Le Code monétaire et financier impose une « authentification forte » pour tout paiement dématérialisé effectué par le client : virement occasionnel ou carte bancaire.

Ce protocole consiste à redoubler la validation de son règlement par le titulaire du compte débité, à l’aide d’un chiffrement qu’il est seul à connaître, s’il n’a pas été victime d’un piratage.

Cela veut dire qu’il n’est plus possible de régler sur internet en utilisant seulement les chiffres lisibles sur la carte bancaire. Il faut nécessairement ajouter un code confidentiel pour réaliser le paiement en ligne. Les paiements opérés sur terminal de vente ne sont pas concernés : la composition du code à 4 chiffres suffit, et n’est même pas nécessaire en cas de validation dite « sans contact ».

Le procédé habituel de type 3DSECURE devient caduc, car il est insuffisant pour garantir contre la fraude. Désormais, la validation s’opère par l’intermédiaire d’une application bancaire sur téléphone mobile, ou sur clé USB d’ordinateur.

En fait, la loi impose la combinaison d’au moins deux éléments d’authentification par le client : sa connaissance d’un chiffrage confidentiel qu’il a créé et peut modifier à volonté, et la possession d’un outil de validation distinct de l’instrument de paiement.

Les banques doivent aussi trouver les moyens de doter d’un système fiable ceux de leurs clients qui ne disposent pas d’un smartphone pour application mobile. La clé USB sur ordinateur personnel est une solution possible.