Peut tu pointer l'article de loi et / ou réglementation ? Car de ce que j'ai vu répété ici ou là c'est l'authentification forte qui est réclamée.
C’est le même article 97. Le 97(3) pour être exact.
Eu égard au paragraphe 1, les États membres veillent à ce que les prestataires de services de paiement aient mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.
C’est exactement ce § qui fait ne s’agit pas « seulement » d’une 2FA, mais d’une SCA. C’est pas uniquement du 2 facteurs, ça va bien au delà. La SCA est et nécessite une 2FA (article 97(2) « les prestataires de services de paiement appliquent l’authentification forte du client »), mais toute 2FA n’est pas une SCA puisqu’il manque le contrôle d’intégrité (97(3) « protéger la confidentialité et l’intégrité des données de sécurité »).
Toute solution sans double facteur ne peut être une SCA au sens DSP2.
Une solution seulement double facteur n’est pas une SCA DSP2. Il te manque encore justement toute la partie contrôle d’intégrité et résistance à la compromission. Ce qui fait que les SMS ne sont pas de la SCA par exemple, mais sont bien de la 2FA.
. These could include code-obfuscation, encryption, Whitebox Cryptography with an appropriate key management, device binding, and root detection (mobile devices).
La même différence entre 2FA et SCA est explicitée dans ce même document
A standard software implementation without further protection will not provide a sufficient level of trust and security. I
IDENTIFIED RISK 6: USE OF A ROOTED SMARTPHONE
Rooting is the process of allowing users of smartphones to attain privileged control (known as root access) over various Android subsystems. Rooting is often performed with the goal of overcoming limitations that carriers and hardware manufacturers put on some devices. This might in some cases lead to security breaches. For Android smartphone, safetynet can be used, or any other root detection solution to mitigate the risk
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par Aeris (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+1/-0). Dernière modification le 03 mai 2026 à 21:51.
C’est le même article 97. Le 97(3) pour être exact.
C’est exactement ce § qui fait ne s’agit pas « seulement » d’une 2FA, mais d’une SCA. C’est pas uniquement du 2 facteurs, ça va bien au delà. La SCA est et nécessite une 2FA (article 97(2) « les prestataires de services de paiement appliquent l’authentification forte du client »), mais toute 2FA n’est pas une SCA puisqu’il manque le contrôle d’intégrité (97(3) « protéger la confidentialité et l’intégrité des données de sécurité »).
Toute solution sans double facteur ne peut être une SCA au sens DSP2.
Une solution seulement double facteur n’est pas une SCA DSP2. Il te manque encore justement toute la partie contrôle d’intégrité et résistance à la compromission. Ce qui fait que les SMS ne sont pas de la SCA par exemple, mais sont bien de la 2FA.
Après il faut aller voir les RTS et cie de l’ABE, par exemple https://www.eba.europa.eu/eba-response/306
La même différence entre 2FA et SCA est explicitée dans ce même document
Ou encore https://ec.europa.eu/newsroom/repository/document/2023-22/eu_reportonexistingremoteonboardingsolutionsinthebankingsectordecember2019_en_1_oZR71XL7ECUe3Gw9VgwldMoWpyM_96148.pdf