I. - Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2 et au II du présent article, lorsqu'un utilisateur de services de paiement est limité dans son accès à un ou à deux des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées :
1° Le solde d'un ou de plusieurs comptes de paiement désignés ;
2° Les opérations de paiement exécutées durant les 90 derniers jours par l'intermédiaire d'un ou de plusieurs comptes de paiement désignés.
II. - Pour l'application du I, les prestataires de services de paiement ne sont pas exemptés de l'application de l'authentification forte du client lorsque l'une des conditions suivantes est remplie :
1° L'utilisateur du service de paiement accède pour la première fois en ligne aux informations visées au I ;
2° Plus de 90 jours se sont écoulés depuis la dernière fois que l'utilisateur de services de paiement a accédé en ligne aux informations visées au 2° du I, et que la procédure d'authentification forte du client a été appliquée.

Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie une opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies :
1° Le montant individuel de l'opération de paiement électronique sans contact ne dépasse pas 6 000 francs CFP ; et
2° Le montant cumulé des précédentes opérations de paiement électronique sans contact initiées par l'intermédiaire d'un instrument de paiement disposant d'une fonctionnalité sans contact, depuis la date de la dernière authentification forte du client, ne dépasse pas 18 000 francs CFP ; ou
3° Le nombre d'opérations de paiement électronique sans contact consécutives initiées par l'intermédiaire de l'instrument de paiement disposant d'une fonctionnalité sans contact, depuis la dernière authentification forte du client, ne dépasse pas cinq.

Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie une opération de paiement électronique à partir d'un automate de paiement afin de régler des frais de transport ou de parking.

I. - Les prestataires de services de paiement appliquent l'authentification forte du client lorsqu'un payeur crée ou modifie une liste de bénéficiaires de confiance par l'intermédiaire du prestataire de services de paiement gestionnaire de son compte.
II. - Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences générales en matière d'authentification, lorsque le payeur initie une opération de paiement et que le bénéficiaire figure dans une liste de bénéficiaires de confiance préalablement créée par le payeur.

I. - Les prestataires de services de paiement appliquent l'authentification forte du client lorsqu'un payeur crée, modifie ou initie pour la première fois une série d'opérations récurrentes ayant le même montant et le même bénéficiaire.
II. - Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences générales en matière d'authentification, pour l'initiation de l'ensemble des opérations de paiement ultérieures comprises dans la série d'opérations de paiement visées au paragraphe 1.

Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie un virement pour lequel le payeur et le bénéficiaire sont la même personne physique ou morale et les deux comptes de paiement sont détenus auprès du même prestataire de services de paiement gestionnaire du compte.

Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance, pour autant que les conditions suivantes soient remplies :
1° Le montant de l'opération de paiement électronique à distance ne dépasse pas 3 600 francs CFP ; et
2° Le montant cumulé des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne dépasse pas 12 000 francs CFP ; ou
3° Le nombre des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne dépasse pas cinq opérations de paiement électronique à distance individuelles consécutives.

Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client à l'égard de personnes morales qui initient des opérations de paiement électronique au moyen de procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs lorsque les autorités compétentes ont acquis la certitude que lesdits procédures et protocoles garantissent des niveaux de sécurité au moins équivalents à ceux prévus par le code monétaire et financier.

I.-Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance que le prestataire de services de paiement considère comme présentant un faible niveau de risque conformément aux mécanismes de contrôle des opérations visés à l'article 2 et au 3° du II du présent article.
II.-Une opération de paiement électronique visée au I du présent article est considérée comme présentant un faible niveau de risque lorsque l'ensemble des conditions suivantes sont remplies :
1° Le taux de fraude pour ce type d'opération, tel que notifié par le prestataire de services de paiement et calculé conformément à l'article 17 du présent arrêté, est équivalent ou inférieur aux taux de référence en matière de fraude mentionnés en annexe au présent arrêté, pour les " paiements électroniques à distance liés à une carte " et pour les " virements électroniques à distance " ;
2° Le montant de l'opération ne dépasse pas la valeur-seuil de dérogation correspondante mentionnée dans le tableau figurant en annexe au présent arrêté ;
3° Les prestataires de services de paiement n'ont décelé aucun des éléments suivants à l'issue d'une analyse en temps réel des risques :
a) Des dépenses anormales ou un type de comportement anormal du payeur ;
b) Des informations inhabituelles concernant l'utilisation du dispositif ou logiciel du payeur à des fins d'accès ;
c) Des signes d'infection par un logiciel malveillant lors d'une session de la procédure d'authentification ;
d) Un scénario connu de fraude dans le cadre de la prestation de services de paiement ;
e) Une localisation anormale du payeur ;
f) Une localisation du bénéficiaire présentant des risques élevés.
III.-Les prestataires de services de paiement qui entendent exempter des opérations de paiement électronique à distance de l'authentification forte du client au motif qu'elles présentent un risque faible tiennent au moins compte des facteurs suivants liés aux risques :
1° Les habitudes de dépenses antérieures de l'utilisateur individuel de services de paiement ;
2° L'historique des opérations de paiement de chacun des utilisateurs de services de paiement du prestataire de services de paiement ;
3° La localisation du payeur et du bénéficiaire au moment de l'opération de paiement dans les cas où le dispositif d'accès ou le logiciel est fourni par le prestataire de services de paiement ;
4° L'identification de comportements de paiement anormaux de l'utilisateur de services de paiement par rapport à l'historique de ses opérations de paiement.
L'évaluation du prestataire de services de paiement intègre l'ensemble de ces facteurs liés aux risques dans une note de risque, attribuée à chaque opération individuelle, qui permet de déterminer s'il convient d'autoriser un paiement spécifique sans authentification forte du client.

I. - Pour chaque type d'opération visé dans le tableau figurant en annexe, le prestataire de services de paiement veille à ce que les taux de fraude globaux liés tant aux opérations de paiement authentifiées par une authentification forte du client qu'à celles effectuées au titre des dérogations visées aux articles 13 à 18 du présent article soient équivalents ou inférieurs au taux de référence en matière de fraude lié au même type d'opération de paiement qui est mentionné dans le tableau figurant en annexe.
Le taux de fraude global lié à chaque type d'opération est calculé comme étant la valeur totale des opérations à distance non autorisées ou frauduleuses, dont les fonds ont été récupérés ou pas, divisée par la valeur totale de l'ensemble des opérations à distance pour le même type d'opération, authentifiées par une authentification forte du client ou exécutées au titre d'une dérogation visée aux articles 13 à 18, sur une base trimestrielle glissante (90 jours).
II. - Le calcul des taux de fraude et les chiffres qui en découlent sont évalués dans le cadre de l'audit visé à l'article 3, paragraphe 2, qui en assure l'exhaustivité et l'exactitude.
III. - La méthode et tout modèle qu'utilise le prestataire de services de paiement pour calculer les taux de fraude, ainsi que les taux de fraude proprement dits, sont dûment consignés par écrit et mis à l'entière disposition des autorités compétentes, moyennant notification préalable à leur demande.

I. - Les prestataires de services de paiement qui font usage de la dérogation visée à l'article 18 préviennent immédiatement les autorités compétentes si l'un des taux de fraude qu'ils contrôlent, pour tout type d'opération de paiement indiqué dans le tableau figurant en annexe, dépasse le taux de référence applicable en matière de fraude, et fournissent aux autorités compétentes une description des mesures qu'ils entendent prendre pour rétablir la conformité du taux de fraude en question avec les taux de référence applicables en matière de fraude.
II. - Les prestataires de services de paiement cessent immédiatement de faire usage de la dérogation visée à l'article 18 pour tout type d'opération de paiement indiqué dans le tableau figurant en annexe dans la fourchette de seuils de dérogation concernée, lorsque le taux de fraude qu'ils contrôlent dépasse pendant deux trimestres consécutifs le taux de référence en matière de fraude applicable à cet instrument de paiement ou à ce type d'opération de paiement à l'intérieur de cette fourchette.
III. - Après la suspension, conformément au II du présent article, de la dérogation visée à l'article 18, les prestataires de services de paiement ne font de nouveau usage de cette dérogation que lorsque leur taux de fraude calculé reste égal ou inférieur, pendant un trimestre, aux taux de référence en matière de fraude applicables à ce type d'opération de paiement dans la fourchette de seuils de dérogation.
IV. - S'ils entendent faire de nouveau usage de la dérogation visée à l'article 18, les prestataires de services de paiement en informent les autorités compétentes dans un délai raisonnable et, avant de faire de nouveau usage de la dérogation, fournissent les éléments prouvant que le taux de fraude qu'ils contrôlent est redevenu conforme au taux de référence en matière de fraude applicable pour cette fourchette de seuils de dérogation conformément au III du présent article.

I.-Pour faire usage des dérogations prévues aux articles 10 à 18, les prestataires de services de paiement enregistrent et contrôlent les données suivantes pour chaque type d'opérations de paiement, en les ventilant par opérations à distance et autres opérations, au moins sur une base trimestrielle :
1° La valeur totale des opérations de paiement non autorisées ou frauduleuses, conformément à l'article L. 133-7, la valeur totale de l'ensemble des opérations de paiement et le taux de fraude qui en découle, comprenant une ventilation par opérations de paiement initiées grâce à l'authentification forte du client et au titre de chacune des dérogations ;
2° La valeur moyenne des opérations, comprenant une ventilation par opérations de paiement initiées grâce à l'authentification forte du client et au titre de chacune des dérogations ;
3° Le nombre d'opérations de paiement pour lesquelles chacune des dérogations a été appliquée et le pourcentage qu'elles représentent par rapport au nombre total d'opérations de paiement.
II.-Les prestataires de services de paiement mettent les résultats du contrôle effectué conformément au I du présent article à la disposition des autorités compétentes, moyennant une notification préalable à l'autorité compétente, à sa demande.