Est-ce la fin des transactions offline ?

paiement par carte biométrique
paiement par carte biométrique

C’est étonnant, mais le « offline » et le « online » semblent être des sujets revenant souvent sur le tapis. On les retrouve même dans des comparatifs. Nous avons également de nombreuses questions récurrentes sur ces transactions offline.

Nous vous proposons un dernier tour de piste pour éclaircir les dernières zones d’ombres. L’article ne va donc pas rentrer dans le détail de certains fonctionnements déjà traités.

Les cartes utilisées dans les explications

Pour simplifier l’article, voici les cartes que nous allons utiliser et leurs valeurs respectives :

Fortuneo

En version Mastercard Gold, la carte Fortuneo est en « offline préféré » jusqu’à 150€ ou 3 transactions quand elle passe sur le réseau CB. Les valeurs sont identiques sur le réseau Mastercard.

Boursorama

En version Visa Premier, la carte est en « offline préféré » jusqu’à 160€ ou 5 transactions quand elle passe sur le réseau « CB ». En utilisation sur le réseau « Visa », seul un « offline toléré » est disponible jusqu’à 150€ ou 5 transactions. Elle est donc à autorisation systématique sur le réseau Visa.

Carte Zéro

En version Mastercard Gold, la carte est en « offline préféré » jusqu’à 50€ ou 2 transactions. Elle en passe en « toléré » au-delà et jusqu’à 200€ ou 4 transactions.

« Offline / Online » en France & DOM

En France, la quasi-totalité des cartes émises par les banques traditionnelles sont cobadgées. C’est-à-dire qu’en plus d’embarquer Visa ou Mastercard, elles embarquent le réseau français nommé « CB ».

En France et dans les DOM, les TPE disposent à minima de 2 applications. Elles permettent de traiter les réseaux CB, Visa et Mastercard. Elles se nomment « CB EMV » pour le paiement « contact » et « CBCLESS » pour le « sans contact ». Ces dernières permettant de traiter les 3 réseaux sont régulièrement actualisées pour le TPE sous contrat de maintenance. Nous sommes actuellement en version 5.5, cumulée à un Bulletin 17 . Ces applications fixent les spécifications et les règles pour l’acceptation des paiements.

Sauf exception, sur un paiement de 40€, Boursorama et Fortuneo seront traitées en « offline » par le TPE. Toutefois, Carte Zéro sera traitée en « online » bien que l’on n’atteigne pas son seuil pour le déclenchement du « online ».

L’explication est très simple pour Carte Zéro. Elle n’est pas cobadgée !

En France, le « offline » n’est assuré que pour 2 situations :

  • La carte est cobadgée : tant que l’on ne dépasse pas les seuils de contrôles, c’est « offline ».
  • Le TPE est en « Unable to Go Online » : il est techniquement incapable de faire du « online ».

La configuration « offline préféré » ne sert donc à rien en France si votre carte n’est pas cobadgée. C’est CB qui communique une liste de cartes compatibles « offline préféré ». Cette liste est alors intégrée et actualisée régulièrement dans les TPE.

La configuration « offline toléré » sera exploitée qu’à la condition que le TPE soit forcé en « Unable to Go Online ».

En cas de coupure d’internet et si le TPE n’a pas été forcé par le commerçant, il n’est pas en mode « Unable to Go Online ». Par conséquent, toutes les cartes non affiliées « CB » seront refusées par le TPE.

« Offline / Online » hors France & DOM

A l’étranger, les TPE ne sont pas tous obligatoirement en « online préféré ». Certains sont en « offline préféré » selon le type de commerce et autres critères. Nous allons prendre par exemple un pays latin comme l’Italie qui a les 2 modes sur ses TPE. Tout ce qui touche à la restauration est souvent en « offline préféré » chez eux.

Dans une telle configuration, pour un paiement de 40€, votre Fortuneo et votre Carte Zéro passent toutes deux en « offline » sur le TPE. Toutes les deux embarquent un seuil « offline préféré » sur le réseau Mastercard. Votre Boursorama ira en « online ». Elle n’a pas de « offline préféré » mais juste un « toléré » sur le réseau Visa.

Si le TPE est configuré en « Unable to Go Online » alors les 3 cartes passeront en « offline ». Mais si le TPE ne peut conduire d’autorisation et qu’il n’est pas forcé en « offline », alors votre Boursorama sera refusée.

Nous vous entendons déjà scander que Mastercard c’est mieux que Visa. Que ce soit Mastercard ou Visa, le « offline préféré » va dépendre uniquement de l’émetteur de votre carte. BforBank par exemple va jusqu’à 600€ ou 7 transactions sur sa Visa Premier. Certains émetteurs vont même jusqu’à supprimer tout « offline » sur le réseau autre que « CB ». C’est le cas de la Visa Premier chez Hello bank!

« Offline / Online » la politique des réseaux

Concernant les paiements par carte en mode « contact » ou « sans contact », la préférence chez Visa ou Mastercard va au « online ». CB, pour sa part, va préférer le « offline » pour les paiements. L’émetteur de la carte reste toutefois libre de la configuration qu’il souhaite appliquer. Même constat pour les TPE, sauf exception, l’acquéreur, c’est-à-dire la banque du commerçant reste libre de sa configuration.

American Express qui repose sur un modèle en 3 coins c’est plus clair, c’est « online ». Le « offline » ne doit servir qu’aux situations « Unable to Go Online ».

Abordons les paiements en mode « sans contact » mobile (Apple Pay, Google Pay, etc..). La position est très tranchée, le « offline » est strictement interdit. C’est « online » obligatoire ou sinon il faut refuser le paiement. Par conséquent, un TPE en « Unable to Go Online » devra refuser un paiement mobile.

Les distributeurs de billets (DAB/ATM) sont également en « online » obligatoire. En cas d’impossibilité, ils passent en maintenance et ne proposent pas d’effectuer un retrait.

La position des banques françaises avec ce « online / offline »

Les communicants des fintechs aiment se pavaner en indiquant qu’elles ont inventés le « temps réel ». Si on les écoute, les banques étaient incapables de le faire, elles souffrent de systèmes obsolètes ne permettant pas cela.

Ces personnes savent très bien que ce principe de « temps réel » existe depuis des décennies dans toutes les banques. Cela est même une obligation imposée par leur licence « établissement de crédit ». Les banques doivent proposer une « offre clientèle fragile » ainsi qu’une offre « service bancaire de base ». Ces 2 offres sont associées à des cartes « Visa Electron », « V Pay », « Visa / Mastercard Online », etc.

Avec ce type de cartes qu’on nomme « punitives », chaque centime nécessite une autorisation de la banque. Le montant autorisé est alors déduit immédiatement du solde disponible et vous voyez votre transaction.

Les communicants passent donc cela sous silence. Dire « notre carte fonctionne de la même façon que celles dédiées aux clients fragiles ou en situation d’échec bancaire », c’est immédiatement moins vendeur. Nombreux sont ceux qui préfèrent fanfaronner avec une « carte noire en métal à 15€/mois avec du temps réel ».

Les banques ont toutefois assimilés le fait qu’il peut y avoir de la demande pour ce type de carte punitive. Le volume des clients dans les fintechs en est la preuve. Elles se sont toujours freinées à proposer ces cartes aux clients n’ayant pas de difficultés. Toutes étudient à présent des offres, principalement dédiées à une clientèle jeune, friande de ce mode punitif vendu comme « temps réel ».

On distingue plusieurs comportements, mais voici les 4 principaux :

  • La carte sans autorisation systématique et sans contrôle de solde
  • La carte sans autorisation systématique mais avec contrôle de solde quand il y a « online »
  • La carte à autorisation systématique avec contrôle de solde mais sans séquestre
  • La carte à autorisation systématique avec contrôle de solde et avec séquestre

Sur les cartes « normales », c’est-à-dire plutôt destinées à des personnes à l’aise dans le suivi d’un budget, les banques ne vont pas se diriger vers l’autorisation systématique dès le 1er centime. Certaines comme La Banque Postale en « DEBIT » commencent toutefois à faire du contrôle de solde quand elles sont sollicitées pour la transaction. Si l’encours (solde du compte + découvert autorisé) est inférieur au montant de la transaction, le paiement est refusé.

Ce comportement en « DEBIT » visant à contrôler le solde en complément des plafonds devrait se généraliser. Il va permettre de réduire les incidents et donc les commissions d’intervention. L’argent ne sera pas gelé (séquestre) sur votre compte pour autant, c’est un contrôle complémentaire au plafond. C’est la position de Boursorama avec sa Visa Ultim ou ING avec ses 2 Mastercard en « DEBIT ».

Il faudra encore quelques années avant que les banques ne généralisent l’autorisation systématique, sans pour autant recourir au contrôle de solde. Mais une volonté de traiter toutes les transactions en « online » se démarque de plus en plus. Cela permettra déjà de satisfaire les exigences SCA (Strong Customer Authentication) prévue dans les RTS (Regulatory Technical Standards). Cela permettra aussi et surtout de pouvoir couper court aux usages frauduleux.

La généralisation du séquestre sur les cartes « DEBIT » normales n’est clairement pas à l’ordre du jour en raison des contraintes et réclamations que cela pourrait engendrer. Le contrôle de solde sera une première marche à franchir. On voit déjà les limites et critiques de certains clients sur ce contrôle complémentaire.

La position des banques étrangères avec ce « online / offline »

En « DEBIT » cela fait déjà quelques années qu’on trouve le contrôle de solde sur les cartes à l’étranger. Les cartes normales sont en « offline préféré », mais si l’autorisation atteint l’émetteur, alors il va vérifier votre encours en même temps qu’il s’assure que vous ne dépassiez pas votre plafond.

Les clients des banques étrangères ont ainsi l’habitude que le compte doit être suffisamment alimenté pour la transaction, même si c’est une « pré-autorisation » et que le montant final soit nettement inférieur, voir abandonné.

Comme en France, l’autorisation systématique cumulée au contrôle de solde et au séquestre reste un dispositif destiné aux clients qui présentent un risque de défaillance bancaire.

En « CREDIT » c’est généralement une ligne de « disponible » que le client rembourse en une ou plusieurs fois avec versement libre possible. Tout comme en France, le débit différé existe, et donc remboursement intégral obligatoire en une fois.

Sachez qu’à l’étranger ou même en France, un débit différé ne veut pas dire « dépenser jusqu’au plafond et voir ensuite ». Les conseillers ont des alertes quand les encours dépassent allègrement le solde du compte. A eux de vous appeler s’ils ont un doute, ou fermer la « tâche » en indiquant qu’il n’y a pas de problème. En cas de doute, le conseiller peut bloquer le différé, voir même vous le retirer, en portant au débit de votre compte toutes les opérations qui étaient en attente. Lors d’une grosse dépense, même en différé, pensez toujours à notifier votre conseiller afin qu’il ne soit pas surpris par son « poste risque client ».

Les banques étrangères sont donc très proches du système français pour les clients « sains » et idem pour les « douteux » selon le principe « Bâle ».

L’Instant Payment : le véritable temps réel

On a vu que les banques françaises ou étrangères ont une mentalité très similaire. Il faut cependant faire une exception avec des pays comme les USA ou le Canada qui n’utilisent pas la même technologie que nous.

Chez eux, la notion « DEBIT » et « CREDIT » est clairement assimilée par les clients. En fait, en « DEBIT » leur système fonctionne sur un principe de « Single Message », c’est-à-dire qu’au moment de la transaction aux US avec une carte US, l’argent sort immédiatement de leur compte pour aller sur celui du commerçant.

Sur le reste du globe, on est en « Dual Message », c’est-à-dire qu’on a un premier message qui est l’autorisation (online ou offline). Ce n’est qu’au second message que les fonds sortent de votre compte pour aller sur celui du commerçant, on parle de compensation ou clearing. Ce second message intervient après que le commerçant réclame ses fonds avec la télécollecte ou la capture.

L’avantage du « Dual Message » c’est qu’on ne fait pas des mouvements d’argent inutilement, on ne débite qu’une transaction réelle et aboutie (hors cas de séquestre). On évite ainsi de devoir rembourser un client car finalement vous avez annulé la commande par exemple.

Quand un porteur avec une carte bancaire émise en Europe va aux USA, il est fortement recommandé de toujours choisir « CREDIT ». Ce comportement vous permettra d’éviter les incidents et gère nettement mieux le fonctionnement « Dual Message », le cas échéant, ce sont les chambres de compensation / clearing qui s’occupent de simuler le « Dual Message ».

L’Instant Payment, c’est-à-dire le véritable temps réel à l’instar du « Single Message » aux USA existe en Europe. On le trouve principalement dans des systèmes à base de QR Code comme Bluecode en Allemagne, Swish en Suède, AliPay / WeChatPay en Asie, Klarna/Sofort dans plusieurs pays EU, etc.

Les clients le connaissent davantage avec le SEPA SCT Int (virement instantané). C’est également sur la base de l’Instant Payment que l’Europe travaille sur une solution de carte bancaire européenne. Le projet initialement nommé PEPSI (Pan European Payment System Initiative), renommé depuis EPI (European Payments Initiative), inclue principalement des banques françaises et allemandes. Le but, créer une alternative à Visa et Mastercard avec un transfert instantané des fonds entre vous et le commerçant. Un système 100% online donc.

Conclusion

Généraliser le « online » dès le 1er centime présente des avantages comme l’ajout de nouvelles fonctionnalités telles que les notifications, la restitution des autorisations…

Toutefois, cela va de paire avec les incidents et les risques liés aux dysfonctionnements sur le terrain.

Pour le moment, les acteurs historiques préfèrent mettre à disposition des cartes qui fonctionnent dans toutes les situations plutôt que d’occasionner des situations gênantes avec un paiement refusé.

Des discussions sur la vie privée sont également au cœur du débat du « tout online ». Vous avez être déjà vu dans des séries US les enquêteurs indiquer qu’un suspect vient d’utiliser sa carte il y a quelques minutes avec l’emplacement précis. Cela n’est pas de la science-fiction, avec le « tout online », il est possible de suivre à la trace un client à chaque seconde. La question du détournement de ce type de données se pose de plus en plus. Certains craignent même que des applications tierces avec la DSP2 suivent vos opérations en temps réelle et vous pousse vers un partenaire à proximité du lieu où vous avez fait votre dernier paiement.

L’idéologie de « n’avoir rien à cacher » vient se confronter avec celle de « ne plus pouvoir cacher quelque chose », surtout avec la disparition des espèces.

Nous allons clairement nous diriger vers du « tout online » sans séquestre, tel est le sens de l’histoire et des nouveaux usages. Les banques poussent déjà aux cartes de type « CREDIT » avec du débit différé, si le séquestre se généralise en « DEBIT », il sera encore plus simple aux conseillers de mettre en avant les cartes à débit différé aux clients.

Pour le moment «offline / online » est un sujet compliqué à s’approprier car plusieurs paramètres entrent en ligne de compte pour qu’une transaction adopte tel ou tel mode. A l’avenir, peut être que cela sera plus simple…