autoroute

Votre carte bancaire fonctionnera-t-elle en offline ?

Depuis le début, nous tentons de vulgariser le fonctionnement des cartes bancaires, des virements, de vos comptes. Au travers des questions posées sur notre fil twitter ou des propos tenus sur d’autres médias, nous remarquons que le terme « offline » est souvent employé. Malheureusement, la plupart du temps, il l’est à mauvais escient.

Nous vous proposons donc de refaire le point, toujours en vulgarisant et simplifiant, mais avec quelques informations techniques.

Afin d’être les plus compréhensibles possibles, ces explications feront l’objet de 2 articles distincts. Le premier d’entre eux, que vous êtes en train de lire, décrira plus spécifiquement le fonctionnement de la puce lors d’un paiement offline.

Carte et « offline »

Restons simple pour résumer le fonctionnement d’une carte.

  • Soit la carte a une acceptance au hors ligne (préférence)
  • Soit elle a une capacité au hors ligne (tolérance)
  • Soit elle est hermétique au hors ligne (refus).

Il existe 2 canaux pour le traitement des transactions face à un terminal de paiement.

  • Soit ce dernier va traiter votre transaction en utilisant la piste magnétique au dos de votre carte.
  • Soit il va utiliser la puce de cette dernière.

Le sans contact repose quant à lui sur la puce et dans de rares cas sur la piste magnétique. Le « offline » doit reposer sur ces 2 canaux de traitements, la puce et la piste. Faute de quoi, des refus existeront.

Les cas d’usage de la piste magnétique

Le nombre de personnes qui sortent de manière répétée et régulière de France sont rares dans les clients des fintechs. Cela est nettement moins vrai dans un cercle bancaire classique.

En regardant uniquement en France, l’usage de la piste magnétique est encore très présent dans le domaine du transport. Cette méthode permet ainsi d’aller vite en facilitant le hors ligne.

Sur une route à péage, les bornes s’occupant d’encaisser votre droit de passage fonctionnent majoritairement sur la piste magnétique. Quand vous insérez la carte, la piste est lue. Les informations nécessaires au paiement sont sauvegardées dans un journal (Numéro, Expiration, Code de Service, Information de Sécurité comme le CVC/CVV…). La carte est alors éjectée. La barrière s’ouvre si votre transaction a été acceptée.

Le « offline » à ce moment, repose exclusivement sur l’information codée dans le Code de Service (Service Code).

L’utilisation de la piste magnétique n’est pas une exception française. Une migration vers l’usage de la puce est envisagée. Pour l’heure, le choix est laissé aux gestionnaires des péages.

Le hors ligne EMV

Toutes les méthodes reposant sur la puce, y compris le sans contact, imposent un traitement électronique. Cet échange d’informations dure entre 500ms et 2000ms en moyenne.

Lorsque la puce est utilisée, différents curseurs et paramètres sont exploités. Ces indicateurs décideront si oui ou non vous êtes autorisé à réaliser le paiement sans le concours de l’émetteur.

Parallèlement, des profils servent par exemple à séparer les autorisations PayPass/PayWave (Sans Contact), des autorisations ICC (lecture de la puce avec ou sans saisie du code PIN).

Le dipping

Dans certains terminaux en insérant votre carte, la puce est utilisée. Pour autant, le code PIN n’est pas requis. On parle alors de « dipping ». Ces usages se retrouvent sur certains automates (parking, péages,…) mais plus fréquemment sur les boîtiers apposés sur les distributeurs de boissons.

Exemple de dipping :

  • Dans les transports en commun, si vous n’avez pas de « Sans Contact » actif, vous pouvez insérer votre carte.
  • Le terminal du distributeur de boissons va utiliser la puce mais ne demandera pas votre PIN.
  • On retrouve également cela avec des limites à 100/250€ par transaction à l’étranger chez certains hôteliers ou pompes automatiques de carburant,…

Le « dipping », contrairement au « chip & pin » est limité à la fois par la carte, mais également par le réseau (Visa, Mastercard,…) qui décidera des limites pour l’usage spécifique du commerçant.

Le « chip & pin »

Lors de la transaction, la carte est insérée dans le terminal. La saisie du code PIN est requise. La carte dispose de plusieurs valeurs qui vont définir :

  • A partir de quel montant minimum on souhaite/exige une autorisation
  • A partir de quel montant maximum on souhaite/exige une autorisation
  • A partir de combien de transactions minimums on souhaite/exige une autorisation
  • A partir de combien de transactions maximums on souhaite/exige une autorisation

Pour ces 4 paramètres, les noms et le codage va différer entre VISA, Mastercard, AMEX,… De même qu’il existe une configuration domestique (EUR) et internationale (autres devises que l’EUR et/ou le code ISO du pays de l’émetteur). La philosophie reste toujours la même : On fixe des seuils de déclenchement.

Les cartes émises par les néobanques

La majorité des Fintech placent l’ensemble de ces valeurs sur 0. Cela indique donc qu’on est sur une autorisation online obligatoire dès le 1er centime. Faute de capacité à obtenir cette autorisation, la transaction doit être déclinée.

Si le montant minimum est par exemple sur 0 et le maximum sur 100, cela indique que la carte à une tolérance au hors ligne. Elle souhaite une autorisation dès le 1er centime. Entre 0€ et 99.99€, elle acceptera en l’absence de connectivité d’accorder le paiement seule.

A partir de 100€, la carte refuse le hors ligne. Le paiement devra être refusé si l’obtention de l’autorisation online est impossible.

Si le quota de paiement minimum est à 0 et le maximum sur 5, on se retrouve dans une situation toujours de tolérance. A chaque paiement une autorisation sera souhaitée avec l’émetteur. Mais jusqu’à 4 paiements inclus, le hors ligne sera possible en l’absence de réseau. A partir du 5e paiements, soit le online est possible, soit la transaction est refusée.

Les cartes émises par les banques traditionnelles ou BEL

Les cartes traditionnelles emportent des configurations différentes. Ces marqueurs sont spécifiques à chaque carte. Ils peuvent même être spécifiques à chaque profil car ces valeurs sont modifiables à tout moment par l’émetteur.

Prenons l’exemple d’une VISA Infinite de chez Crédit Mutuel ainsi configurée :

  • Limite financière : 1500 / 2000
  • Limite quantitative domestique & internationale : 50 / 60

Passons aux explications de cette configuration :

  • Entre 2 autorisations online, la carte préfère jusqu’à 1500 de dépenses cumulées faire du hors ligne.
  • Entre 1500 et 1999 elle va préférer le online mais sera tolérante au hors ligne.
  • A partir de 2000 cumulées, elle imposera le online et générera donc systématiquement une requête à cette fin.
  • Côté quantitatif, on est sur une préférence au hors ligne jusqu’à 50 paiements.
  • De 50 à 59 on entre en phase préférence au online.
  • Au 60e paiement, l’autorisation est imposée.

La remise à zéro des marqueurs

Les compteurs se remettent à l’état initial à chaque transaction online aboutie. Cette transaction peut être un paiement en mode online ou un retrait qui est forcément validé par une autorisation online. C’est un fonctionnement similaire à la réinitialisation du plafond Sans Contact : si le PIN n’est pas entré ou si il est mauvais, le plafond n’est pas réinitialisé.

Attention cependant, ce reset des marqueurs s’effectue que les opérations précédentes offline aient été compensées ou pas ! Plus simplement, que ces opérations aient été débitées ou pas de votre solde. Le risque de découvert est donc à prendre en compte.

Des seuils différents en fonction des réseaux

Ces seuils peuvent être différents sur votre carte selon que vous utilisiez le réseau CB ou le réseau VISA, dans la cas d’une Visa INFINITE. Certaines banques vont abaisser hors de France donc hors réseau CB ces limites.

Une VISA 1er de chez BNP nous donne sur CB une limite financière à 700 / 1500 et quantitative à 7 / 15.
Lorsqu’elle est sur le réseau VISA, ces mêmes paramètres passent respectivement sur 700 / 1500 et 0 / 5.
Donc sur le réseau VISA, la carte préfèrera une autorisation à chaque paiement : le compteur quantitatif déclenchant la règle de contrôle d’autorisation online même si le financier n’est pas atteint.

Les cartes co-badgées mastercard et CB bénéficient, majoritairement, des mêmes marqueurs sur les 2 réseaux.

Il est très compliqué de détailler tous les paramètres et toutes les règles. La puce est un mini-ordinateur. Elle est en mesure de prendre en compte de multiples critères pour décider ou non si l’autorisation est nécessaire. Le profil applicatif de la carte joue également un rôle majeur pour le processus d’autorisation dès que les 4 curseurs sont supérieurs à 0. Il nous est donc impossible de lister toutes les configurations en fonction des banques et des offres.

Le cas du « sans contact »

La couche « Sans Contact » dispose de curseurs qui viennent se greffer sur ces paramètres. Ces curseurs supplémentaires permettent de distinguer un processus d’autorisation différent pour ce type de paiements. Cela veut donc dire que vous pouvez avoir du offline toléré dès 1ct en « chip & pin » mais préféré jusqu’à quelques euros en « Sans Contact » pour éviter l’autorisation systématique.

Curve est la seule Fintech à avoir joué sur ces compteurs avant de resynchroniser les 2 suite à l’incompréhension de certains clients. Ces curseurs sont modifiables à la volée sans qu’il soit nécessaire de refabriquer la carte. La modification s’effectue par l’envoi d’une instruction à la carte lors d’un retrait ou un paiement online.

Conclusion

On ne vous a pas perdu ? Tant mieux ! Le 1er de ces articles consacrés aux paiements offline s’arrête là. Dans le second article, nous aborderons les paiements offline sur piste magnétique ainsi que les xPay