I.-Lorsque les prestataires de services de paiement appliquent la procédure d'authentification forte du client conformément au I de l'article L. 133-44 du code monétaire et financier ; l'authentification est fondée sur deux ou plusieurs éléments appartenant aux catégories " connaissance ", " possession " ou " inhérence ", mentionnées au f de l'article L. 133-4 du même code, et donne lieu à la génération d'un code d'authentification.
Le code d'authentification n'est accepté qu'une seule fois par le prestataire de services de paiement lorsque le payeur utilise ce code pour accéder à son compte de paiement en ligne, pour initier une opération de paiement électronique ou pour exécuter une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation abusive.
II.-Pour l'application du I du présent article, les prestataires de services de paiement prennent des mesures de sécurité garantissant le respect de chacune des exigences suivantes :
1° Aucune information sur l'un des éléments visés au I du présent article ne peut être déduite de la divulgation du code d'authentification ;
2° Il n'est pas possible de générer un nouveau code d'authentification en se basant sur un autre code d'authentification généré au préalable ;
3° Le code d'authentification ne peut pas être falsifié.
III.-Les prestataires de services de paiement veillent à ce que l'authentification au moyen de la génération d'un code d'authentification intègre chacune des mesures suivantes :
1° Lorsque l'authentification pour accès à distance, paiements électroniques à distance et toute autre action grâce à un moyen de communication à distance susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation abusive n'a pas généré de code d'authentification prévu au I du présent article, il n'est pas possible de déterminer lequel des éléments visés dans ledit paragraphe était incorrect ;
2° Le nombre de tentatives d'authentification infructueuses consécutives au bout duquel les actions prévues au I de l'article L. 133-44 du code monétaire et financier sont bloquées à titre temporaire ou permanent ne dépasse pas cinq au cours d'une période donnée ;
3° Les sessions de communication sont protégées contre l'interception des données d'authentification communiquées durant l'authentification et contre la manipulation par des tiers non autorisés, conformément aux exigences du chapitre V du présent arrêté ;
4° Le délai maximal d'inactivité du payeur, une fois que celui-ci s'est authentifié pour accéder à son compte de paiement en ligne, ne dépasse pas cinq minutes.
IV.-Si le blocage visé au 2° du III du présent article est temporaire, la durée de celui-ci et le nombre de nouveaux essais sont fixés sur la base des caractéristiques du service fourni au payeur et de l'ensemble des risques correspondants qui y sont associés, en tenant compte, au minimum, des facteurs énoncés au II de l'article 2.
Le payeur est averti avant que le blocage ne devienne permanent.
Lorsque le blocage est rendu permanent, une procédure sécurisée est mise en place pour permettre au payeur d'utiliser à nouveau les instruments de paiement électronique bloqués.

I. - Lorsqu'ils appliquent la procédure d'authentification forte du client, conformément au 2° du I de l'article L. 133-44 du code monétaire et financier, les prestataires de services de paiement, outre les éléments exigés à l'article 4 du présent arrêté, prennent également des mesures de sécurité qui satisfont à chacune des exigences suivantes :
1° Le payeur est informé du montant de l'opération de paiement et du bénéficiaire ;
2° Le code d'authentification généré est spécifique au montant de l'opération de paiement et au bénéficiaire approuvé par le payeur lors de l'initiation de l'opération ;
3° Le code d'authentification accepté par le prestataire de services de paiement correspond au montant spécifique initial de l'opération de paiement et à l'identité du bénéficiaire approuvé par le payeur ;
4° Toute modification du montant ou du bénéficiaire entraîne l'invalidation du code d'authentification généré.
II. - Pour l'application du I du présent article, les prestataires de services de paiement prennent des mesures de sécurité garantissant la confidentialité, l'authenticité et l'intégrité de chacun des éléments suivants :
1° Le montant de l'opération et le bénéficiaire durant l'ensemble des phases de l'authentification ;
2° Les informations qui s'affichent pour le payeur durant l'ensemble des phases de l'authentification, y compris la génération, la transmission et l'utilisation du code d'authentification.
III. - Lorsque les prestataires de services de paiement appliquent l'authentification forte du client conformément au 2° du I de l'article L. 133-44 du code monétaire et financier, pour l'application du 2° du I du présent article, et les exigences suivantes sont applicables au code d'authentification :
1° En ce qui concerne les opérations de paiement liées à une carte pour lesquelles le payeur a donné son consentement quant au montant exact des fonds à bloquer en vertu des articles L. 133-42 et L. 133-43 du code monétaire et financier, le code d'authentification est spécifique au montant au blocage duquel le payeur a donné son consentement et que le payeur a approuvé lors de l'initiation de l'opération ;
2° En ce qui concerne les opérations de paiement pour lesquelles le payeur a donné son consentement à l'exécution d'une série d'opérations de paiement électronique à distance en faveur d'un ou de plusieurs bénéficiaires, le code d'authentification est spécifique au montant total de la série d'opérations de paiement et aux bénéficiaires désignés.

1. Les prestataires de services de paiement prennent des mesures pour atténuer le risque que les éléments d'authentification forte du client appartenant à la catégorie " connaissance ", ne soient mis au jour par des tiers non autorisés ou divulgués à ceux-ci.
2. L'utilisation par le payeur de ces éléments fait l'objet de mesures d'atténuation des risques visant à éviter leur divulgation à des tiers non autorisés.

1. Les prestataires de services de paiement prennent des mesures pour atténuer le risque que les éléments d'authentification forte du client appartenant à la catégorie " possession " ne soient utilisés par des tiers non autorisés.
2. L'utilisation par le payeur de ces éléments fait l'objet de mesures visant à éviter leur copie.

1. Les prestataires de services de paiement prennent des mesures pour atténuer le risque que des éléments d'authentification appartenant à la catégorie " inhérence ", qui sont lus par des dispositifs et des logiciels d'accès fournis au payeur ne soient mis au jour par des tiers non autorisés. Au minimum, les prestataires de services de paiement veillent à ce qu'il soit très peu probable, avec ces dispositifs et logiciels d'accès, qu'un tiers non autorisé soit authentifié comme étant le payeur.
2. L'utilisation par le payeur de ces éléments fait l'objet de mesures garantissant que ces dispositifs et logiciels empêchent toute utilisation non autorisée desdits éléments qui passerait par un accès auxdits dispositifs et logiciels.

I. - Les prestataires de services de paiement veillent à ce que l'utilisation des éléments d'authentification forte du client visés aux articles 6, 7 et 8 fasse l'objet de mesures garantissant que, sur le plan de la technologie, des algorithmes et des paramètres, la compromission d'un des éléments ne remet pas en question la fiabilité des autres.
II. - Les prestataires de services de paiement prennent des mesures de sécurité, lorsque l'un des éléments d'authentification forte du client ou le code d'authentification proprement dit est utilisé au travers d'un dispositif multifonctionnel, pour réduire le risque qui découlerait de l'altération de ce dispositif multifonctionnel. A cette fin, les mesures d'atténuation prévoient chacun des éléments suivants :
1° L'utilisation d'environnements d'exécution sécurisés distincts grâce au logiciel installé sur le dispositif multifonctionnel ;
2° Des mécanismes permettant de garantir que le logiciel ou le dispositif n'a pas été altéré par le payeur ou par un tiers ;
3° En cas d'altérations, des mécanismes permettant de réduire les conséquences de celles-ci.