DSP2 : l'authentification forte bancaire

En bref

La DSP2 est la directive européenne qui sécurise vos paiements depuis 2018. Elle impose l'authentification forte (SCA), qui vérifie votre identité avec deux facteurs indépendants, et encadre l'open banking. Le 3D Secure applique cette règle aux achats en ligne, avec quelques exemptions pour les petits montants.

Qu'est-ce que la DSP2 et l'authentification forte

La DSP2 est la deuxième directive européenne sur les services de paiement, officiellement la directive (UE) 2015/2366. Adoptée en novembre 2015, elle est entrée en vigueur le 13 janvier 2018 et s'applique dans toute l'Union européenne. Son objectif principal est de renforcer la sécurité des paiements électroniques, de réduire la fraude et de mieux protéger les consommateurs. Pour cela, elle a introduit une obligation centrale : l'authentification forte du client, désignée par le sigle SCA (Strong Customer Authentication). Depuis la généralisation achevée en France courant 2021, la plupart de vos paiements en ligne et de vos connexions bancaires exigent une vérification renforcée de votre identité.

La DSP2 ne se limite pas à la sécurité. Elle a aussi ouvert le marché bancaire à de nouveaux acteurs, les prestataires de services de paiement tiers, en encadrant leur accès à vos comptes : c'est l'open banking. Ce guide complète notre guide de la banque en ligne et nos conseils de sécurité numérique, en expliquant ce qui change concrètement pour vous.

L'authentification forte expliquée

L'authentification forte consiste à prouver votre identité à l'aide d'au moins deux facteurs indépendants, choisis dans des catégories différentes. L'idée est simple : si l'un des facteurs est compromis, par exemple votre mot de passe volé lors d'une fuite de données, l'autre suffit à bloquer la transaction. Un fraudeur devrait donc à la fois connaître votre code et posséder votre téléphone, ce qui est nettement plus difficile.

Cette logique de double vérification rejoint celle de la double authentification que l'on retrouve sur de nombreux services, mais la DSP2 la rend obligatoire pour les opérations bancaires sensibles. Elle s'applique notamment lorsque vous accédez à votre compte en ligne, lorsque vous initiez un paiement électronique ou lorsque vous réalisez une action présentant un risque de fraude. Les banques de détail comme le Crédit Agricole, la Société Générale ou la Banque Postale ont toutes déployé ce dispositif, le plus souvent via leur application mobile.

Les trois facteurs d'authentification

La DSP2 définit précisément les trois catégories de facteurs. L'authentification est dite forte lorsqu'elle combine au moins deux d'entre elles.

La connaissance — Quelque chose que vous êtes seul à savoir : un mot de passe, un code PIN ou une réponse à une question secrète. C'est le facteur le plus ancien, mais aussi le plus vulnérable aux fuites.
La possession — Quelque chose que vous seul détenez : votre smartphone, sur lequel votre banque envoie une notification à valider, une carte bancaire ou un boîtier générateur de code. La validation dans l'application bancaire est aujourd'hui la méthode la plus répandue.
L'inhérence — Quelque chose que vous êtes : une empreinte digitale, la reconnaissance faciale ou vocale. Ce facteur biométrique est souvent utilisé pour déverrouiller l'application qui héberge le second facteur.

Une combinaison fréquente associe la possession (votre téléphone) et l'inhérence (votre empreinte ou votre visage pour déverrouiller l'application). Deux mots de passe ne constituent en revanche jamais une authentification forte, puisqu'ils appartiennent à la même catégorie.

3D Secure et paiements en ligne

Pour les achats par carte sur internet, l'authentification forte s'applique via le protocole 3D Secure, dans sa version 2 (parfois notée 3DS2). Au moment de payer, vous êtes invité à confirmer la transaction, le plus souvent par une notification dans l'application de votre banque, que vous validez avec votre code ou votre empreinte.

La version 2 du protocole a remplacé l'ancien système de code reçu par SMS, jugé moins sûr et moins fluide. Elle échange davantage d'informations entre le commerçant et votre banque, ce qui permet d'ajuster le niveau de vérification au risque réel de la transaction.

En France, ce basculement ne s'est pas fait du jour au lendemain. Les nouvelles règles auraient dû s'appliquer dès septembre 2019, mais leur déploiement s'est révélé complexe pour l'ensemble de l'écosystème : banques, commerçants et fournisseurs de solutions techniques. La Banque de France et l'ACPR ont donc piloté un plan de migration accordant un délai supplémentaire, afin d'éviter qu'un grand nombre de paiements légitimes ne soient brutalement refusés. La généralisation effective de l'authentification forte sur les paiements par carte s'est achevée courant 2021. Depuis, les transactions en ligne au-dessus du seuil d'exemption font systématiquement l'objet d'une double vérification.

Méfiez-vous des fausses validations

Aucune banque ne vous demandera de valider une opération que vous n'avez pas initiée, ni de communiquer un code par téléphone. Une demande de validation 3D Secure surgissant alors que vous n'effectuez aucun achat est le signe d'une tentative de fraude : refusez-la et contactez votre banque. Nos conseils de sécurité numérique détaillent ces réflexes.

Open banking et agrégateurs de comptes

Le second grand apport de la DSP2 est l'open banking. La directive oblige les banques à ouvrir, via des interfaces sécurisées appelées API, un accès encadré aux comptes de leurs clients qui en font la demande, au profit de prestataires tiers agréés. Deux types de services en découlent.

Les agrégateurs de comptes permettent de visualiser dans une seule application les soldes et opérations de plusieurs banques. C'est utile si vous détenez par exemple un compte historique au Crédit Agricole et un compte dans une banque en ligne comme Boursorama ou N26. Les services d'initiation de paiement permettent, eux, de déclencher un virement directement depuis votre compte sans passer par votre carte.

Vérifiez toujours l'agrément

Un agrégateur ou un service d'initiation de paiement doit être agréé par un régulateur national, comme l'ACPR en France. Il ne stocke jamais vos identifiants bancaires complets et n'accède qu'aux données pour lesquelles vous avez donné un consentement explicite. Ce consentement est révocable à tout moment.

Les exemptions à l'authentification forte

La DSP2 prévoit des cas où l'authentification forte n'est pas exigée, afin de fluidifier les paiements à faible risque. La décision d'appliquer une exemption revient toujours à votre banque, qui reste responsable de l'analyse du risque.

Les petits montants : les paiements en ligne d'un faible montant, généralement inférieur à 30 euros, peuvent être exemptés, dans la limite d'un cumul ou d'un nombre d'opérations consécutives.
Les bénéficiaires de confiance : vous pouvez demander à votre banque d'ajouter un commerçant à une liste de confiance, ce qui dispense ensuite vos paiements vers ce bénéficiaire de l'authentification forte.
Les paiements récurrents : pour un abonnement ou un prélèvement d'un même montant, seule la première opération nécessite une authentification forte. Les suivantes en sont dispensées.
Les transactions à distance par téléphone ou courrier : certaines opérations dites MOTO échappent au champ d'application du 3D Secure.

Ces exemptions facilitent le quotidien, mais elles n'allègent pas votre vigilance : un montant faible reste un montant frauduleux s'il ne provient pas de vous. Surveillez vos relevés et signalez sans délai toute opération que vous ne reconnaissez pas, même de quelques euros, car les fraudeurs testent parfois de petites sommes avant de tenter un débit plus important.

Ce qui change concrètement pour vous

Au quotidien, la DSP2 se traduit par des étapes de validation devenues familières. Voici les situations les plus courantes.

À la connexion — Votre banque peut vous demander de valider l'accès à votre espace en ligne via une notification sur votre téléphone, en plus de votre identifiant.
Au paiement en ligne — Pour un achat dépassant le seuil d'exemption, vous confirmez la transaction dans votre application bancaire plutôt que par un simple code SMS.
En cas de nouvel appareil — Une connexion depuis un ordinateur ou un téléphone inconnu déclenche presque toujours une vérification renforcée.
À la connexion d'un agrégateur — Lorsque vous reliez vos comptes à un service tiers, vous donnez un consentement explicite et passez par l'authentification de votre banque.

Garder votre application bancaire à jour et un numéro de téléphone valide auprès de votre banque est donc essentiel pour ne pas vous retrouver bloqué au moment de payer.

DSP3 et PSR : la prochaine étape

La DSP2 va être révisée. Un nouveau cadre se prépare au niveau européen, composé d'une troisième directive sur les services de paiement (DSP3) et d'un règlement sur les services de paiement (PSR). Un accord politique entre le Parlement européen et le Conseil a été conclu fin novembre 2025. La publication au Journal officiel de l'Union européenne est attendue courant 2026, suivie d'un délai d'application de l'ordre de 18 mois.

En pratique, ces nouvelles règles ne devraient donc pas s'appliquer avant fin 2027, voire 2028. Parmi les évolutions annoncées figurent un renforcement de la lutte contre la fraude et la vérification de la concordance entre le nom du bénéficiaire et son IBAN pour les virements en euros. Aucune de ces mesures n'est applicable à ce jour : à la date de cet article, la DSP2 reste pleinement en vigueur.

Sources et références

Questions fréquentes

Qu'est-ce que la DSP2 ?

La DSP2 est la deuxième directive européenne sur les services de paiement (directive UE 2015/2366), adoptée en 2015 et entrée en vigueur en janvier 2018. Elle vise à renforcer la sécurité des paiements, à réduire la fraude et à ouvrir le marché bancaire à de nouveaux acteurs. Ses deux apports majeurs sont l'authentification forte du client (SCA) et l'open banking, qui encadre l'accès des prestataires tiers à vos comptes via des interfaces sécurisées.

Qu'est-ce que l'authentification forte (SCA) ?

L'authentification forte, ou SCA pour Strong Customer Authentication, impose de vérifier votre identité avec au moins deux facteurs indépendants parmi trois catégories : la connaissance (mot de passe, code), la possession (smartphone, carte) et l'inhérence (empreinte, reconnaissance faciale). Elle s'applique aux paiements en ligne et à l'accès à vos comptes. En France, sa généralisation s'est achevée courant 2021 au terme d'un plan de migration piloté par la Banque de France et l'ACPR.

Le 3D Secure est-il obligatoire pour tous les paiements ?

Non. Le 3D Secure version 2 sert à appliquer l'authentification forte aux achats en ligne par carte, mais des exemptions existent. Les paiements de faible montant (généralement sous 30 euros), les transactions récurrentes après la première, les abonnements ou les bénéficiaires que vous avez ajoutés à une liste de confiance peuvent en être dispensés. La décision d'exempter revient à votre banque, qui reste responsable de l'analyse du risque de la transaction.

L'open banking est-il sûr pour mes données ?

L'open banking encadré par la DSP2 repose sur des accès sécurisés : un agrégateur ou un service de paiement doit être agréé par un régulateur, comme l'ACPR en France, et passer par des interfaces dédiées (API) ouvertes par les banques. Vous donnez un consentement explicite et vous pouvez le retirer. Le prestataire n'accède qu'aux données strictement nécessaires et ne stocke jamais vos identifiants bancaires complets. Vérifiez toujours l'agrément avant de connecter un compte.

Qu'est-ce que la DSP3 et le PSR qui se préparent ?

La DSP3 et le règlement sur les services de paiement (PSR) forment le futur cadre européen qui succédera à la DSP2. Un accord politique entre le Parlement et le Conseil a été conclu fin novembre 2025. La publication au Journal officiel est attendue courant 2026, suivie d'un délai d'application de 18 mois : les nouvelles règles ne devraient donc pas s'appliquer avant fin 2027 ou 2028. Le PSR prévoit notamment la vérification du nom du bénéficiaire pour les virements.