35€ pour agréger une carte chez Max : bonne ou mauvaise idée ?

Logo Aumax

Depuis le mois d’octobre, Max a modifié sa stratégie lorsque vous ajoutez une carte bancaire sur le service en agrégation. Cette nouvelle mesure est une avancée sur le plan sécurité, même si elle suscite quelques critiques.

Le micro-paiement

Historiquement, lorsqu’une carte était ajoutée sur le service Max, vous aviez un débit d’une somme inférieure à 5€. Il suffisait ainsi de renseigner le montant afin d’activer la carte sur le service d’agrégation Max.
Il était donc possible d’activer immédiatement une carte et l’utiliser en agrégation. Soit votre établissement financier vous affichait immédiatement le montant de l’autorisation, soit vous pouviez l’obtenir via un échange avec ce dernier.
Il était donc possible, pour une personne mal intentionnée, d’abuser un employé d’un établissement pour obtenir le montant. Une technique consistait par exemple à se faire passer pour le détenteur, expliquer qu’on avait essayé un paiement chez « Max », affirmer que ce paiement avait été refusé et demander pourquoi. Souvent l’employé, en toute bonne foi, répondait à ce genre d’échange de la sorte « Il y a pourtant bien une transaction de 1.26€ chez Max qui est acceptée ». Le fraudeur pouvait alors activer la carte en renseignant ce montant. Le micro-paiement était alors remboursé par Max, dès que son montant était renseigné dans l’application.
Max avait pris des mesures, il y a quelques temps, afin d’écarter l’ajout de certaines cartes sur son service. Cette mesure permettait ainsi de prévenir un blocage de Max auprès des établissements concernés.
Ce mécanisme pour ajouter une carte est à présent terminé.

Le paiement de 35€

Depuis le dernier trimestre 2020, Max fait à présent une autorisation de 35€. Ce montant est fixe, il n’est plus aléatoire. L’autorisation se fait avec le libellé « Max Enrolement », il n’y a donc aucune autre information.
Max utilise ensuite le mécanisme de compensation pour envoyer une actualisation du libellé qui devient alors « MAX*XXXX ». Les « XXXX » comportent un code qu’il vous faudra renseigner dans l’application pour activer la carte que vous souhaitez agréger.
Après avoir activé la carte, vous avez une opération au crédit sous le libellé « Max Enrolement » qui permet ainsi de rembourser les 35€ initialement débités de votre compte.
Il est donc impossible, même en contactant votre banque, ou si celle-ci vous liste les autorisations délivrées, de pouvoir valider immédiatement votre carte sur le service Max.
Durant le parcours pour ajouter votre carte, vous êtes d’ailleurs redirigés vers votre banque. Cette étape permet ainsi de vous faire passer l’authentification forte 3DSecure de votre établissement financier.

Un code disponible en compensation

Au travers des différents articles, nous vous avons expliqué que le système de paiement travaille en « dual message ».
Tout débute par une autorisation (offline ou online, selon l’environnement), cette autorisation se fait avec un libellé et un montant donnés.
Ensuite, le commerçant ferme son journal de transactions puis les réclame de manière quotidienne ou hebdomadaire. A ce stade, le libellé, le lieu de transaction, le montant… sont susceptibles d’évoluer.
C’est au travers de ce second message que Max indique à votre établissement bancaire que le libellé n’est plus « Max Enrolement » mais « MAX*1234 ». Il vous faudra donc attendre le prochain jour ouvré pour que la compensation ait lieu sur le système bancaire et soit intégrée à votre compte. Lorsque cela sera effectif, vous serez débités des 35€, et le code s’affichera dans le libellé du débit.

Les points négatifs de cette méthode

Avec un regard monétique, nous ne voyons pas de points négatifs sur cette façon de faire. Si nous nous projetons à la place de certains usagers du service, nous identifions certaines frictions.

Les cartes à contrôle de solde

Dans un premier temps, il faudra accepter d’avoir un débit de 35€ sur son compte bancaire à la place de quelques centimes. Si vous avez une carte à contrôle de solde, il faudra donc disposer de cette somme sur le compte bancaire.

L’actualisation des libellés

Un autre point qui peut créer quelques difficultés dans des FinTechs surtout, l’actualisation du libellé en compensation. Certains nouveaux acteurs qui pratiquent le contrôle de solde et séquestre figent le libellé de transaction au moment où ils autorisent le paiement. Quand ce libellé est mis à jour par la compensation, le système informatique ne sait pas traiter ce mécanisme et reste alors figé sur l’ancien libellé. Si cette situation vous arrive, il faudra insister auprès de votre FinTech pour avoir le libellé de compensation, et l’inviter à respecter les standards au passage.

Les libellés tronqués

Une autre situation qu’on imagine, c’est le principe de tronquer les libellés. Certains acteurs financiers coupent les noms des commerçants afin de les rendre « plus lisibles ». Donc ils effacent une partie du libellé, rendant ainsi impossible de voir le code envoyé dans celui-ci par Max.

Le nombres limites de caractères

Dans la continuité de cette situation, certains prestataires limitent le nombre de caractères qu’ils affichent. Un problème rencontré par les usagers de Curve qui agrègent une carte Fortuneo. Lorsque Curve active la carte via un micro-paiement, Fortuneo coupe le dernier caractère du code inséré par Curve dans le libellé. Ne parlons même pas de certains prestataires financiers qui gravitent autour de la BNP et qui tronquent à 5 caractères les libellés !
Il s’agit là des principales situations que vont rencontrer les usagers du service d’agrégation. Mais ces complications ne sont pas liées à une mauvaise pratique de Max, mais bien à une lacune des acteurs financiers qui vous fournissent votre carte de paiement.

Les points positifs de cette méthode

L’obligation d’une authentification 3DSecure

Le choix d’un montant supérieur à 30€ n’est pas anodin ou décidé au hasard. En prenant 35€, Max est certain d’être au-dessus du seuil « sans friction » pour le 3DSecure, même dans sa déclinaison 2.0.
Dans le package de la DSP2, il y a l’intégration d’une règle monétique visant à limiter la « friction » jusqu’à 30€. C’est-à-dire que d’un commun accord, les acteurs considèrent que jusqu’à 30€ par paiement, le risque est acceptable afin de ne pas contraindre l’utilisateur à renseigner un code ou finaliser le paiement dans son application bancaire.
Ce parcours se nomme « sans friction ». Le but est donc d’éviter de perdre des clients potentiels lors de petits paniers à cause d’une difficulté à s’authentifier au moment du 3DSecure.
Avec 35€, Max se place juste au-dessus de ce parcours et invoque ainsi une authentification 3DSecure. L’émetteur de la carte est alors invité à porter le risque de cette transaction et des prochaines à venir. Il a donc tout intérêt à authentifier son client via le parcours qu’il a prévu pour le 3DSecure. Cela exclut généralement les authentifications simplifiées comme la simple demande d’une date de naissance.

Une transaction plus visible

Un autre point que nous trouvons positif : Une transaction de 35€ est nettement plus visible dans un relevé bancaire qu’un paiement inférieur à 1€.
Les très petits montants ne suscitent que rarement un étonnement, car le libellé n’est pas forcément clair et qu’on se dit « Pour 12cts je ne vais pas chercher ». Avec 35€, nous sommes déjà plus disposés pour comprendre et chercher l’origine d’une transaction.
En France, le GIE CB a un projet, celui de regrouper les petites transactions chez un même commerçant. Ceux qui utilisent par exemple leur carte sur un automate de boisson, voient généralement des dizaines de lignes identiques dans leurs mouvements, de quoi les rendre indigestes. Donc l’idée, déjà mise en œuvre par le Crédit Mutuel / CIC, c’est de regrouper tous les montants inférieurs à 10€ chez un même commerçant. Vous utilisez votre carte plusieurs fois par jour au travail pour le café, tous les paiements seront alors regroupés dans une seule opération mensuelle (débit différé) ou quotidienne / hebdomadaire (débit immédiat). En choisissant 35€, Max est certain d’être hors du projet de regroupement et ainsi faire apparaitre seule cette transaction.

Se servir de la compensation

Dernier point positif que nous pouvons soulever : l’enrôlement sur un code en compensation. Les acteurs financiers sont nettement plus au fait que pour authentifier une carte, un débit avec un code dans le libellé se pratique. Ils sont ainsi plus vigilants sur ce type de transactions. Ils peuvent donc prendre des mesures complémentaires.

PayPal, Curve et autres

Afficher un code dans une libellé de transaction n’est pas une nouveauté. Les usagers du service PayPal ont probablement déjà rencontré ce mécanisme pour vérifier leur carte sur le service.
La différence, c’est qu’ils affichent le « code » dans le libellé d’autorisation. Donc il est possible de saisir le code dans la foulée de l’ajout de la carte sur le service.
Max doit probablement être au fait de ce problème de libellé tronqué. Ils ont ainsi opté pour un libellé ne dépassant pas les 8 caractères. Ce qui réduit, comme peau de chagrin, les établissements qui tronquent en dessous de 8 caractères.
Le code dans le libellé est, avec certitude, une bien meilleure méthode qu’un montant aléatoire. Curve combine les 2 lorsqu’ils font un débit de vérification avec code. Toutefois, Curve reste encore sur des petits montants pour authentifier les porteurs de cartes.

Conclusion

Cette nouvelle politique chez Max est clairement faite pour réduire les ajouts de cartes qui sont effectués de manière frauduleuse. C’est même d’ailleurs une excellente nouvelle pour la pérennité du service d’agrégation.
Lorsqu’il y a trop de contestations sur des transactions, les émetteurs de cartes en viennent à bloquer ou appliquer des pénalités sur les transactions. Vous avez donc un paiement refusé, et vous devez alors valider par SMS ou l’application de votre institution financière, que vous êtes bien à l’origine de la transaction, pour lever la restriction. Parfois cette restriction apposée sur votre carte ne peut se lever qu’au cours d’un échange téléphonique, de quoi rendre inopérante votre carte durant plusieurs heures.
En mettant en place des mesures plus élevées, Max permet ainsi de réduire ce genre de situations. Même Apple a été obligé de changer sa politique sur les paiements car une transaction chez Apple déclenchait très rapidement des alertes et des blocages de cartes. De quoi irriter les clients, surtout lors des précommandes car les envois étaient alors reportés, parfois de plusieurs jours.
Vous l’aurez compris, cette mesure, même si elle vient avec quelques contraintes, apporte une meilleure résilience aux fraudes, et permet d’utiliser de manière plus sereine le service Max.