Carte bancaire : quand la sécurité devient une option payante

La Société Générale vient de lancer en France la carte bancaire à cryptogramme dynamique, une technologie qui sécurise les paiements en ligne. Une option qu’elle facture 12 euros par an. Est-ce légitime de faire payer les usagers pour une telle innovation ? Et quelles sont les pratiques des banques en la matière ? Le point.

C’est sans doute un anachronisme, mais c’est la réalité : la carte bancaire, conçue dans les années 1970 pour régler des achats en points de vente physiques, est aujourd’hui le moyen de paiement utilisé par 3 Français sur 4 pour payer sur internet. Ce qui, bien sûr, ne va pas sans certains risques : en 2015, selon le dernier rapport de l’Observatoire de la sécurité des cartes de paiement, le paiement à distance par carte représentait 11,6% du montant total des achats réglés par ce moyen, mais 66,5% de la fraude !

Face à ce risque, les banques se mobilisent. C’est évidemment leur intérêt : ce sont elles qui supportent l’essentiel du coût de cette fraude. La réglementation, en effet, est très protectrice des usagers, qui ne subissent théoriquement les conséquences financières de la fraude que dans le cas où leur banque a été en mesure de prouver qu’ils ont été négligents dans la protection de leurs identifiants et codes de carte. Au fil des années, les banques de détail ont ainsi investi dans des systèmes informatiques capables de repérer les transactions suspectes, en s’appuyant notamment sur les habitudes de consommation de leurs clients, et leur géolocalisation. Elles proposent également des systèmes dit « 3D Secure » d’authentification renforcée : en général, un code supplémentaire à usage unique envoyé par SMS, permettant de s’assurer que le payeur est bien le client.

3D Secure, toutefois, n’est pas une solution parfaite. D’abord parce qu’elle souffre également de points faibles, comme l’a souligné récemment l’Observatoire de la sécurité des cartes de paiement. Ensuite parce qu’elle complique la procédure de paiement, et augmente donc le taux d’échec des transactions. Les e-commerçants français se sont ainsi émus récemment du projet européen d’imposer l’authentification renforcée pour tous les paiements en ligne.

Le cryptogramme dynamique, « cela a un coût »

Les banques, toutefois, travaillent sur des alternatives à 3D Secure, comme le leur a demandé l’Observatoire de la sécurité des cartes de paiement. Une des plus prometteuses est la carte bancaire à cryptogramme dynamique, inventée par Oberthur Technologies (OT). Son principe est simple : le code à 3 chiffres statique, facilement visible au dos de la carte, est remplacé par un code dynamique, affiché sur un mini-écran. La solution a l’avantage de ne rien changer aux habitudes des usagers et d’être immédiatement compatible avec les interfaces de paiements des e-commerçants. Elle s’annonce également efficace pour lutter contre l’usurpation de données de carte.

Après de longs mois de test, la Société Générale a été la première enseigne française à proposer cette nouveauté, début novembre. Elle a toutefois choisi de la faire payer, 12 euros par an. Un choix qui n’est pas du goût de tout le monde, notamment d’UFC-Que Choisir. Dans un article publié sur son site internet, l’association de consommateurs, par la voix d’une de ses journalistes, estime que la « sécurisation des paiements est une obligation qui incombe aux banques » et ne devrait donc pas être considérée comme une « option que l’on vend à ceux qui le souhaitent ». C’est pourtant comme cela que l’envisage la Société Générale. « Cette technologie développée par Oberthur a nécessité des investissements importants et cela a un coût », justifie la communication de la banque. « C’est pour cela que nous laissons au client le choix de l'option. Nous ne lui imposons rien. Les garanties carte demeurent. »

L'e-carte bleue, généralement payante

Reste à voir désormais quelle sera l’attitude des autres enseignes (BNP Paribas, Caisse d’Epargne, Banque Populaire) qui testent déjà la solution et devraient prochainement la lancer. Certaines enseignes proposeront-elles la carte dynamique gratuitement ? Peu probable. Il y a en effet un précédent, celui d’une autre solution de sécurisation des paiements en ligne : l’e-carte bleue. Soit la possibilité pour le client de générer un numéro de carte bancaire virtuelle, à usage limitée, pour payer ses achats sur internet.

L’e-carte bleue, proposée par le réseau de paiement Visa, est disponible à la Société Générale, qui la facture 10 euros par an actuellement, et 12 euros à partir du 1er mars 2017. Le même service est facturé 13 euros par an (1) à la Banque Postale, 12 euros à la Caisse d’Epargne Bretagne Pays de Loire, ou 11 euros à la Banque Populaire de l’Ouest. Au final, une seule enseigne, LCL, offrait l'accès à ce service. Las, l’enseigne a décidé de la retirer de son catalogue, sans proposer d’alternatives, dans l’immédiat.

Il y a toutefois une solution pour ne pas payer l’e-carte bleue : posséder une carte bancaire haut de gamme. Dans toutes les enseignes, la gratuité du service est en effet un privilège réservé aux porteurs de Visa Platinum et de Visa Infinite.

Virtualis, PayPal, PayLib, des alternatives gratuites

Payer pour sécuriser ses paiements en lignes, pourtant, n’est pas une fatalité. En particulier pour les clients des différentes enseignes d'Arkéa, les Crédits Mutuels de Bretagne, du Massif Central, du Sud-Ouest et la banque en ligne Fortuneo. La banque bretonne a en effet développé un équivalent de l’e-carte bleue, baptisé Virtualis, proposé par défaut et gratuitement à ses clients.

Pour les autres, il y a, enfin, la possibilité d’abandonner la carte bleue pour des services plus adaptés à l’univers du commerce en ligne. Les clients de BNP Paribas, de la Société Générale, de Boursorama Banque, de la Banque Postale, du Crédit Agricole et, encore eux, ceux du Crédit Mutuel Arkéa ont la possibilité d’utiliser PayLib, le portefeuille électronique développé par le réseau de paiement français, CB. Malheureusement, la solution est encore peu répandue chez les e-commerçants. A défaut, les fans de shopping en ligne peuvent toujours utiliser PayPal, dont le service de base, le paiement en ligne, est gratuit. A condition, bien sûr, de faire confiance à cet acteur américain.

(1) Au 1er janvier 2017.

Publié le 9 décembre 2016 à 16h32 - #4nraffin

Je suis d'accord avec Polo : utiliser une photo de la carte SG en question eut été plus illustratif du propos
Quelques commentaires également :
"Face à ce risque, les banques se mobilisent. C est évidemment leur intérêt : ce sont elles qui supportent l essentiel du coût de cette fraude"
En fait non : en vertu du "chargeback" ce sont les e-commerçants qui supportent le gros du coût de la fraude, remboursé à la banque émettrice de la carte fraudée.
Mais la banque supporte en effet de nombreux coûts :
- le traitement du litige et du process de récupération de la somme fraudée auprès du PSP du site où elle a eu lieu ; si le montant fraudé est inférieur à ce coût de traitement, beaucoup de banques par geste commercial remboursent le client directement ce qui constitue donc une perte nette
- la mise en opposition de la carte et sa refabrication, avec le risque que le client s'habitue à utiliser une carte d'une autre banque pendant ce temps...
- le traitement du client mécontent, voire la perte de celui-ci
Le client est certes remboursé, mais après une procédure qui peut prendre un peu de temps car il faut quand même que la banque procède à quelques vérifications.
De fait, le taux de "friendly fraude" (fausses déclarations....) n'est pas négligeable...
Se faire frauder son compte constitue donc une expérience très désagréable, à laquelle s'ajoutent les désagréments "pratiques" mentionnés ci-dessus (annulation/réémission de la carte ce qui prend plusieurs jours généralement.... Dommage si c'est pile la veille de partir en vacances/voyage....)
Donc certaines banques proposent des options qui permettent d'éviter ces désagréments en réduisant en amont, le risque de fraude.
Les clients ne sont pas obligés d'y souscrire. De fait, la tarification de la SG pour ce produit est identique à celle des cartes "Collection". Et 12€ par an, ça fait 1€ par mois...
Donc le client choisit. Et s'il juge que c'est trop cher, la SG n'en vendra aucune.

Le cryptogramme dynamique, « cela a un coût »

L'e-carte bleue, généralement payante

Virtualis, PayPal, PayLib, des alternatives gratuites

Vincent MIGNOT