L’authentification forte, ou double authentification, s’impose comme un rempart incontournable contre la fraude dans le secteur bancaire. Cette exigence, imposée par la directive européenne sur les services de paiement (DSP2), vise à sécuriser les paiements en ligne et l’accès aux comptes bancaires. Toutefois, l’implémentation de cette mesure ne se fait pas sans heurts, notamment pour une partie de la population marginalisée par la fracture numérique.
Qu’est-ce que l’authentification forte ?
L’authentification forte est un mécanisme de sécurité qui requiert la confirmation de l’identité de l’utilisateur par au moins deux des trois éléments suivants :
- Quelque chose que l’utilisateur connaît : mot de passe, code PIN, ou toute information personnelle.
- Quelque chose que l’utilisateur possède : smartphone, ordinateur, montre connectée, ou un boîtier fourni par la banque.
- Quelque chose que l’utilisateur est : caractéristique biométrique telle qu’une empreinte digitale, reconnaissance faciale ou vocale.
Lors d’un paiement en ligne, par exemple, le client reçoit une notification sur un appareil préalablement identifié, souvent un smartphone, et doit alors valider l’opération par un code personnel ou une empreinte biométrique.
Les exigences légales et les coûts associés
La directive DSP2 rend l’authentification forte obligatoire pour :
- l’accès aux comptes de paiement en ligne,
- les paiements électroniques (virements, paiements par carte),
- les actions présentant un risque élevé de fraude (comme l’ajout d’un nouveau bénéficiaire pour les virements).
Certaines transactions bénéficient d’exemptions, telles que :
- les bénéficiaires de confiance,
- les opérations récurrentes,
- les paiements de faible valeur unitaire (moins de 30 euros) ou sans contact (moins de 50 euros),
- les transactions à risque limité.
Cependant, l’octroi d’une exemption reste à la discrétion de la banque, pouvant créer des disparités entre établissements.
L’impact de la fracture numérique
La généralisation de l’authentification forte pose un problème significatif pour les clients dépourvus de smartphones ou d’aisance numérique. La digitalisation des services bancaires, couplée à la fermeture progressive des agences physiques, exclut une partie de la population, notamment les seniors, des services essentiels.
Certaines banques, soucieuses de leur clientèle, proposent des alternatives :
- La Banque Postale permet la consultation des comptes via un automate en bureau de poste ou par un appel téléphonique, utilisant identifiant et mot de passe.
- Le Crédit Mutuel offre une carte de clés personnelles, permettant une authentification sans smartphone.
- Des boîtiers électroniques comme le Digipass génèrent des codes de sécurité, bien que souvent payants (environ 29 euros).
L’obligation d’offrir des alternatives
Face à cette situation, les banques ont l’obligation morale et souvent légale de fournir des solutions alternatives gratuites pour ceux qui ne possèdent pas de smartphones. Par exemple, l’utilisation d’un SMS à usage unique couplé à un mot de passe, ou un code envoyé via un téléphone fixe, sont des solutions envisageables. La Banque Postale se distingue en offrant la possibilité d’envoyer un code unique sur un téléphone fixe via un serveur vocal interactif.
En conclusion, les banques doivent assumer leurs responsabilités en matière d’inclusion numérique et veiller à ce que chaque client, indépendamment de ses compétences technologiques ou de ses équipements, puisse accéder en toute sécurité à ses services bancaires. La fracture numérique ne doit pas devenir une barrière infranchissable dans notre société de plus en plus digitalisée. Il est impératif que les établissements bancaires proposent des alternatives efficaces et accessibles pour garantir à tous un accès équitable aux services financiers.
Si une banque vous OBLIGE à utiliser son application et ne vous propose pas d’alternative, signalez le dans les commentaires !