Jusqu’où peut aller la limite des cartes sans contact sans authentification à deux facteurs ?
5 min readLes citoyens britanniques pourront effectuer des paiements allant jusqu’à 100 £ avec une carte sans contact à partir du mois prochain, mais la somme à trois chiffres a fait froncer quelques sourcils.
L’augmentation, annoncé pour la première fois en mars, verra la nouvelle limite entrer en vigueur le 15 octobre.
La technologie de paiement sans contact a été introduite en 2007 avec une limite de dépenses de 10 £. Cette limite a augmenté progressivement pour atteindre 30 £ d’ici 2020, mais a connu des augmentations significatives pendant la pandémie de Covid-19. Il a été augmenté à 45 £ en avril de l’année dernière et maintenant, un peu plus de 12 mois plus tard, il va plus que doubler.
Lorsque la pandémie s’est installée, les gens ont été invités à limiter les contacts physiques, notamment en réduisant leur utilisation d’argent liquide. La technologie de paiement sans contact, comme son nom l’indique, était un remplacement idéal pour les espèces car, contrairement aux applications de paiement par téléphone mobile, la plupart des gens utilisaient déjà des cartes de paiement.
Les chiffres l’ont confirmé. Suite à la décision d’augmenter la limite des paiements sans contact à 45 £, la valeur moyenne des paiements sans contact a augmenté de 29% en 2020 à 12,38 £, contre 9,60 £ en 2019, selon les chiffres de Barclaycard. La société émettrice de cartes a également constaté que 88,6% du total des paiements par carte au Royaume-Uni en 2020 étaient sans contact.
Suite à l’annonce de l’augmentation en octobre de la limite de dépenses à trois chiffres, Rishi Sunak, chancelier de l’échiquier, a déclaré : «[This] rendra plus facile que jamais de payer en toute sécurité – que ce soit dans les magasins locaux, ou dans votre pub et restaurant préféré.
Cependant, si la hausse a été largement saluée, elle a également fait froncer quelques sourcils.
Une question d’authentification
La possession d’une carte sans contact est tout ce qui est nécessaire pour effectuer un paiement, sans authentification requise pour lier l’utilisateur à la carte – même si, après quelques paiements, l’utilisateur de la carte sera invité à saisir un code PIN.
Les moyens de paiement comme Apple Pay, qui n’ont pas de limite de dépenses, nécessitent la présence du téléphone associé à un compte bancaire ainsi qu’une empreinte digitale ou faciale.
Cela soulève la question suivante : jusqu’où peut aller la limite des cartes sans contact avant qu’une authentification supplémentaire ne soit requise ?
David Bannister, analyste en chef chez Bloor Research, a déclaré que l’augmentation était largement anticipée, mais que “certaines personnes hésitaient à passer à 100 £ en une seule fois – plus du double de la limite actuelle”.
Zilvinas Bareisis, Celent
Il a déclaré que les gens se méfiaient même des 10 £ à partir desquels il avait commencé, et qu’ils se méfieraient toujours, “mais l’acceptation continue d’augmenter, donc la confiance n’est pas un problème évident”.
Mais il a ajouté que certains petits détaillants pourraient être plus prudents et choisir de fixer une limite inférieure. “C’était autrefois le cas avec les magasins fixant leur propre limite de plancher pour les cartes de crédit”, a-t-il déclaré.
Bannister a déclaré qu’il s’attendait à ce qu’une authentification à deux facteurs (2FA) soit nécessaire pour que la limite soit beaucoup plus élevée.
L’analyste Celent Zilvinas Bareisis a accepté. “Pour les transactions supérieures à 100 £, peu de gens se plaindront si on leur demande d’entrer un code PIN”, a-t-il déclaré. “Je pense que la décision d’autoriser une limite plus élevée est sensée.”
Il a déclaré que l’acceptation des paiements sans contact avait augmenté rapidement. “Un seuil de 100 £ semblait impensable lorsque les paiements sans contact ont été introduits, mais le secteur des paiements et la façon dont il gère les risques ont évolué depuis et les limites sans contact ont augmenté en conséquence”, a ajouté Bareisis.
Il a déclaré que même si, en théorie, il n’y avait pas de limite à ce que cela pouvait atteindre, certains pays ne fixant pas de limites, le défi était que s’il est possible de vérifier que la carte est authentique, sans vérification du titulaire de la carte, il n’est pas possible de savoir si la carte est entre de bonnes mains. « Plus la limite est élevée, plus la carte est attrayante pour les voleurs et les criminels. »
La biométrie pourrait être la réponse
Bareisis a déclaré qu’il serait intéressant de voir comment les consommateurs réagissent aux nouvelles limites. « Si elles soulèvent des inquiétudes concernant des risques accrus, les banques pourraient être plus intéressées par enquête sur les cartes biométriques. “
Les transactions sans contact effectuées via des applications pour smartphone telles que Apple Pay bénéficient de méthodes d’authentification des titulaires de carte basées sur l’appareil et n’ont déjà pas la même limite que les cartes en plastique, tant que le commerçant peut gérer la transaction. Une solution possible consiste à intégrer des mécanismes de vérification des titulaires de carte, tels que la biométrie, dans les cartes elles-mêmes – la technologie est disponible, mais le principal problème est le coût supplémentaire.
L’analyste d’Aite-Novarica, Ron van Wezel, a déclaré que l’augmentation de la limite à 100 £ rendrait les cartes sans contact plus attrayantes pour les fraudeurs, mais a ajouté que ce n’était pas un crime simple à commettre. “Le criminel devrait voler la carte car il n’est pas possible de falsifier/copier une carte EMV”, a-t-il déclaré.
Van Wezel a ajouté que les fournisseurs de cartes disposent également de systèmes automatisés pour protéger les clients. « Les systèmes de fraude de l’émetteur filtreront dans une certaine mesure les transactions frauduleuses et bloqueront la carte lorsqu’elle est signalée comme perdue ou volée. Le risque pour l’émetteur est donc limité », a-t-il déclaré.
Il a ajouté que les consommateurs étaient protégés car la plupart des banques opèrent dans le cadre d’un accord volontaire selon lequel les titulaires de carte ne sont pas responsables de la fraude, à condition qu’ils n’aient pas agi par négligence.
Selon les chiffres les plus récents de l’organisme commercial UK Finance, fraude sans contact uniquement équivaut à 2,5 pence sur 100 £ dépensés.