Carte bancaire : quand peut-on éviter l'authentification forte ?

L’authentification forte est désormais la règle pour les paiements en ligne par carte bancaire. Il existe toutefois quelques exceptions, où l’on ne vous demandera pas de confirmer votre identité avant de payer. Les voici.

C’est une bonne nouvelle pour la sécurité de nos comptes bancaires, moins pour la simplicité de nos achats sur internet. Depuis le 15 mai, les paiements en ligne par carte bancaire déclenchent presque systématiquement une authentification forte, c’est-à-dire une étape supplémentaire visant à s’assurer que la carte utilisée est bien la vôtre. Les banques françaises ont accordé aux sites marchands un délai d’un mois supplémentaire, jusqu’au 15 juin, pour s’adapter à la nouvelle règle. Mais passée cette date, on ne pourra plus y couper : en l’absence d’authentification, des paiements en ligne risquent de ne pas aboutir.

Pas tous toutefois : la directive européenne révisée sur les services de paiement (DSP2), qui impose cette évolution, prévoit des cas d’exemptions. Elle ne couvre pas, par ailleurs, l’ensemble des situations de paiement en ligne. Voici ces cas d’usage où vous n’aurez pas nécessairement besoin d’en passer par une authentification forte.

Les cas d’exemptions

Avec les nouvelles règles, ce ne sont plus les sites marchands, mais les banques des acheteurs qui ont la responsabilité de déclencher l’authentification forte. Elles peuvent toutefois s’abstenir de le faire dans 4 cas :

Pour les paiements de faible valeur, 30 euros maximum, à condition que le montant cumulé des dernières opérations effectuées sans exemption avec la carte bancaire ne dépasse pas 100 euros, ou que leur nombre n’excède pas 5.
Pour les paiements présentant un faible niveau de risque. Ce dernier est apprécié au regard du taux de fraude moyen affiché par votre banque. Si elle parvient à maintenir son taux en dessous de 0,13%, elle pourra vous exempter jusqu’à 100 euros. Pour relever ce seuil à 250 euros, le taux devra être ramené à 0,06%. Pour monter à 500 euros, il faudra atteindre un taux équivalent à celui des paiements par carte en magasin, soit 0,01%.
Pour les paiements vers un bénéficiaire de confiance. Les émetteurs de carte peuvent vous proposer de désigner une liste blanche de sites marchands qui ont votre confiance. Dans les faits, c’est compliqué à mettre en place : seuls les porteurs de cartes d’American Express profitent de cette exemption actuellement.
Pour les paiements récurrents. Si vous réglez votre abonnement Netflix ou Spotify par carte, seul le 1er paiement pourra donner lieu à une authentification forte, s’il n’entre pas dans un autre cas d’exemption. Même chose dans le cas d’un paiement en plusieurs fois ou différé.

Des paiements non concernés par les nouvelles règles

Certains paiments sont exclus du champ de la DSP2. C’est le cas :

des achats à distance effectués via un canal non électronique : par exemple lorsque le numéro de carte est transmis par téléphone ou par courriel.
des paiements effectués avec une carte bancaire prépayée anonyme.
des paiements effectués sur des sites localisés hors de l’Espace économique européen.

Un conseil donc : mieux vaut éviter de se situer dans l’un de ces cas de figure qui, en l’absence d’authentification forte, sont à haut risque.

Comment obtenir une carte bancaire 100% gratuite ?