OliverBlog

A compter du premier octobre prochain, le «Liability Shift» ou transfert de responsabilité, sera effectif en France. Lors d’un paiement à distance, les banques ne pourront plus « se contenter » de valider les transactions elles devront les authentifier…

L’envie d’écrire ce billet m’est venue suite à l’article publié par Daniel concernant la fraude CB et ses implications pour les e-commerçants.
A l’heure qu’il est, et depuis toujours, la situation est la suivante :
la répudiation d’une CB française pèse entièrement sur le e-commerçant français. C’est lui qui au final est « responsable » de l’impayé et qui donc subit la perte suivant un scénario invariable :

• Un « client » donne en ligne les 3 éléments nécessaires à la transaction CB (N° de la carte + Date de validité, + Crytptogramme visuel).
• Les serveurs de la banque du client et de la banque du commerçant dialoguent. Si la banque du client répond  favorablement (et dans les temps) la validation (OK) de la transaction est transmise au e-commerçant par le terminal de sa propre banque. La transaction a donc bien été validée par 2 banques : celle du client + celle du e-commerçant. Celui-ci a donc reçu une validation (un feu vert en quelque sorte). « La transaction est OK »
• Dans les 70 jours qui suivent, le véritable titulaire de la carte s’aperçoit que son compte a été débité à son insu et conteste la transaction (répudiation du paiement) auprès de sa banque.
• Le client dont la carte a été utilisée de manière abusive est remboursé.
• La banque du client vient « rechercher » l’argent de la transaction sur le compte du e-commerçant (avec en plus quelques frais pour impayé…).
• Le e-commerçant supporte entièrement la perte. Charge à lui de porter plainte, de fournir à la justice les éléments en sa possession pour « remonter » au fraudeur… (Je ne parlerai pas ici des résultats de ce type de démarches…)

Les banques ont pourtant, depuis plusieurs années, les moyens de vérifier au moment de la transaction que le « client » est bien le titulaire de la carte qu’il utilise grâce à la technologie 3D-Secure, proposée sous le nom «Verified by Visa» ou sous le label «MasterCard SecureCode».

Le système d’authentification 3D Secure réduit considérablement le risque de fraude et donc de non-paiement suite à  l’utilisation abusive des CB. Le titulaire se retrouve de fait protégé contre l’utilisation abusive de son numéro de carte de crédit car il a du confirmer son identité avant le paiement en donnant un code. Ce code est vérifié en ligne par l’émetteur de la carte (banque du client). Une opération triangulaire qui certifie que la personne qui passe la transaction est bien le titulaire de la carte. Dès lors que la transaction est approuvée et garantie 3D Secure, le transfert de responsabilité s’opére vers la banque du porteur de la carte.

Mais 3D Secure, (opérationnel depuis 2001) est jusqu’à maintenant utilisé partout, sauf en France ! Les banques françaises s’étant montrées particulièrement « frileuses » et « lentes » sur le sujet. En Belgique par exemple le système est actif depuis 2004. Il faut préciser qu’avec 3D Secure, en cas de fraude, la perte se déplace du e-commerçant vers la banque du client. Ce service 3D Secure est bien déjà proposé aux e-commerçants français par les banques françaises sur leurs terminaux de paiement dès lors que… la carte (et donc la banque du client) est étrangère !

Régulièrement, chaque année depuis 2002, on nous annonce la mise en place du système pour les transactions franco-françaises à un horizon proche. Il y a 6 ans (!), le 12 avril 2002 pour être précis,  01.net nous annonçait déjà la bonne nouvelle. Mais c’est l’Arlésienne !

Il semble que pourtant ,cet automne , »ça sera la bonne » ! Et que à compter du 1er octobre prochain les banques françaises devront adhérer au programme.

Effectif sur les transactions internationales depuis plusieurs années, le «Liability Shift» ou transfert de responsabilité ne l’était pas encore pour les opérations en France. Ce sera chose faîte le 1er Octobre 2008. Si une fraude intervient lors d’un paiement par carte sur un site marchand, soit la banque du commerçant est responsable car le terminal est non conforme, soit la banque émettrice si la carte est mise en cause.
Le 1er Octobre, cette règle entrera donc en application pour les transactions domestiques, impliquant de nouveaux risques et des changements pour les banques et notamment, l’adoption du système 3DSEcure.

Extrait du Livre Blanc « Sécuriser le e-commerce » par Xiring (éditeur de solutions de sécurité pour les transactions à distance.

Les banques commencent d’ailleurs à communiquer sur le sujet – pas toutes de la même manière 😉 par exemple :
> La Société Générale
> La BNP ici mais aussi la BNP là
> Ce que fait aussi la plateforme  Paybox

Quelques liens utiles pour ceux qui voudraient en savoir plus :
> Authentificationforte.info
> GIE Cartes Bancaires

Enfin, pour ceux qui voudraient en savoir encore beaucoup plus :
> Conférence LES PAIEMENTS SUR INTERNET A L’HEURE DU « LIABILITY SHIFT » 02 octobre 2008

MAJ : >> 3D-Secure-etat-des-lieux