1

Réflexions sur l’évolution des moyens de paiements

électroniques

Jacques SCHUHMACHER

Sorbonne Novembre 2007

2

Plan de la présentation

Considérations générales sur l’évolution de la relation clients /entreprises

Focus sur le cas des banques

Etude de cas avec l’évolution des moyens de paiement en proximité et à distance

3

QUESTION

Les nouvelles technologies amènent-elles de nouveaux comportements ou est-ce l’inverse?

Les NT s’adaptent-elles à nos besoins ou nous adaptons nous aux nouvelles technologies ?

4

LE CONTEXTE : Une mutation exceptionnelle

Des changements fondamentaux et rapides dans :

Les modes de vie

La diversité culturelle, des attentes différentes

L’économie

Les aptitudes face aux technologies, les langages

La géopolitique

Génèrent de nouvelles attentes

EUROPE

FRANCE

SPAIN

ITALY

GERMANY

POLAND

LATVIA

ESTONIA

LITHUANIAGREAT

BRITAIN

IREL

AND

PORT

UG

AL

SWED

EN

FIN

LAN

D

NO

RWAY

SWIT

ZER

LAN

D

AUSTRIA

BELG

IUM

NET

HER

LAN

DS

ICELAND

LUXE

MBO

UR

G

DEN

MAR

K

BELARUS

CZECH

REP.

UKRAINE

ROMANIA

HUNGARY

SLOVAKIA

MOLDAVIA

5

Les nouveaux chantiers pour tous types

d’entreprises Le développement durable

L’Europe et la mondialisation

Une nouvelle déontologie qui entraine un nouveau marketing

Des nouvelles approches clients par de nouveaux canaux

Des nouveaux produits en permanence

De nouveaux modes de partenariats

6

Un exemple : GOOGLE Notoriété mondiale fulgurante

Sans publicité

Modèle économique spécifique

Une stratégie qui reste audacieuse

IBM puis Microsoft était des offres techniques

Google a construit son empire sur une offre de services déjà existante (Yahoo, Lycos, Voilà,..) mais mieux adaptée aux attentes

Qu’en déduire pour le futur ?

7

Vers le « prosuming »

Selon Alvin Toffler ( consultant américain )

La richesse n’est plus seulement une question d’argent, mais avant tout une affaire de savoir

Linux et le Web sont des services initialement gratuits qui ont engendré des milliers d’emplois

Le producteur et le consommateur ne sont plus face à face mais côte à côte : le prosuming

8

Une mutation Technologique

9

Pour les banques : Une mutation y compris

dans les risques….

les nouvelles technologies sont le terrain d’une nouvelle délinquance

10

LE CONTEXTE POUR LE METIER DE LA

BANQUE De nouvelles façons de vivre…

Plus de mobilité Eclatement des familles et dispersion dans le monde

Précarité non synonyme d’exclusion usage universel des moyens de paiement modernes

Plus d’expertise technologique dans le monde citoyen, professionnel et privé MP3, Internet, SMS, déclaration impôts on line…

Une relation participative (Forum, wikis, Web 2.0 …)

Des diversités culturelles fortes

Délinquance « high tech »

11

LE CONTEXTE POUR LE METIER DE LA

BANQUE De nouvelles façons de vivre…

…Vont changer le métier bancaire

Adapter nos services à ces nouvelles attentes

Nouveau canaux de distribution ( mobile, PDA, Internet,…)

Nouvelle vision du consommateur

Offres plus diversifiées ( l’interbancarité va évoluer) adaptées à des conditions de vie différentes ( exemple : + de 60 types de carte VISA)

Extensions à un panel d’usages beaucoup plus importants ( aide à la personnes, fidélité, …)

La dématérialisation

Prendre une dimension européenne, intégrer les évolutions du SEPA

Tout en conservant un niveau de sécurité optimum ( les nouvelles technologies sont le terrain d’une nouvelle délinquance )

12

Impact sur les moyens de paiement

ACTIVITEBANCAIRE

VIE COURANTE

Modernisation de l’offre bancaire

Maîtrise de ces plates-formes

CaptationQui, quoi, combien ?

SuiviTransformationEn Débit/crédit

13

Gérez le changement

Comment faire évoluer les usages ? Certains secteurs savent faire évoluer rapidement leur

clientèle La musique et la vidéo : Supports et les lecteurs

Les transports : vers le sans contact

Administration : Les déclarations d’impôts

Les telcos : Le Minitel vers l’Internet

Plus difficile pour les banques Exemple : Le chèque versus le paiement électronique

14

Gérez le changement

Les banques sont confrontées des problèmes spécifiques

L’interopérabilité

La dimension mondiale

Les garanties

La sécurité

La fiabilité

La sensibilité

Peu d’activité combinent toutes ces contraintes !!

15

Un exemple avec VISA

16

La

transaction à distance

17

La base de l’action des banques :

la loi sur la sécurité quotidienne

Article 1er: la sécurité est un droit fondamental(Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16

novembre 2001)

18

Article L132-2   (Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16 novembre 2001)

La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte…      => Importance de sécuriser et d’authentifier les clients

Un droit très protecteur pour les internautes:

La loi sur la sécurité quotidienne

19

L’EVOLUTION DE L’INTERNETL’EVOLUTION DE L’INTERNET

20

Les attentes

Les e-acheteurs veulent se protégerSuis-je sûr du commerçant ?Qui va être en possession de mon numéro de CB ?

Les non e-acheteurs égalementPersonne d’autre que moi doit pouvoir utiliser ma carte en proximité et sur Internet ?

Les commerçants aussi Eviter les impayésDisposer de souplesseTemps réel

Et les Banques….

21

Les types de fraudeurs

Les resquilleurs

Les justiciers

Les usurpateurs

Les trafiquants

Les gangs

Les destructeurs

AUJOURD’HUI LE COMM

ERCANT

EST « + OU – » VULNERABLE FACE A

TOUTES CES FRAUDES

22

Bases des offres

Diversité = Adéquation à la demande

Sécurité = Confiance

Confiance + Confort = Usage

23

Le vrai challenge sur Internet

Lutte contre la fraude à « l’ identité numérique » Fraude à l’Identité aux USA en 2004; # 47,8 Md US $ (FTC, FBI, ITRC)

27 M américains concernés 600 h par incident 5 Md $ de perte pour les individus

Estimation en UK: 1 Md £ sur la seule fraude à l’identité régalienne Pas de statistique consolidée en France mais en développement constant aussi

bien sur le secteur public que marchand Permettre le développement efficace des nouveaux services basés sur

l’identité numérique Services publics et gouvernementaux, marchands Services inter-domaines Mutualisation des services de sécurité/authentification/paiement

Donner à l’utilisateur final un confort et une facilité d’utilisation pour les systèmes transactionnels Multiplicité des « mots de passe », inconfort des formulaires Hésitations à présenter en confiance ses moyens de paiement Dualité Sécurité/Respect de la vie privée

24

Les Typologies de paiement

Trois catégories :

Les petits montants (identification)

Les montants moyens ( authentification)

Les gros montants (signature)

25

3 niveaux de sécurité selon les

besoins et les enjeux

Identification :

Ce que je possède ou ce que je sais prouve que je suis Mr X.

Opérations de petits montants ou de faibles enjeux

Particuliers

Authentification « forte » :

Ce que je possède et ce que je sais prouvent que je suis Mr X.

Transactions de montants moyens.

Vente et/ou opérations dans des processus de gré à gré( ex. bon de cde, bon de livr.)

Particuliers

Professionnels

Associations

Entreprises

Notarisation (Signature électronique) :

Par un processus homologué reconnu, je prouve que je suis Monsieur X auprès d’un tiers de confiance et je signe des documents contractuels.

Opérations de gros montants ou à fort enjeux.

Processus ou opérations où GCE est tiers de confiance.

Contractualisation en ligne.

Professionnels

Associations

Collectivités Entreprises

FONCTIONS USAGES CIBLES

26

Les Typologies de moyens de

paiement

Deux catégories :

Les moyens de paiement existants éventuellement adaptés

Les nouveaux moyens de paiement

27

Les acteurs

4 catégories :

Les acheteurs

Les vendeurs

Les acquéreurs ( banques ou autre)

Les Banques

Chacun induit son niveau de risque sécuritaire

28

Comment réagir à la fraude ?

HONNETES

REPRESSION

PRECAUTION

CONTROLE

29

Comment contrôler à distance ?

2 IMPERATIFS

Disposer d’un système d’authentification tous canaux

Etre averti lorsque qu’un porteur utilise sa carte Par nos propres systèmes

Par des dispositifs de surveillance

30

Les solutions sur le marché

Les systèmes basés sur des mots de passe statiques

Les lecteurs de cartes (Cybercomm)

Le cryptogramme visuel (CVx2)

L’E Carte Bleue

Les assureurs

Les puces intégrées dans les PC («Trust Computing Group »)

31

Les facteurs-clés de succès

RESTER SIMPLE POUR L’USAGER

Pas de logiciel ni de matériel spécifique à installer, rapide, rassurant

COUT RAISONNABLE POUR LES 3 ACTEURS (COMMERCANT, CLIENT, BANQUE)

GARANTIE DE PAIEMENT POUR LES COMMERCANTS

SECURITE PAR MOT DE PASSE DYNAMIQUE (Recommandation BDF/MEN)

CONFORMITE AUX STANDARDS INTERNATIONAUX

32

3DSecure (Verified by VISA) 

La confiance passe par l’émergence de systèmes internationaux : VbV et Mastercard Secure Code

Les principes de la vérification par VISA: La banque émetteur devient responsable du contrôle des paiements

Le paiement est garanti

Comment ça marche ? Le commerçant appelle un annuaire VISA

Grâce au numéro de la carte,VISA appelle la banque de l’internaute

La banque de l’internaute demande à son client de s’authentifier

Chaque banque reste libre de son système d’authentification

Id-tronic est notre système d’authentification forte des internautes

33

Site

Marchand

ClientClient

CommerçantCommerçant

Banque Client

VERIFICATION VISA (VbV-3D SECURE)

?

OK

LE CLIENT CONFIRMEPAR UNE METHODE PROPREA CHAQUE BANQUE EMETTEUR

OK

BanqueCommerçant

OK

34

DEMONSTRATION

PAIEMENT A DISTANCE

SECURISE PAR

AUTHENTIFICATION FORTE D’UN CLIENT

PAR SA BANQUE

35

Evolution possible

Les cercles de confiance

Une approche collaborative pour :

Des plates-formes interopérables d’authentification

36

Opérateurs

Services financiers

IDPIdentity Provider

identifiers

SPService Provider(s)

DSDirectoryServer

Attribute Provider

URM

Services Publics

IDPIdentity Provider

Attribute Provider

URM

SPService Provider(s)

IDPIdentity Provider

Attribute Provider

SPService Provider(s)

URM

identifiers

identifiers

Une organisation au service de l’internaute…et du business

SSOSSO

Partage d’attributsPartage d’attributs&&

37

La route est longue…

Problème de choix des techniques d’authentification

Support, usage preuve

Responsabilité de l’internaute

Conformité avec la CNIL

Equiper les clients

Faire évoluer les réflexes

38

La

transaction

en proximité

39

LA CARTE BANCAIRE

SANS CONTACT

40

La Carte de PAIEMENT sans CONTACT

Déjà opérationnelle dans certains pays) avec VISA et MASTERCARD pour les transactions de « petits » montants (parkings, fastfood, journaux,…)

dont les USA avec 20 millions de cartes -10 millions actives - et 200.000 terminaux

Les pays d’Asie

En France très bientôt

41

La Carte de PAIEMENT sans CONTACT

Principe de fonctionnement :

Coté carte : Dans sa version européenne, la carte fonctionne avec une antenne encartée et pilotée par la puce EMV

Coté lecteur : Les transactions sans contact se font sur un lecteur connecté au TPE ou tout autre dispositif de concentration ( exemple : sur un parcmètre)

Les transactions sont validées par un BIP et/ou un affichage d’accusé réception sur un écran

Les transactions sont traitées une par une, comme s’il s’agissait d’une transaction carte classique( c’est-à-dire avec mise en compensation pour chaque paiement sans agrégation).

42

La Carte de PAIEMENT sans

CONTACT ( sécurité) La sécurité des transactions sans contact

Elle est basée sur le risque maximum par client que la banque peut prendre sur une transaction non authentifiée, il s’agit pour la banque de définir le volume de transactions autorisés sans authentification forte du porteur. Cela bouscule les courants de pensée majoritaires dans les banques françaises, basé sur une généralisation de la frappe du code.

On peut en effet considérer que c’est une régression par rapport à la CB actuelle, sans doute pas …

43

La Carte de PAIEMENT sans

CONTACT ( sécurité) Principe du paiement VISA/MC sans contact :

On part du principe que l’authentification du porteur ne se fait plus à chaque transaction

La puce EMV tient un relevé des achats de petit montant et laisse les achats se faire tant que leur cumul n’atteint pas un certain montant (ex ; 50 €)

Quand ce seuil est atteint, il faut que le porteur prouve à la puce EMV qu’il est toujours en possession de sa carte en frappant le code confidentiel, donc s’il veut effectuer une transaction sans contact qui dépasse la consommation autorisée, il doit insérer sa carte dans un TPE et frapper son code.

Si bien sûr il utilise sa carte avec le code le compteur des consommations sans contact de la puce EMV est remis à zéro.

On remplace la notion de rechargement par la notion de « checkpoint » sur des TPE classique qui valide périodiquement à la banque que le porteur est toujours en possession de sa carte

On notera que ce système, même s’il est pertinent et cohérent, nécessitera une explication claire pour le grand public

44

La Carte sans contact CONCLUSION

EN CONCLUSION

La carte sans contact constitue une nouvelle approche de la sécurité qui :

Augmente l’implication du porteur

Calibre la sécurité en fonction du montant

45

LE TELEPHONE

MOBILE

SANS CONTACT

46

LE MOBILE SANS CONTACT

Le mobile sans contact est opérationnel uniquement dans les pays asiatiques, mais l’Europe est en effervescence sur ce sujet emmené par les opérateurs historiques

Les solutions japonaises ne sont pas transposables directement en Europe pour des questions de normes et de contexte, mais il reste intéressant d’en tirer des conclusions sur le plan fonctionnel

Le début du déploiement de téléphone mobile sans contact en France devrait débuter fin 2007/2008

47

LE MOBILE SANS CONTACT

Le support mobile dispose de spécificités offrant un potentiel applicatifs sans commune mesure avec la carte :

Outil communiquant Autonomie énergétique Clavier, micro, haut parleur, écrans Géolocalisation

Mais aussi de plus en plus souvent :

Appareil photo Récepteur TV Capacité de traitement ( JAVA, capacité mémoire, etc…)

Et de surcroît dispose d’une diffusion plus universelle ( jeunes, non bancarisés, etc…)

48

LE MOBILE SANS CONTACT

Il faut se garder d’aborder le mobile de la même façon que la carte. Nous devons poser sur ce média un regard neuf et sans à priori pour avoir une chance d’en tirer la quintessence tout en recueillant l’adhésion de ses utilisateurs

49

Le mobile sans CONTACT

( sécurité)

La sécurité et donc l’usage doivent être différents de celle d’une carte

Le mobile est un outil personnel que le porteur devra avoir les moyens de protéger comme son coffre-fort. On libère la fonction quand on en a besoin. L’authentification du porteur au moment de l’acte de paiement lui-même n’est plus nécessaire.

Le paradigme est donc très différent de la carte bancaire où le contrôle intervient au moment du paiement sur un outil autre que le support( TPE)

50

Le mobile sans CONTACT

La sécurité intrinsèque du mobile le positionne comme un outil capable d’effectuer du petit et du gros montant puisque nous pouvons enchainer l’authentification sur le mobile et le paiement sur le lecteur .

Cette fonction d’authentification forte permet

D’éviter d’insérer les données sensibles du paiement dans le mobile

De diversifier les moyens de paiement associé au mobile ( CB, comptes prépayés, points fidélité, etc…)

51

Le mobile sans contact CONCLUSION

EN CONCLUSION

La mobile sans contact peut révolutionner le paiement électronique :

Capacité intrinsèque de l’outil

Combine à la fois des fonctions de proximité et de distance

Crée de nouveaux paradigmes autour du paiement

52

CONCLUSION

Nous assisterons sans doute à une révolution dans le domaine du paiement :

Création de nouveaux paradigmes autour du paiement

Emergence des nouvelles approches donnant plus de liberté et plus de sécurité aux consommateurs tout en l’impliquant plus dans les processus

Une gamme de paiement allant du paiement anonyme au paiement très documenté

Suppression du papier sauf la monnaie fiduciaire

Evolution des méthodes de contrôle et d’authentification