OliverBlog

> Transactions : 3D Secure enfin !

Posted on: 20 juillet 2008

A compter du premier octobre prochain, le «Liability Shift» ou transfert de responsabilité, sera effectif en France. Lors d’un paiement à distance, les banques ne pourront plus « se contenter » de valider les transactions elles devront les authentifier…

L’envie d’écrire ce billet m’est venue suite à l’article publié par Daniel concernant la fraude CB et ses implications pour les e-commerçants.
A l’heure qu’il est, et depuis toujours, la situation est la suivante :
la répudiation d’une CB française pèse entièrement sur le e-commerçant français. C’est lui qui au final est « responsable » de l’impayé et qui donc subit la perte suivant un scénario invariable :

  • Un « client » donne en ligne les 3 éléments nécessaires à la transaction CB (N° de la carte + Date de validité, + Crytptogramme visuel).
  • Les serveurs de la banque du client et de la banque du commerçant dialoguent. Si la banque du client répond  favorablement (et dans les temps) la validation (OK) de la transaction est transmise au e-commerçant par le terminal de sa propre banque. La transaction a donc bien été validée par 2 banques : celle du client + celle du e-commerçant. Celui-ci a donc reçu une validation (un feu vert en quelque sorte). « La transaction est OK »
  • Dans les 70 jours qui suivent, le véritable titulaire de la carte s’aperçoit que son compte a été débité à son insu et conteste la transaction (répudiation du paiement) auprès de sa banque.
  • Le client dont la carte a été utilisée de manière abusive est remboursé.
  • La banque du client vient « rechercher » l’argent de la transaction sur le compte du e-commerçant (avec en plus quelques frais pour impayé…).
  • Le e-commerçant supporte entièrement la perte. Charge à lui de porter plainte, de fournir à la justice les éléments en sa possession pour « remonter » au fraudeur… (Je ne parlerai pas ici des résultats de ce type de démarches…)

Les banques ont pourtant, depuis plusieurs années, les moyens de vérifier au moment de la transaction que le « client » est bien le titulaire de la carte qu’il utilise grâce à la technologie 3D-Secure, proposée sous le nom «Verified by Visa» ou sous le label «MasterCard SecureCode».

Le système d’authentification 3D Secure réduit considérablement le risque de fraude et donc de non-paiement suite à  l’utilisation abusive des CB. Le titulaire se retrouve de fait protégé contre l’utilisation abusive de son numéro de carte de crédit car il a du confirmer son identité avant le paiement en donnant un code. Ce code est vérifié en ligne par l’émetteur de la carte (banque du client). Une opération triangulaire qui certifie que la personne qui passe la transaction est bien le titulaire de la carte. Dès lors que la transaction est approuvée et garantie 3D Secure, le transfert de responsabilité s’opére vers la banque du porteur de la carte.

Mais 3D Secure, (opérationnel depuis 2001) est jusqu’à maintenant utilisé partout, sauf en France ! Les banques françaises s’étant montrées particulièrement « frileuses » et « lentes » sur le sujet. En Belgique par exemple le système est actif depuis 2004. Il faut préciser qu’avec 3D Secure, en cas de fraude, la perte se déplace du e-commerçant vers la banque du client. Ce service 3D Secure est bien déjà proposé aux e-commerçants français par les banques françaises sur leurs terminaux de paiement dès lors que… la carte (et donc la banque du client) est étrangère !

Régulièrement, chaque année depuis 2002, on nous annonce la mise en place du système pour les transactions franco-françaises à un horizon proche. Il y a 6 ans (!), le 12 avril 2002 pour être précis,  01.net nous annonçait déjà la bonne nouvelle. Mais c’est l’Arlésienne !

Il semble que pourtant ,cet automne , »ça sera la bonne » ! Et que à compter du 1er octobre prochain les banques françaises devront adhérer au programme.

Effectif sur les transactions internationales depuis plusieurs années, le «Liability Shift» ou transfert de responsabilité ne l’était pas encore pour les opérations en France. Ce sera chose faîte le 1er Octobre 2008. Si une fraude intervient lors d’un paiement par carte sur un site marchand, soit la banque du commerçant est responsable car le terminal est non conforme, soit la banque émettrice si la carte est mise en cause.
Le 1er Octobre, cette règle entrera donc en application pour les transactions domestiques, impliquant de nouveaux risques et des changements pour les banques et notamment, l’adoption du système 3DSEcure.

Extrait du Livre Blanc « Sécuriser le e-commerce » par Xiring (éditeur de solutions de sécurité pour les transactions à distance.

Les banques commencent d’ailleurs à communiquer sur le sujet – pas toutes de la même manière😉 par exemple :
> La Société Générale
> La BNP ici mais aussi la BNP là
> Ce que fait aussi la plateforme  Paybox

Quelques liens utiles pour ceux qui voudraient en savoir plus :
> Authentificationforte.info
> GIE Cartes Bancaires

Enfin, pour ceux qui voudraient en savoir encore beaucoup plus :
> Conférence LES PAIEMENTS SUR INTERNET A L’HEURE DU « LIABILITY SHIFT » 02 octobre 2008

MAJ : >> 3D-Secure-etat-des-lieux

57 Réponses to "> Transactions : 3D Secure enfin !"

C’est bien la meilleure nouvelle qu’on a eu depuis plusieurs mois… si elle se vérifie.

J’ai très hâte… perso c’est plus de 1500 euros de fraude que j’ai eu depuis le début ! Avec à chaque fois la perte des produits…

attendons de voir les nouveaux tarifs bancaires avant de nous réjouir, si c’est plus cher que Fia Net cela peut être un problème, mais est-ce une bonne nouvelle pour les nouveaux entrepreneurs du net ?

Les banques (françaises de surcroit) me font bien rire. Non seulement en cas de fraude c’est le commerçant qui trinque mais en plus avec des frais d’impayés… C’est classique les banques gagnent à tous les coups et ne prennent pas de risques (y compris sur les prêts, ce qui est un autre sujet).

Les solutions techniques existent, il suffit d’en avoir la volonté à moins que la loi les y oblige d’une façon ou d’une autre.

j’attend de le voir pour le croire🙂

@Daniel > Saint-Thomas.com ?

Avec un peu de recul, j’ai vraiment du mal à croire que les banques font nous faire ce type de cadeau.

Pour un déploiement le 1er octobre, les banques auraient du commencer à informer les possesseurs de carte de ce nouveau type de fonctionnement mais je n’ai pas vu une banque communiquer sur le sujet, à part l’info d’Olivier sur le BNP.

Je cite la socgen sur le sujet de 3D-secure:
« – pour disposer du service 3D-Secure, vous devez souscrire l’option auprès de votre Conseiller de Clientèle ;
– la Société Générale se charge ensuite de vous enregistrer auprès de VISA et de MasterCard International, et d’activer l’option 3D-Secure avec Atos Worldline.

NB : pour bénéficier de cette protection, votre client doit également s’inscrire à 3D-Secure auprès de sa banque. Celle-ci lui fournira alors les moyens de s’authentifier. »

Ca fait bcp de conditions…
A quoi bon cette solution si personne ne peux l’utiliser…

@scott
ça n’est manifestement pas un cadeau mais une mise aux normes dans le cadre du SEPA (je finis de bosser le sujet, j’y reviendrai).
SEPA est l’acronyme de Single Euro Payments Area ou espace unique de paiements en euro.
Ce projet vise à harmoniser les transferts financiers, en devise euro, entre les pays membres –virements, prélèvements, carte bancaire, …– pour faire en sorte qu’un paiement transfrontalier en euro soit traité avec la même rapidité, la même sécurité et dans les mêmes conditions qu’un paiement domestique.
Une des caractéristiques de cette « migration » comme disent les banques et que tous les européens doivent être égaux devant leurs paiements –sécurité, commissions bancaires, acceptabilité des cartes etc… – et que toutes les cartes doivent être acceptées dans l’espace Euro + AELE (suisse + 3 pays nordiques)
C’est plutot intéressant.
Le RIB disparait…
Les cartes EMV deviennent le standard… etc…
Le virement SEPA est déjà opérationnel en France depuis janvier…

Plus d’infos sur http://www.sepafrance.fr/

Si tu fouilles un peu sur ce site tu trouveras les docs techniques sur les frameworks des cartes (en Anglais) ou il est dit que (3) Les paiements doivent être garantis.

Les paiements 3D secure fonctionnent déjà très bien sur les paiements avec les cartes étrangères.
Sur notre site les transactions passées depuis l’étranger sont pour la plupart garanties 3D Secure soit par SPPLUS (Caisse d’Epargne soit par SIPS (Athos). ça tranquilise pas mal pour quelques 1/10emes de % de plus de com / transaction garantie.

Et puis ça marche sans problème dans tous les autres pays…. On devrait quand même y arriver😉

D’ailleurs voici l’extrait du Cards Framework en question

(3) Guaranteed transactions: For removal of any doubt, the Framework is founded on the reality that card-present card transactions are guaranteed transactions, i.e. the payment is guaranteed to the merchant’s acquirer according to the relevant scheme’s terms and conditions. Such card payments are distinct from direct debit transactions, which are not guaranteed and are outside the scope of this Framework.
In the context of this Framework, remote transactions5 are covered as part of card schemes’ offerings provided a card number is used, a card account is debited, and the transaction is authorised by the cardholder.

A lire ce que présente la BNP, je trouve que l’ajout de la date de naissance n’est pas forcément la meilleure idée de contrôle. A partir du nom d’une personne, trouver sa date de naissance sur les différents sociaux qui peuvent exister ne me paraît pas impossible. Cela limite, certes, mais de là à garantir, cela me semble un peu exagéré.

Ce qui est intéressant, c’est vraiment ce déplacement de la responsabilité. En espérant effectivement que les banques n’en profitent pas pour sur-rajouter des contrôles qui à force provoqueraient des abandons de commande. Pour le coup, l’e-commerçant va perdre une étape de process marketing.

Oui c’est très sécurisant le 3D secure mais attention, pour débiter les cartes il y aura probablement un délai maximum (chez nous 20 jours) donc, dans le cas d’une rupture de stock et si le produit arrive après ce délai le client devra refaire son paiement.

Ensuite même si le e-commerçant n’est pas débité dans le cas d’une fraude, attention, si la fraude sur un même site est trop fréquente et arrive à un montant élevé, VISA ou MASTER bloquera votre compte.

Alors oui 3D secure est une bonne évolution mais le contrôle des ventes devra continuer.

Combien de dixiemes précisement
J’avais lu le chiffre de commission qui passerait aux alentours de 2%… (niveau moyen européen !)

@Daniel

je viens de faire vérifier sur nos conditions générales avec notre banque pour ne pas te répondre une bétise.
Pour les transactions garanties 3D Secure (sur une carte etrangère uniquement pour l’instant) nous avons 0,2% de commission en + d’une transaction normale. 2% ça serait monstrueux😉

En fonction du volume de fraude je me pose la question : est-ce vraiment intéressant pour tout le monde ?

@Cobolian

Bonne remarque. C’est clair qu’à 10 commandes par jour et sur un secteur peu exposé à la fraude, ça n’est pas vraiment vital. Tu peux « t’auto-garantir »en analysant de près chaque commande, vérification pages jaunes, tel etc…

Dès lors que tu fais plusieurs centaines de commandes/jour, la vérification systématique devient complexe… Nous qui ne sommes pas sur un secteur particulièrement exposé rien que sur les cartes étrangères, ça nous a permis d’éviter quelques très belles gamelles. D’autant que sur l’étranger les vérifications sont quasi infaisables.

[…] très bon poste de Olivier que je vous copie ici […]

J’ai appelé mon banquier (banque populaire) à ce sujet là.

Il était au courant que quelque chose allait changer pour les ecommercant mais n’avait aucune info supplémentaire à me fournir.

Je prie que pour le Crédit Agricole s’y mette rapidement!

[…] nous indique que 3D SECURE sera peut être généralisé à la rentrée au 1er octobre 2008 (voir billet). Mais ce n’est pas encore […]

Enfin un post intelligible sur le sujet. Comme JBP je m’interroge sur la scéurité d’une donnée aussi facile à trouver que la date de naissance. Et puis comme l’annonce la SocGen a priori le client final doit aussi choisir l’option, et apparemment au UK ça ne se passe pas si bien avec l’apparition des verified by visa refusenik.

http://insiden.blogspot.com/2008/08/verified-by-visa-refusenik-free-second.html

Je viens d’avoir la confirmation de la part de ma banque, banque populaire des alpes.
3d secure va etre déployer a partir du 30 aout pour une mise en marche le 1er octobre.
Il nous ont transmis un document expliquant le nouveau fonctionnement.

Et tout ça sans aucun frais supplémentaire !!!

Par contre, la personne responsable du système de paiement m’a indiqué qu’il ne fallait pas accepter toutes les transactions parce qu’elles étaient garanties. En cas de trop nombreuses fraudes, visa & mastercard d’après lui risquerait de dévalider 3d secure pour le code ape correspondant…

Je crois pas trop à ce type de mise en garde mais bon.

Chez nous, c’est 2 heures d’économiser chaque jour et des clients qui seront plus satisfait.

[…] il semble qu’il existe des solutions à l’étranger, voir le blog d’Olivier, pour le moment en France, rien de valable. Et dans le genre PayPal, ne fait pas mieux que les […]

Bonjour,

je dirige un e-commerce plutot important et dans un secteur a risque. Pour moi ce systeme est super mais si il n’est pas obligatoire il ne servira jamais. Pourquoi les clients iraient s’incrire pour quelque chose qui ne les concernes pas.

Au niveau du montant facture ayant parle avec un des rsponsables commerciale d’atos le but pour eu est de recuperer le meme montant que le cout de fia-net soit entre 0,2 et 0,5%

En ce qui me concerne ce qui coute le plus cher a mon entreprise est la casse de produit non verifie a la livraison environ 8000 euros par mois.

@+

Bonjour, merci Olivier pour ton billet explicite !😉
Je suis actuellement en train de finaliser mon futur site marchand de produits « à risques » (vins, champagnes, alcools rares, vieux millésimes…)
Etant une très petite stucture commerciale, je ne pourrai me permettre de voir s’accumuler les contestations (avérées ou pas) faute de fermer boutique…
Pour info Crédit Agricole PACA est aussi dans les startings blocs mais sans m’annoncer de date (email du 8/08/08)
Voici ce qu’on m’annonce au siège crédit agricole P.A.C.A:

« Sous toutes réserves, notre offre devrait s’enrichir d’ici la fin de l’année du service « 3D Secure », dont le but est de proposer une garantie de paiement à nos commerçants, aussi bien pour les cartes Bancaires , que pour les cartes étrangères Visa-Mastercard.

Concrètement, la règlementation évolue en transférant la contestation du porteur de la carte vers la banque de ce dernier, dès lors que le commerçant dispose sur son site de la solution 3D Secure.

Je ne peux vous en dire plus pour le moment (tarifs, conditions etc..), mais je vous tiendrais au courant. »

Dans l’attente, la personne m’a aiguillé vers Fia-Net avec lesquels ils auraient un « partenariat »….

Est-ce que Fia-Net aura tj raison d’exister si 3Dsecure arrive en France ??

@Fab’s
>Est-ce que Fia-Net aura tj raison d’exister si 3Dsecure arrive en France ??

Non à mon avis. C’est d’ailleurs pour ça (toujours à mon avis) en partie qu’ils ont commencé progressivement à s’orienter vers d’autres services (type receive & pay) et je parie que ça va continuer dans la diversification des services offerts par Fia net.
Pour ma part je n’ai jamais été un fervent défenseur de Fia Net.
Ils ne garantissent pas toutes les transactions. Ils garantissent celles qui sont sans risques (avec des méthodes de scoring) et signalent celles « à risque » laissant au final la décision au marchand…
Notre activité est bien entendu moins exposée que d’autres mais avec quelques procédures en interne nous avons presque toujours détecté nous même les transactions douteuses et à quelques exceptions près on ne s’est pas trompé.
Comme souvent en matière de e-commerce, il faut peser ce que ça coute d’un côté et ce que ça coute de l’autre, comme pour le fait d’assurer ou pas les colis.
ça fait mal de perdre un colis de 300 euros mais ça fait encore plus mal d’en assurer 500 à 1 euro pour rien.

Je doit dire que de garantir les colis a leur valeur reel est de ne pas etre rembourse car le colis n’est pas verifier a la livraison, dans mon cas cela m’ennerve. Meme si j’ai souvent l’impression d’etre le seule a etre agasse par cela.

Pou mon avis sur fia-net je suis 100% d’accord avec olivier.

Thanks !

Quelqu’un aurait un avis sur OGONE ?

Pour OGONE je ne ve voit pas trop la difference avec fia-net.

[…] Transactions : 3D Secure enfin !, par Olivier Bernasson Tags: 3D SECURE, date de naissance, Ogone, Paybox […]

Connaissant assez bien le sujet, je me permets d’apporter quelques précisions.
1) A partir du 1er octobre 2008, les paiements réalisés par CB en France (déjà en vigueur depuis plusieurs années pour les paiements étrangers) et qui font l’objet d’une répudiation (nier, contester être l’auteur de la transaction) seront dans ce cas garantis pour les commerces adhérants au service (sauf quelques cas très particuliers, explicités généralement – ou à venir – dans les contrats relatifs à votre solution).
2) le service n’est nullement obligatoire pour les commerces sauf à ce que la banque l’impose ce qui ne sera sans doute pas toujours le cas (ex : à la SG c’est une option)
3) pour les commerces qui adhèrent au service, leurs clients devront s’authentifier selon la méthode qui aura été décidée par la banque qui émet la carte de type « code secret à taper en plus » (en effet c’est elle qui prendra le risque de fraude en cas de répudiation comme indiqué plus haut, l’acheteur continuera d’être protéger par Loi de Sécurité Quotidienne). 3 D doit contribuer à renforcer le sentiment de sécurité pour les acheteurs : ils devront s’authentifier auprès de leur banque au moment de payer. D’ailleurs les banques ont commencé à communiquer auprès de leurs clients particuliers (site BNP très clair sur le sujet).
4) Concernant les prix et les modalités, il convient véritablement de se rapprocher et de se renseigner auprès de sa banque et de son fournisseur technique suivant votre cas.

Ce qui m’énerve dans 3DSecure c’est qu’on va le vendre aux porteurs comme une sécurité supplémentaire contre l’utilisation frauduleuse de leur carte bleue sur internet. De fait, on va occulter le transfert de responsabilité qui résulte de 3DSecure. Vous me direz, si le système d’authentification de la banque est bien fait, il n’y a quasiment aucun risque.

Mais imaginons que des banques aient l’idée saugrenue d’utiliser une information banale, comme la date de naissance par exemple, pour authentifier ses porteurs, elles ne diminueraient quasiment pas les risques d’utilisation frauduleuse des cartes bleues tant cette information est facile à obtenir, mais en plus elles retireraient la possibilité de répudiation intrinsèque auxquels ses porteurs avaient droit.
Vous en avez rêvé ? Pour le moment la BNP et la Caisse d’épargne l’ont fait !

Alors je comprends le point de vue des e-commerçants, qui méritent qu’on les protège, mais je pense que c’est aussi leur devoir de faire comprendre à leur banquiers que ce n’est pas à leurs e-clients d’assumer les charges d’une mauvaise implémentation de 3Dsecure.

@t’euh
Pour une utilisation frauduleuse non repudiable il faut quand même le numéro de carte + la date de validité + le cryptogramme + le code ou date de naissance du porteur… Si un fraudeur a tout ça ça relève plutôt d’une négligence de la part du porteur ne croîs tu pas ?
Il faut peut être aussi responsabiliser un peu les porteurs qui doivent comprendre que leur carte est sous leur responsabilité. Et qu’il faut être vigilant sur la protection des infos rattachées a la dite carte

@Olivier
J’espère que tu plaisantes…🙂
Imaginons que quelqu’un te vole ton portefeuille, il a toutes les infos de ta cb et pour ce qui est de ta date de naissance… hum voyons voir… ta carte d’identité ou ton permis de conduire devrait suffire… au pire google peut devenir ton ami pour trouver cette info…
Je répète ce qui me choque c’est l’utilisation de la date de naissance comme méthode d’authentification. Utiliser une carte de clé comme le fait le Crédit Mutuel-CIC par exemple est évidemment une bien meilleure alternative.

Si ma tante en avait, ce serait mon oncle… Si quelqu’un te vole ton portefeuille, il suffit d’alerter rapidement ta banque et les paiements frauduleux entre le moment où tu réagiras et l’action de la banque te seront remboursés.

La date de naissance est la bonne information à demander car c’est la seule (ou presque) dont n’importe qui peut se souvenir sans problème…

A mon avis, tout code supplémentaire sera un frein à l’adoption de 3d-secure. J’en viens même à penser que les banques ne se sont pas mis d’accord sur l’information à demander pour torpiller le système.

Comme marchand, ma pire crainte est qu’en plus d’aller chercher sa carte, de voir un acheteur se mettre à chercher sa carte clé pour finaliser le paiement…

@JY
Désolé pour ta tante…

La date de naissance est la mauvaise information à demander car c’est la seule (ou presque) que n’importe qui peut trouver !
Quand tu payes par CB (en France) dans un magasin sur un TPE physique ou que tu retires de l’argent à un GAB, on ne te demande pas ta date de naissance pour authentifier que tu es bien le possesseur de la carte, on te demandes ton code PIN qui est un code imprédictible et donc une information quasiment impossible à trouver.
Alors pourquoi considérer qu’un paiement sur internet devrait être différent d’un paiement dans un magasin ?

Dès que tu alerteras ta banque, elle mettra évidemment ta carte en opposition et plus aucune autorisation de paiement ne sera accordée pour ta cb, mais tous les paiements effectués avant seront validés et non répudiables. Et admettons que tu mettes 1 heure à te rendre compte du vol, ça laisse un joli laps de temps pour le fraudeur pour faire ses courses…

Je comprends qu’en tant que e-commerçant tu perçoives 3Dsecure comme un frein potentiel à ton chiffre d’affaires car il va rajouter une étape supplémentaire dans le processus d’achat. Tu souhaiterais donc que cette étape soit le plus simple possible pour ne pas rebuter les acheteurs. Seulement l’acheteur, qui avant, été entièrement protégé s’il était victime d’une fraude n’a maintenant comme garanti que le système d’authentification qui sera mis en place par sa banque.
Par contre, l’e-commerçant, qui en était de son argent en cas de fraude, est, ce qui est tout à fait normal, maintenant totalement protégé…

[…] est un sou. C’est donc sans surprise que c’est sur oliverblog que vous pourrez lire un post très intéressant sur les transactions bancaires, et surtout le transfert prochain de la responsabilité des risques en cas de fraude du commerçant […]

Précision importante :

3DS protège le commerçants des répudiations avec motif « fraude ». C’est à dire en provenance d’un porteur contestant auprès de sa banque un débit pour « motif de fraude ».

Par contre 3DS ne protège pas le commerçant sur le motif « litige commercial » et là la différence avec « fraude » est proche dans certains cas. (Exemple : celui qui commande un ordinateur toutes options et affirme ne pas avoir reçu le colis…. Autre exemple celui qui affirme ne jamais avoir bénéficié d’un service en ligne car problème lors du téléchargement…).

Il faut donc que le commerçant concidère 3DS comme une sécurité complémentaire à celle qui a déjà mise en place aujourd’hui.

Autre point : 3DS n’est disponible que pour le canal internet.
Les paiements collectés sur centre d’appel, bons de commandes papier, serveur vocal, tel mobile,… ne sont donc pas couverts.

Certains contributeurs avrtis ont indiqué la notion de « transfert de responsabilité » et ils ont raison. C’est à dire que le responsable devient la banque de l’acheteur.
Il faut donc anticiper certains cas où le banquier pour faire plaisir (naivement) à son client retournera la transaction avec motif « litige commercial » et pas « fraude », car dans ce dernier cas c’est lui qui garde l’impayé.
Ce n’est pas un anectdote, mais un vrai retour d’expérience en provenance du UK par exemple.

Les paiements par abonnement ou bien les facilités de paiement comme le « 2 ou 3X sans frais » ne sont également pas couverts par 3DS.

Pour conclure 3DS est une très belle avancée, mais il faut continuer à vous prémunir avec les services d’aides à la décision remontés par votre opérateur de paiement (IP pays, Code pays de la carte, alerte présentation multiple, validation manuelle, black-list,….. FIA-NET,…).

A votre service pour plus de précisions.

Frederic LOOS
Dir. Commercial
http://WWW.PAYBOX.COM

Nous l’avons implémenté et pour l’instant plutot satisfait.

Note à teuh: Par contre, je ne suis pas sur que le client qui a souscrit à 3D-SECURE perd son droit de répudiation de fait. Avez des sources qui indiquent cela? Merci.

Voici notre comm dessus:

http://www.toutallantvert.com/securite-renforcee-3dsecure-verified-by-visa-mastercard-securecode-i-22.html?var=recalc

[…] à la carte bancaire dans l’e-commerce (2008). A lire, c’est assez intéressant. La donne risque toutefois de changer si des solutions style 3D Secure se mettent enfin en place. Plateformes ecommerce, par Wizishop. Un tour très complet (120 pages) de ce qui se fait en ce […]

@David
3Dsecure opère un transfert de responsabilité au niveau de l’impayé. Si un internaute conteste un paiement pour motif de fraude (cf le commentaire de Fred), il va y avoir une « enquête » pour déterminer l’historique de l’achat contesté.
Si le paiement a été authentifié par la banque du porteur, la banque de l’acquéreur (le e-commerçant) refusera alors de prendre à sa charge l’impayé comme elle en a le droit maintenant.
Et je ne pense pas que la banque du porteur lui fasse un cadeau en acceptant de lui rembourser les achats qu’il prétend frauduleux… Après tout, il n’avait qu’à mieux protéger sa date de naissance (spéciale dédicace à la Caisse d’epargne et BNP Paribas : je vous hais… Il semblerait d’ailleurs que le GIE bancaire pense comme moi)

Pour ce qui est des sources, elles sont professionnelles : je travaille dans le service qui développe la solution de paiement d’un groupe bancaire français et qui a notamment participé à la mise en place de son ACS (son service d’authentification 3DS).

[…] bien voilà, le liability Shift est entré en vigueur et, depuis le 1er octobre dernier, le transfert de responsabilité vers la […]

bonjour,

je souhaiterais obtenir les specifications ou regles à appliquer pour les cartes CB FRANCAISE dans le cadre de l implementation de 3D SECURE, savez vous ou je peux trouver ca.

Merci beaucoup pour votre aide

@Sama
L’opération est transparente pour vous (sauf si vous gérez le paiement directement sur votre site, là ça ne sera pas simple).

Dans le cas le plus probable, celui où vous utilisez une plateforme (Atos, paybox…) ou une solution bancaire (SPPLUS, Mercanet…), il suffit de signer un avenant à votre contrat de base incluant 3D secure. Vous n’aurez rien à implémenter. Tout se passe côté banque ou plateforme.

Super … et bien sur avec cela l’utilisateur du carte « sécurisé » par 3D Secure la toujours dans le cul en cas de fraude, en effet quoi qu’il arrive la banque se défaussera … regarder bien le contrat …

Super …

@Benoit
Si je comprends bien vous regrettez « l’époque bénie » où c’est le marchand qui l’avait systématiquement dans le baba puisque tout petit malin pouvait commander puis répudier sa transaction en déclarant qu’il n’avait pas utilisé sa carte ?
Je ne vois pas en quoi la personne qui s’est authentifiée lors d’une transaction 3D secure peut revendiquer une fraude. Je ne trouve pas anormal que la banque se retourne vers un utilisateur qui s’est authentifié puis déclare une « fraude »…
Que les codes demandés actuellement soient parfois un peu « faibles » c’est un fait, mais cela va changer progressivement d’ici à juin 2010. La mise en oeuvre n’est pas parfaite, je vous l’accorde mais remettre en cause le principe me parait pour le moins douteux…
C’est un peu comme si vous vous indigniez d’être responsable de vos retraits au distributeur…

Bon. Il ne faut pas se faire d’illusions : entre les banques et les fraudeurs, la course-poursuite continue !

Corinne

@Corinne

Sans doute, cette course durera t elle encore un moment. La différence notable est quand même qu’avec 3D secure ce n’est plus le e-commerçant qui paye la médaille du fraudeur…

Bonjourà tous,

Je suis E-commerçant et quand j’ai entendu cette nouvelle en Octobre dernier je me suis dit….. super ! Enfin les banques françaises bougent !

Mais nous sommes aujourd’hui en presque en Juillet 2009 et plus de la moitié de mes transactions sont toujours en 3D_not_enrolled

Pourquoi? Et bien tout simplement car après explication d’ATOS et de la Banque il faut que le porteur de la carte demande à adhérer au programme 3Dsecure. Le monde à l’envers quoi….

Les cartes ne sont pas automatiquement inscrite au programme 3Dsecure !!!!!
Je trouve ça vraiment honteux car encore une fois cela montre bien la rétisence des banques à prendre leur responsabilité quand à la non sécurité des transactions par internet.

Au final je me demande si on y arrivera un jour ou si c’est toujours le commerçant qui se fera enfiler😦

Bon courage à tous, la route est encore longue !

Qu’est ce que ça peut faire que les cartes soient not enrolled ?
La responsabilité reste chez la banque du porteur… pas sur le porteur comme c’est le cas lorsque l’authentification est réussie, mais plus chez le commerçant quoi qu’il en soit !
Dès lors que c’est une carte française et que vous avez installé 3D secure, la responsabilité n’est plus chez le e-commerçant !

Bonjour,

La Société Générale va passer à partir de septembre 2009 à un système de mot de passe non rejouable, en l’espèce un mot de passe unique, pour chaque transaction sur internet, généré gratuitement par la Banque et transmis via SMS en temps réel sur le téléphone portable du porteur de la carte. Il suffit de s’enregistrer auprès de la Banque Soc Gen en deux SMS (sur-facturés cependant !!) c’est réglé.

Une étape très attendue qui contribue donc à mettre un terme au règne du mot de passe rejouable type « date de naissance » et devrait inciter certains e-commerçants à se re-pencher sérieusement sur le sujet, d’autant que la communication commence à se faire plus lisible sur les sites des banques… Mais comment gérer le telephone order pour les sites disposant d’une plate-forme téléphonique ?! Le 3DS ne pouvant pas s’appliquer au téléphone, la fraude va probablement massivement s’y reporter…

Cordialement

Bonjour,

je suis e-commerçant et j’ai fait retirer l’option 3D sécure (35% d’abandon au moment de la saisie le code).

Je voulais savoir si « JURIDIQUEMENT » le liability Shift s’applique quoi qu’il arrive ou, s’il est il applicable uniquement si le e-commerçant accepte 3D secure?

Salutations

@Valery
C’est très simple :
– avec D sur ton serveur bancaire = toutes les transactions avec CB françaises sont couvertes
– Sans 3D sur ton serveur bancaire = pas de garantie et le liabilty shift ne s’applique pas.

Le laibilty shift s’applique dès lors que le commerçant a procédé ou essayé de procéder à l’authentification 3D (donc dès lors qu’il a installé 3D sur son serveur)

Merci de la réponse,

Mais si je fait mes calculs, je préfère encore attendre quelques mois que :
– les grosses locomotives soient passées en 3D secure
– le grand public ai intégré ce dispositif (rappelons nous le code 4 chiffres sur les TPE il y a 15, 20 ans)
– les banques communiquent et expliquent clairement sur 3D secure
– que les pages 3D secure des banques ne ressemble plus à des pages de hacker russes.

Le jour ou tout cela est fait et ou le taux d’abandon revient à la normal, je vais voir ma banque et fait installer 3D secure.

Sincères Salutations

« a Société Générale va passer à partir de septembre 2009 à un système de mot de passe non rejouable, en l’espèce un mot de passe unique, pour chaque transaction sur internet, généré gratuitement par la Banque et transmis via SMS en temps réel sur le téléphone portable du porteur de la carte. Il suffit de s’enregistrer auprès de la Banque Soc Gen en deux SMS (sur-facturés cependant !!) c’est réglé. »

si comme mou et de nombreux amis vous etes souvent à l’etranger, et que vous n’avez pas de portable ou ligne de telephone, cette saloperie va vous rendre la vie extremement difficile…impossible de booker vos vols au tarifs les plus( car booking seulement sur internet), et pour avoir l’honneur de payer cash( ou par cb en pinant votre code secret sur un terminal) il vous en coutera entre 5 et 10 euros par transaction, jolie facture finale!!!
même en ayant une personne qui réceptionne le code pour vous et le transmet par mail, la fenêtre de tir pour rentrer le code est trop courte..a moins d être dans un cyber café, ou en asie c est bien connue les ordis sont 100% safe
J’ai jamais demandé cette merde sur ma carte, des amis américains et australiens bookant sur les mêmes sites avec le même type de carte(visa international) ne passe jamais par l option verified by visa
je ne vais pas souscrire a un abonnement au téléphone mobile pour pouvoir profiter de ma carte, Donc leur carte bleue je vais leur la rendre, surtout que ma banque refuse de me sauter cette protection qui me pourri la vie car inadapté a mon style de vie

nous venons d’implementer dans notre solution le 3D secure, ce qui nous a valu encore plus de fraude et une resiliation de notre contrat marchand apres 3 semaines d’activites.
le 3d secure ne protege pas plus les transactions frauduleuses qu’auparavant, c’est un leurre….

Bonjour,
Je possède un site marchand avec 3D sécure.
Ma banque crédit mutuel – Atos à validé un achat et créditer mon compte, j’ai procédé à l’expédition du colis à Paris conformément à l’adresse de l’acheteur, et 50 jours plus tard mon compte a été débité du montant de la transaction, sans avis préalable, sous prétexte qu’il s’agissait d’un achat effectué avec une carte américaine.
L’opération n’était pas garantie, mais il l’on accepté.
Pensez – vous qu’il n’y ai pas d’issue? auriez vous des éléments nouveaux au sujet de la responsabilité de la banque?
Que puis – je faire

Les commentaires sont fermés.

OliverBlog

E-commerce
architectureS
pêche à la mouche
& autres lubies...

Retrouvez-moi sur Twitter

RSS e-commerce JDN

  • Une erreur est survenue ; le flux est probablement indisponible. Veuillez réessayer plus tard.
%d blogueurs aiment cette page :