G GuideBanque
Sommaire (8)
  1. 013D Secure v2, la brique technique de l'authentification forte
  2. 02Deux facteurs sur trois, ce que la DSP2 impose vraiment
  3. 03Biométrie et application bancaire, comment ça marche en pratique
  4. 04Les exemptions à la SCA, ces angles morts qui accélèrent le paiement
  5. 05Fraude, contestation et remboursement, vos droits quand la SCA échoue
  6. 06Ce qui bouge en 2026, DSP3, PSR et l'ère post-3DS v2
  7. 07Questions fréquentes
  8. 08Related articles
3D Secure v2 2026 : authentification forte SCA, biométrie et fonctionnement, illustration editoriale GuideBanque
Banques

3D Secure v2 2026 : SCA, biométrie et fonctionnement

3D Secure v2 en 2026 : authentification forte SCA de la DSP2, biométrie, exemptions du paiement en ligne et vos droits en cas de fraude carte.

Camille Aubert
Publié le 1 juillet 2026 · mis a jour le 2 juillet 2026 · 14 min de lecture
Copie

Chaque paiement en ligne par carte en France déclenche désormais un contrôle silencieux, orchestré par 3D Secure v2, la brique technique qui met en oeuvre l’authentification forte imposée par la deuxième directive européenne sur les services de paiement. Comprendre ce protocole, ses exemptions et vos recours change concrètement votre expérience d’achat et votre niveau de protection contre la fraude.

3D Secure v2, la brique technique de l’authentification forte

3D Secure est un protocole de sécurisation des paiements par carte à distance porté conjointement par les réseaux Visa, Mastercard, American Express, JCB et UnionPay. Sa version 2, standardisée par le consortium EMVCo à partir de 2016 et déployée en Europe entre 2019 et 2021, remplace définitivement la première génération dite 3DS v1. Cette bascule n’est pas une simple mise à jour cosmétique, elle répond à une obligation réglementaire précise, l’authentification forte du client, en anglais Strong Customer Authentication ou SCA, imposée par la directive européenne 2015 slash 2366 dite DSP2 transposée en droit français par l’ordonnance du 9 août 2017.

Le principe technique repose sur un dialogue à trois voies, d’où le trois du nom, entre la banque du porteur de carte, la banque du commerçant et la plateforme de paiement du commerçant. La version 2 enrichit ce dialogue d’une trentaine de signaux contextuels transmis en amont, empreinte de l’appareil utilisé, adresse IP, historique du marchand, panier moyen, heure de la journée, géolocalisation approximative, cadence des achats récents. Ces signaux permettent à la banque émettrice d’évaluer le risque en temps réel et de décider si une authentification active du porteur est nécessaire, ou si l’opération peut passer en tâche de fond. Le protocole s’applique aujourd’hui aux paiements par carte, aux paiements par virement SEPA instantané sortant et à l’accès aux services de compte via les agrégateurs.

La Banque de France, dans son observatoire annuel de la sécurité des moyens de paiement, mesure la mise en oeuvre effective du protocole. Fin 2025, plus de 96 pour cent des paiements en ligne réalisés en France étaient couverts par 3D Secure v2, contre 62 pour cent seulement fin 2020. Ce taux figure parmi les plus élevés en Europe et explique une baisse continue du taux de fraude sur les paiements en ligne, revenu autour de 0,17 pour cent du volume transactionnel.

Deux facteurs sur trois, ce que la DSP2 impose vraiment

L’authentification forte au sens de la DSP2 n’est pas un vague renforcement de sécurité. Elle est définie de manière très précise par le règlement délégué 2018 slash 389 comme la combinaison de deux facteurs indépendants parmi trois catégories, ce que vous savez, ce que vous possédez et ce que vous êtes. Ce que vous savez recouvre un code secret, un mot de passe ou la réponse à une question de sécurité. Ce que vous possédez désigne un appareil enrôlé auprès de la banque, typiquement le smartphone sur lequel l’application bancaire est installée. Ce que vous êtes désigne une caractéristique biométrique, empreinte digitale, reconnaissance faciale ou reconnaissance vocale.

L’obligation d’indépendance est technique et non symbolique. Si l’un des facteurs est compromis, l’autre doit rester intact. C’est pour cette raison que le SMS avec un code à usage unique, ou OTP, envoyé sur le même téléphone que celui qui reçoit le pop-up de paiement, a été progressivement retiré par la plupart des banques françaises entre 2022 et 2024. Un même téléphone hébergeant l’application marchande et la boîte SMS ne peut pas raisonnablement constituer deux facteurs indépendants. Les banques ont donc basculé sur des schémas plus robustes, application bancaire séparée avec notification push et biométrie du système d’exploitation, ou pour les clients âgés ou peu équipés, un boîtier physique dédié.

La règle vaut aussi bien pour les banques traditionnelles que pour les néobanques, sans exception. L’ACPR, autorité de contrôle prudentiel et de résolution, a d’ailleurs sanctionné à plusieurs reprises depuis 2022 des établissements dont la mise en oeuvre de la SCA n’était pas conforme, avec des amendes atteignant plusieurs centaines de milliers d’euros. Le régulateur veille à ce que le confort commercial ne prime pas sur la conformité, notamment en cas de fraude massive sur une plateforme donnée.

Biométrie et application bancaire, comment ça marche en pratique

Sur le plan de l’expérience utilisateur, la mise en oeuvre la plus courante en France passe par l’application bancaire du porteur. Lorsque vous validez un achat sur un site marchand, une notification push arrive dans l’application, vous ouvre une page qui rappelle le nom du commerçant, le montant et parfois la date de livraison, puis vous demande de valider par biométrie ou par un code confidentiel. La biométrie s’appuie sur le système d’exploitation du téléphone, Face ID ou Touch ID sur iOS, empreinte ou reconnaissance faciale sur Android, ce qui garantit que la donnée biométrique elle-même ne quitte jamais le terminal.

Ce point est central pour la vie privée. La banque ne reçoit qu’un jeton signé par le système d’exploitation confirmant que l’utilisateur a bien passé un contrôle biométrique valide, jamais l’empreinte ou le gabarit facial. Cette architecture, encadrée par la CNIL et par le règlement européen sur la protection des données, met la banque à l’abri d’une éventuelle atteinte à son système d’information, puisque les gabarits biométriques ne sont ni transmis ni stockés en dehors du téléphone.

Pour les clients qui n’utilisent pas de smartphone récent ou refusent d’installer l’application bancaire, un dispositif alternatif dit boîtier lecteur de carte à usage unique existe encore chez la plupart des banques traditionnelles. Le boîtier lit la puce de la carte physique et affiche un code à usage unique à saisir dans l’ordinateur. Ce schéma coche les cases ce que vous possédez, le boîtier et la carte, et ce que vous savez, le code confidentiel de la carte. Il reste conforme à la SCA mais offre une expérience nettement moins fluide qu’une simple validation biométrique.

Les exemptions à la SCA, ces angles morts qui accélèrent le paiement

La DSP2 prévoit une série d’exemptions à l’authentification forte, listées limitativement par le règlement délégué 2018 slash 389. Elles ne suppriment pas la sécurité, elles la modulent au risque réel. La première catégorie concerne les paiements récurrents dont le montant est constant, comme les abonnements presse, streaming ou fitness. Une SCA a lieu à la première transaction, les suivantes passent en tâche de fond tant que le marchand ne change pas et que le montant reste identique.

La deuxième exemption vise les paiements de faible montant, moins de 30 euros à l’unité, dans la limite cumulée de cinq opérations consécutives ou de 100 euros de dépenses sans SCA. Au delà, une authentification forte est réimposée. La troisième exemption vise les commerçants ajoutés par le porteur à une liste blanche depuis son espace bancaire, typiquement Amazon, la SNCF ou le site marchand de son quotidien. La quatrième exemption, la plus subtile, vise les paiements dits à faible risque évalués en temps réel par un moteur de scoring interne de la banque, mécanisme dit Transaction Risk Analysis. Plus la banque garde son taux de fraude bas, plus elle est autorisée à multiplier ce type d’exemptions, jusqu’à un plafond dépendant de son taux de fraude référentiel.

Les paiements exécutés depuis un terminal de paiement électronique en boutique, en présence physique de la carte, ne relèvent pas de 3D Secure v2 mais des règles historiques du réseau SEPA et de la puce EMV, avec le code confidentiel comme facteur d’authentification. Le paiement sans contact reste plafonné à 50 euros par transaction sans SCA en France, avec obligation périodique d’un contrôle du code confidentiel après cinq transactions consécutives ou 150 euros cumulés. La page dédiée du ministère de l’Économie détaille l’articulation entre paiement mobile, sans contact et 3D Secure v2.

Fraude, contestation et remboursement, vos droits quand la SCA échoue

Le régime de responsabilité en cas de fraude à la carte est fixé par les articles L133-18 à L133-24 du Code monétaire et financier. Le principe protecteur est simple, une opération non autorisée doit être remboursée par la banque immédiatement, au plus tard le jour ouvrable suivant la contestation, sans que le porteur ait à supporter la moindre perte. La contestation doit être introduite dans les treize mois qui suivent le débit, délai fixé par la loi. La banque a ensuite quinze jours ouvrables pour instruire le dossier et notifier sa décision de remboursement ou de refus.

Deux cas nuancent cette règle. Si l’opération contestée a été réalisée sans authentification forte alors qu’elle aurait dû l’être, la banque assume l’intégralité de la fraude, aucune franchise n’est possible. Si l’authentification forte a bien été appliquée mais que le porteur conteste, la charge de la preuve pèse toujours sur la banque, qui doit démontrer une négligence grave du client pour lui opposer une franchise, ou refuser le remboursement. Cette notion de négligence grave est strictement encadrée par la jurisprudence de la Cour de cassation, elle vise typiquement la communication délibérée de ses codes ou la transmission de sa carte à un tiers, jamais un phishing bancaire sophistiqué auquel un client normalement diligent aurait pu se laisser prendre.

Pour les paiements réalisés en zone SEPA, le régime est similaire, articulé sur les mêmes articles du CMF. Un cas particulier concerne les fraudes exploitant l’urgence d’un virement SEPA instantané détourné vers un tiers, où la banque doit désormais opposer un contrôle IBAN nom du bénéficiaire avant validation, obligation en vigueur depuis octobre 2025. La fiche officielle service-public.fr sur le paiement frauduleux par carte bancaire synthétise la procédure de contestation pas à pas, du dépôt de plainte à la médiation bancaire en cas de refus persistant.

Ce qui bouge en 2026, DSP3, PSR et l’ère post-3DS v2

Le paysage réglementaire évolue en 2026 avec l’entrée dans la dernière ligne droite du paquet législatif européen dit DSP3 et son règlement Payment Services Regulation ou PSR. Adopté en 2024 et progressivement applicable à partir de 2026 et 2027, ce paquet resserre les obligations des prestataires de services de paiement en matière de lutte contre les fraudes par ingénierie sociale, impose la portabilité des données d’authentification entre banques, encadre plus strictement les agrégateurs de comptes et étend les exemptions à faible risque tout en abaissant le seuil de tolérance à la fraude qui les conditionne. Le protocole 3D Secure v2 restera le socle technique, mais devra intégrer de nouveaux signaux dits behavioural biometrics, la manière dont l’utilisateur tape sur son clavier ou tient son téléphone.

Deux évolutions concrètes toucheront directement le porteur au cours de 2026. D’abord, la généralisation du contrôle IBAN nom du bénéficiaire à l’ensemble des virements en zone SEPA, y compris les virements ordinaires non instantanés, à partir d’octobre 2026. Ensuite, une obligation renforcée d’information post-fraude, la banque devant expliquer par écrit à quel titre elle refuse un remboursement, sur quels éléments techniques précis elle s’appuie et quels sont les recours possibles auprès du médiateur bancaire ou du procureur de la République.

L’ACPR publiera début 2027 un premier bilan de la mise en oeuvre du PSR, avec une attention particulière aux fraudes par manipulation, dites authorized push payment fraud, dans lesquelles la victime valide elle-même le paiement sous l’effet d’une manipulation. Ces fraudes ne sont pas couvertes aujourd’hui par le régime protecteur du CMF, mais un dispositif d’indemnisation partielle pourrait voir le jour, à l’image du modèle britannique en vigueur depuis octobre 2024. Le porteur reste néanmoins la première ligne de défense, la meilleure protection étant de ne jamais valider une authentification 3D Secure sans avoir vérifié le nom du commerçant, le montant et le contexte de la transaction affichés dans l’application bancaire.


Questions fréquentes

Qu’est-ce que 3D Secure v2 et pourquoi est-il devenu obligatoire ?

3D Secure v2 est la version courante du protocole de sécurisation des paiements par carte à distance porté par les réseaux Visa et Mastercard depuis 2019 et généralisée en France en 2021 sous la pression de la deuxième directive européenne sur les services de paiement, dite DSP2. Il rend obligatoire l’authentification forte du client, en anglais Strong Customer Authentication ou SCA, sur la quasi-totalité des paiements en ligne réalisés dans l’Espace économique européen. Cette obligation est prévue par l’article L133-44 du Code monétaire et financier et précisée par un règlement délégué européen. Elle protège à la fois le payeur, dont la fraude devient bien plus difficile à réaliser, et le commerçant, qui bénéficie du transfert de responsabilité en cas de fraude avérée sur une transaction authentifiée. Le protocole est donc un pilier réglementaire, pas une option commerciale.

Quelle différence concrète entre 3D Secure v1 et v2 ?

La version 1 de 3D Secure, apparue en 2001, reposait sur un mot de passe statique demandé par un pop-up souvent buggé, un taux d’échec de paiement élevé, aucune biométrie et une expérience mobile catastrophique. La version 2 change radicalement d’architecture, elle transmet une trentaine de signaux contextuels à la banque de l’acheteur, appareil, adresse IP, historique du marchand, montant, heure, ce qui permet une évaluation en temps réel du risque. En pratique, une majorité de paiements sont désormais authentifiés en tâche de fond, sans intervention de l’utilisateur, quand le risque est jugé faible. Quand l’authentification est nécessaire, elle passe par la biométrie de l’application bancaire ou une notification push, une expérience très supérieure aux SMS OTP de la v1 progressivement retirés depuis 2022. Le taux d’abandon en caisse a chuté d’environ 70 pour cent.

Comment fonctionne l’authentification biométrique dans 3D Secure v2 ?

L’authentification forte au sens de la DSP2 combine deux facteurs indépendants parmi trois catégories, ce que vous savez, ce que vous possédez et ce que vous êtes. Ce que vous savez recouvre un code secret ou une réponse à une question de sécurité. Ce que vous possédez désigne un appareil enrôlé auprès de la banque, typiquement le smartphone sur lequel l’application bancaire est installée. Ce que vous êtes désigne une caractéristique biométrique, empreinte digitale, reconnaissance faciale ou reconnaissance vocale. Deux catégories différentes doivent être vérifiées simultanément et de manière indépendante pour que l’authentification soit valide. La biométrie stockée localement sur le téléphone via Face ID d’Apple ou l’équivalent Android reste sous le contrôle du fabricant du terminal, pas de la banque, ce qui satisfait les règles européennes tout en préservant la vie privée du porteur.

Peut-on éviter la SCA lors d’un paiement en ligne ?

Oui, la SCA peut être omise dans plusieurs cas listés par le règlement délégué 2018 slash 389. Les paiements récurrents dont le montant est constant après une première SCA, les prélèvements SEPA d’entreprise à entreprise, les paiements de moins de 30 euros dans la limite de cinq transactions consécutives sans SCA ou de 100 euros cumulés, les paiements sur des commerçants ajoutés à une liste blanche par le porteur, et les paiements dits à faible risque évalués en temps réel par la banque via un moteur de scoring. Ce dernier cas fait l’objet d’un pilotage étroit par l’ACPR et par la Banque de France, qui publie chaque année un observatoire de la sécurité des moyens de paiement. En pratique, plus la banque garde son taux de fraude bas, plus elle peut appliquer d’exemptions et donc offrir une expérience utilisateur fluide à ses clients.

Que faire si un paiement 3D Secure a été détourné ou contesté ?

Le régime de responsabilité est fixé par l’article L133-19 du Code monétaire et financier. Si une opération non autorisée a été effectuée sans authentification forte alors qu’elle aurait dû l’être, la banque doit rembourser le porteur immédiatement, au plus tard le jour ouvrable suivant la contestation, sans franchise possible. Si l’authentification forte a bien été appliquée, la charge de la preuve pèse toujours sur la banque, qui doit démontrer que le payeur a commis une négligence grave, notion strictement encadrée par la jurisprudence. La franchise éventuelle est plafonnée à 50 euros pour les cartes hors SCA. La contestation doit être faite au plus tard 13 mois après le débit, la banque a jusqu’à 15 jours ouvrables pour répondre. En cas de refus, la médiation bancaire prend le relais gratuitement.


Questions fréquentes

Qu'est-ce que 3D Secure v2 et pourquoi est-il devenu obligatoire ?
3D Secure v2 est la version courante du protocole de sécurisation des paiements par carte à distance déployé par les réseaux Visa et Mastercard depuis 2019, généralisée en France en 2021 sous la pression de la deuxième directive européenne sur les services de paiement, dite DSP2. Il rend obligatoire l'authentification forte du client, en anglais Strong Customer Authentication ou SCA, sur la quasi-totalité des paiements en ligne réalisés dans l'Espace économique européen. Cette obligation est prévue par l'article L133-44 du Code monétaire et financier et précisée par un règlement délégué européen. Elle protège à la fois le payeur, dont la fraude devient bien plus difficile à réaliser, et le commerçant, qui bénéficie du transfert de responsabilité en cas de fraude avérée sur une transaction authentifiée. Le protocole est donc un pilier réglementaire, pas une option commerciale.
Quelle différence concrète entre 3D Secure v1 et v2 ?
La version 1 de 3D Secure, apparue en 2001, reposait sur un mot de passe statique demandé par un pop-up souvent buggé, un taux d'échec de paiement élevé, aucune biométrie et une expérience mobile catastrophique. La version 2 change radicalement d'architecture. Elle transmet une trentaine de signaux contextuels à la banque de l'acheteur, appareil, adresse IP, historique du marchand, montant, heure, ce qui permet une évaluation en temps réel du risque. En pratique, une majorité de paiements sont désormais authentifiés en tâche de fond, sans intervention de l'utilisateur, quand le risque est jugé faible. Quand l'authentification est nécessaire, elle passe par la biométrie de l'application bancaire ou une notification push, une expérience très supérieure aux SMS OTP de la v1 progressivement retirés depuis 2022. Le taux d'abandon en caisse a chuté d'environ 70 pour cent.
Comment fonctionne l'authentification biométrique dans 3D Secure v2 ?
L'authentification forte au sens de la DSP2 combine deux facteurs indépendants parmi trois catégories, ce que vous savez, ce que vous possédez et ce que vous êtes. Ce que vous savez recouvre un code secret ou une réponse à une question de sécurité. Ce que vous possédez désigne un appareil enrôlé auprès de la banque, typiquement le smartphone sur lequel l'application bancaire est installée. Ce que vous êtes désigne une caractéristique biométrique, empreinte digitale, reconnaissance faciale ou reconnaissance vocale. Deux catégories différentes doivent être vérifiées simultanément et de manière indépendante pour que l'authentification soit valide. La biométrie stockée localement sur le téléphone via Face ID d'Apple ou l'équivalent Android reste sous le contrôle du fabricant du terminal, pas de la banque, ce qui satisfait les règles européennes tout en préservant la vie privée.
Peut-on éviter la SCA lors d'un paiement en ligne ?
Oui, la SCA peut être omise dans plusieurs cas listés par le règlement délégué 2018 slash 389. Les paiements récurrents dont le montant est constant après une première SCA, les prélèvements SEPA d'entreprise à entreprise, les paiements de moins de 30 euros dans la limite de cinq transactions consécutives sans SCA ou de 100 euros cumulés, les paiements sur des commerçants ajoutés à une liste blanche par le porteur, et les paiements dits à faible risque évalués en temps réel par la banque via un moteur de scoring. Ce dernier cas fait l'objet d'un pilotage étroit par l'ACPR et par la Banque de France, qui publie chaque année un observatoire de la sécurité des moyens de paiement. En pratique, plus la banque garde son taux de fraude bas, plus elle peut appliquer d'exemptions et donc offrir une expérience utilisateur fluide.
Que faire si un paiement 3D Secure a été détourné ou contesté ?
Le régime de responsabilité est fixé par l'article L133-19 du Code monétaire et financier. Si une opération non autorisée a été effectuée sans authentification forte alors qu'elle aurait dû l'être, la banque doit rembourser le porteur immédiatement, au plus tard le jour ouvrable suivant la contestation, sans franchise possible. Si l'authentification forte a bien été appliquée, la charge de la preuve pèse toujours sur la banque, qui doit démontrer que le payeur a commis une négligence grave, notion strictement encadrée par la jurisprudence. La franchise éventuelle est plafonnée à 50 euros pour les cartes hors SCA. La contestation doit être faite au plus tard 13 mois après le débit, la banque a jusqu'à 15 jours ouvrables pour répondre au porteur. En cas de refus persistant, la médiation bancaire prend le relais gratuitement dans un délai de 90 jours.

Comment cet article a été vérifié

  • 7 sources officielles citées (AMF, ACPR, Banque de France, INSEE, service-public.fr, Bercy, DGCCRF).
  • Rédigé par Camille Aubert, conseillère en gestion de patrimoine indépendante (CGPI), enregistrée à l'ORIAS.
  • Dernière revue éditoriale : 1 juillet 2026. Mises à jour chiffrées en continu (taux, plafonds, barèmes).
  • Aucun lien d'affiliation déguisé, aucune recommandation personnalisée (ce n'est pas un conseil en investissement). Lire notre politique éditoriale.
Copie

À lire aussi

Newsletter Recevez nos analyses chaque semaine. Je m'abonne