Les principes d’une autorisation d’une carte bancaire

Technique

Lors d’un paiement physique par carte bancaire, différents éléments peuvent déclencher le processus d’autorisation online, c’est-à-dire, avec une demande de paiement devant être acceptée par votre établissement financier (l’émetteur).

La demande d’autorisation

Demande initiée par votre carte

Votre carte peut être à l’origine de la demande d’autorisation, pour diverses raisons :

  • Votre carte est configurée avec un ensemble de paramètres requérant un contrôle dès le 1er centime.
  • Le montant de la transaction dépasse sa capacité à autoriser seule cette opération.
  • Les éléments collectés auprès du Terminal de Paiement la conduise à obtenir l’aval de l’émetteur.

Demande déclenchée par le terminal de paiement

Le TPE peut également déclencher le processus pour diverses raisons, quelques exemples :

  • La séquence BIN/IIN de la carte est inconnue de son fichier pour du « hors ligne ».
  • Le montant de la transaction dépasse la limite « hors ligne » autorisée par la banque du commerçant.
  • Les éléments collectés sur la carte ne permettent pas d’être en dessous d’un risque acceptable.

Le déclenchement d’une autorisation de paiement peut donc dépendre de différents critères et même varier selon les pays, comme c’est le cas en France. Soulignons qu’un paiement avec un mobile, une montre ou tout autre objet autre qu’une carte, déclenche obligatoirement une demande d’autorisation de paiement.
Lorsque la carte ou l’objet déclenchent de manière systématique le recours à l’accord de l’émetteur pour un paiement, on parle d’autorisation systématique. Nous ne sommes absolument pas sur un modèle punitif à ce stade, mais plus sur une normalisation et une homogénéité des réseaux de paiements.

Les réseaux CB, Visa et Mastercard

En France, nous connaissons tous le sigle CB, souvent appelé à tort « Carte Bleue », au lieu de « Cartes Bancaires ». Il s’agit de notre réseau national de traitement des transactions, mais également de l’autorité validant les déploiements de terminaux de paiements et règles en France.
Historiquement, les cartes délivrées par les établissements financiers établis en France disposent de 2 réseaux. En principal et prioritaire CB, associé à un réseau international parmi Visa et Mastercard. On dit alors que nos cartes sont cobadgées ou dual network.

Déchiffrer l’AID

En France, sur votre ticket de paiement, vous trouverez une référence débutant par la lettre « A » suivie de sept « 0 ». Cela se nomme « AID » et permet de reconnaître le réseau traitant votre transaction.

  • Après cette séquence, si les 2 chiffres qui suivent sont 42 , alors votre paiement est traité par CB.
    • Généralement le code 421010 qui est le code standard pour nos cartes physiques.
    • Le 422010 est associé aux cartes punitives que nous verrons après.
  • Si après la séquence « A0000000 », vous avez par exemple 31010 c’est le code du réseau Visa.
  • Si vous avez 41010, c’est celui du réseau Mastercard.

Nous allons nous limiter à ces 2 codes pour Mastercard et Visa. Fort de ces informations, vous savez à présent identifier si votre carte est cobadgée avec le sigle « CB » sur cette dernière, sur son recto ou son verso. Mais vous savez également voir quel réseau a géré la transaction.

Avantage CB !?

En France, dès que la transaction n’est pas opérée sur le 421010 (réseau CB) , vous êtes en autorisation systématique. Le TPE va toujours déclencher un processus d’autorisation online afin d’avoir l’accord de votre établissement financier pour finaliser le paiement. Seule exception possible de offline pour les cartes dépourvues de cobadge, c’est une configuration unable to go online, c’est-à-dire que le TPE est explicitement configuré en offline.
Imaginons qu’une banque comme la Société Générale vous délivre une Visa Infinite CREDIT sans dual network. Vous allez payer 1.08€ à La Poste pour un timbre vert (oui, nous achetons encore des timbres pour écrire des vraies lettres). Votre carte sera toujours en autorisation systématique, elle ne fera jamais de offline auprès du commerçant.
Il ne s’agit pas d’une discrimination du réseau CB (Cartes Bancaires) envers les cartes ne lui étant pas affiliées. C’est simplement le respect des règles Visa et Mastercard. La transaction doit se faire en online pour des raisons de sécurité.
Le réseau CB transmet régulièrement les séquences des cartes autorisées à faire du offline. On ne peut pas renseigner une séquence qui n’est pas affiliée à CB. C’est une mesure technique, car derrière le réseau doit savoir où adresser le flux en ayant connaissance de la route à emprunter selon une séquence qu’il a délivrée. Pour finir cette partie, une American Express est toujours à autorisation systématique.

Les différents types de cartes à autorisation

La carte à autorisation systématique dite CAS

Avec un tel comportement, votre carte n’est pas punitive. Plusieurs émetteurs, comme BNP Cetelem, ont décidé de faire abstraction de CB, alors qu’ils en sont membres. Toutes ces cartes, dépourvues de CB, et passent donc en online dès que vous les utilisez.
Que votre carte soit à autorisation systématique, ou qu’une autorisation fût initiée pour les exemples cités plus haut, vous aurez pour toutes un même contrôle qui s’effectue. Dès qu’une autorisation remonte auprès de votre émetteur, il effectue un contrôle sur vos plafonds. Peu importe le comportement de votre carte, il effectuera ce contrôle afin de vérifier que cette transaction de dépasse pas la limite autorisée.
Sur certaines cartes adossées à une ligne de crédit, le plafond est équivalent à votre ligne de crédit. Si vous avez un crédit renouvelable non utilisé de 4000€, alors votre plafond de paiement est de 4000€.

La carte à contrôle de solde (systématique) dite CCS

Dans ce mode de fonctionnement, lorsqu’une autorisation de paiement remonte auprès de votre émetteur, celui-ci va vérifier, en complément de vos plafonds, vos encours dans ses livres. Si le montant qu’il doit approuver dépasse vos avoirs sur le compte bancaire, il refuse la transaction.
Imaginons, cette fois si, que vous disposez d’une Visa Infinite DEBIT, cobadgée avec le réseau CB. Vous avez un plafond de paiement à 3000€ hebdomadaire, 500€ sur votre compte et un découvert autorisé de 500€, soit un encours total de 1000€. Vous désirez louer un utilitaire chez Leclerc sans prendre les assurances, et votre caution culmine à 1500€. Votre caution est refusée alors que vous êtes très loin d’avoir atteint vos plafonds, et votre carte n’est pourtant pas à autorisation systématique.
L’explication du refus est très simple, l’émetteur de votre carte pratique un contrôle de solde dès qu’une autorisation remonte jusqu’à lui. Si cette transaction dépasse vos avoirs, il décline la demande, malgré la configuration confortable de votre carte Visa Infinite. Plusieurs émetteurs en France appliquent cette mesure à l’ensemble de leurs clients. D’autres déploient ce mécanisme de contrôle que sur les clients présentant un risque de défaut.
Lorsque la carte est à contrôle de solde systématique, alors l’émetteur contrôle vos avoirs à chaque transaction même si c’est pour un montant de 1ct. Vous aurez deviné que ce mode de fonctionnement va de paire avec le mode d’autorisation systématique. Avec une carte à contrôle de solde systématique, nous sommes sur un profil restrictif et non punitif.

La carte à séquestre systématique dite CSS

Avec cette version de carte, nous abordons les cartes punitives. Il s’agit des cartes prévues pour les clients présentant un risque de défaut, ou alors pour lesquels aucune étude de solvabilité n’a été effectuée.
Elles cumulent le mode autorisation systématique et contrôle de solde systématique. A ce comportement vient s’ajouter le séquestre, c’est-à-dire la réservation ou le gel du montant autorisé sur votre compte bancaire.
On parle d’un fonctionnement punitif car l’établissement financier, même s’il n’est pas débité, va réserver la somme sur votre compte et vous empêchera de la dépenser ailleurs. Elle sera d’ailleurs immédiatement déduite de votre solde bancaire.
Depuis la nuit des temps, ce type de carte existe, mais en raison de son mode punitif, les établissements bancaires réservent ce fonctionnement aux clients présentant un défaut comme un fichage ou des incidents récurrents . Les FinTechs ont décidé de redorer l’image de ces cartes punitives en argumentant que les systèmes bancaires des établissements traditionnels sont obsolètes et ne savent pas actualiser en temps réel un solde de compte.  Une opération rondement menée par plusieurs acteurs actuels qui parviennent même à vendre des cartes CSS à presque 20€/mois. Il suffit de voir l’engouement autour de cartes à séquestre systématique dès qu’elles sont en métal.

La carte Visa Ultim (Metal) de Boursorama Banque

Vous l’aurez compris, par son absence de dual-network ou cobadge, la carte Visa ULTIM est obligatoirement à autorisation systématique en France comme à l’étranger.

La carte Visa Ultim (Metal) Débit

En DEBIT, la carte est à contrôle de solde systématique. L’encours de votre compte, solde + découvert autorisé, est vérifié avant de répondre à la demande d’autorisation. S’ils sont suffisants, la réponse est « OK », dans le cas contraire, la réponse est « KO ». Mais l’argent n’est pas réservée sur votre compte.

La carte Visa Ultim (Metal) Crédit

En CREDIT, c’est-à-dire en débit différé, la carte sera uniquement à autorisation systématique, car le seul contrôle sera le plafond de paiement restant. Le paiement peut toutefois être refusé si la banque craint un risque, ou que votre encours différé est important. Elle est d’ailleurs en droit de vous demander d’avoir l’équivalent du différé sur le compte, c’est une situation rare, mais possible. En différé, quand l’encours est important, des alertes sont générées pour s’assurer que le client ne va pas présenter un risque de défaut lors du prélèvement.

Les retraits

Pour les opérations de retraits, vous êtes toujours en contrôle du plafond des retraits et en complément du solde du compte, que vous soyez en DEBIT ou CREDIT. Le contrôle du plafond « retraits » peut intervenir dans certaines opérations de paiements comme un TopUp chez Revolut, cela étant assimilé à de la manipulation de cash.

La carte Visa Premier de Boursorama Banque

Avant la fin 2019, la carte Visa Premier existait en DEBIT et en CREDIT. En 2020, Boursorama Banque ne la proposait plus qu’en CREDIT, débit différé.
Cette carte étant cobadgée avec CB et VISA, elle n’était donc pas en autorisation systématique en France. En l’utilisant à l’étranger, la carte devient automatiquement en autorisation systématique. Il est important de comprendre qu’on peut configurer différemment chaque application. Mettre du hors ligne en CB, mais l’interdire en VISA.

Hors ligne préféré versus hors ligne toléré

Nous laissons de côté l’aspect technique pour simplifier et nous allons emprunter des raccourci en indiquant que votre carte dispose de 3 seuils :

Hors ligne préféré

Votre carte a une fourchette financière dans laquelle elle peut décider seule d’accorder ou refuser la transaction. Si l’ensemble des conditions sont remplies, elle valide le paiement sans que votre établissement financier soit informé que vous venez d’effectuer un paiement.

Hors ligne toléré ou autorisé

Cette fourchette permet à votre carte d’autoriser une transaction, à la condition que le TPE soit configuré en « unable to go online ». S’il a un problème de connexion et n’est pas en « unable to go online », votre carte n’autorise pas seule la transaction, elle continuera d’imposer le concours de l’établissement financier.

Hors ligne fermé ou interdit

La carte n’a aucunement la capacité d’accorder une autorisation de paiement, et cela peu importe la situation du TPE. Si le TPE est configuré en « forçage », il pourra cependant prendre le risque d’autoriser lui-même la transaction. Il s’expose toutefois à un risque d’impayé, voir des sanctions en provenance de Visa et Mastercard. Le forçage reste autorisé par les réseaux internationaux dans quelques situations très spécifiques, et même en « vol » ils commencent à refuser ces comportements.

Hors ligne préféré et absence de dual-network

Dès que votre carte n’est pas en cobadge avec CB, le hors ligne préféré ne peut jamais fonctionner. Sur des configurations Visa ou Mastercard sans cobadge, il n’y a plus d’émission de cartes avec hors ligne préféré. Les émetteurs passent tous sur du hors ligne toléré, voir du hors ligne fermé selon le type de carte.
Hors de France, ce comportement est déjà acté. En France nous allons nous y diriger inévitablement car c’est le sens de l’histoire. Déclencher une autorisation et l’accord de l’émetteur à chaque transaction que vous effectuez. C’est déjà ainsi le cas si vous payez avec votre téléphone, votre montre…

Hors ligne préféré : CB, l’irrésistible gaulois, résiste encore et encore

On parle de coins en monétique pour indiquer le nombre d’entité qui interviennent dans un processus de paiement. Avec Visa et Mastercard la conception est en 4 coins. Le 4 coin est un modèle qui repose sur l’absence de confiance, chaque intervenant contrôle à son tour les éléments. Le hors ligne préféré n’y a donc pas sa place.
Avec CB (Cartes bancaires), nous sommes théoriquement sur ce modèle en 4 coins, mais dans la pratique, c’est du 3 coins, c’est-à-dire que le modèle repose sur la confiance. Le hors ligne préféré y a donc sa place, et il est acceptable qu’une carte puisse contrôler seule les éléments et autoriser une transaction.
Reprenons un exemple avec notre Visa Infinite en cobadge, elle est en hors ligne préféré. Insérez votre carte, dans un TPE à jour, et avant de renseigner votre PIN appuyez sur la touche jaune. Le TPE vous demandera si vous désirez la marque CB ou VISA. Si vous choisissez VISA vous serez toujours en online car l’application de traitement de la transaction ne sera plus CB.

Identifier le « offline » et le « online »

Le TPE vous édite un ticket, que la transaction ait abouti ou non. Sur ce ticket, vous allez vous intéresser à la zone juste au-dessus du montant. Vous avez 3 groupes de chiffres qui sont suivis de la lettre C. Cela indique que la transaction s’est effectuée avec le concours de la puce, si c’était la piste, vous auriez un S.
Derrière cette lettre, vous pouvez avoir la présence d’un @. S’il est affiché, votre transaction a été autorisée en online, donc avec le concours de votre établissement financier. Si le @ n’est pas présent derrière le C, alors la transaction a été autorisée uniquement par votre puce. L’émetteur ne sera avisé de votre paiement que le prochain jour ouvré en moyenne.
Dans certains rares cas le @ ne s’affiche pas et il est remplacé par un groupe de chiffre au bas du ticket. C’est par exemple le cas chez McDo qui ne savent pas afficher le @ dans cette zone.

Conclusion

Vous savez maintenant faire la différence entre une carte punitive comme vous les trouvez dans toutes les FinTechs, avec les restrictives comme Ultim de Boursorama Banque, mais également clarifier les différents modes d’autorisations.