditions d'exemption définies par la Directive DSP2, à savoir soit les transactions de moins de 30 euros, soit celles jugées peu risquées par les banques et/ou le commerçant, quel que soit le montant, soit encore les opérations vers un bénéficiaire de confiance.