I.-Lorsque les prestataires de services de paiement appliquent la procédure d'authentification forte du client conformément au I de l'article L. 133-44 du code monétaire et financier ; l'authentification est fondée sur deux ou plusieurs éléments appartenant aux catégories " connaissance ", " possession " ou " inhérence ", mentionnées au f de l'article L. 133-4 du même code, et donne lieu à la génération d'un code d'authentification.
Le code d'authentification n'est accepté qu'une seule fois par le prestataire de services de paiement lorsque le payeur utilise ce code pour accéder à son compte de paiement en ligne, pour initier une opération de paiement électronique ou pour exécuter une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation abusive.
II.-Pour l'application du I du présent article, les prestataires de services de paiement prennent des mesures de sécurité garantissant le respect de chacune des exigences suivantes :
1° Aucune information sur l'un des éléments visés au I du présent article ne peut être déduite de la divulgation du code d'authentification ;
2° Il n'est pas possible de générer un nouveau code d'authentification en se basant sur un autre code d'authentification généré au préalable ;
3° Le code d'authentification ne peut pas être falsifié.
III.-Les prestataires de services de paiement veillent à ce que l'authentification au moyen de la génération d'un code d'authentification intègre chacune des mesures suivantes :
1° Lorsque l'authentification pour accès à distance, paiements électroniques à distance et toute autre action grâce à un moyen de communication à distance susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation abusive n'a pas généré de code d'authentification prévu au I du présent article, il n'est pas possible de déterminer lequel des éléments visés dans ledit paragraphe était incorrect ;
2° Le nombre de tentatives d'authentification infructueuses consécutives au bout duquel les actions prévues au I de l'article L. 133-44 du code monétaire et financier sont bloquées à titre temporaire ou permanent ne dépasse pas cinq au cours d'une période donnée ;
3° Les sessions de communication sont protégées contre l'interception des données d'authentification communiquées durant l'authentification et contre la manipulation par des tiers non autorisés, conformément aux exigences du chapitre V du présent arrêté ;
4° Le délai maximal d'inactivité du payeur, une fois que celui-ci s'est authentifié pour accéder à son compte de paiement en ligne, ne dépasse pas cinq minutes.
IV.-Si le blocage visé au 2° du III du présent article est temporaire, la durée de celui-ci et le nombre de nouveaux essais sont fixés sur la base des caractéristiques du service fourni au payeur et de l'ensemble des risques correspondants qui y sont associés, en tenant compte, au minimum, des facteurs énoncés au II de l'article 2.
Le payeur est averti avant que le blocage ne devienne permanent.
Lorsque le blocage est rendu permanent, une procédure sécurisée est mise en place pour permettre au payeur d'utiliser à nouveau les instruments de paiement électronique bloqués.