Paiement refusé, quand payer devient une gêne

paiement offline
paiement offline

Il est très rare de trouver des personnes qui ne se soient pas encore heurtées au message « paiement refusé » suivi d’un ticket mentionnant « abandon débit ! » Ce type de résultat lors d’un paiement peut avoir différentes explications. La plus fréquente est un refus émanant de votre banque pour provision insuffisante, plafond atteint ou carte bloquée. Il existe cependant bien d’autres raisons que nous allons voir ensemble. vous comprendrez mieux ainsi certains refus, et comment réitérer votre transaction.

Le Terminal de Paiement « offline » ou « online »

Au travers de 2 articles dédiés aux transactions, nous remarquons que certains font encore des conclusions erronées en supposant qu’une carte va ou non fonctionner pour leur transaction.

Un TPE « offline » est un TPE qui n’a aucune capacité de conduire d’autorisation de paiement. C’est-à-dire qu’il ne peut pas techniquement solliciter votre banque pour l’accord de paiement. On trouve ce type de TPE principalement dans tout ce qui touche aux transports : aérien, fluvial, ferroviaire, routier, stationnement.

Afin qu’un TPE puisse obtenir un paramétrage « offline », il doit obtenir un accord spécifique de la part de l’acquéreur / réseau (CB, Visa, Mastercard, Amex…). JAMAIS cette décision ne relève d’un choix du commerçant. Cela passe impérativement via une autorisation qui doit être motivée et fera l’objet d’une étude.

Le fonctionnement normal d’un TPE, ce qui représente 99% des équipements, c’est une configuration « online ». Cela veut donc dire que le TPE devra être en situation de pouvoir conduire une autorisation avec le concours de l’émetteur (votre banque). Libre au commerçant de choisir quel type de connexion il préfère (xDSL/Fibre, GPRS/3G/4G, RTC pour les anciens TPE).

L’incident du centre d’autorisation sur le TPE

Comme nous venons de le rappeler, les TPE sont presque toujours « online » dans leur configuration. Par conséquent, ils doivent être en capacité de conduire le flux d’une autorisation si cela est nécessaire.

Toutefois, les connexions ne sont pas garanties à 100% .Il peut arriver qu’un incident externe empêche le TPE d’avoir une connexion (coupure internet, incident réseau mobile, ligne encombrée…). Dans ces situations, le TPE n’est pas pour autant en « offline », il est alors en « défaut centre d’autorisation ».

Au moment de votre paiement, le TPE n’est pas au fait de cette situation, même si cela persiste depuis plusieurs jours. Il voudra donc toujours tenter une autorisation « online » si cela s’avère nécessaire. Donc ce cas, et selon le TPE, le commerçant aura un message type « centre d’autorisation non atteint », « incident TMP », « échec SAA »… ou tout simplement « paiement refusé ».

A ce stade, le commerçant n’a aucun pouvoir, ni aucune légitimité à contourner cet incident technique. Il devra proposer à son client de se rabattre sur un règlement chèque ou espèce. A lui de diagnostiquer la cause et trouver une solution pour rétablir la connexion.

Si une autorisation est requise, votre carte sera refusée et cela peu importe la carte que vous avez.

La carte bancaire « online » ou « offline »

Nous avons simplifié dans un précédent article en citant 3 mode de fonctionnement pour les cartes :

  • « offline préféré » : les cartes des banques traditionnelles.
  • « online préféré » : Fosfo de Fortuneo, Ultim de Boursorama, TransferWise, N26.
  • « online obligatoire » : presque toutes les néo/FinTech, Max, Revolut, Moneway, Kard.

Ces situations concernant les opérations signées en EMV, c’est-à-dire avec votre puce. On parle donc de

  • Dipping : carte insérée sans saisie du PIN.
  • Chip&Pin : carte insérée avec saisie du PIN.
  • NFC : sans contact.

Il n’existe aucune autre situation « EMV » que celles indiquées ci-dessus lors de l’utilisation de votre carte.

Concernant les objets connectés (montre, téléphone, bague, porte-clés…) ils sont tous, positionnés en mode « online obligatoire » pour des raisons de sécurité. Vous ne pourrez donc pas faire de « offline » avec Apple Pay, Google Pay, Samsung Pay, Garmin Pay, Fitbit Pay… Vous aurez donc systématiquement une autorisation à satisfaire.

Seule une exception existait pour les solutions « SIM Centric » proposées par Crédit Mutuel, La Banque Postale, Société Générale, BNP ou CIC. Ces systèmes de paiement sans contact mobile étaient en « offline préféré ». Le service a été désactivé chez toutes les banques car la sécurité requise, imposait un coût trop élevé.

Un autre canal de paiement chez les commerçants consiste à saisir les numéros de la carte sur le TPE au lieu de l’insérer. Cela reste rare, mais on va trouver ça chez certains loueurs ou quelques commerçants dans des pays nordiques. Soyons clair, c’est très rare de rencontrer ces situations. Ce type de paiement nommé « saisie manuelle » sera obligatoirement en « online », aucune dérogation possible.

Une méthode qui tend à disparaître concerne le paiement par « remise manuelle », souvent connu sous la pratique du « fer à repasser » ou « sabot ». Cela consiste à reproduire sur un carbone le recto de votre carte (le numéro de la carte, son expiration et le titulaire). Ce paiement est en « offline » comme vous pouvez l’imaginer. Il impose d’avoir une carte embossée afin que la reproduction soit possible. Bien qu’il devienne rare comme système de paiement, il existe encore dans la zone « Asie » et « Amériques ». En Europe, il n’est plus en usage.

La piste magnétique

Passons à la dernière possibilité de paiement, qui elle n’est pas encore en extinction. Il s’agit de la piste magnétique. Au dos de votre carte, cette zone est indépendante de la puce. Elle est encodée avec des données statiques. Cette caractéristique la rend aisément copiable avec n’importe quel lecteur de piste.

Ce moyen de paiement se nomme « Magstripe », « IEC » ou « ISO » et ne relève pas des règles EMV que nous avons vu plus haut.

Il a donc ses propres limitations qu’on nomme « Service Code ». Il faut comprendre que seules les données sur la piste sont fiables. Nous précisions cela, car souvent, le Service Code est indiqué dans les données de la puce à titre informel et ne concorde pas avec celui sur la piste. C’est le cas par exemple chez N26.

Le Service Code est positionné avec 3 chiffres.

Toutes les banques classiques mettent un « 201 ». Cela veut dire :

  • Qu’on préfère utiliser la puce si c’est possible.
  • Que le offline est autorisé.
  • Qu’il n’y a pas de restriction d’usage.

Les FinTech, Néo et plus généralement les cartes punitives font du « 221 », traduction :

  • On préfère utiliser la puce si possible.
  • Le « online » est obligatoire sans exception possible.
  • Il n’y a pas de restriction à l’usage.

Une variante c’est d’utiliser le 226, cela permet d’appliquer une restriction d’usage, à savoir demander le code PIN si possible, et donc éviter de valider la transaction par signature.

La carte bancaire « EMV » ou « ISO »

Vous avez principalement 2 modes de fonctionnement. L’un va solliciter la puce (EMV) et l’autre la piste (ISO). Prenons l’exemple d’un péage, certains équipements lisent la puce sans demander le code PIN, on parle de « dipping » dans ce cas. D’autres péages préfèrent lire la piste, on parle alors de « magstripe ».

Vous ne pouvez pas savoir d’avance si l’équipement quand vous insérez la carte va utiliser la technologie EMV ou ISO. Éventuellement vous pourrez le savoir post transaction chez bunq par exemple qui indique le mode d’acquisition.

On retrouve surtout la lecture de la piste en Europe sur les automates de péages, et les barrières en sortie de parking. Ces équipements vous demandent d’insérer la carte mais n’ont pas de clavier pour saisir un PIN.

L’ISO a un énorme intérêt pour ces 2 situations, car il permet d’aller très vite. Il suffit de lire la piste et stocker les données. Il n’y a pas de calcul à effectuer, et dans 95% des cas le Service Code est en 201. La transaction ne nécessite donc aucune autorisation. Le paiement est donc effectué en 1 sec et la barrière va s’ouvrir sans incident et vous pourrez circuler.

Utiliser la technologie EMV se développe avec le principe du « dipping ». Cependant, EMV étant plus lourd et complexe, certains émetteurs embarquent des restrictions. Ces dernières pourront vous occasionner des problèmes.

Prenons un exemple, un barrière (péage ou parking) qui utilise EMV. Dans certaines configurations spécifiques au péage ou au parking, une carte de type crédit-débit, comme celles délivrées par Banque Casino ou BPCE pourrait être refusée.

Ces 3 exemples de cartes n’ont pas de choix par défaut pour « comptant » ou « crédit ». Par conséquent la barrière n’ayant pas de clavier, elle abandonne la transaction. En « ISO », le paiement serait passé en 1 sec via le « offline ».

EMV augmente clairement la sécurité. Il n’est pas possible de falsifier une puce, contrairement à une piste. Toutefois, EMV apporte son lot de problèmes et d’incidents, occasionnant des refus.

Le « offline » en ISO est autorisé, car on se trouve sur des montants inférieurs à 50€. Au-delà de 150€, le mode ISO en « offline » est interdit par VISA et Mastercard. Il faut une autorisation « online » le porteur doit signer au minimum.

Petite astuce, si vous utilisez Revolut (Salut Emmanuel) et que vous passez des barrières. Nous vous recommandons de désactiver la protection de la piste. Vous pourriez avoir des refus de paiements liés au fait que cette protection est activée.

L’AC (Application Cryptogram) dans la norme EMV

L’AC est une composante essentielle dans une transaction EMV sur le TPE, ce cryptogramme peut à la fois être générer par la puce de votre carte, mais également par le TPE.

Le TPE fait un échange de données demandées par votre carte. On parle de CDOL (Card Risk Management Data Object List). Cela permet à la puce de votre carte de savoir quel est montant de la transaction par exemple.

Suite à ces multiples aller retour d’informations en une fraction de secondes, un TVR (Terminal Verification Results) est généré et comparé avec le TRM (Terminal Risk Management) du TPE.

Il faut comprendre que l’AC décidé par le TRM surpasse la décision de la carte. Voyons cela en détail avec les valeurs possibles de l’AC :

  • AAC (Application Authentication Cryptogram) : Paiement refusé.
  • ARQC (Authorisation Request Cryptogram) : Paiement à faire valider par la banque.
  • TC (Transaction Certificate) : Paiement pouvant être validé par la puce seule, donc sans la banque.
  • AAR (Application Authorisation Referral) : Suivre la décision de la carte.

Pour mieux comprendre, nous vous proposons quelques exemples courants de dialogues entre le TPE et votre carte bancaire

Exemple 1 : Le TPE et votre carte s’accordent

En général, le TRM prend une position « TC » pour son « AC ». Cette position peut se traduire par « Allons en hors ligne ». Si votre carte est en phase avec cette requête, elle répond à son tour « TC ». Le paiement est approuvé sans que la banque n’ait eu besoin d’intervenir. La transaction est en dessous du risque que vous pouvez représenter.

Exemple 2 : Le TPE et votre carte sont en désaccord

Si votre carte n’est pas d’accord de répondre « TC », elle va répondre « ARQC ». Traduisons cela par « Faisons appel à la banque. Le risque sur cette transaction est supérieur au risque autorisé pour ce client ». C’est que qu’on va appeler « online » à ce stade, qu’il soit préféré ou obligatoire.

A ce stade, 2 issues sont possibles :

Le terminal pense pouvoir conduire l’autorisation, il va diligenter la procédure. S’il y arrive, la transaction sera acceptée ou refusée selon la réponse de votre banque. S’il n’y arrive pas, le paiement est alors refusé par le TPE sans autre contrôle ou possibilité.

La seconde issue c’est que le TPE soit configuré en « offline » avec les conditions citées plus haut. Toutefois, nous sommes dans une impasse : Le TPE veut un « TC » pour sa valeur « AC » et la carte donne un « ARQC ».

Pour décider, le TPE va pratiquer un TAA (Terminal Action Analysis) en reprenant à la fois son TVR, mais également son TAC (Terminal Action Code) et la valeur IAC (Issuer Action Code) indiquée par la puce.

Avec ces 3 éléments, le TPE va pouvoir prendre 2 décisions :

  • Rester sur un « AC » ayant pour valeur « TC », dans ce cas, il retourne l’information à la carte qui a 2 possibilités :
    • Elle est compatible avec du « offline toléré » et elle lui répond « TC », le paiement est accepté.
    • Elle est incompatible avec du « offline » et elle lui répond « AAC », le paiement est refusé, hors rares cas de forçage.
  • Transformer son « AC » initial en « AAC » car l’analyse des informations est incompatible avec du « offline ». Le paiement est donc refusé par le TPE, et la carte confirme en répondant « AAC » à son tour.

Nous avons présenté ici une version simplifiée de l’AC. Nous n’allons donc pas aborder la partie avec une réponse « AAR ».

L’analyse risque du terminal peut générer un « online » pour diverses raisons, par exemple un deuxième offline d’affilé sur le TPE ou un montant supérieur à la politique risque (généralement 100€), contrôle émetteur aléatoire ou selon un type de carte considéré à risque.

Ces critères ne sont pas « aléatoires », ils suivent des règles. par exemple, le TPE peut choisir de contrôler l’émetteur toutes les 50 transactions. Ce sera aléatoire pour votre carte, mais pas pour le TPE. Le commerçant n’a pas clairement tous les critères, car ils sont une partie du système de sécurité / protection.

Les situations des paiements avec un TPE EMV

Votre carte dispose principalement de 4 curseurs, libre à elle d’utiliser les 4 ou 2 seulement, ou aucun. Nous avons vu ci-dessus qu’elle apporte une réponse « AC » au TPE qui repose en partie sur un ou plusieurs curseurs.

Prenons, une nouvelle fois, quelques exemples pour illustrer de manière plus digeste les informations techniques.

Prenons 3 cartes et un TPE qu’on résumera ainsi :

  • Fortuneo, Mastercard Gold pour « offline préféré ».
  • Boursorama, Visa Ultim pour « online préféré »
  • Max, Mastercard Classique pour « online obligatoire ».

TPE classique chez un commerçant, sur un automate, un distributeur.

Vous utilisez Fortuneo, sauf contrôle « aléatoire » vous serez en « offline ». Le TPE et la carte s’accorderont sur une réponse « TC » donc transaction offline acceptée.

Vous utilisez Boursorama ou Max, la carte va donc indiquer « online », le TPE fera l’autorisation « online » conformément à la demande de votre carte.

Si dans le cas de Max ou Boursorama, le TPE a un problème de connexion, votre paiement sera refusé. Que Boursorama soit compatible « offline » jusqu’à 600€ ou Max 0€, ce sera le même traitement pour les 2, un refus. Nous vous rappelons également que si vous utilisez votre Fortuneo dans Apple Pay, Samsung Pay ou Google Pay, vous serez également confronté à un refus.

TPE « hors ligne » chez un commerçant comme Leclerc qui a un incident technique.

Ces situations permettant le passage d’un TPE en « offline » sont à la discrétion de la banque du commerçant. Ce dernier doit en faire la demande et expliquer pourquoi il n’est pas en mesure de rétablir une connexion. Il devra également motiver sa demande en expliquant pourquoi il est impératif que le « offline » lui soit accordé à titre exceptionnel et temporaire.

Pour Leclerc, cela va être facile. Il lui suffit d’expliquer qu’il y a des denrées périssables qui ont quitté la chaine du froid et ne peuvent pas y retourner pour une vente commerciale. Un accord temporaire pour cet usage sera délivré le temps de rétablir leurs connectivités sous quelques heures.

  • Fortuneo sera immédiatement acceptée.
  • Boursorama ne le sera qu’après une révision de son jugement par le TPE. Elle devrait donc passer. Mais cela résultera de la décision du TPE et non uniquement des capacités de votre carte.
  • Concernant Max ou un paiement via Apple Pay, ce sera paiement refusé sans négociation possible.

TPE « hors ligne » pour des raisons de sécurité ou des contraintes environnementales.

C’est généralement cette politique qui va s’appliquer aux concession autoroutières ou parking. C’est-à-dire que techniquement le « online » est possible, mais pour une raison technique, on a besoin d’activer le mode « offline » pour fluidifier le trafic par exemple.

Dans ces situations, il y aura une nuance avec l’exemple ci-dessus concernant le cas de Max.

Max peut demander à être mis en liste de dérogation, c’est-à-dire, à pouvoir être accepté malgré qu’il n’a pas de « offline ». La dérogation est un mécanisme propre à chaque accepteur (péagiste, parking,…). C’est lui qui décide ou non d’intégrer les 6 premiers chiffres de la séquence Max sur sa liste de bypass.

ING par exemple en a fait la demande, tout comme Max, car l’un n’est pas très ouvert au « offline » et l’autre ne l’est pas. Ce dispositif permet ainsi d’utiliser les cartes même si elles ne devraient pas fonctionner sur le réseau autoroutier.

Cette politique n’est pas généralisée chez les émetteurs. Ils s’exposent à des comptes pouvant être en débit chez eux. Il faudra donc parvenir à recouvrir les fonds.

Pour Google Pay, Samsung Pay, Apple Pay, ça restera un « paiement refusé » car le « offline » est interdit.

TPE « forçage hors ligne » sur accord des réseaux d’acceptations CB, Visa, Amex, Mastercard.

Rappelons que ce mode est encadré et contrôlé. Nous allons le trouver surtout dans les trains, les bateaux, les avions. Dans une telle configuration, que ce soit Fortuneo, Max ou Boursorama, les 3 seront acceptées, dans les limites de la dérogations accordées pour le TPE.

Donc oui, vous pouvez avoir du « offline » sur Max, Revolut. Ces catégories de commerçant seront payées quoi qu’il arrive. Ce sera à la « banque » vous ayant délivré la carte de composer avec un possible compte débiteur.

Le fonctionnement est le même que si vous payez un commerçant. L’empreinte se libère, vous dépensez l’argent pour une autre finalité, puis le commerçant réclame son dû. Il sera payé et vous aurez votre compte Revolut, N26 ou Max débiteur.

Affichage du motif lors d’un paiement refusé.

Dans les commerces physiques, en France, les TPE qui embarquent les applications « CB » n’affichent pas les motifs de refus. Ils se contentent de « paiement refusé », « carte bloquée », « carte perdue ou volée ». Ils ne sont pas très loquaces sur la raison conduisant à refuser le paiement, cela pour éviter une gêne en caisse.

En paiement à distance c’est différent. Même si peu de commerçants exploitent le motif, la raison du refus est connue comme par exemple une provision insuffisante.

Nous avons vu plus haut que le paiement peut être accepté dans le cas d’un incident technique du TPE.

Il n’y a pas grand-chose à faire, parfois si le TPE affiche « centre d’autorisation non atteint » et si le commerçant a bien une connexion internet. Le fait de débrancher électriquement le socle du TPE, d’éteindre le TPE et de le poser sur le socle puis rebrancher peut permettre de résoudre le souci.

Reconnaitre une transaction offline

Vous recevez une notification de paiement sur votre téléphone avant même un affichage sur l’écran du TPE ? Il va de soit qu’il ne s’agit pas d’une transaction offline connecté ultra rapide et encore moins d’un miracle de la blockchain !

Si le TPE est en « offline », forcé ou non, vous pourrez voir cette information en France sur vos tickets par l’absence du symbole « @ » à côté du « » (parfois en dessous) un peu au-dessus du montant.

Si vous avez un « @ » sur votre ticket, c’est que le TPE n’est pas en « offline ». Le refus peut donc soit venir d’un dysfonctionnement sur la connectivité, soit et c’est généralement le cas, d’un refus par l’émetteur de votre carte.

Nous vous mettons une petite variante pour les usagers de McDo ( Salut Lilian ). Il n’y a pas de « @ » sur certaines versions du système de caisse. Il est remplacé par un code en pied du ticket de paiement.

Le commerçant n’utilise pas les outils CB, comme par exemple Apple, Starbucks ou Primark ? C’est la « SEQ » ou « AS » ou « STAN » qui va vous aider. C’est facile, s’ils sont là avec un « 00 » c’est une réponse émetteur, donc « online » et souvent complétée par une ligne « code d’autorisation ».

Dès que vous avez une ligne avec « N° Auto » ou quelque chose s’y rapprochant, c’est forcément du « online » car ce code alpha/numérique de 6 caractères est communiqué par votre « banque ».

Conclusion

Nous espérons qu’au travers de ce 3 ème rappel, nous sommes parvenus à simplifier la compréhension du « offline » ou « online ».

Pour certains commerçants ou dispositifs, comme par exemple le carburant, c’est « online », il n’y a pas de « offline » possible en raison des risques de fraudes sur les automates. Donc que vous ayez une World Elite chez Fortuneo ou une carte Max, dans les 2 cas, c’est du « online ». En cas d’incident, ce sera « paiement refusé » obligatoirement.

Ce qui fait qu’une carte comme Kard ne passe pas, relève d’une politique locale de l’établissement l’ayant délivrée. Il décide de bloquer ou non ces systèmes. Revolut a, pendant plusieurs années, bloqué les pompes automatiques avant d’enfin les accepter.

Chez Curve par exemple, c’est autorisé, mais il faut en faire la demande au support qui vous autorisera ce type d’usage. En France nous sommes habitués aux autorisations entre 100 et 150€ en moyenne pour ces usages. Dans d’autres pays c’est 1€ ou équivalent l’autorisation initiale. Il y a donc un gros risque d’impayé dans certains endroits. Donc des sociétés comme Curve activent les pompes automatiques selon votre historique chez eux.

Vous savez à présent que votre carte Max par exemple n’est peut-être pas « tolérante » au « offline ». Cela ne veut pas dire pour autant qu’elle ne passera pas sur des TPE non connectés. De même que N26 qui est « tolérante » au « offline » ne présente pas la garantie de fonctionner partout.

Seules les cartes des banques qui contrôlent votre solvabilité bancaire ont l’assurance de passer, car la prise de risque est acceptée par ces dernières. Elles vous « connaissent » et vous délivrent ainsi les outils de paiements adaptés à vos usages.

Les nouvelles cartes de type Fosfo de Fortuneo, Ultim de Boursorama, One/Prime de Hello bank!, Classique de BforBank ou Classique/Gold de ING ne vous garantissent pas le même niveau d’acceptation qu’une carte « normale ». Munissez-vous toujours d’une carte conventionnelle, même si c’est une « classique ». Même recommandation si vous êtes usager d’un paiement mobile , gardez une carte « normale » avec vous.

Dernier conseil, si vous le pouvez, prenez toujours un chèque avec vous sans le signer. Vous notez le numéro dans un bloc note ou autre, de manière à pouvoir payer en cas d’incident technique. Le commerçant doit accepter 2 moyens de paiements, en cas de défaillance de la carte, il devra accepter les chèques en complément des espèces. Avoir un chèque sur vous peut vous rendre service et éviter de courir au distributeur pour retirer des espèces.