OliverBlog

> 3D Secure : état des lieux

Posted on: 22 octobre 2008

Et bien voilà, le liability Shift est entré en vigueur et, depuis le 1er octobre dernier, le transfert de responsabilité vers la banque du porteur est effectif pour toute transaction par CB avec une carte émise par une banque française. L’occasion de faire un premier petit bilan.

Constatation n° 1 : le sujet passionne et suscite des réactions et des supputations.
Il faut dire que les banques n’ont pas été très bavardes sur le sujet. Tant vers les commerçants que vers leurs clients porteurs de cartes.

Qu’implique donc en réalité ce transfert de responsabilité ?

La réponse est simple :
C’est la banque du porteur de la carte qui est désormais responsable de la transaction. Libre à elle de mettre en place telle ou telle mesure pour authentifier son client. Ne pas mettre en place de contrôle pour vérifier que c’est bien son client qui commande ne l’exonère bien entendu pas de la responsabilité.
Il n’est donc plus possible depuis le 1er octobre, pour un e-commerçant, de se retrouver avec un impayé dès lors que le serveur bancaire qu’il utilise est 3D secure
(c’est à dire qu’il a souscrit l’option auprès de sa banque).
Plusieurs cas de figure sont alors possibles en cas de répudiation ou utilisation frauduleuse :

1 – La transaction validée était signalée « Garantie 3D Secure » >> Pas d’impayé possible
La banque du client a authentifié la transaction. En cas de répudiation elle « se débrouille » avec son client

2 – La transaction a été acceptée mais non garantie 3D Secure >> Pas d’impayé possible.
En effet si elle n’est pas garantie c’est parce que la banque du porteur n’a pas pris les mesures pour la garantir. Elle reste donc responsable en cas de répudiation de son client et « se débrouille » avec lui.
Dans le cas d’une carte non « enrolable 3D Secure » (ancienne génération) le cas est le même, la banque émettrice doit prendre ses disposition pour la faire évoluer.

3 – La transaction est acceptée mais non garantie alors que la banque du porteur avait bien mis en place la validation 3D Secure mais la banque du e-commerçant (pour une raison X) n’a pas demandé la vérification, alors que le 3D Secure est implémenté sur le serveur. Dans ce cas, la responsabilité bascule vers la banque du e-commerçant. Pas vers le e-commerçant ! >>Pas d’impayé possible.

Remarque : lorsqu’une transaction avec une carte FR est acceptée mais non « enrollée 3D Secure », vous ne savez pas si vous vous trouvez dans le cas n°2 ou le cas n°3. Et après tout peu importe !

Rien que de très logique en fait ! Mais comme rien n’était clair et que tout et son contraire circule sur le sujet, j’ai pris soin avant d’écrire ces lignes de faire enquêter un peu un responsable monétique d’une de nos banques pour être affirmatif.

Attention toutefois :

– Si vous n’avez pas souscrit à l’option 3D Secure sur le serveur de votre banque, vous n’êtes pas couvert. (Encore que, mon interprétation sur le sujet serait que votre banque, pour se dégager de la responsabilité qui lui retomberait dessus, devrait normalement vous forcer à l’adopter !)

– Il est possible encore de recevoir encore des impayés pendant un moment mais uniquement pour des transactions effectuées avant le 1er octobre.

– Les cartes étrangères non garanties 3D Secure ne sont pas couvertes. Il n’est en effet pas possible de soumettre à une mesure franco-française une banque étrangère qui reste libre ou pas d’adhérer à un système pas forcément obligatoire dans son pays d’origine. Restez donc vigilants sur le pays d’origine de la carte en cas de livraison en France avec une transaction non garantie !

Et l’aspect commercial dans tout ça ?
Le taux de transactions garanties 3D Secure tourne actuellement (pour notre part) autour des 50% et le pourcentage est sensiblement le même sur les 2 solutions que nous utilisons, SPPLUS (Caisse Epargne) et SIPS (Atos)

Le pop up 3D Secure fait il peur aux clients ? Ont ils des réticences à donner leur date de naissance ?
Je n’ai pas de réponse précise là dessus. Quelques (très peu) appels ou interrogations par mail sur cette nouveauté mais rien de bien significatif. Un indicateur tout de même : pour notre part nous constatons depuis le 1er octobre des taux d’abandon de panier tout à fait conformes à ce qui se passait avant. Pas plus pas moins ! Je pense même que très rapidement cette petite sécurité sera un élément de rassurance.
En tout cas c’est un sacré confort et ça fait gagner un temps précieux !

A lire ailleurs :

Visa et mastercard à la rescousse des e-commerçants sur le JDN

20 Réponses to "> 3D Secure : état des lieux"

[…] MAJ : >> 3D-Secure-etat-des-lieux […]

Certaines banques communiquent sur le sujet, par exemple le crédit mutuel lorsque l’on se connecte a son compte explique la démarche. Par contre les autres banques ???

j’hésite vraiment à faire la bascule juste avant noel

j’ai bien envie de te croire mais tu es quand meme l’exception qui confirme la regle pour l’instant🙂

Pour info, vous allez bientôt recevoir l’invitation, atelier sur le sujet à la Fevad le Lundi 17 novembre …
Espérant vous y retrouver …

Quelques correctifs par rapport à votre article :
– le commerçant 3D Secure ne reçoit plus d’impayés pour les contestations « ce n’est pas moi qui ait fait la transaction » (soit 80% des impayés actuels) mais il peut recevoir d’autres impayés (minoritaires mais qui existent quand même)
– le transfert de responsabilité s’applique aux cartes étrangères Visa et Mastercard depuis Octobre 2006, donc bien avant les cartes Françaises (Octobre 2008).
– il existe des exceptions au transfert de responsabilité (cartes commerciales par exemple)

Le processus d’authentification n’est normalement pas effectué via un pop-up (afin d’éviter les pop-up killers), il fait partie intégrante de la page de paiement (page supplémentaire).

N’hésitez pas à demander des compléments d’information à votre établissement bancaire ou à votre prestataire de paiement. Certains prestataires, comme Atos Worldline (solution SIPS) ont intégré la matrice (complexe) de transfert de responsabilité, et le commerçant obtient à chaque transaction l’information « Transfert de responsabilité OK » ou « Transfert de responsabilité KO ».

@Nicolas
Merci pour ces précisions
Toutefois
– concernant les banques étrangères : je n’ai jamais dit autre chose. Voir mon précédent billet. Nous utilisons nous même 3D secure sur les commandes étrangères depuis 2 ans. Cela n’empêche pas qu’un certain nombre ne soient pas garanties parce que la banque étrangère du porteur n’a pas mis en place la vérification 3D secure…

– Est il possible de savoir quels sont les cas minoritaires mais qui existent quand même ? Nous n’avons pour notre part au cours des 5 dernières années eu que des cas de répudiation (Vrai ou pas, cartes volées…)

Les cartes commerciales, je ne savais pas.

Sur notre terminal ATOS SIPS nous n’avons pas de mention « OK » ou « KO » mais « 3D succes » ou « 3D not enrolled »

@Bertrand
J’ai bien reçu le mail d’info pour l’atelier, Merci😉
Je vais bien entendu faire en sorte d’être présent.

@Daniel
Tu vois ils sont super à la fevad. Ils font un atelier avec un chapitre « Faut-il (peut-on ?) attendre l’après noël pour basculer en 3DSecure ? ». c’est pas taillé sur mesure pour toi ça ?

Précision importante pour les commerçants qui proposent des paiements en « n » fois :

Dans le cadre d’une facilité de paiement (2 fois ou 3 fois par exemple), il est important que le commerçant conserve une surveillance sur le fait que l’acheteur se soit authentifié ou PAS lors du paiement (a t’il signé sa transation ?).

En cas de « 3DSucess », le commerçant est quasi certaint que c’est bien le titulaire de la carte qui a effectué le paiement.

Mais en cas de « 3D not enrolled », cela veut dire que l’acheteur ne s’est pas authentifié car sa banque n’est pas compatible ou ne lui impose pas de passer par VerifiedByVisa ou SecureCode chez Mastercard.

Vous pouvez donc compter sur l’expertise des fraudeurs pour trouver des cartes qui ne sont pas en situation d’opposition et qui de bénéficient pas de 3DSecure. (car leur banque est en retard sur ce programme et c’est encore le cas de nombreuses banques françaises et étrangères).

Pour résumer, dans le cas de facilités de paiement, le commerçant doit en plus de vérifier si la transaction est acceptée ou refusée, il doit vérifier le « statut porteur » et le « résultat de l’authentification 3DS ».

En cas de « 3D not enrolled », le commerçant doit ajouter à sa décision de satisfaire ou pas cette commande, les infos comme le pays d’origine de la carte, le pays IP, la fréquence de présentation de la carte sur son site, le type de bien commandé et l’adresse de livraison (et faire éventuellement appel à FIA-NET pour finir).

Le 1er paiement sera bien protégé par la garantie de paiement 3DS, mais pas les autres échéances. Il faut donc que le commerçant optimise sont intégration 3DS en exploitant bien la richesse des infos potentiellement retournées par son prestataire de paiement (c’est le cas chez PAYBOX🙂 ).

Comme le précise Nicolas dans son billet (plus haut), il faut également bien comprendre que 3DS couvre uniquement le commerçant contre les répudiations avec motif « ce n’est pas moi qui ait fait la transaction » (80% des cas d’impayés aujourd’hui), mais pas les « litiges commerciaux » et là la frontière et souvent proche… (mais bon 3DS est tout de même une chouette avancée).

@Frederic
Merci pour cette précision importante concernant les paiements en plusieurs fois.
C’est tout à fait exact.
Je n’avais pas évoqué ce cas parce que nous avons abandonné ce système (sous cette forme) depuis assez longtemps (assumer nous même le 3x sans frais) et que je n’y pensais même plus (Honte à moi !)
ça m’incite d’ailleurs à penser à un petit billet sur les facilités de paiement en général.
Depuis plusieurs mois maintenant cette partie 3x sans frais par carte est traitée pour nous par Cofidis avec 2 avantages pour nous :
1 – Nous sommes payés comptant
2 – Paiement garanti.

Nous acceptions aussi le 3x par chèque pour lesquels nous assumons le risque, mais il est beaucoup moins élevé.

Frederic je suis curieux de savoir ce que tu appelles « litiges commerciaux » suceptibles de retirer la responsabilité à la banque du porteur.

@Olivier,

– pour les banques étrangères, peu importe si la banque émettrice de la carte a fait le nécessaire pour que son porteur s’authentifie. Le principe même du transfert de responsabilitié tel qu’il existe est le « merchant only », donc à partir du moment où le marchand est 3D, que le porteur s’authentifie ou non, le transfert doit s’opérer.
– les cas minoritaires, ce sont ces cartes commerciales MC.
– ensuite, et comme le fait justement remarquer Frédéric, les litiges commerciaux risquent de croître : si le porteur ne peut plus répudier le paiement lui-même, il dira qu’il n’a pas reçu le colis par exemple. C’est ce qu’on appelle un litige commercial et non plus sur le paiement.
– pour avoir l’info sur le transfert de responsabilité via la plate-forme SIPS Atos, c’est le champ 3D_LS qui est à « YES » ou à « NO ». S’il est à « YES », le transfert de responsabilité aura lieu (les exceptions font partie de la matrice). Cela permet de se rassurer en partie mais n’exonère pas le commerçant d’utiliser les outils de lutte contre la fraude complémentaires (pays de la carte, IP, contrôle d’en-cours, etc).

@Nicolas
>pour les banques étrangères, peu importe si la banque émettrice de la carte a fait le nécessaire pour que son porteur s’authentifie.

Si cela est vrai cela veut il dire que je peux engager une action en justice contre notre banque pour toutes les cartes étrangères non garanties 3D secure ayant donné lieu à impayé depuis 2006 ?
Notamment des cartes Bahamas, espagnoles, US….
Nous avons 3D secure pour l’étranger depuis 2006
S’il y avait transfert de responsabilité sur *toutes* ces cartes étrangères pourquoi est on venu rechercher l’impayé ?

je trouve assez surréaliste de demander à un marchand de faire un contrôle d’en-cours alors que la banque du porteur a accepté la transaction😉

Mais je suis d’accord sur le fait que rien n’empêche de faire attention. Nos procédures sont d’ailleurs restées en place depuis le 1er octobre.

Le litige commercial tel que décrit n’a rien à voir avec un impayé est n’est pas à mes yeux lié à la sécurité ou pas sur la carte. On aurait le même cas de figure avec un paiement par chèque ou par virement. C’est un problème et un risque lié à l’activité commerciale et non au paiement lui même.

Nous n’avons pas les champs YES NO etc… sur notre terminal webaffaires (SIPS)
mais « 3D succes » ou « 3D not enrolled »

[…] N’oubliez pas la fraude non plus, comptez quelques pourcents (voir aussi ce billet sur 3D secure). […]

J’ai en effet été alerté par ma banque, le crédit mutuel de ce nouveau système 3D de contrôle sur les transactions bancaires. Espérons en effet que cette information sera elle aussi diffusée au près de tous les acheteurs potentiels, évitant ainsi de susciter le doute au moment de la commande…

Quid de la responsabilité du e-commerçant si c’est lui qui n’est pas prêt (techniquement), c’est à dire qu’il n’a pas encore modifié les pages de son tunnel de paiement pour y intégrer le process de vérification 3D Secure de sa banque ?

Olivier

(sauf à ce qu’il gère lui même la totalité de la phase de paiement), le e-commerçant n’a pas à modifier son tunnel de paiement. Il a juste à signer l’avenant à son contrat avec sa plateforme ou sa banque. Les modifications sont au niveau du serveur de paiement. En cas de non souscription au contrat 3D secure = pas de garantie.

Le site http://www.journaldunet.com/ebusiness/commerce/actualite/visa-et-mastercard-a-la-rescousse-des-e-commercants.shtml indique que ‘De façon à ce que tout le monde joue le jeu, le GIE des Cartes Bancaires a rendu le principe obligatoire. » Et a arrêté la date du 1er octobre pour ce transfert de responsabilité (en anglais nommé « merchant only liability shift ») pour les paiements à distance nationaux France-France.’

Pourtant, il n’y a aucune information sur cette décision dans le site du GIE Cartes Bancaires (www.cartes-bancaires.com), ni sur les sites Verified by Visa (http://www.visaeurope.ch/fr/visa_au_quotidien/verified.jsp), ou
Mastercard Securecode (http://www.mastercard.com/us/personal/en/cardholderservices/securecode/index.html).

D’autres sites évoquent une réglementation, mais je n’ai rien vu non plus à ce sujet.

Quel est donc le point de départ de ces informations?

Le code monétaire et financier (CMF) ne prévoit rien relatif au dispositif 3D Secure et au transfert de responsabilité.
La directive européenne 2007/64/CE qui devra être transcrit en droit français avant le 1er novembre 2009 ne précise les règles qu’entre les particuliers et leurs banques.

Je repose la question ci-dessus de Franck : Quel est la source de ces informations ?

Je comprends que le GIE Carte bancaires puissent influer sur les règles des banques (ie les adhérents), mais de quel droit pourrait-il modifier les règles applicables entre un e-commercant et sa banque ? (règles définies par contrat puisque absente du CMF)

Merci par avance pour vos réponses.

Philippe.

@Philippe
Personne ne modifie unilatéralement le contrat entre la banque et le e-commerçant. L’implémentation de 3D Secure nécessite un avenant au contrat. Les nouveaux contrats impliquent en revanche 3D secure. Il y a donc encore pas mal de sites qui n’ont pas installé 3D Secure… En ce cas le transfert de responsabilité n’opère pas et la responsabilité finale reste au marchand…

3D Secure côté porteur de carte : « RECEVABILITE DES OPPOSITIONS »

Voici un extrait des conditions générales d’utilisation d’une carte bancaire d’une grande banque française :

A l’article 9 « RECEVABILITE DES OPPOSITIONS », le dernier paragraphe est complété comme suit :

« si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de la carte, avec son seul numéro et d’autres données y figurant. En cas d’opération sécurisée sur Internet conformément à l’article 3, l’opposition n’est recevable que si le titulaire de la carte démontre que le procédé d’authentification convenu avec l’émetteur a également été utilisé frauduleusement. »

Il faut donc que le porteur prouve que le système d’authentification (date de naissance par exemple) a été utilisé frauduleusement….. (facile pas facile je ne sais pas).

Vivement les mots de passe non rejouables reçus par SMS ou générés par un lecteur (en attendant il faut souscrire une assurance ?!?)

Côté commerçant, je vous rassure le paiement encaissé via 3D Secure bénéficie d’une garantie, même sur une usurpation d’identité côté porteur.

Bonjour,

Je rencontre actuellement un problème avec un paiement,
Je suis au credit agricole, une commande que j’ai expédié
avec une garantie de paiement OUI mais je viens de voir dans
les details de la transaction qu’il y a écrit 3D NOTENROLLED,
est ce que je vais être débité par ma banque ?

Merci de me répondre,
Franck.

Non vous ne pouvez pas avoir d’impayé sur ce paiement. En cas d’impayé sur une carte 3D not enrolled, dès lors que votre serveur est 3D Secure, c’est la banque du porteur de la carte qui est responsable.
Voir mon billet :
https://oliverblog.wordpress.com/2009/08/31/fraude-3d-not-enrolled-cqfd/

Les commentaires sont fermés.

OliverBlog

E-commerce
architectureS
pêche à la mouche
& autres lubies...

Retrouvez-moi sur Twitter

RSS e-commerce JDN

  • Une erreur est survenue ; le flux est probablement indisponible. Veuillez réessayer plus tard.
%d blogueurs aiment cette page :