La Belgique adopte l’architecture 3-D Secure pour les paiements électroniques sur l’internet
Publié le 21/11/2004 par Etienne Wery
Le commerce sur l’internet est fortement tributaire des moyens de paiement disponibles. Parmi ceux-ci, la carte de débit et la carte de crédit jouent un rôle central, notamment parce qu’elles sont largement utilisées hors-ligne et qu’il y a donc une propension naturelle à élargir leur utilisation sur l’internet. Mais de la coupe aux lèvres, il…
Le commerce sur l’internet est fortement tributaire des moyens de paiement disponibles. Parmi ceux-ci, la carte de débit et la carte de crédit jouent un rôle central, notamment parce qu’elles sont largement utilisées hors-ligne et qu’il y a donc une propension naturelle à élargir leur utilisation sur l’internet. Mais de la coupe aux lèvres, il y a un certain chemin … Vu du côté de l’acheteur, le souci principal reste de confier un numéro d’identification ou un code PIN à un vendeur inconnu, avec le risque que lui ou quelqu’un d’autre réutilise cette information pour effectuer des débits non autorisés. Vu du côté du vendeur, l’envie est surtout d’être payé et donc de limiter autant que possible les contestations ultérieures du porteur de la carte, qui s’opposerait à un débit en disant « ce n’est pas moi ». Vu du côté des opérateurs de réseaux de paiement (Visa, MasterCard, Amex, etc.), le souci est de préserver la bonne réputation du réseau en limitant la fraude, et de multiplier les transactions qui sont autant de commissions encaissées.
A priori, c’est la quadrature du cercle.
Et pourtant …
La protection accordée à l’acheteur
Les craintes de l’acheteur virtuel sont le plus souvent d’ordre psychologique. Le droit est en effet très vite venu à son secours et l’acheteur sur l’internet est, paradoxalement, souvent mieux protégé en ligne que s’il paye avec sa carte l’addition de son restaurant favori.
Avec plus ou moins de rapidité et de bonne volonté, les Etats européens tentent en effet à s’aligner sur une recommandation européenne de 1997 qui s’applique aux opérations suivantes :
- transferts de fonds, autres que ceux ordonnés et exécutés par des institutions financières, effectués au moyen d’un instrument de paiement électronique ;
- retraits d’argent liquide au moyen d’un instrument de paiement électronique et chargement (et déchargement) d’un instrument de monnaie électronique, que ce soit auprès d’appareils de retrait d’espèces et de guichets automatiques ou dans les locaux de l’émetteur ou d’un établissement qui s’est contractuellement engagé à accepter l’instrument de paiement.
Cette Recommandation prévoit un partage des risques entre le porteur et l’émetteur (sa banque généralement).
Avant la notification de l’incident, le titulaire est responsable des pertes consécutives à la perte ou au vol de son instrument de paiement, dans la limite d’un plafond fixé à 150 €. Ce plafond, introduit pour protéger l’utilisateur, ne s’applique pas dans les cas où le titulaire a agi avec une négligence extrême ou par fraude. Une fois la notification effectuée, la responsabilité du titulaire s’éteint, sauf en cas de fraude.
Bref, le risque se limite à la période qui précède la notification de la perte ou du vol de l’instrument de paiement, et il est plafonné à 150 € sauf négligence extrême ou fraude.
Le régime est encore plus favorable lorsque l’instrument de paiement a été utilisé sans présentation physique ou sans identification électronique !
En effet, dans ce cas, la Recommandation prévoit que la responsabilité du titulaire n’est pas engagée (sauf fraude).
La Recommandation précise que la seule utilisation d’un code confidentiel ou de tout élément d’identification similaire ne suffit pas pour engager la responsabilité du titulaire : celui-ci ne sera donc pas engagé par une simple communication du numéro apparent de sa carte. Cette disposition fondamentale doit contraindre les émetteurs à adopter des mesures permettant une identification électronique certaine du titulaire, autre que le code confidentiel.
On le voit, l’acheteur n’est pas démuni lorsqu’il paye sur l’internet.
Le message semble commencer à passer puisqu’en Belgique, 12% de la population a effectué un achat sur l’internet en 2003. Certes, c’est encore faible, mais la progression est prometteuse puisque les 5 premiers mois de 2004 ont donné lieu à une augmentation des transactions de 10%. En outre, selon les études, plus de 10% des personnes n’ayant encore jamais effectué une telle transaction se disent prêtes à essayer dans un avenir proche. La peur de la première fois …
La situation difficile du vendeur jusque récemment
Le vendeur est (était) paradoxalement dans une situation moins favorable.
Vu le succès des paiements par carte, il est presque inimaginable pour un vendeur virtuel de ne pas offrir ce type de moyen de paiement.
Pour cela, il doit conclure un contrat d’affiliation avec un « acquéreur » (généralement une banque ou une société spécialisée qui a reçu d’un opérateur de réseau de paiement une licence pour affilier les commerçants).
Or, la pratique contractuelle était majoritairement sévère pour le commerçant : à peu près chaque fois qu’un incident débouche sur une opposition, les contrats prévoyaient qu’en bout de chaîne c’est lui qui doit supporter les risques. Et des incidents, il y en a … Il existe en effet des dizaines de cas de répudiation autorisée, c’est-à-dire des hypothèses dans lesquelles le titulaire d’une carte peut contester une transaction et obtenir le remboursement.
L’architecture 3-D Secure
L’approche nouvelle, dite « des 3-domaines », exclut dorénavant la responsabilité du commerçant.
Tout part du constat que la transaction implique trois domaines bien distincts :
- Le domaine de l’acquéreur. Lorsqu’un commerçant veut s’affilier à un réseau de paiement (Visa, MasterCard, Amex ou autre) pour que ses clients puissent utiliser ce mode de paiement, il ne contracte jamais directement avec l’opérateur du réseau. Il doit en effet passer par l’intermédiaire d’un « acquéreur ». Il s’agit de sociétés (souvent des banques ou des sociétés spécialisées) qui obtiennent de Visa et/ou Mastercard une licence leur permettant de conclure des contrats d’affiliation avec les commerçants.
Le domaine de l’acquéreur est donc celui du commerçant et de la société qui l’a affilié au réseau de paiement.
- Le domaine de l’émetteur. De la même manière qu’un commerçant ne s’adresse pas directement à Visa et/ou MasterCard pour s’affilier, une personne qui souhaite bénéficier d’une carte pour régler ses dépenses doit passer par un intermédiaire appelé « émetteur ».
Le domaine de l’émetteur est donc celui du porteur de la carte et de la société (souvent sa banque) qui a émis sa carte.
- Le domaine de l’interopérabilité est celui de l’opérateur du réseau de paiement qui assure l’interopérabilité entre les deux premiers domaines et s’assure que les flux financiers aboutissent bien là où ils doivent aboutir.
Le principe de l’architecture des 3 domaines est de créer une cloison entre les domaines et de décider, au niveau du partage des risques, que chacun est responsable dans son propre domaine.
Lorsqu’un problème survient avec le commerçant (par exemple parce qu’il s’agit d’un site mafieux qui a empoché des cartes puis a disparu dans la nature et écoule les numéros), c’est l’acquéreur qui supportera le risque.
Lorsqu’un problème survient avec le porteur (par exemple parce que quelqu’un s’est procuré les informations de la carte et les utilise frauduleusement, et que le véritable porteur constate sur son relevé un débit auquel il s’oppose), c’est l’émetteur qui supportera le risque.
C’est ce que l’on appelle « Liability shift ». A dater du 1er avril 2003, pour les transactions intra ou inter-régionales (Le monde est découpé en six « régions Visa » : Asie-Pacifique, Canada, Europe Centrale et de l’Est, Moyen-Orient et Afrique, Union Européenne, Amérique Latine et Caraïbes, USA), il sera impossible pour un émetteur de répercuter sur l’acquéreur (ou sur le commerçant) une contestation du titulaire de la carte pour des motifs liés à la fraude à partir du moment où le commerçant a effectué ou essayé d’effectuer une authentification 3-D Secure.
Ce nouveau système est proposé depuis 2001 sous le nom « verified by Visa » dans le réseau éponyme ; « SPA » fonctionne selon une architecture similaire, mais dans le réseau concurrent MasterCard.
La philosophie du nouveau système est de forcer les émetteurs de cartes à prévoir des méthodes d’authentification du titulaire de la carte lors d’une transaction, y compris en ligne, précisément pour diminuer les risques de répudiation.
La manière dont se passe l’authentification est laissée à la libre appréciation de chaque émetteur (identifiant et mot de passe, GSM, lecteur de carte à puce, etc.).
Fortis se met à l’architecture des 3-Domaines
Fortis est la première banque en Belgique à passer au 3-D.
Banksys, qui gère la célèbre carte de débit Bancontact/Mistercash, prépare aussi une application de paiement utilisant ladite carte, reposant sur 3-D Secire.
Concrètement, c’est le système Digipass qui a été retenu par Fortis.
Le choix du Digipass n’est pas surprenant pusique c’est déjà cette technologie qui jour le rôle de sésame pour les applications de PC Banking de cette banque (accès aux services bancaires via l’internet : consultation des comptes, virements, gestion des placements et du portefeuille d’assurance, etc.).
La plate-forme Ogone, leader du marché belge avec 90 % et l’un des plus gros acteurs au niveau européen, a d’ores et déjà été rendue Digipass-compatible.