I. - Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance que le prestataire de services de paiement considère comme présentant un faible niveau de risque conformément aux mécanismes de contrôle des opérations visés à l'article 2 et au 3° du II du présent article.
II. - Une opération de paiement électronique visée au I du présent article est considérée comme présentant un faible niveau de risque lorsque l'ensemble des conditions suivantes sont remplies :
1° Le taux de fraude pour ce type d'opération, tel que notifié par le prestataire de services de paiement et calculé conformément à l'article 17 du présent arrêté, est équivalent ou inférieur aux taux de référence en matière de fraude mentionnés en annexe au présent arrêté, pour les « paiements électroniques à distance liés à une carte » et pour les « virements électroniques à distance » ;
2° Le montant de l'opération ne dépasse pas la valeur-seuil de dérogation correspondante mentionnée dans le tableau figurant en annexe au présent arrêté ;
3° Les prestataires de services de paiement n'ont décelé aucun des éléments suivants à l'issue d'une analyse en temps réel des risques :
a) Des dépenses anormales ou un type de comportement anormal du payeur ;
b) Des informations inhabituelles concernant l'utilisation du dispositif ou logiciel du payeur à des fins d'accès ;
c) Des signes d'infection par un logiciel malveillant lors d'une session de la procédure d'authentification ;
d) Un scénario connu de fraude dans le cadre de la prestation de services de paiement ;
e) Une localisation anormale du payeur ;
f) Une localisation du bénéficiaire présentant des risques élevés.
III. - Les prestataires de services de paiement qui entendent exempter des opérations de paiement électronique à distance de l'authentification forte du client au motif qu'elles présentent un risque faible tiennent au moins compte des facteurs suivants liés aux risques :
1° Les habitudes de dépenses antérieures de l'utilisateur individuel de services de paiement ;
2° L'historique des opérations de paiement de chacun des utilisateurs de services de paiement du prestataire de services de paiement ;
3° La localisation du payeur et du bénéficiaire au moment de l'opération de paiement dans les cas où le dispositif d'accès ou le logiciel est fourni par le prestataire de services de paiement ;
4° L'identification de comportements de paiement anormaux de l'utilisateur de services de paiement par rapport à l'historique de ses opérations de paiement.
L'évaluation du prestataire de services de paiement intègre l'ensemble de ces facteurs liés aux risques dans une note de risque, attribuée à chaque opération individuelle, qui permet de déterminer s'il convient d'autoriser un paiement spécifique sans authentification forte du client.