Le forçage carte : une solution d'acceptation à risque

Dans un article sur le  » offline « , nous avions précisé le fonctionnement de l’AC (Application Cryptogram). C’était l’occasion de rappeler que même si on aboutit sur un paiement refusé « AAC », une carte peut quand même être acceptée par « forçage ».
Imaginons que votre carte ne soit pas compatible avec un fonctionnement offline. Le commerçant décide tout de même de stocker les données de cette dernière et d’aboutir à « paiement accepté ». Malgré une telle décision, ce dernier sera tout de même assuré d’être payé, si le réseau (CB, Visa ou Mastercard) ne s’y oppose pas.
Récemment sur twitter, nous avons vu plusieurs messages sur la carte Visa Debit Revolut et sur son fort taux d’acceptabilité dans toutes les situations. Il y était souvent fait référence à des distributeurs de biens (boissons, journaux, tickets, friandises, matériel médical / hygiénique…). Ces automates sont très majoritairement compatibles avec le « online ». Les transactions conduisent à une demande d’autorisation même quand la carte est en  « offline préféré ». Cette démarche vise à renforcer la sécurité des transactions.

Les catégories de TPE

Les TPE sont classifiés en 9 catégories nommées CAT (Cardholder Activated Terminals). Dans le cas de ces automates, on parle de CAT3 pour le type de TPE. Il s’agit de terminaux dépourvus de clavier pour la saisie du PIN.
Nayax est le principal constructeur suivi de près par CCV et Ingenico / Verifone. Nayax est clairement le leader et on reconnaît ses TPE à leur couleur jaune.

Le mode « unable to go online »

Dans certaines situations, ces TPE sont configurés en « unable to go online ». Ce que vous appelez « offline ». Une telle configuration est surtout appliquée dès que la connexion (WiFi ou GSM) n’est pas suffisamment stable pour assurer une bonne acceptation des paiements.
Mastercard, Visa et CB tolèrent donc le mode « unable to go online » dans ces situations pour les CAT3. Toutefois, il est interdit d’encaisser plus de 25EUR entre 2 télécollectes c’est-à-dire entre 2 transferts de journaux.
Lorsque vous présentez une carte, la transaction est alors stockée dans une mémoire non-volatile du TPE. Les informations de votre carte sont stockées dans un journal local, chiffré en AES. Chaque transaction pèse environ 2 KB.
Si l’automate est beaucoup utilisé, il n’est pas rare d’avoir un message indiquant que son journal est plein, ou son stockage saturé. Vous pouvez même voir même un message indiquant que seul le paiement avec des espèces est possible.

Le forcage

Si votre carte est compatible « offline », on rentre dans une transaction normale. Si en revanche elle n’est pas compatible, alors la seule option, pour accepter votre paiement, reste le « forçage ». Dans ce cas, si le TPE adopte cette méthode, il va sauvegarder les données de votre carte mais sans cryptogramme d’accord pour le paiement.
En télécollecte, il va donc réclamer l’argent en espérant que votre banque ne soit pas trop regardante sur l’absence de certificat de paiement.
Visa ne porte pas d’attention spécifique à ces situations. Toutefois, ce n’est clairement pas le cas de Mastercard qui décline certains traitements. Quelques banques en font de même. C’est-à-dire que si elles font face à un forçage, elles feront comme si cette transaction n’a jamais existé.
D’autres au contraire, imputeront le montant au débit de votre compte, même si cela doit donner un solde débiteur. Il est très rare de voir des CAT3 autoriser des Mastercard en mode « unable to go online » quand la carte n’est pas tolérante au hors ligne à minima. Le risque étant de ne pas être payé, ou encore, de se prendre une contestation de paiement.
Lorsqu’il y a forçage, votre banque dispose d’une fenêtre de 30 jours, durant lesquels, la banque peut refuser le paiement sans avoir à motiver sa décision. Certaines Fintech usent de cette possibilité lorsque le solde passe débiteur et qu’elles ne parviennent pas à recouvrer les fonds auprès de leur client.

Les xPay et le mode « unable to go online »

N’espérez pas utiliser Samsung Pay, Google Pay, Apple Pay, Paylib… Les xPay sont interdits de « offline » et même de « forçage ».
Stocker une donnée de carte provenant d’un xPay pour ensuite faire une télécollecte dessus, c’est l’assurance de ne pas être payé. Mais c’est surtout la garantie de se faire remarquer par Visa et Mastercard.
En général les TPE CAT3, lorsqu’ils voient que c’est un xPay (via les données transmises en NFC), refusent et votre mobile affiche un message indiquant que ce type de carte n’est pas autorisée. Les TPE ne prennent pas le risque de jouer à ça. Un épicier, nommé Edouard s’est cru plus malin, il s’est brûlé les ailes, et par égo mal placé il en est venu à boycotter pendant un temps tous les paiements xPay.

Les parking et péages

Les parkings, les péages, les ponts par exemple obéissent à d’autres règles. Le « offline » est autorisé jusqu’à 50EUR pour les automates de parking. Il sera limité à 100EUR pour tout ce qui touche aux péages. Evidemment, ces limites ne valent que si votre carte est en mesure de les accepter.
Cependant le forçage est soumis aux mêmes restrictions que les distributeurs automatiques.

Conclusion

Cela ressemble au offline, ça à l’odeur du offline, mais ce n’est pas du offline. Notez que dans une situation « unable to go online », que votre carte soit de type PREPAID, DEBIT ou CREDIT pour les particuliers, le TPE n’y porte pas d’intérêt. Le TPE va plutôt s’intéresser à sa capacité d’être payé s’il force la transaction. Il sera donc moins enclin à accepter une Mastercard quand il s’affranchit des règles de la carte.
Notez que parfois le TPE passe en « unable to go online » de manière éphémère. Vous relancez 2 secondes après et la transaction est alors en online. Ils sont principalement connectés en mode GSM avec SFR pour le réseau. Il arrive donc que le réseau ne porte plus de data, et dans la foulée ça retombe en marche.
Si comme notre fan de Matt Pokora (coucou L041S) vous avez désactivé le sans contact sur votre carte car vous utilisez uniquement un xPay, sachez qu’il y a une solution de secours. Avec un CAT3 en « unable to go online » votre xPay est refusé, mais si vous regardez bien le TPE, vous avez une fente en dessous pour insérer votre carte. Le TPE fera alors ce qu’on nomme du « dipping », en clair il utilise la puce de votre carte sans demander de code PIN.

Les néobanques et fintech proposant un fonctionnement offline sont très rares. Citons bunq, Transferwise, N26, et Nickel pour la France. Toutes les autres comme Revolut, Monese ou Max pour la France ne proposent pas de fonctionnement offline. Si un de vos paiements était accepté dans un mode déconnecté, avec une des dernières cartes citées, il s’agira à coup sur d’un forçage

Côté banques, traditionnelles, toutes sont compatibles, y compris des cartes à autorisation systématique comme Fosfo chez Fortuneo, EKO chez Crédit Agricole, Visa DEBIT chez BforBank, Ultim chez Boursorama, One & Prime chez Hello bank!, Mastercard chez ING, Visa chez OrangeBank… en clair toutes les cartes.