COVID : Sans Contact, le réseau CB se remet en question et vise les 50€

Mastercard a décidé de revoir dans différents pays la limite au Sans Contact (PayPass). Le réseau domestique Français avait indiqué qu’il n’était pas prévu de suivre le mouvement. Il était plutôt souhaité de permettre aux clients de séparer le paiement en plusieurs transactions de 30€ maximum.

Le 9 avril dernier, le GIE CB a décidé d’avancer dans la réflexion. Le groupement indique maintenant envisager une réévaluation du plafond de paiement sans contact à 50€

Changement de position de CB

En France, les banques n’ont pas la main sur la limite du Sans Contact. La limitation est décidée par le groupement des Cartes Bancaires (CB). Elles sont donc dépendantes de la politique du réseau, même constat quand la transaction se fait via Mastercard ou Visa.

Nous le rappelions dans un article précédent, la majorité des cartes émises par les banques en France sont cobadgées (Dual Network), c’est-à-dire qu’elles embarquent « CB » mais également « Visa » ou « Mastercard ».

Les TPE des commerçants quant à eux embarquent un logiciel pour le Sans Contact nommé « CBCLESS ». C’est ce logiciel qui est capable de lire les cartes en sans contact, qu’elles soient Visa, CB, V Pay, Mastercard ou Maestro. Cela évite ainsi de devoir cumuler les applications.

Lorsque CB décide qu’une nouvelle valorisation doit se faire, il faut que l’application « CBCLESS » soit mise à jour avec le nouveau plafond. Mais certaines cartes doivent également être mises à jour.

Une revalorisation du « Sans Contact » (no CVM) est donc un enjeu industriel comme le rappel le GIE CB.

C’est donc le 9 avril dernier que CB indiquait se lancer dans cette opération de revalorisation avec les banques et les différents partenaires (industriels, commerçants, intégrateurs, équipementiers…).

Le risque sur la sécurité des transactions

C’est l’un des points les plus compliqués en France. CB pour démocratiser le « Sans Contact » dès 2012 a tissé des accords portant le risque sur la banque du porteur. En clair, si votre carte est détournée (vol ou perte), le commerçant garde les fonds. C’est votre banque qui va supporter la perte financière et en sera de sa poche.

Le commerçant sera toutefois inquiété si les incidents sont répétés, et des mesures seront prises à son encontre.

Remonter un plafond de 30 à 50€ impose donc une prise de risque par l’une des parties entrant dans le processus du paiement. CB précise d’ailleurs travailler à cette sécurisation, une discussion forcément compliquée avec les partenaires.

Limitation technique sur la carte

Votre carte est équipée d’un microprocesseur qu’on nomme ICC/ICS, ou plus vulgairement la puce. Ce dispositif intègre des configurations pour différents cas d’usage. Dans ces milliers de paramétrages, ce trouve un TAG, c’est-à-dire une configuration, qui est dédiée à la limite du sans contact.

Sur Mastercard, le TAG EMV se nomme DF26, il est valorisé généralement avec « 000000003000 » qui veut dire « 30.00€ ». C’est la limite que votre carte accepte en « NoCVM (Contactless) », c’est-à-dire en mode sans contact et sans saisie du code PIN. Notez que bien qu’il n’y en a quasiment plus en circulation, certaines cartes sont encore avec une valorisation « 000000002000 » en clair, 20.00€.

Ce TAG n’est pas une obligation. Il est recommandé pour limiter le sans contact, mais il n’est pas imposé. Par conséquent, soit il n’est pas renseigné, soit il est valorisé avec « 000000000000 ». Dans les 2 cas, cela veut dire que la puce de votre carte n’est pas limitée. En clair, la limitation est intégrée dans le système informatique de l’émetteur.

Chez Visa c’est un peu différent. On ne parle pas de « NoCVM (Contactless) » mais de « Visa Low-value Payment ». Il n’y a pas que le nom qui change, le TAG est également différent, c’est le 9F78 sur une VISA. Ils ont d’ailleurs un ensemble de TAG, le 9F77 gère la limite globale des paiements autorisés en « Sans Contact » entre 2 insertions de la carte avec saisie du code. Ils embarquent aussi le 9F79 qui soustrait chaque paiement effectué et indique le solde restant avant de devoir insérer la carte.

Limitation technique sur le TPE

Un TPE embarque une application afin de gérer le Sans Contact. Au sein de cette application se trouve un paramétrage propre à chaque pays, selon les critères décidés pour le pays en question. Prenons l’exemple de l’Espagne, les TPE sont configurés par défaut à 20€ pour le Sans Contact en temps normal.

Une carte bancaire française, avec une limite à 30€ pour le « NoCVM (Contactless) » aura 3 comportements possibles :

  • Paiement de 19€ : Le paiement s’effectue simplement sans vous authentifier.
  • Paiement de 21€ : Le TPE vous demande de saisir votre code PIN (PIN Online) pour vous authentifier.
  • Paiement de 31€ : La transaction est refusée, il faudra insérer votre carte et faire votre code PIN.

Ce 3ème cas de figure va varier selon les cartes et la configuration que nous avons vues avant. Si vous n’avez aucun TAG EMV, ou une valorisation sur 0, alors vous serez invité à composer votre code PIN pour les 31€. Le TPE sera donc obligatoirement sur une autorisation « online » afin d’utiliser le « PIN Online » pour l’authentification.

Mastercard a modifié le seuil d’absence d’authentification afin de le monter de 20 à 50€ durant la pandémie. C’est temporaire, il n’est pas prévu de maintenir ce nouveau plafond. Toujours avec notre carte voyons ce que cela change.

  • Paiement de 19€ : Le paiement s’effectue simplement sans vous authentifier.
  • Paiement de 21€ : Le paiement s’effectue simplement sans vous authentifier.
  • Paiement de 31€ : La transaction est refusée, il faudra insérer votre carte et faire votre code PIN.

Si vous avez une carte dépourvue de restriction, alors l’exemple 1 ou le 2 s’appliquera jusqu’à 50€. Au-delà, vous serez invité à saisir votre code PIN pour finaliser le paiement.

Limitation sur le serveur d’autorisation

Avec cette pandémie, on pourrait se demander pourquoi limiter à 50€ le VLP / NoCVM (Contactless). En monétique, le hasard n’a pas sa place, et tout s’explique. Cette limite de 50€ est en fait prévue depuis le 27 novembre 2017.

Le fonctionnement monétique obéit à des règles qu’on nomme RTS (Regulatory Technical Standards). Celui qui nous intéresse, c’est le 2018/389 qui fixe les modalités de l’authentification forte (SCA). Dans ce règlement se trouve l’Article 11 qui va définir les restrictions du NoCVM (Contactless) / VPL.

Il est rappelé qu’en l’absence d’authentification (PIN) il est interdit en Europe d’accepter des paiements au-delà de 50€. L’article précise même que la limite globale entre 2 authentifications est portée à 150€ ou 5 transactions.

La règle est donc opposable à tous les émetteurs de cartes bancaire en Europe, les banques ne peuvent aller au-delà. La seule chose qu’elles peuvent gérer c’est l’authentification de leur client dans le cadre de la SCA.

Prenons l’exemple du Canada qui a une limite à 65€ sans authentification on imagine qu’ils ont l’€ pour ne pas faire d’équivalence EUR/CAD à chaque chiffre. Comme vous avez compris que si vous avez un TAG limitant la carte, vous n’irez pas au-delà de 30€, on va prendre l’exemple d’une carte sans restriction.

  • Paiement de 40€ : Le paiement s’effectue simplement sans vous authentifier.
  • Paiement de 60€ : Le paiement s’effectue simplement sans vous authentifier, mais votre banque doit refuser.
  • Paiement de 100€ : Le TPE vous demande de saisir votre code PIN (PIN Online) pour vous authentifier.

Entre 50,01€ et 65€ il y a un vide, vous êtes en dessous du seuil pour que le TPE vous demande le code PIN (PIN Online), et vous êtes au-delà du seuil sans authentification que votre banque doit accepter.

L’émetteur de votre carte doit donc gérer un compteur qu’il incrémente, et dès que vous atteignez 5 paiements ou 150€, il doit refuser la transaction. Soit vous devez effectuer un paiement avec saisie du PIN (SCA) pour réinitialiser les curseurs, soit vous pouvez le faire dans l’application de votre banque (si cette dernière le propose).

Avantages / Inconvénients d’une restriction via TAG EMV

Le fait de mettre un TAG avec une limitation permet de refuser la transaction en local. Dans un tel scénario, le paiement dépasse la limite fixée sur la puce, le TPE demande spontanément à insérer la carte.

Vous comprenez alors aisément, et le commerçant, qu’il suffit d’insérer la carte pour effectuer le paiement.

En l’absence de TAG, le TPE va conduire une autorisation en échangeant avec votre banque, et si vous dépassez une limite de sécurité, la banque refuse la transaction. Toutefois, ce retour n’est généralement pas très bien géré, le TPE se limite à indiquer que le paiement est refusé.

Les commerçants, souvent sans comprendre pourquoi, insèrent la carte, recommencent et ça passe. Vous ou eux, pouvez penser que le sans contact est parfois hasardeux, en fait non, vous avez simplement dépassé une limite prévue par les RTS.

L’absence de TAG peut donc conduire à un refus de paiement, et la nécessité de réitérer l’opération de paiement, non sans embarras quelques fois. Avec un TAG, le TPE comprend immédiatement que le paiement sans contact est impossible, il impose alors d’insérer la carte comme unique solution pour finaliser la transaction.

Il n’y a pas de bonne ou de mauvaise pratique, ce sont des choix industriels. Cela est généralement dicté par la capacité de savoir-faire ou de na pas savoir faire des mises à jour EMV d’une carte.

En général, ceux qui ne gèrent pas les TAGs, sont les mêmes que ceux qui bloquent le sans contact dans les autorisations, sans pour autant le désactiver sur la puce de votre carte. C’est surtout dans les néobanques qu’on remarque ces situations, vous bloquez le sans contact, mais cela ne le désactive pas sur votre puce. Conséquence, le TPE fait l’autorisation car la puce indique « OK » pour le sans contact, puis le paiement est refusé.

Lorsque cela est géré proprement, le sans contact est inactif sur votre puce, et le TPE vous invite immédiatement à l’insérer pour finaliser la transaction. Pour cela, il faut que l’émetteur de votre carte sache gérer les scripts EMV.

TPE français et le passage à 50€

La première étape sera donc de pousser une mise à jour des paramètres sur l’application « CBCLESS » présente dans tous les TPE en France compatibles « Sans Contact ». Cette étape là sera déjà un défi industriel pour de nombreux commerçants.

Lorsqu’un TPE est délivré par une banque française, la mise à jour sera très rapide. Avec une telle situation, il faudra compter quelques heures / jours afin que tous les TPE disposent du nouveau paramètre à 50€.

Dans les autres cas, il faudra attendre que le partenaire du commerçant mette en œuvre la mise à jour, voir même que le commerçant prenne contact avec ce dernier. L’opération sera très certainement facturée au commerçant d’ailleurs s’il n’y a pas de contrat de maintenance / support en cours.

Quand on constate que presque 1/3 du parc de TPE en France n’est pas en dernière version afin d’embarquer CB 5.5, on reste dubitatif sur une mise à jour rapide et efficace de ces mêmes TPE.

CB n’a jamais forcé les commerçants à évoluer, ils ne souhaitent pas pousser à l’obsolescence ou contraindre le commerçant à engager des frais auprès de son partenaire.

Les TPE seront très probablement la partie de cette chaine qui sera la plus simple à actualiser pour aller vers 50€.

Carte bancaire française et le passage à 50€

Pour les cartes sans valorisation, aucune opération n’est à effectuer par l’émetteur, la carte devient automatiquement compatible avec le nouveau seuil de 50€ (sous réserve que le TPE soit à jour).

Sur une carte Mastercard, il faut donc changer la limite du DF26 en le mettant soit à 50€, soit en l’invalidant avec une valorisation à 0.

Il existe également une solution basée sur la programmation Card Issuer Action Code (Contactless) de votre carte, aussi nommée CIAC. Pour résumer, avec cette méthode, on déclenche une autorisation « online » pour les transactions « sans contact ». C’est donc à l’émetteur de votre carte de gérer la limite de 50€.

La méthode visant à revaloriser le DF26 semble la meilleure. Toutefois, on compte sur les doigts d’une main les processeurs de paiements capables de faire une telle opération. On se souvient que Crédit Mutuel avait géré cela lors du passage de 20 à 30€ pour ce TAG, suivi ensuite de la Société Générale. Les autres ont opté pour un renouvellement anticipé à la demande du client, ou à échéance de votre carte.

Impossible pour l’heure de savoir quels sont les émetteurs qui auraient évolués depuis le passage de 20 à 30€, entré en vigueur le 1er octobre 2017 sur le territoire Français.

Nous n’allons pas lister les cartes sans TAG EMV. Il serait trop long de toutes les détailler, d’autant que majoritairement, elles disposent toutes d’un TAG en ce sens.

Paiement CDCVM (Mobile, Montre…)

Le CDCVM est un mécanisme d’authentification du porteur sur son équipement nomade comme un téléphone. L’authentification doit se faire au-delà la limite dite « NoCVM » que nous avons vu.

Google Pay ou Paylib par exemple ne déclenchent le CDCVM dès que la limite « NoCVM » est atteinte. C’est pour cela que vous présenter une première fois le mobile, puis vous êtes invité à vous authentifier sur le mobile et à le présenter une 2nd fois au TPE. Durant l’attente d’authentification, le TPE affiche généralement un message du genre « SAISIR CODE SUR MOBILE ».

Ces 2 solutions de paiements devraient donc vous solliciter pour authentification dès 50€ et non dès 30€. Il faudra cependant que le TPE soit sur le nouveau seuil de 50€.

Aucun changement pour Apple Pay ou même Samsung Pay qui pratiquent tous les le CDCVM par défaut dès le 1er centime.

Augmenter le plafond carte au lieu d’imposer le paiement mobile

Dans les usagers, il y a toujours plusieurs équipes. On retrouve par exemple les fanatiques de paiements mobiles qui n’hésitent pas à scander que la carte c’est moins sécurisé, alors que c’est totalement faux. Il faut faire la nuance entre la réalité technique, et l’impression qu’on se fait. On vous laisse lire l’article dédié à ce sujet.

Mais on trouve aussi des extrêmes dans les utilisateurs de la carte qui pensent alors que c’est sans limite si quelqu’un vient à dérober le mobile. Alors qu’il y a bien une limitation tout comme la possibilité de faire opposition.

L’augmentation du sans contact se pose dans une situation de crise sanitaire. Plusieurs spécialistes optent pour une hausse du plafond de la carte, en raison des problèmes que la biométrie va poser.

S’il s’avère qu’un masque est recommandé, voir imposé, ce dispositif de protection n’est qu’utile à condition ne plus le manipuler une fois mis en place. Il ne faut donc plus jamais le toucher, sauf pour le retirer et le jeter. Le baisser pour le remonter ensuite est contraire aux mesures d’hygiènes et invalide la protection pour laquelle il était destiné.

Dès lors que la biométrie se fait avec une reconnaissance du visage, le masque rend impossible son utilisation. Le client serait alors tenté de toucher le masque afin que la biométrie soit fonctionnelle et le repositionner ensuite. Si masque a fait barrière, le client se trouve alors contaminé et contaminera des supports comme son mobile.

Le recours à un code sur le mobile risque de contaminer ce dernier. L’utilisateur ne pensera pas à se laver les mains après chaque manipulation, ou a désinfecter la téléphone. Risquant ainsi la contamination.

La carte bancaire reste une bonne alternative car après l’avoir touchée, on la range et on se désinfecte les mains. Il y a donc rupture ainsi de la chaine de contamination après ce geste d’hygiène.

Conclusion

Il faut garder à l’esprit que ce relèvement est voué à être temporaire dans de nombreux pays. Le retour en arrière sera fait une fois la pandémie endiguée.

Le mobile reste le moyen le plus simple de payer en cette période. Toutefois, il est conseillé d’activer une authentification par iris ou empreinte digitale et non via le visage. Avec ces autres méthodes, si vous portez un masque afin de vous protéger, ou de protéger les autres, vous n’invalidez pas l’intérêt du port d’un masque.

Un masque ça se met pour la protection, et ne se retire que pour être jeter. Le baisser car vous êtes seul ou en voiture, augmente le risque de contamination. Il peut contenir des agents pathogènes ou les ramener à votre bouche lorsque vous repositionnez le masque.

Comme nous l’indiquions dans un précédent article, il faudra du temps, plusieurs semaines afin que les premières actualisations puissent débuter. Ensuite, il faudra attendre un déploiement de masse.

Il y aura forcément des TPE qui resteront à 30€, tout comme certaines cartes qui seront figées sur 30€. Ce sera donc une gymnastique parfois, tout comme en 2017 avec le relèvement du plafond.

Une dernière recommandation et non des moindres, quand vous faites du sans contact, ne tendez plus votre carte au commerçant. Le commerçant n’a pas à manipuler votre carte. Vous devez la garder en main, la présenter sur le TPE et la retirer. Ne laissez plus un commerçant la toucher tant pour des raisons d’hygiène que de sécurité.

N’hésitez pas à rappeler au commerçant que vous refusez qu’il touche votre carte pour des raisons d’hygiène. Ne tentez pas de jouer la carte de la sécurité, l’hygiène est bien plus parlant et logique.