Dès le mois de septembre 2019 (le 14), la directive européenne sur les services de paiement 2ème version (DSP2) va s'appliquer.
Elle renforce, entres autres, l'authentification forte et appliquera le RGPD (protection des données personnelles)
L'authentification forte, à partir de 30€, c'est deux actions, au minimum, pour valider une transaction.
Par exemple : un mot de passe et un SMS ou un mot de passe et une donnée biométrique telle que l'empreinte digitale, la voix, l'iris.
Page 104 (extraits)
"CHAPITRE 4Protection des donnéesArticle 94Protection des données1. Les États membres autorisent le traitement des données à caractère personnel par les systèmes de paiement et les prestataires de services de paiement lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d’informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel aux fins de la présente directive sont effectués conformément à la directive 95/46/CE et aux règles nationales transposant ladite directive, ainsi qu’au règlement (CE) no45/2001.2. Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de servicesde paiement."
Page 106 (extraits)
" Article 97Authentification1. Les États membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur:a) accède à son compte de paiement en ligne;b) initie une opération de paiement électronique;c) exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.2. En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe 1, point b), les États membres veillent à ce que, pour les opérations de paiement électronique à distance, les prestataires de services de paiement appliquent l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.3. Eu égard au paragraphe 1, les États membres veillent à ce que les prestataires de services de paiement aient mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.4. Les paragraphes 2 et 3 s’appliquent également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire de services d’initiation de paiement. Les paragraphes 1 et 3 s’appliquent également lorsque l’information est demandée par l’intermédiaire d’un prestataire de services d’information sur les comptes.5. Les États membres veillent à ce que le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes à se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement conformément aux paragraphes 1 et 3 et, lorsque le prestataire de services d’initiation de paiement intervient, conformément aux paragraphes 1, 2 et 3. "