EMV : que s’est-il passé ce 1er octobre aux Etats-Unis ? Un liability shift !

Sous la pression des réseaux internationaux, puis du gouvernement américain, les Etats-Unis ont engagé une migration de leur système de paiement par carte bancaire sur l’ensemble de leur territoire. L’objectif ? Réduire la fraude par l’application de la norme internationale EMV déjà en place dans le monde entier. Un jalon très important vient d’être atteint ce 1er octobre 2015 avec la mise en place d’un transfert de responsabilité. Explications.

Nous vous en parlions il y a déjà 1 an, ce processus de migration EMV aux Etats-Unis est engagé depuis 2012 et implique la migration de millions de cartes bancaires et TPE. Il s’effectue à marche forcée car, désormais, les banques acquéreur supporteront les montants de fraude lorsque la puce n’a pas été exploitée. Jusqu’à fin septembre 2015, c’étaient les banques émetteur qui étaient tenues responsables pour ce type de fraude. L’objectif est de sécuriser les dispositifs (cartes bancaires et TPE) et ainsi tenter de faire disparaître la fraude liée à l’exploitation des cartes contrefaites.

Focus sur le liability shift

L’idée de American Express, Discover, MasterCard et Visa est de tenir pour responsable le couple commerçant/banque acquéreur lorsqu’une fraude a été commise (utilisation d’une carte contrefaite par exemple) et qu’il ne peut prouver qu’il y a eu contrôle de présence de la puce. En d’autres termes, le commerçant doit désormais être équipé d’un TPE EMV Compliant pour éviter ce type de désagrément.

En effet, un TPE EMV va systématiquement vérifier la présence d’une puce sur la carte bancaire du client et, si présente, effectuer la transaction via la puce. Si la carte bancaire ne possède pas de puce, la piste de celle-ci sera exploitée pour poursuivre le paiement et le couple commerçant/banque acquéreur ne pourra être tenu responsable d’une éventuelle fraude.

Le transfert de responsabilité du 1er octobre se décline en 2 cas :

  • une fraude réalisée avec une carte contrefaite et affiliée à Accel, American Express, China UnionPay, Discover, MasterCard, NYCE Payments Network, SHAZAM Network, STAR Network ou Visa
Responsabilités en cas de fraude avec une carte contrefaite (American Express, Discover, MasterCard, Visa)
Responsabilités en cas de fraude avec une carte contrefaite (American Express, Discover, MasterCard, Visa)
  • une fraude réalisée avec une carte perdue ou volée et affiliée à American Express, Discover ou MasterCard
Responsabilités en cas de fraude avec une carte perdue/volée (American Express, Discover, MasterCard)
Responsabilités en cas de fraude avec une carte perdue/volée (American Express, Discover, MasterCard)

NB : Aucun changement de responsabilité pour les autres réseaux (Accel, China Union Pay, NYCE, STAR Network et Visa) lorsque la carte est perdue ou volée.

Une migration à poursuivre…

Toutefois rappelons les derniers chiffres officiels communiqués par le consortium EMVCo qui concernent l’année 2014 :

  • 101 millions de cartes EMV pour un taux d’adoption de seulement 7,3% !
  • 0,12% des transactions réalisées en 2014 l’ont été avec une carte EMV…

Un très long chemin reste à parcourir pour atteindre les chiffres de la zone Europe (96.6% de transactions EMV de 2014) ! Le liability shift va y aider et nul doute que l’effort devra être poursuivi au cours des prochaines années.

Prochaine étape ?

Octobre 2017 où ce transfert de responsabilité s’appliquera également sur les Distributeurs Automatiques de Carburants, DAC (full dispensers), quel que soit le réseau (Visa, MasterCard, American Express ou Discover).

A méditer : les Etats-Unis ont tellement attendu pour effectuer cette migration qu’ils auraient presque pu tenter un saut de génération et innover en mettant en place une solution combinant puce sans-contact et biométrie et se passer de code PIN… Partie remise ?

4 Replies to “EMV : que s’est-il passé ce 1er octobre aux Etats-Unis ? Un liability shift !”

  1. Ce qui est « marrant » dans l’histoire c’est que EMVco (donc les américains) nous a imposé cette nouvelle norme et puce, (qui pour rappel a remplacé notre bonne vieille puce française B4-B0′ qui avait déjà fait chuté drastiquement le taux de fraude en France en son temps) et qu’en France (d’autres pays européens certainement) nous avons commencé notre migration dès le début des années 2000 (ce qui explique le taux d’équipement frôlant les 100%).
    10 ans de retard…
    C’est un peu l’hôpital qui se fout de la charité.

    • Bonjour,

      Entièrement d’accord avec vous. Après avoir imposé cette norme dans le monde entier depuis 10 ans, ils se décident enfin à migrer eux-aussi sur ce standard et presque par obligation tant leurs taux de fraude ont considérablement augmenté.

      Et ironie du sort, cette augmentation est en partie due à l’adoption d’EMV partout ailleurs dans le monde. La fraude s’est ainsi déplacée vers le territoire américain, là où moins de contrôles sont effectués. Tel est pris qui croyait prendre !

      Jérémy

  2. Bonjour, merci bcp pour cet article qui permet de comprendre les usages du continent americain. Le schéma Paypal n’est plus disponible… auriez vous svp un autre lien url ? ou la date de publication ?
    Une petite question sur les USA suite à l’application Liability Shift:
    A – si la carte client piste-only (no puce) est inseré dans un TPE EMV Compliant.
    L’emetteur est responsable d’une fraude éventuelle.
    B – si la carte client piste-only (no puce) est inseré dans un TPE ancien (no EMV Compliant).
    Le couple Commercant/Acquereur est responsable d’une fraude éventuelle.
    Est ce qu’au USA, on peut avoir des etablissements uniquement emetteur ?
    Si c’est le cas, qu’est ce qui va les pousser à arreter de faire des cartes piste-only (- cher) pour faire des « smart chip » cartes (+ cher)?

    • Bonjour,

      Merci pour votre retour ! J’ai complété l’article avec 2 nouveaux schémas fait-maison : le premier concerne le transfert de responsabilité lors d’une fraude avec une carte contrefaite et le deuxième avec une carte perdue/volée.

      Concernant votre question, le responsable d’une fraude dans votre cas B est bien l’émetteur et non l’acquéreur. La règle principale du liability shift est bien d’inciter les établissements émetteur à mettre à disposition de leurs clients des cartes à puce EMV compliant pour « s’offrir » la possibilité de réduire leur fraude (dans un premier temps, par un transfert vers le couple banque acquéreur/commerçant et dans un second temps, par une réduction globale de la fraude due à l’adoption d’EMV et donc une meilleure sécurisation de l’acte de paiement). Dans le cas contraire, ils seront systématiquement tenus responsables en cas de fraude (utilisation d’une carte à piste). Par voie de conséquence, les établissements acquéreur vont eux faire migrer leurs commerçants vers des TPE EMV compliant.

      Jérémy

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*