Pourquoi vous devez signer votre carte bancaire ?

Quel est l’intérêt de signer sa carte bancaire ? Une question qui est née à la suite de notre article sur l’absence d’embossage des cartes, et qui s’est également retrouvée posée sur le réseau social Twitter.

La technologie de la carte bancaire

Les cartes embarquent toujours 2 technologies.

  • EMV : la technologie de la puce électronique.
  • ISO : la technologie de la piste magnétique.

Il est très clair que les réseaux poussent à l’utilisation exclusive de l’EMV. Cette technologie est impossible à dupliquer pour l’heure, grâce à la puce électronique.

Le gros point noir de la piste magnétique c’est qu’il est aisé de dupliquer cette zone de votre carte. Il est même possible de la copier sur des cartes de fidélité munies d’un tel dispositif. Dès qu’un paiement s’effectue par la piste, différents mécanismes anti-fraudes se mettent en œuvre pour diminuer le risque.

La piste n’est pas vouée à disparaitre, mais l’usage de celle-ci est en déclin sous la pression de Visa et Mastercard. Il faut dire que les deux géants du paiement ont décidé de ne plus assurer la garantie des paiements aux commerçants qui passent en ISO plutôt qu’en EMV.

Le sans contact ISO ou EMV

La technologie du sans contact porte plusieurs variantes techniques. En Europe, la pile sans contact est basée sur EMV. Cela rend le dispositif infalsifiable, malgré certaines tentatives de démonstrations sensationnelles.

Si un signal sans contact est détourné ou rejoué, des mécanismes de contrôle entrent en action pour empêcher cela et mettre en opposition la carte du client.

Dans d’autres pays, comme les USA ou le Canada, la partie sans contact repose énormément sur l’ISO. C’est d’ailleurs un besoin que Samsung Pay a pris en compte afin que ses paiements mobiles puissent passer là où Apple Pay restait refusé. Apple Pay ne supportant que la technologie sans contact reposant sur EMV et non ISO.

Il reste toutefois possible de faire un paiement sans contact sur un terminal ISO. Mais la majorité des émetteurs bloquent cela en prévention du risque de fraude, dans la mesure où un paiement mobile n’est pas considéré comme un paiement avec une authentification forte.

La signature au verso de votre carte

Vous avez tous déjà vu les zones pour signer, au-dessus desquelles on peut lire « signature du titulaire obligatoire », ou « non valide si absence de signature »…

Dans les règles des émetteurs des cartes, il est très souvent rappelé qu’à réception de votre carte, vous devez signer cette dernière et procéder à son activation. La signature étant un moyen de confirmer une transaction dans certains cas.

La France a adopté, il y a de très nombreuses années, EMV. Tout ce qui touche à la piste ou la signature est surtout connu des plus de 60 ans aujourd’hui. Le recours à la signature n’existe plus depuis bien 30 ou 40 ans en France. Il n’est donc pas absurde qu’un français se questionne sur l’intérêt de cet élément présent au dos d’une carte.

En EMV, on code dans la puce d’une carte les méthodes d’authentification valides pour accepter un paiement. Votre carte bancaire et le terminal de paiement initient un échange et s’entendent sur une des propositions communes.

Cela fonctionne sur la base d’une priorité avec « PIN Online », « PIN Offline »,… et ainsi de suite. Admettons que votre carte veuille « PIN Online » en prioritaire, le TPE en France ne sait pas faire cela. Il répond alors qu’il a la capacité de faire du « PIN Offline », et la carte accepte car cette capacité est bien dans sa liste. Attention « PIN Offline » ne veut pas dire qu’il n’y a pas d’autorisation, cela veut juste dire que le PIN sera vérifié par la puce directement.

La signature au dos de votre carte sert donc lorsque l’authentification aboutit sur « signature ». Le terminal est d’accord de le faire ainsi, et la carte dispose de cette capacité. Il peut également arriver qu’il faille une deuxième authentification du porteur, et qu’en complément du PIN vous soyez amené à devoir signer le ticket commerçant.

Déroulement d’un paiement avec signature

Le terminal de paiement indique clairement qu’une signature est requise. Le logiciel de ce dernier doit d’ailleurs indiquer explicitement « signature » avant même d’imprimer le ticket de paiement.

Le commerçant doit alors demander la carte bancaire, ainsi qu’un justificatif d’identité. Il conserve ces 2 éléments pendant que vous apposez votre signature sur son reçu.

Dans un premier temps, il doit s’assurer que la carte d’identité correspond au nom du titulaire présent sur la carte bancaire. Ensuite, il doit vérifier que les 3 signatures correspondent.

En cas d’irrégularité, il doit abandonner le flux « DEBIT » au motif qu’il y a un problème sur l’identification du porteur.

En France, soyons honnête, presque aucun commerçant n’est rodé au dispositif. Certains ne font même pas signer les reçus car ils ne comprennent pas la situation. D’autres vous tendent juste le stylo en demandant de faire une signature, mais ne comparent celle-ci à aucun autre élément.

Dans un tel cas, si le porteur de la carte venait à contester la transaction, le commerçant devrait alors fournir le ticket commerçant avec la signature. L’émetteur de la carte confronte cette signature avec celle de son client, soit obtenue sur un support indépendant, comme une feuille blanche, soit sur le justificatif d’identité.

S’il y a une incohérence, alors l’émetteur doit réclamer la carte à son client afin de la vérifier.

  • Si la carte n’est pas signée, le détenteur de la carte est alors considéré en faute et il perd l’arbitrage pour sa contestation.
  • Si la signature ne correspond pas à la signature présente dans le dossier de l’émetteur, l’arbitrage est également perdu.
  • Si la signature au verso correspond à celle connue de l’émetteur et diffère du ticket commerçant, alors l’arbitrage est gagné. Le porteur récupère ses fonds, et le commerçant en sera de sa poche.

Les règles vont même au-delà d’un paiement « signature ». Un émetteur est en droit de vous imposer la restitution de la carte, on rappelle qu’elle reste sa propriété. Et si lors de la récupération d’une carte il constate l’absence de signature, il est en droit de vous opposer un refus pour enregistrer une contestation sur une opération à distance.

Signature avec un xPay

Si vous payez avec un objet connecté comme un mobile, il peut arriver que le terminal vous sollicite pour une signature. Dans une large majorité des cas, cela est lié à un défaut de configuration. Bien que le paiement mobile utilise la technologie sans contact, le terminal doit être pleinement compatible. S’il ne l’est pas, il peut vous refuser le paiement dès vous dépassez 30 ou 50€, ou alors, il demande à signer le reçu.

Dans ce cas-là, le commerçant doit normalement vérifier le lien entre les 4 derniers chiffres sur son reçu, et ceux de la carte qui y est associée dans le Wallet. En complément, le porteur doit présenter la carte physique. Devra s’en suivre le même mode de contrôle que celui détaillé ci-dessus.

Il y a toutefois une variation, c’est que le commerçant ne peut plus voir les fonds repris, sauf en cas de fraude ou négligence de sa part. Le détenteur de la carte est donc toujours donné « perdant » par l’émetteur. Même s’il n’est pas question d’une authentification forte pour un paiement mobile, l’émetteur peut revendiquer le « litige commercial » et ainsi mettre en avant son devoir de « non-ingérence ».

Vérifier la signature avant d’accepter la carte

Lorsque le commerçant sait que son fonctionnement est basé sur la signature pour authentifier le client, il doit vérifier que la carte est signée avant de l’utiliser. Ce sera à lui de manipuler la carte bancaire du client.

Certains réseaux domestiques, comme en Allemagne, valident les transactions exclusivement par signature. En réalité, un paiement carte génère un mandat de prélèvement, la technologie se nomme SEPA ELV. Le commerçant doit donc s’assurer que la carte est signée, l’insérer, attendre le ticket, la retirer en la conservant le temps que le client signe.

Dans les petits commerces, cela n’est pas très pratiqué car la fraude est rare, dans les hypermarchés, c’est nettement plus suivi. Bien que depuis quelques mois, la signature électronique soit entrée en vigueur, tout comme la garantie de paiement, ce qui relâche la pression exercée sur le commerçant. Les outils de fraudes font une grande partie des contrôles, permettant au commerçant de se soustraire à ce contrôle.

Si le commerçant sait qu’il fonctionne en ISO ou en EMV avec pour méthode d’authentification « signature », il est alors en droit de vérifier la carte avant de l’utiliser, et surtout, vous refuser celle-ci si elle n’est pas signée.

Absence de zone « signature » sur une carte

Certaines cartes, comme chez bunq, Curve, Vivid… sont dépourvues de zone permettant de signer celle-ci.

Dans une telle situation, le commerçant peut donc refuser votre carte si l’authentification doit se faire en « signature ». Il n’est nullement obligé de le préciser sur un affichage, car son comportement sera conforme aux règles Mastercard et Visa. Pas de signature sur le support, pas d’acceptation du support pour une authentification « signature ».

On est en droit de se demander si Curve ou Vivid ne font pas une énorme bêtise en supprimant cela de ses cartes. Le message est clair pour l’émetteur, l’authentification « signature » est interdite, elle ne doit se faire que via « PIN ». Si le commerçant passe outre et valide une authentification « signature » alors il sera donné « perdant » lors d’une médiation en contestation de transaction.

Vous aurez donc des risques d’avoir une friction avec certains commerçants qui savent que leur méthode d’authentification est la signature. D’autant que ces commerçants se sont déjà pris des impayés, et savent que selon le volume d’impayés, leur commission de paiement grimpe, voir même prennent des amendes lorsqu’un manquement est découvert par Mastercard ou Visa.

Le message est clair pour Curve et d’autres émetteurs. Si la carte est acceptée en signature alors que le support en est dépourvu, la garantie de paiement du commerçant ne s’applique pas, et il sera perdant.

Il faut dire que Visa et Mastercard en poussant EMV déprécient l’usage de la signature en méthode d’authentification. Donc rien n’est mis en œuvre pour sécuriser le commerçant, bien au contraire. Une façon de forcer la main à opérer cette transition vers EMV et l’emploi du PIN.

Absence de contrôle sur la signature

Dans les différents points nous avons expliqué les conséquences de cette absence de cohérence.

On va simplement rappeler qu’il est important de signer votre carte. Déjà car c’est un moyen de la sécuriser, et surtout, car certains contrats d’émetteurs vous imposent de le faire.

Il est certain que si votre signature est simplement l’écriture de votre nom, son imitation ne sera guère compliquée. Toutefois, imiter spontanément une signature n’est pas forcément aisé. On s’y est tous essayé en voulant signer à la place des parents durant notre parcours scolaire. Pour beaucoup il a fallu des heures avant d’avoir un résultat hésitant.

Pensez également à signaler à votre banque toute modification de votre signature. En général un parcours est prévu pour changer la signature liée à votre profil client dans l’établissement bancaire.

Fût un temps, les commerçants étaient très laxistes sur les contrôles de signatures pour les chèques. Les fraudeurs ont amplement profité de ces failles pour partir avec des équipements sans les payer finalement.

Le contrôle de cohérence a toujours existé dans l’encaissement d’un chèque, mais les employés de commerces ne faisaient pas ces points de contrôles. Mais la situation ayant dérapé, tous sont maintenant bien rodés au fait de demander 1 voir même 2 justificatifs d’identité. Il arrive même qu’ils reportent des éléments comme le numéro de la pièce, votre date / lieu de naissance au dos du chèque. Nous sommes globalement passés d’aucun contrôle à un excès de zèle sur les vérifications. Cela n’arrive jamais dans les cartes, car au pire des cas, l’authentification « signature » sera bloquée et le terminal de paiement conclura la transaction par un « paiement refusé ».

Le risque de contester une transaction signée

Il est tentant de se dire qu’on peut aisément dénoncer un paiement après l’avoir réalisé chez le commerçant. Par exemple, en faisant une signature fantaisiste car le commerçant ne contrôle pas.

Dans les faits, il y a bien des vérifications qui seront faites quand la contestation arrive. Autant vous dire que les commerçants peuvent utiliser des supports vidéo et autres pour identifier le visage de la personne ayant payée.

En cas de doute, vous sortez « gagnant » de la médiation, mais celle-ci laissera une trace. Sans compter que le commerçant peut déposer également plainte s’il se sent escroqué dans ce dossier.

Il ne sert à rien de vouloir « s’amuser » à cela, car si le réseau découvre votre manège, vous allez amèrement le regretter. Tous les types d’escroqueries sont pris en considération, le but n’étant pas de donner systématiquement le commerçant « perdant », mais bien de sécuriser le processus de paiement.

Intérêt d’avoir une zone de signature au verso

Dans un premier temps, avoir cette zone indique que cette méthode est autorisée dans les méthodes d’authentification. Son absence veut donc dire « signature » interdite en méthode d’authentification.

Il est impossible de coder dans la piste qu’on refuse la signature, on peut forcer le « online » dans la piste, mais cela ne va pas beaucoup plus loin.

Prenons Curve, il n’y a pas de zone « signature » sur ses nouvelles cartes, pourtant, dans la liste des méthodes d’authentification retrouve tout de même « signature (paper) ». Cela reste car en fonction de la situation ou du montant, le commerçant ne contrôle pas, et le risque de fraude (porteur Curve qui conteste) est minime voir néant.

Cette capacité reste en « rétrocompatibilité » car on sait pertinemment que des TPE utilisent cette méthode occasionnellement, l’enlever de la programmation serait lourd, d’autant que les commerçants ne contrôlent pas de manière systématique. D’autres émetteurs ont purement supprimé cela et la puce répond alors « No CVM required », ce qui veut dire, pas d’authentification. Mais dans ce cas, le TPE part quand même en signature, non pour valider le paiement, mais pour le sécuriser. Cela ne sert alors à rien, mais c’est ainsi prévu comme « secours ».

Allons dans les pays nordiques. Certains comme l’Islande utilise la piste dans certains commerces. Lorsque le montant est faible, le contrôle est surtout « à la tête du client ». S’ils ne vous connaissent pas de contrôle, le cas échéant, ils jettent un coup d’œil au dos de votre carte et c’est terminé, ils ne demandent rien d’autre.

La signature au dos de la carte est donc un contrôle léger en partant du principe que le porteur a signé et donc c’est donc la sienne. Par « petit montant » on entend moins de 50€, donc une perte qui serait « acceptable » pour le commerçant s’il devait y avoir une « fraude » dans la transaction.

Conclusion

Signer sa carte est important. C’est une recommandation afin de prévenir toute situation non courante lorsque vous désirez utiliser votre carte.

Pour le commerçant, vous êtes un client, il fixe ses règles et si vous n’êtes pas content c’est pareil. Il ne va pas se remettre en question pour quelques cas qui râlent. Si les situations deviennent récurrentes, alors il bouge, mais pour un touriste, il ne va pas perdre du temps.

Cette même politique se pratique dans la location de véhicules. Il y a des règles, vous pouvez vous y plier c’est bien, vous ne pouvez pas, alors allez voir ailleurs. Ils parviendront à louer le véhicule à un autre client qui saura répondre aux règles.

Quand on se trouve hors de son pays de résidence, il faut composer avec la culture et la mentalité locale. Passer pour la personne arrogante qui veut expliquer au commerçant comment ça marche est contreproductif. Le plus simple, suivre la normalité, et les banques en font de même pour ne pas vous occasionner de friction, comme on a pu le voir sur le sujet de l’embossage d’une carte.

Les situations peuvent évoluer et la signature définitivement disparaitre, mais on pensait de même pour les chèques. Ils restent encore présents, mais limités dans leurs usages car la carte est plus pratique tout en étant moins risquée.

Rentrer dans le moule est parfois « frustrant ». En tant qu’acteurs des flux, les membres de l’équipe le voient au quotidien, mais font avec. Si un commerçant dit ne pas prendre la carte pour payer une voiture, cela n’est pas autorisé mais on passe par un chèque ou virement afin de ne pas partir dans un débat sans fin. Il faut parfois garder son énergie pour autre chose, plutôt que d’être l’exception.