bunq : la désactivation d' Apple Pay pour les TopUp

bunq n’est pas le seul établissement à avoir supprimé Apple Pay pour recharger un compte. Monese a été obligé de suivre la même politique.
Quand vous utilisez votre carte physique, à chaque paiement à distance, une authentification est faite. Parfois elle est opérée silencieusement, parfois avec votre concours (SMS, réponse à une question, validation dans une application…). On parle dans ce cas d’une SCA (Authentification Forte). C’est tout le principe du 3DSecure, renforcé avec sa mouture en V2.

Liability Shift : la garantie de paiement

Votre banque obtient un certain nombre d’éléments qui peut influencer la SCA. Elle répond ensuite avec un Liability Shift (LS).
Si votre banque porte le LS, cela veut dire qu’elle apporte la garantie de paiement au commerçant. Ce point est important pour les commerçants, car ils ont l’assurance que même si le porteur est de mauvaise foi, ils ne seront pas inquiétés par ses agissements.
Dès qu’une transaction passe en 3DSecure, que vous ayez à approuver ou non, le LS est porté par votre établissement financier.
Le LS est également porté sans 3DS. Citons comme exemple Curve qui ne proposait pas de 3DS mais portait tout de même le LS pour les paiements à distance.

Apple Pay et le LS

Apple Pay ne porte jamais de LS. La raison est simple : il n’y a pas d’authentification du titulaire de la carte.
Il ne faut pas confondre une authentification locale sur un équipement comme le mobile, avec une authentification auprès de son institution financière. Par conséquent, les paiements Apple Pay peuvent sans difficulté êtres répudiés. Le commerçant peut donc être confronté à une contestation pour le paiement.

Une méthode de fraude éprouvée

La méthode de fraude est très simple. Il suffit d’obtenir les informations de carte d’une victime avec un numéro de téléphone. Le fraudeur ajoute la carte sur un équipement, Il obtient de sa victime l’authentification, et le discours est très bien rodé.
Le fraudeur peut alors utiliser la carte dans Wallet sans que la victime n’ait à interagir de nouveau dans le processus de paiement. Il n’y a donc plus d’authentification du porteur auprès de l’établissement bancaire. Il n’y a donc pas de SCA, et vous l’aurez compris, pas de LS. Le commerçant n’est donc pas couvert par une garantie de paiement.
bunq a été victime de cette méthode de fraude. Les comptes ont été rechargés par TopUp via Apple Pay. bunq, étant dépourvu d’une garantie de paiement, s’est retrouvé extourné des fonds crédités au moment du TopUp. Vous l’imaginez, le compte bunq est déjà vidé, et l’argent est parti ailleurs.

Laisser ou supprimer le TopUp via Apple Pay ?

Face à ce fonctionnement, bunq a donc désactivé Apple Pay, même constat pour Monese. D’autres acteurs comme Revolut gardent Apple Pay pour le TopUp, mais vous demandent occasionnellement des preuves. En cas de doute, Revolut vous demandera de fournir une capture de Wallet affichant les 4 derniers chiffres du numéro de carte virtualisée dans Apple Pay, et laissant apparaitre les 4 derniers de la carte physique. En complément, ils demanderont une preuve de titularité de la carte physique afin de lever un doute.
Lorsque le TopUp est mis en place depuis longtemps, et utilisé, il est très compliqué de le retirer. L’opération était plus simple pour bunq ou Monese car il n’était proposé que depuis quelques mois, et pas très utilisé pour les clients. La suppression est presque passée inaperçue pour les clients.
La méthode SCA est possible sur les différents Wallet, mais « cela gâche l’expérience, en coupant l’achat impulsif ». Par conséquent, les constructeurs d’équipements ne sont pas encore disposés à intégrer un parcours SCA lors de chaque paiement effectué via le Wallet.