BNP Paribas

Carte bancaire : quand la sécurité devient une option payante

Carte bancaire verrouillée par un cadenas
© weerapat1003 - Fotolia.com

La Société Générale vient de lancer en France la carte bancaire à cryptogramme dynamique, une technologie qui sécurise les paiements en ligne. Une option qu’elle facture 12 euros par an. Est-ce légitime de faire payer les usagers pour une telle innovation ? Et quelles sont les pratiques des banques en la matière ? Le point.

C’est sans doute un anachronisme, mais c’est la réalité : la carte bancaire, conçue dans les années 1970 pour régler des achats en points de vente physiques, est aujourd’hui le moyen de paiement utilisé par 3 Français sur 4 pour payer sur internet. Ce qui, bien sûr, ne va pas sans certains risques : en 2015, selon le dernier rapport de l’Observatoire de la sécurité des cartes de paiement, le paiement à distance par carte représentait 11,6% du montant total des achats réglés par ce moyen, mais 66,5% de la fraude !

Face à ce risque, les banques se mobilisent. C’est évidemment leur intérêt : ce sont elles qui supportent l’essentiel du coût de cette fraude. La réglementation, en effet, est très protectrice des usagers, qui ne subissent théoriquement les conséquences financières de la fraude que dans le cas où leur banque a été en mesure de prouver qu’ils ont été négligents dans la protection de leurs identifiants et codes de carte. Au fil des années, les banques de détail ont ainsi investi dans des systèmes informatiques capables de repérer les transactions suspectes, en s’appuyant notamment sur les habitudes de consommation de leurs clients, et leur géolocalisation. Elles proposent également des systèmes dit « 3D Secure » d’authentification renforcée : en général, un code supplémentaire à usage unique envoyé par SMS, permettant de s’assurer que le payeur est bien le client.

3D Secure, toutefois, n’est pas une solution parfaite. D’abord parce qu’elle souffre également de points faibles, comme l’a souligné récemment l’Observatoire de la sécurité des cartes de paiement. Ensuite parce qu’elle complique la procédure de paiement, et augmente donc le taux d’échec des transactions. Les e-commerçants français se sont ainsi émus récemment du projet européen d’imposer l’authentification renforcée pour tous les paiements en ligne.

Le cryptogramme dynamique, « cela a un coût »

Les banques, toutefois, travaillent sur des alternatives à 3D Secure, comme le leur a demandé l’Observatoire de la sécurité des cartes de paiement. Une des plus prometteuses est la carte bancaire à cryptogramme dynamique, inventée par Oberthur Technologies (OT). Son principe est simple : le code à 3 chiffres statique, facilement visible au dos de la carte, est remplacé par un code dynamique, affiché sur un mini-écran. La solution a l’avantage de ne rien changer aux habitudes des usagers et d’être immédiatement compatible avec les interfaces de paiements des e-commerçants. Elle s’annonce également efficace pour lutter contre l’usurpation de données de carte.

Après de longs mois de test, la Société Générale a été la première enseigne française à proposer cette nouveauté, début novembre. Elle a toutefois choisi de la faire payer, 12 euros par an. Un choix qui n’est pas du goût de tout le monde, notamment d’UFC-Que Choisir. Dans un article publié sur son site internet, l’association de consommateurs, par la voix d’une de ses journalistes, estime que la « sécurisation des paiements est une obligation qui incombe aux banques » et ne devrait donc pas être considérée comme une « option que l’on vend à ceux qui le souhaitent ». C’est pourtant comme cela que l’envisage la Société Générale. « Cette technologie développée par Oberthur a nécessité des investissements importants et cela a un coût », justifie la communication de la banque. « C’est pour cela que nous laissons au client le choix de l'option. Nous ne lui imposons rien. Les garanties carte demeurent. »

Lire aussi : Société Générale : « On ne veut pas s'adresser qu'aux geeks »

L'e-carte bleue, généralement payante

Reste à voir désormais quelle sera l’attitude des autres enseignes (BNP Paribas, Caisse d’Epargne, Banque Populaire) qui testent déjà la solution et devraient prochainement la lancer. Certaines enseignes proposeront-elles la carte dynamique gratuitement ? Peu probable. Il y a en effet un précédent, celui d’une autre solution de sécurisation des paiements en ligne : l’e-carte bleue. Soit la possibilité pour le client de générer un numéro de carte bancaire virtuelle, à usage limitée, pour payer ses achats sur internet.

L’e-carte bleue, proposée par le réseau de paiement Visa, est disponible à la Société Générale, qui la facture 10 euros par an actuellement, et 12 euros à partir du 1er mars 2017. Le même service est facturé 13 euros par an (1) à la Banque Postale, 12 euros à la Caisse d’Epargne Bretagne Pays de Loire, ou 11 euros à la Banque Populaire de l’Ouest. Au final, une seule enseigne, LCL, offrait l'accès à ce service. Las, l’enseigne a décidé de la retirer de son catalogue, sans proposer d’alternatives, dans l’immédiat.

Il y a toutefois une solution pour ne pas payer l’e-carte bleue : posséder une carte bancaire haut de gamme. Dans toutes les enseignes, la gratuité du service est en effet un privilège réservé aux porteurs de Visa Platinum et de Visa Infinite.

Virtualis, PayPal, PayLib, des alternatives gratuites

Payer pour sécuriser ses paiements en lignes, pourtant, n’est pas une fatalité. En particulier pour les clients des différentes enseignes d'Arkéa, les Crédits Mutuels de Bretagne, du Massif Central, du Sud-Ouest et la banque en ligne Fortuneo. La banque bretonne a en effet développé un équivalent de l’e-carte bleue, baptisé Virtualis, proposé par défaut et gratuitement à ses clients.

Pour les autres, il y a, enfin, la possibilité d’abandonner la carte bleue pour des services plus adaptés à l’univers du commerce en ligne. Les clients de BNP Paribas, de la Société Générale, de Boursorama Banque, de la Banque Postale, du Crédit Agricole et, encore eux, ceux du Crédit Mutuel Arkéa ont la possibilité d’utiliser PayLib, le portefeuille électronique développé par le réseau de paiement français, CB. Malheureusement, la solution est encore peu répandue chez les e-commerçants. A défaut, les fans de shopping en ligne peuvent toujours utiliser PayPal, dont le service de base, le paiement en ligne, est gratuit. A condition, bien sûr, de faire confiance à cet acteur américain.

(1) Au 1er janvier 2017.

Partager cet article :

© cbanque.com / VM / Décembre 2016

Commentaires

Publié le 9 décembre 2016 à 10h47 - #1iaorana

Je ne comprends pas bien : le code monétaire et financier protège l'usager de la CB lors d'un paiement sans usage du code pin (le "vrai", celui à chiffres, qui est "vraiment secret") ou sans signature manuscrite : l'utilisateur peut révoquer le paiement en cas d'usage frauduleux de la carte et la banque doit le rembourser sans délai => le risque pèse sur la banque et non pas sur le client (à la banque de prouver la négligence du client dans la gestion de sa carte ou son intention frauduleuse en demandant une révocation injustifiée).
Donc pourquoi paierai-je pour une "sécurité" qui protège la banque et pas moi ?

Trouvez-vous ce commentaire utile ?20
Publié le 9 décembre 2016 à 14h27 - #3Compte anonyme

Pas judicieuse la photo, un cadenas à code se "cracke" en 15 secondes.

Trouvez-vous ce commentaire utile ?10
Publié le 9 décembre 2016 à 16h32 - #4nraffin

Je suis d'accord avec Polo : utiliser une photo de la carte SG en question eut été plus illustratif du propos
Quelques commentaires également :
"Face à ce risque, les banques se mobilisent. C est évidemment leur intérêt : ce sont elles qui supportent l essentiel du coût de cette fraude"
En fait non : en vertu du "chargeback" ce sont les e-commerçants qui supportent le gros du coût de la fraude, remboursé à la banque émettrice de la carte fraudée.
Mais la banque supporte en effet de nombreux coûts :
- le traitement du litige et du process de récupération de la somme fraudée auprès du PSP du site où elle a eu lieu ; si le montant fraudé est inférieur à ce coût de traitement, beaucoup de banques par geste commercial remboursent le client directement ce qui constitue donc une perte nette
- la mise en opposition de la carte et sa refabrication, avec le risque que le client s'habitue à utiliser une carte d'une autre banque pendant ce temps...
- le traitement du client mécontent, voire la perte de celui-ci
Le client est certes remboursé, mais après une procédure qui peut prendre un peu de temps car il faut quand même que la banque procède à quelques vérifications.
De fait, le taux de "friendly fraude" (fausses déclarations....) n'est pas négligeable...
Se faire frauder son compte constitue donc une expérience très désagréable, à laquelle s'ajoutent les désagréments "pratiques" mentionnés ci-dessus (annulation/réémission de la carte ce qui prend plusieurs jours généralement.... Dommage si c'est pile la veille de partir en vacances/voyage....)
Donc certaines banques proposent des options qui permettent d'éviter ces désagréments en réduisant en amont, le risque de fraude.
Les clients ne sont pas obligés d'y souscrire. De fait, la tarification de la SG pour ce produit est identique à celle des cartes "Collection". Et 12€ par an, ça fait 1€ par mois...
Donc le client choisit. Et s'il juge que c'est trop cher, la SG n'en vendra aucune.

Trouvez-vous ce commentaire utile ?10
Publié le 14 décembre 2016 à 14h49 - #5alestoroz

Que le client participe au cout de production de la carte, pour 12 euros, ok.
En revanche, un abonnement (à quoi ?) à 12 euros par an, c'est purement du racket alors que cette technologie est gagnant/gagnant pour le client comme pour la banque.
C'est vraiment très dommage que cette première offre, de la société générale, fasse déjà PEUR au consommateur.
Les banques auraient elles interet à limiter le succès de cette techno pour nous vendre toujours plus d'assurances moyen de paiement inutiles ??
Ne me parlez pas du cout de déploiement informatique, rapidement amorti par les économies réalisées sur le traitement des fraudes.

Trouvez-vous ce commentaire utile ?
Publié le 16 décembre 2016 à 23h44 - #6gondzolette
  • Paris

Sur le papier la solution du cryptogramme dynamique est fantastique.
Mais dans la réalité pourquoi payer pour un service inutile, puisque la législation oblige la banque à vous rembourser en cas d'utilisation frauduleuse de vos coordonnées de cartes bancaires.
Pour être très précis car le sujet le mérite, les banques ne supportent aucun préjudice, dans le cadre de ces escroqueries.
Les banques ont obligation de vous rembourser. Elles ne le font pas avec leurs fonds . Vous contester la transaction illégitime; elles récupèrent auprès du commerçant l'argent puis vous le reverse.
Les banques ne perdent jamais d'argent dans le cadre de ces escroqueries, et mieux elles en gagnent dans ces cas.
1°) Elles peuvent si vous n'avez pas de cartes PREMIUM vous compter des frais d'opposition.
2°) Elles en profitent pour vous vendre des assurances ou services.
3°) Elles peuvent augmenter leurs commissions vis à vis des commerçants ciblés par les escrocs sous prétexte qu'ils représentent des risques importants.
Une bonne solution préconisée par la Préfecture de Police lors de la Foire de Paris, masquer le cryptogramme de sa carte bancaire par une pastille nommée gondzolette

Trouvez-vous ce commentaire utile ?