Mouvement dans les services « Square like » en Europe

Les services de type « Square Like » que j’ai présenté précédemment dans plusieurs billets :

entament maintenant leurs déploiements en Europe :

  • i-Zettle en Angleterre, Danemark, Finlande and Norvége et Allemagne
  • Sumup en Italie, Espagne et Hollande
  • mPowa : en Angleterre et Afrique du sud,
  • Payleven au Brésil, Allemagne, Italie, Hollande, Pologne et Grande-Bretagne

(Vous avez remarqué, la France est n’est pas cité ?).

Je pensais que le paysage des services « Square like » s’était éclairci (cf mon article précédent) mais apparemment c’est plutôt le contraire. Des positions contradictoires sur le sujet apparaissent entre les principaux réseaux d’acceptation Visa et Mastercard.

La compréhension de la situation nécessite quelques précisions sur les réseaux d’acceptation.

Les cartes bancaires sont émises par des banques émettrices et les paiements avec ces cartes sont effectués auprès des commerçants rattachés à une banque d’acquisition. Les réseaux de paiement permettent de collecter les flux de paiement auprès des commerçants et les transmettre à leur banque d’acquisition. En France il n’existe qu’un seul réseau de paiement, celui du GIE Carte Bancaire qui regroupe toutes les banques françaises.  Dans d’autres pays existent généralement plusieurs réseaux d’acquisition (par exemple Bancontact/Mistercash en Belgique, Maestro et Delta en Grande-Bretagne).

Des réseaux bancaires transnationaux ont été développé en Europe mais n’ont pas réussi à se développer : Monet (abandonné), Payfair (replié en Belgique), EAPS (peu développé depuis deux ans : seule l’acceptation des cartes allemandes dans les DAB britanniques est véritablement opérationnelle)

Les réseaux de paiement nationaux et les banques émettrices sont généralement associées à des réseaux de paiement internationaux Visa ou MasterCard. Ceux-ci permettent  aux cartes bancaires  d’être utilisables dans l’ensemble des réseaux étrangers compatibles avec le réseau international de paiement de Visa ou MasterCard. Les accords de rattachement des réseaux de paiement nationaux les font adhérer à la hiérarchie des normes internationales de paiement qui sont fixées par l’organisme PCI (Payment Card Industry) qui regroupe l’ensemble des réseaux de cartes bancaires internationaux (Visa, Mastercard, Amex, JCB) (mais auquel ne font pas partie les réseaux nationaux de carte bancaire européen). Ces normes couvrent de nombreux aspect des paiements notamment la partie serveur (PCI DSS Data Security Standard) et la partie terminal (PCI PTS PIN Transaction Security).  Elles décrivent aussi les spécifications des scénarios basées sur la piste magnétique (très utilisée hors Europe et incluant des mécanismes de sécurité non implémentés en Europe) et les scénarios à base de puce contact et NFC. La norme EMV (Europay Mastercard VISA) est un sous-ensemble de la norme PCI pour les scénarios de paiement puce + code PIN édictée par l’organisme EMVCo commun à Visa et Mastercard rejoint par Amex et JCB. La norme EMV est appliquée dans tous les réseaux affiliés à Visa et Mastercard en Europe et est en cours de déploiement aux USA et dans d’autres partie du monde. Elle permet l’utilisation des paiements avec puce et code PIN par n’importe quel porteur de carte à puce même étranger.

Normalement les règles édictées par Visa et MasterCard sont harmonisées et cohérentes entre elles puisqu’elles s’appliquent à tous leurs réseaux affiliés qui sont généralement communs. Les réseaux affiliés (comme le GIE Carte Bancaire) réalisent les transpositions avec une latitude propre mais ne peuvent s’en écarter trop sous peine de perdre la compatibilité avec les réseaux internationaux.

Dans la zone européenne la doctrine semblait être jusqu’à maintenant de systématiser la norme EMV et de gérer les autres scénarios de paiement alternatifs en extinction, notamment ceux basés sur la piste magnétique et la signature. C’est ce qui a conduit Visa à refuser d’acquérir les transactions réalisées par i-Zettle sur la base d’un scénario d’authentification par puce mais de confirmation par signature.

Cette position n’est pas partagée par MasterCard qui autorise les transactions de paiement avec authentification par puce et confirmation par signature. Cette situation est très problématique pour le consommateur final qui est confronté à des modes de paiements différents en fonction de l’origine de la carte de paiement présentée aux commerçants. i-Zettle a finalement été réautorisé à acquérir des transactions par cartes Visa mais selon un scénario de contournement par paiement eCommerce (dit Carte Non Présente -CNP) en situation de paiement physique (dit Carte Présente – CP). Concrètement le commerçant demande son numéro de téléphone à son client et le saisit dans son application i-Zettle sur smartphone. Celle-ci envoie alors un SMS au smartphone du client avec un lien vers une page web de paiement sur laquelle il peut saisir son numéro de carte bancaire comme pour un paiement eCommerce (tous les détails sur le site de i-Zettle).

Pour résumer la situation :

  • Si vous avez un client avec une carte Mastercard, vous pouvez l’identifier avec la puce ou avec la carte magnétique et réaliser la confirmation par signature électronique (et bien sur aussi par code PIN) comme indiqué dans le document de référence « MASTERCARD BEST PRACTICES FOR MOBILE POINT OF SALE ACCEPTANCE » (« there are two types of cardholder verification methods (CVM): personal identification number (PIN) and signature. » p11)

Mastercard encourage d’ailleurs ces nouveaux scénarios à travers son programme Mastercard mobile POS program dont font partie iZettle, Kudos (net secure), Swiff (SCCP), Elavon (partenaire de Payleven) et Ezetap.

  • Si vous avez un client avec une carte Visa, vous ne pouvez que l’identifier par puce et le confirmer par code PIN ou réaliser un paiement de contournement eCommerce en ligne (CNP) en local (CP). A priori, il doit aussi être possible de réaliser un paiement eCommerce (CNP) en local (CP) avec une carte Mastercard. Cette règle provient d’une récente (sept 2012)  « Member Letter » émise par Visa auprès de ses banques et réseaux adhérents qui n’autorise que  les terminaux puce + PIN avec présence obligatoire d’un lecteur de piste magnétique mais dont l’utilisation est strictement réservée aux cartes étrangères, les cartes nationales étant interdites de saisie par piste magnétique. Cette règle interdit par ailleurs le paiement eCommerce (CNP) en local (CP) par saisie directe du numéro de carte bancaire du client sur le terminal du commerçant (cette règle est nouvelle, elle n’existait apparemment pas précédemment). Les Members Letters de Visa ne sont pas accessibles sur internet mais les préconisations sont reprises dans le document « Mobile Payment Acceptance Solutions » (p5)

La règle de l’interdiction du paiement eCommerce (CNP) en local (CP) n’est cependant pas stricte car il existe un scénario qui le permet lors de la prise d’une réservation à distance (avec saisie du numéro de  carte) puis la confirmation de la réservation en local (par exemple au lieu de location) par saisie par le commerçant sur son terminal informatique du numéro de carte du client qui déclenche la transaction de paiement ainsi confirmée (il y a donc bien saisi sur le terminal commerçant par le commerçant du numéro de carte bancaire).

La mise à disposition d’une page de paiement envoyée par SMS sur le smartphone du client à partir du smartphone du commerçant n’est pas une solution satisfaisante en terme de facilité d’usage.

Il est néanmoins possible de dissocier la partie authentification (inscription à un service sans paiement) de la partie confirmation (confirmation du paiement à partir d’une inscription réalisée au cours d’une étape précédente dissociée). Ce qui permet d’utiliser un dispositif commerçant de type lecture de puce pour récupérer le numéro de carte et vérifier la présence physique de la carte. Ces informations étant transmises au client pré-renseignées pour la confirmation d’une transaction de paiement eCommerce (toujours sur une page web ou une application envoyée et récupéré par le client).

Il faut rappeler que la dynamique d’adoption de Square aux USA a été portée par la distribution gratuite du dongle permettant d’accepter le paiement par carte et l’inscription en masse des clients sur le service. Cette dynamique d’adoption ne pourra pas être répliquée avec un device de paiement puce +PIN dont le coût unitaire n’en permet pas une diffusion en masse gratuite. Le coût implique une diffusion plus  sélective soit payante, soit subventionnée auprès des commerçants susceptibles de générer un CA suffisant. Une diffusion de masse passe alors nécessairement par un device fonctionnellement plus réduit dédié à un rôle d’inscription et débarrassé de son rôle de paiement (assuré par un paiement eCommerce).

Mais à ce stade, la réglementation actuelle, notamment en France, ne semble pas très ouverte aux scénarios d’adoption de masse et se comporte comme une barrière anti-concurrentielle à l’encontre de l’innovation.

 

L’ouverture de compte de paiement

Un autre point clé dans l’adoption réside dans la facilité d’inscription au service et notamment l’ouverture d’un compte de type VAD (Vente A Distance – utilisable pour les paiement par téléphone ou internet) ou monétique (paiement en magasin physique avec un terminal de paiement) pour le commerçant auprès de sa banque. Les conseillers bancaires sont peu familiarisés avec ce type de produit (à tel point que MacDonald a du rédiger un guide  à destination des banquiers pour ses magasins dans lesquels la solution de vente à distance était déployée) et les formalités souvent longues et complexes.

Pour favoriser une inscription rapide, les services de paiement comme Square ou Syspay (en France) s’appuient sur l’ouverture de porte-monnaie électroniques (« wallet ») qui permettent d’être immédiatement opérationnel sans attendre l’ouverture d’un contrat DAV. Ils peuvent aussi, comme mPowa opérer au dessus d’un contrat DAV existant d’un commerçant.

 

Les services de paiement mobile

Un autre type de solution et une alternative à la saisie carte en magasin par le commerçant est représenté par les services de paiement mobile. Ceux-ci nécessitent une inscription préalable avec confirmation d’identité et le rattachement d’un moyen de paiement (carte bancaire ou compte bancaire à prélever). Cette inscription préalable est le principal frein à l’adoption de tels services car son temps et sa complexité le rende peu compatible avec une inscription en situation chez le commerçant et une fois sorti du contexte d’usage, il est difficile de trouver un facteur déclenchant de l’inscription (car, dans nos pays surbancarisés, il y a toujours un moyen de paiement plus facile).

Ces nouveaux services de paiement utilisables chez les commerçants fleurissent notamment autour du paiement par QR Code (S-monnet, Skimm, Flashiz, Drinkon,…) et ils présentent des scénarios d’usage et des dynamiques d’adoption intéressantes (par exemple Skimm dans la communauté étudiante et Drinkon dans les lieux festifs).

Dans un dispositif de ce type, une fois le client et le commerçant enrôlés dans le service, la transaction est générée sous la forme d’un QR code qui porte l’identifiant de la transaction soit sur le smartphone du commerçant (Skimm), simplement imprimé sur le ticket de caisse (Flashiz) ou sur le smartphone du client (dans ce cas, il s’agit plus d’une carte ou d’un chèque cadeau comme popularisé par Starbuck). L’interlocuteur, client ou commerçant, scanne avec son mobile le QR code et approuve la transaction qui apparaît alors confirmée  sur le smartphone (ou la caisse) d’origine de la transaction.

 

Pourquoi l’utilisation de dispositifs de paiement « exotique » posent-ils problèmes ?

Il y a deux raisons :

  • L’acceptation technique des dispositifs
  • Les conditions tarifaires applicables

L’acceptation technique des dispositifs fait références aux normes de certification auxquels ils doivent répondre. En la matière c’est la norme PCI et ses déclinaisons qui font référence. Les premiers terminaux de paiement liés à un mobile commencent à être pleinement certifiés PCI et entrent en déploiement commerciaux (Payleven, mPowa). Le point tourne essentiellement autour du niveau de sécurité requis avec en toile de fond l’instrumentalisation de la sécurité comme barrière à l’entrée vis-à-vis des nouveaux acteurs. Dans ce domaine, la France ne brille pas particulièrement par son ouverture avec la superposition des règles du GIE Carte Bancaire et de l’Observatoire de la Sécurité des Cartes et des Paiements de la Banque de France.

Les conditions tarifaires sont différentes en fonction de l’origine des flux de paiement.

Les flux de paiement de source puce + PIN présentent un très faible taux de fraude et ne sont pas répudiables par les clients. Des conditions tarifaires très compétitives y sont associées.

Les flux de paiement de source piste magnétique + signature  (cartes étrangères) ainsi que les flux de paiement eCommerce présentent un taux de fraude plus élevé et des coûts pour couvrir les garanties de rétractation offertes aux clients (sauf en cas de confirmation 3D Secure). Des conditions tarifaires moins favorables y sont associées.

Le problème vient des flux non standards (puce + signature) pour lesquels, on ne sait pas à quel niveau de fraude et de rétractation les rattacher et y associer des conditions tarifaires.

 

Quelques données sur l’utilisation des cartes, la fraude et le déploiement EMV en Europe : 

source : European Central Bank Eurosystem, Report on card fraud, July 2012

Fraud in relative terms, i.e. the share of the transaction value related to fraud, fell from 0.045% in 2007 to 0.040% in 2010, having reached 0.050% in 2009.

In 2010 half of the value of fraud resulted from card-not-present (CNP) payments – i.e. payments via mail, telephone or the internet – while a third resulted from point-of-sale (POS) terminals and a sixth from automated teller machines (ATMs). The same trends were observed with respect to fraud volumes, although ATM fraud was less prevalent and POS fraud more significant.

One thought on “Mouvement dans les services « Square like » en Europe

Comments are closed.