La fraude n’a pas disparu avec l’arrivée de la norme EMV. Elle s’est simplement déplacée, rendant la fraude en présence physique de la carte plus difficile et la fraude à distance plus facile. Le transfert de responsabilité n’a pas réduit la fraude. Il a simplement modifié le lieu où elle se manifeste et la personne qui en supporte le coût. Pour les commerçants, ce changement n’a pas seulement modifié les schémas de fraude. Il a également changé la personne qui en supporte la perte.

Qu'est-ce que le transfert de responsabilité EMV ?

La règle de responsabilité EMV détermine quelle partie est financièrement responsable lorsqu'une transaction s'avère frauduleuse.

On parle souvent de « transfert de responsabilité en cas de fraude », c'est-à-dire que la responsabilité est attribuée en fonction du mode d'authentification de la transaction. Dans la pratique, cela permet de déterminer quelle partie est financièrement responsable lorsqu'une transaction s'avère frauduleuse.

Avant l'adoption de la norme EMV, les émetteurs prenaient généralement en charge les pertes liées à la fraude. Après ce changement, la responsabilité a été transférée à la partie utilisant une technologie moins sécurisée.

En pratique :

• Si un commerçant ne prend pas en charge les transactions par carte à puce EMV, il est tenu responsable
• Si les deux parties prennent en charge la norme EMV, c'est généralement l'émetteur qui est responsable

C'est ce que l'on entend par « transfert de responsabilité en matière de cartes de crédit », « transfert de responsabilité en matière de paiements par carte » ou « transfert de responsabilité en matière de paiements ». 

L'objectif était simple : imposer l'adoption de moyens de paiement plus sûrs. 

Qu'implique donc un transfert de responsabilité réussi ? Cela signifie que la transaction a été authentifiée selon la méthode requise et que c'est l'émetteur, et non le commerçant, qui est responsable des pertes liées à la fraude.

Comment le transfert de responsabilité a modifié la répartition des responsabilités en matière de fraude aux paiements   

Le transfert de responsabilité n'a pas seulement modifié la question de savoir qui prend en charge les coûts liés à la fraude. Il a également modifié la manière dont le risque est réparti tout au long du cycle de vie de la transaction.

Avant ce changement, les émetteurs prenaient souvent en charge les pertes liées à la fraude, et les transactions pouvaient être validées sans que le commerçant n'assume l'intégralité du risque.

Depuis ce changement, la situation a évolué : si une transaction n'est pas authentifiée selon la méthode prévue, la perte est répercutée sur le commerçant, même si le paiement a été approuvé. Cela crée un décalage entre l'approbation du système et la réalité des contestations. 

Du point de vue du système, la transaction est valide et autorisée. Du point de vue de l'émetteur, la situation est plus simple : le titulaire de la carte conteste le débit. La responsabilité est déterminée par la capacité du commerçant à établir clairement un lien entre le client et la transaction, et non par le fait que le paiement ait été approuvé ou non.

Dans la pratique, le transfert de responsabilité détermine quelle partie est financièrement responsable d'une transaction frauduleuse en l'absence d'authentification appropriée, la responsabilité incombant alors à la partie dont les contrôles de sécurité sont les moins rigoureux. 

La fraude en présence physique de la carte a diminué après l'adoption de la norme EMV, tandis que la fraude en ligne a augmenté, les pirates s'étant tournés vers des environnements ne disposant pas de vérification par puce. Aujourd'hui, la fraude sans présence physique de la carte représente la majeure partie des pertes liées à la fraude aux paiements, même si elle ne concerne qu'une part réduite du total des transactions. 

Ce changement n'a ni facilité ni compliqué la fraude. Il a simplement rendu les commerçants responsables de ce qui se passe après l'autorisation, ce qui explique pourquoi de nombreuses pertes apparaissent plus tard, lorsqu'une transaction finalisée donne lieu à un litige. 

Fraude avec carte physique vs fraude sans carte physique après le transfert de responsabilité

La responsabilité dépend de la manière dont une transaction est authentifiée, et non du fait qu'elle soit approuvée ou non.

Le principal effet du transfert de responsabilité lié à la norme EMV a été de modifier le lieu où se produisent les fraudes. Dans les magasins physiques, les cartes à puce ont permis de réduire la fraude par contrefaçon et de rendre le skimming moins efficace, tout en transférant la responsabilité aux commerçants qui utilisaient encore des systèmes obsolètes. En conséquence, la fraude en présence physique de la carte a diminué.

En ligne, c'est l'inverse qui s'est produit. Les transactions ne bénéficient pas de la vérification par puce et reposent sur des signaux d'authentification moins fiables, ce qui les a rendues plus faciles à pirater et a entraîné une hausse des taux de fraude.

C'est là que se situent aujourd'hui la plupart des lacunes en matière de responsabilité. Les transactions en ligne comportent davantage de risques, ce qui explique pourquoi les litiges liés aux transactions non autorisées restent fréquents, même lorsque les paiements ont été validés.

Transfert de responsabilité dans les paiements en ligne (3D Secure)

Dans le cadre des transactions en ligne, le transfert de responsabilité fonctionne différemment. Au lieu de la norme EMV, il repose sur des méthodes d'authentification telles que 3D Secure (3DS). Lorsqu'il est correctement appliqué, le titulaire de la carte est vérifié lors du paiement, et la responsabilité peut être transférée du commerçant à l'émetteur. Mais cela ne s'applique que dans des conditions spécifiques. 

Le transfert de responsabilité s'applique généralement lorsque l'authentification est réussie et entièrement effectuée. Si la transaction contourne le système 3DS, échoue à l'authentification ou n'est pas déclenchée lorsque cela est requis, le commerçant peut toujours être tenu responsable. 

Même lorsque la responsabilité est transférée, des lacunes subsistent. La transaction peut toujours faire l'objet d'un litige, et l'issue dépend de l'évaluation de l'émetteur. 3D Secure réduit le risque, mais ne l'élimine pas. À l'instar de la norme EMV, ce système protège la transaction à un moment précis. Il ne traite pas de ce qui se passe après l'authentification, notamment la prise de contrôle de compte ou les litiges postérieurs à l'achat.

Comment le transfert de responsabilité affecte les commerçants et les prestataires de services de paiement

Pour les commerçants, le transfert de responsabilité ne se résume pas à une simple question de conformité. Il s'agit d'un risque. Même lorsque les transactions semblent légitimes, le compte peut avoir été piraté, le moyen de paiement peut être valide et l'autorisation peut être accordée. Mais si le titulaire de la carte conteste le débit, le commerçant peut tout de même être tenu responsable

C'est là que les attentes concernant le transfert de responsabilité en cas de rejet de paiement s'effondrent. L'autorisation n'est pas synonyme de protection, car elle ne fait que confirmer la transaction, et non l'identité du client qui l'effectue.

Les processeurs gèrent la transaction. Ils facilitent l'authentification et l'acheminement, mais ne déterminent pas la responsabilité en cas de litige. Cette décision revient à l'émetteur, en fonction de la manière dont la transaction a été authentifiée. Les émetteurs examinent le litige, et les commerçants supportent la perte si les preuves sont insuffisantes. Le transfert de responsabilité change la personne qui prend en charge le coût de la fraude. Il n'empêche pas le litige de se produire. 

Comment la technologie EMV contribue à prévenir les transactions frauduleuses

La technologie EMV réduit la fraude en rendant les transactions plus difficiles à reproduire. Elle utilise des codes d'authentification dynamiques et une vérification par puce, et réduit ainsi le recours aux données statiques des cartes.

Cette mesure rend la fraude par contrefaçon nettement plus difficile dans les environnements physiques. Mais la norme EMV a ses limites. Elle ne protège pas les transactions en ligne et n'empêche pas la prise de contrôle de compte ni la fraude interne. Elle sécurise la carte, mais pas le compte.

Quand le transfert de responsabilité échoue

Le transfert de responsabilité ne s'applique que lorsque certaines conditions sont réunies. Dans la pratique, il échoue souvent. Parmi les raisons courantes, on peut citer le recours aux transactions par bande magnétique, l'absence ou l'omission d'authentification, des données de transaction incomplètes et les décisions prises par l'émetteur lors de l'examen du litige.

Une fois la transaction effectuée, la responsabilité revient au commerçant. C'est dans ce type de situation que de nombreuses pertes surviennent, non pas parce que la transaction était manifestement frauduleuse, mais parce que les conditions requises pour le transfert de responsabilité n'étaient pas remplies.

Bonnes pratiques pour les commerçants après le transfert de responsabilité

Le transfert de responsabilité a modifié la répartition des responsabilités. Il n'a pas éliminé le risque.

Aujourd'hui, la plupart des fraudes ne se produisent pas au moment de l'authentification, mais après que l'accès a été accordé. C'est pourquoi les commerçants doivent voir plus loin que la simple validation du paiement et contrôler l'ensemble du cycle de vie de la transaction.

Ne vous fiez pas uniquement à l'autorisation. Même les transactions approuvées peuvent faire l'objet d'un litige, notamment en cas de piratage de compte ou de fraude amicale, où le paiement en lui-même semble légitime.

Utilisez l'authentification de manière sélective. Recourez aux normes EMV et 3D Secure lorsque le risque le justifie. Une utilisation excessive de l'authentification crée des obstacles, tandis qu'une utilisation insuffisante augmente l'exposition au risque sans pour autant réduire le nombre de litiges.

Renforcer la surveillance après la connexion. La plupart des fraudes se produisent désormais après l'authentification du client, lorsque la session est considérée comme fiable et que les actions bénéficient de cette confiance.

Suivez les comportements, pas seulement les transactions. La fraude se manifeste rarement sous la forme d'un événement isolé. Elle se présente plutôt comme une succession d'actions qui s'enchaînent dans le temps.

Préparez-vous à faire face à des litiges, et pas seulement à prévenir la fraude. Même lorsque la responsabilité est transférée, des litiges peuvent toujours survenir. Ce qui importe, c'est de pouvoir établir un lien entre le client et la transaction d'une manière acceptable pour l'émetteur.

L'objectif n'est pas d'empêcher toutes les transactions à risque, mais de réduire le nombre de transactions valides qui donnent lieu à des litiges par la suite.

En résumé

Le transfert de responsabilité n'a pas éliminé la fraude. Il a simplement modifié la répartition des risques et la manière dont les pertes se manifestent. Pour les paiements en magasin, la norme EMV a permis de réduire la fraude par contrefaçon. En revanche, pour les transactions en ligne, le risque a augmenté et s'est déplacé vers les commerçants.

Pour réussir à transférer la responsabilité, il faut recourir à la bonne méthode d'authentification au bon moment. Mais aujourd'hui, la plupart des pertes ne sont pas dues à un échec de l'authentification. Elles proviennent de sessions jugées fiables qui donnent lieu à des litiges par la suite. Il est essentiel de bien cerner où se situe la responsabilité. C'est en maîtrisant ce qui se passe avant le rejet de débit que l'on parvient réellement à réduire les pertes.