La réglementation des services de paiement PSD2 impose aux prestataires de services de paiement, tels que CaixaBank, d’appliquer des procédures permettant de vérifier votre identité ou la validité de l’instrument de paiement utilisé (par exemple, d'une carte). Cette procédure s'appelle AUTHENTIFICATION.
 
Cette authentification peut être simple ou forte. Il est obligatoire qu'elle soit forte lorsque:

  1. vous accédez à votre compte de paiement en ligne (par exemple, lorsque vous entrez dans CaixaBankNow);
  2. vous amorcez une opération de paiement électronique ou un transfert de fonds (p. ex., lorsque vous effectuez un transfert pour le paiement d'un présent destiné à un ami). À partir de 2021, le renforcement de l'authentification s'appliquera également aux achats que vous effectuez sur internet.
  3. vous utilisez un canal à distance pour toute action pouvant entraîner un risque de fraude de paiement ou autre abus (par exemple, la souscription d'un service via Internet, tel qu'un portail de séries en ligne).

Cette authentification forte doit reposer sur l'utilisation de plusieurs éléments indépendants, de sorte que la violation de l'un d'eux ne compromette pas la fiabilité des autres et de manière à protéger la confidentialité de vos données. Ces éléments peuvent être de trois types:

 

Connaissances (« quelque chose que seul l'utilisateur sait »)

Par exemple, code secret statique, PIN

Possession (« quelque chose que seul l'utilisateur a »)

Par exemple, un jeton, un mobile

Inhérence (« quelque chose que l'utilisateur est »)

Par exemple, empreinte, scanner de rétine, données biométriques



  • Éléments de connaissance (quelque chose que vous seul connaissez : un mot de passe, un code PIN, des connaissances basées sur des questions, etc.)
  • Éléments de possession (quelque chose que vous seul possédez : il doit s'agir de quelque chose qui confirme la possession en générant ou en recevant un élément de validation dynamique sur un dispositif, tel que la génération d'un mot de passe à usage unique, d'un jeton ou d'une notification push)
  • Éléments d'inhérence (quelque chose que vous êtes : scanner d'empreintes digitales, reconnaissance vocale, scanner de rétine, etc.)

Dans le cas du lancement d'opérations de paiement électronique (paiement par carte via un site e-commerce ou émission d'un virement via CaixaBankNow, par exemple), il est également nécessaire que l'un des éléments d'authentification des trois types décrits soit dynamique : un code sera généré pour chaque montant et chaque bénéficiaire et ne pourra pas être utilisé pour une opération dans laquelle ils ne coïncident pas. Il aura également une validité limitée dans le temps.