Comment allons-nous payer en 2020 ?

Alain Deladrière

Lors du récent EPCA Payment Summit à Bruxelles, Risk & Compliance Platform Europe a assisté à la présentation de Lorenzo Gaston, Directeur technique chez SPA, Smart Payment Association. Ce dernier a développé en 12 points-clés la vision de SPA sur la façon dont les paiements électroniques seront initiés et traités dans les années à venir. Une projection dans un futur (proche) qui inclut évidemment les facettes incontournables que sont risque et conformité.
La révolution informatique a créé une percée technologique dans la manière dont les données sensibles sont générées, stockées, transmises et vérifiées. “Comme les données de paiement sont un type spécial d’informations hautement sensibles, des changements drastiques dans la façon dont les paiements sont effectués sont inévitables,” explique Lorenzo Gaston. “Bien que des innovations importantes existent et sont utilisées aujourd’hui dans les instruments et systèmes de paiement retail, ceux-ci ne bénéficient pas toujours du même degré d’adoption par les utilisateurs. Les pratiques culturelles, l’existence de méthodes de paiement socialement acceptées, les différentes perceptions régionales en termes de risque, les différences à travers le monde en matière de développement socio-économique et la diversité des cadres juridiques sont tous des facteurs contributifs qui expliquent le manque de cohérence dans l’adoption de l’innovation. Le paysage hétérogène résultant peut faire des prédictions un exercice incertain et aléatoire. Même une petite brèche de sécurité peut rapidement entraîner le rejet d’une nouvelle technologie de paiement prometteuse ou inversement, accélérer le déploiement de technologies qui n’ont pas fait leurs preuves.”
La technologie à base de cartes sera toujours la forme dominante pour les deux instruments de paiement de détail fixes et mobiles
Un nombre croissant de transactions s’effectue aujourd’hui sur les iPads, smartphones et autres appareils mobiles personnels. “Apple, avec son produit Apple Pay, est le dernier acteur à entrer sur le marché des paiements,” constate Lorenzo Gaston. “Le concept d’Apple Pay est une architecture mobile qui supporte les transactions à travers un élément sécurisé embarqué, un élément inviolable à base de cartes. Cette utilisation d’une approche à base de cartes semble prête à déclencher l’accélération du marché dans cette direction.
D’autres technologies basées sur les implémentations de logiciels ont été récemment annoncées. Et bien que, à l’heure actuelle, nous n’avons pas la preuve que ces approches se sont révélées être sécurisées, elles sont maintenant en train d’alimenter des technologies stand-by telles que ‘tokenization’. Ces nouveaux mécanismes de paiement peuvent s’approprier une partie du marché, en particulier pour les transactions à faible risque, mais ne remplaceront pas la technologie de carte à puce pour les paiements.
Le défi pour ces types de solutions logicielles est que tant que les risques restent à démontrer, les émetteurs imposeront des limites de montant du paiement. Naturellement, de telles formes de paiement sont alors peu attrayantes pour les fraudeurs. Il reste à voir si la fraude devant augmenter, les limites seraient relevées.”
La dématérialisation de l’argent continuera à progresser
L’argent est essentiellement une dette transférable par un émetteur de monnaie. “La valeur de l’argent est directement liée à la solvabilité de l’émetteur, et une communauté virtuelle solvable peut émettre sa propre monnaie,” fait remarquer Lorenzo Gaston. “L’argent ne sera pas tenu à l’écart de l’évolution vers la virtualisation ou tout atout économique précieux qui peut être représentée numériquement. Cependant, il n’est pas évident que les monnaies virtuelles rencontrent les critères classiques de l’argent à moins d’être acceptées comme moyens de paiement.
En dehors de la solvabilité de l’émetteur, il existe quelques problèmes fondamentaux relatifs à l’argent virtuel comme la sécurité et le défi de définir des limites pour l’émission et l’acceptation de manière à ne pas compromettre la stabilité de l’économie ‘réelle’. Bitcoin a été la première tentative sérieuse de créer une monnaie numérique adaptée à un monde en réseau, mais son décollage comme monnaie dominante semble être dangereux. Néanmoins, d’autres monnaies virtuelles suivront, même si le concept d’une société sans argent liquide demeure utopique.
Les monnaies virtuelles sont encore largement non réglementées. Pourtant, si elles réussissent à devenir dominantes, elles seront gardées sous contrôle par les régulateurs financiers. Les autorités monétaires des États-Unis et de la Banque centrale européenne sont déjà en train d’établir un cadre réglementaire limité pour monnaies virtuelles, ce qui en soit constitue une reconnaissance tacite de la part des autorités de régulation que cette évolution de paiement est inévitable et devrait être monitorée dès le début. De plus, la mesure dans laquelle ces monnaies virtuelles seront en concurrence avec l’argent de la banque centrale pour les paiements rend invitable l’intervention des banques centrales dans la surveillance de tels systèmes de paiement.”
Les décideurs des politiques joueront un rôle plus direct dans la supervision des systèmes de paiement au détail
Au cours des dernières années, les banques centrales ont accordé plus d’attention à la façon dont les instruments de paiement électroniques de détail sont émis et exploités, et comment les clients bancaires sont authentifiés en ligne. “Plus récemment, à la suite de graves violations de données de carte, les décideurs de politiques ont exprimé leur inquiétude sur la façon dont l’industrie des paiements dans son ensemble peut relever le défi de la protection des informations sensibles sur les clients, poursuit Lorenzo Gaston. “Cette implication directe des régulateurs dans la poursuite du renforcement de la sécurité est une réalité qui sera plus présente dans les prochaines années, à la fois dans les régions développées et en développement.
Le rythme des innovations technologiques et la nécessité de bien comprendre les conséquences négatives potentielles en termes de fraude et de criminalité financière, signifient que le rôle traditionnel des régulateurs financiers dans le suivi des instruments de paiement est maintenant étendu. De nouveaux modèles de traitement des paiements ‘moins réglementés’ sont plus complexes (et donc plus vulnérables) et concernent la participation de plus d’acteurs – des parties à la fois financières et non-financières, qui peuvent ne pas partager la même background de sécurité. Des conflits d’intérêts peuvent survenir sur le niveau approprié de l’effort nécessaire pour améliorer la sécurité, en termes de certification des produits de paiement ou pendant la transaction. De tels conflits entravent le développement de normes de sécurité et ralentissent l’adoption de mesures qui sont déjà testées et éprouvées.
La disponibilité de nouveaux instruments de paiement dans le monde entier pour le business et les consommateurs qui utilisent des systèmes n’offrant pas le même niveau de protection signifie que la collaboration régionale entre les régulateurs sera encore plus nécessaire pour lutter contre la fraude. En conséquence, SPA considère que le rôle d’institutions telles que la Banque mondiale va devenir de plus en plus pertinent – un mouvement qui est alimenté par des organisations internationales gouvernementales telles que le G20.
Un domaine clé de la collaboration au sein de l’industrie des paiements est en ce moment la création de normes pour les envois de fonds mobiles transfrontaliers sûrs et bon marché – l’initiative IUT-T lancée en décembre dernier est un premier pas dans la bonne direction.”
Les participants non bancaires sur le marché des paiements de détail resteront et se consolideront à condition que l’accès aux infrastructures de paiement soit activé
En dehors des institutions financières, les nouveaux venus offrent des services de paiement et de prise en charge de la relation primaire avec les clients et les retailers. Pour Lorenzo Gaston, cela se produit parfois suite à l’externalisation par les banques d’une partie du traitement de la transaction. “Malgré cette nouvelle réalité, rien n’a fondamentalement changé en termes d’infrastructures et / ou d’accès aux comptes bancaires de paiement des clients par de nouveaux entrants. Par conséquent, les institutions non financières n’ont pas un accès direct aux infrastructures de compensation et de règlement. Toutefois, cette situation crée un problème sur le plan concurrentiel parce que les fournisseurs de services de paiement non-financiers doivent utiliser l’intermédiation d’une banque pour obtenir l’accès à ces infrastructures. Cela met en péril le modèle business pour les institutions non bancaires et rend difficile pour eux d’offrir des paiements en temps réel.
Une loi est prévue au sein de l’UE pour réglementer l’accès aux comptes bancaires des clients par un tiers, comme un fournisseur de services de paiement non-financier, à condition que ces entités soient correctement supervisées par leur régulateur national. En conséquence, nous sommes susceptibles de voir une croissance des transactions ‘card not present’. Cependant, SPA considère, et a toujours préconisé, que la meilleure façon d’avoir une expérience de paiement de commerce électronique et mobile réussie est de développer et promouvoir l’utilisation de la technologie de la carte dans l’environnement en ligne. Apple Pay semble avoir la même approche. En outre, les participants non bancaires offrent des avantages significatifs en termes de facilité d’utilisation, de transfert de responsabilité et d’inscription rapide pour gagner des parts de marché. Tout cela représente un défi dans une perspective de gestion des risques.
Le commercial occupera une position charnière permettant d’offrir des produits avec des instruments de paiement adaptés qui réduisent le risque de pertes financières en cas de fraude. La connaissance des modes de consommation et de solvabilité de la clientèle stimulera de nouveaux services personnalisés complexes – résultant en un paquet d’offres commerciales, d’instruments de paiement commerciaux préférés et des conditions de crédit spéciales, qui tous seront stimulés par des programmes de fidélité. Les portefeuilles mobiles seront le grand catalyseur de cette révolution business.”
Les portefeuilles mobiles constitueront le lien entre les détaillants et leurs clients
Les portefeuilles mobiles représentent un bon exemple de la façon dont l’innovation est devenue un point de convergence pour le développement du système de paiement et de concurrence accrue. Lorenzo Gaston: “Les portefeuilles mobiles fournissent aux banques et non-banques un large éventail d’options stratégiques pour gagner des parts de marché – par exemple, en joignant leurs forces pour délivrer de portefeuilles co-brandés. Ces portefeuilles de propriété – liés aux plates-formes propriétaires – seront rendus possibles par la recherche et le développement internes, les joint ventures, les investissements de capital de risque et des alliances pour développer un standard propriétaire ou une ISO publique. Chaque option stratégique supportera, bien sûr, ses propres coûts et avantages, mais en tant que fournisseurs de technologie, SPA s’inquiète du fait qu’une ‘guerre des portefeuilles’ conduira à une fragmentation excessive du marché. C’est un scénario qui prend déjà forme – comme témoigne l’arrivée sur le marché de Google Wallet, Softcard, visa’s V.me Wallet, MasterCard’s MasterPass, Apple Passbook, PayPal et American Express’ Serve.
Cet ensemble diversifié d’offres technologiques portefeuille continuera à coexister jusqu’à ce que les utilisateurs décident quel modèle d’affaires va dominer le marché. SPA est d’avis qu’une norme de haut niveau pour les exigences fonctionnelles et de sécurité pour les portefeuilles pourrait permettre le développement de solutions de portefeuille mobile avec un potentiel de convergence dans une deuxième étape, si requis par le marché.
La capacité de recueillir d’énormes quantités de données sera au cœur de lutte entre les différentes implémentations de portefeuille, et la capacité d’extraire un plus grand pouvoir de décision des mégadonnées sera une condition pour une plus grande consolidation sur le marché des paiements de détail. Toutefois, en règle générale aujourd’hui, le marché privilégiera des portefeuilles mobiles qui sont sûrs, faciles à utiliser et largement acceptés.”
Les banques commerciales conserveront la tête de la fourniture de services de paiement
Les produits et les transactions gérées par les banques sont, par nature, de l’information numérique très sensible – mais la prestation de ces services financiers ne nécessitent pas de grandes installations physiques.
“Malgré l’effet de substitution apparent, les institutions financières sont encore en tête – ce qui démontre que l’évolution de l’économie virtuelle est en ligne avec la façon dont les banques ont fonctionné pendant des décennies”, nous dit Lorenzo Gaston. ”Aujourd’hui, vous ne devez plus visiter les locaux d’une banque pour effectuer des transactions. Au lieu de cela, les banques offrent leurs services financiers en ligne, utilisant une variété de canaux de communication, et bénéficient de l’acceptation généralisée des clients. Les banques sont en train de développer de nouvelles façons novatrices pour permettre les transactions financières. Par exemple, elles utilisent de plus en plus des signatures électroniques pour créer un modèle de transaction financière complet qui est compatible avec le cadre juridique applicable – ce qui leur permet d’offrir une gamme complète de services bancaires en ligne accessibles à partir de dispositifs personnels. Les signatures électroniques générés par un appareil mobile utilisant des clés privées stockées dans un élément sécurisé deviendront la norme acceptée – mais si l’élément sécurisé est délivré par un tiers, un accord business sera nécessaire entre le tiers (comme un opérateur de téléphonie mobile) et l’institution financière.
L’autorisation des paiements est un exercice risqué et l’expertise de base des banques est la gestion des risques. À la fin de la journée, le comportement des consommateurs quand il s”agit de paiement est conservateur : s’il y a choix, ils auront tendance à prendre l’option qui minimise les risques.”
Les banques centrales et commerciales permettront des politiques d’inclusion financière et génèreront cette croissance du marché
La fourniture de services financiers mobiles inclusifs nécessite l’étroite collaboration entre les gouvernements et les entreprises privées, en particulier les opérateurs de téléphonie mobile. “En effet, les gouvernements ont la responsabilité ultime pour le cadre réglementaire pour les paiements mobiles”, souligne Lorenzo Gaston. “En outre, les gouvernements sont souvent la source des fonds qui financent l’achat de biens et services de base, et ont également le pouvoir de négocier avec d’autres gouvernements en matière de dispositions spécifiques pour le transfert transfrontalier efficace des fonds.
Le modèle de financement bancaire classique demeure très pertinent pour les marchés émergents et en développement, où les micro-entreprises et très petites entreprises constituent le cœur de l’activité économique. Ce modèle classique s’adapte avec succès au profil financier de ces populations: un grand nombre de dépôts de petits clients qui sont individuellement très variables dans leurs soldes et caractérisés par la nécessité de la disponibilité immédiate des soldes des dépôts en espèces (la volatilité des fonds) – mais avec une valeur agrégée qui peut rester stable.”
Les modèles de fraude seront mobiles
Les modèles de fraude seront une cible mouvante et les banques sont susceptibles de subir des « stress tests » pour prouver leur résistance aux cyberattaques. Lorenzo Gaston: “Les statistiques démontrent deux faits de base: d’abord, là où la technologie de carte à puce est adoptée, la fraude pour les transactions de cartes tombe presque à zéro; ensuite, la fraude se déplace vers des contextes d’acceptation de paiement en ligne. À l’heure actuelle il y a une grande diversité dans le niveau de sécurité offert par les solutions de paiement pour l’e-commerce et l’m-commerce. Pourtant, comme les récentes violations de données l’ont prouvé, les bases de données de cartes de paiement offrent différents niveaux de protection, malgré le fait que le PCI-DSS s’applique en théorie.
Les fournisseurs et les détaillants de services de paiement sont en train de mettre en œuvre deux technologies pour la protection des données de paiement par carte à l’aide de mécanismes cryptographiques: (1) Le cryptage end-to-end des données sur le canal de communication entre le terminal et l’émetteur de la carte, et ( 2) la tokenization des données de cartes de sorte que la base de données ne contient que des tokens de paiement qui sont utiles pour garder la trace des transactions, mais inutiles pour les fraudeurs.
Parce que l’adoption de ces mécanismes prendra du temps et dépendra de la région du monde considérée, la fraude se déplacera vers ces infrastructures identifiées comme vulnérables. Les fraudeurs ont une forte tendance à commettre une fraude de paiement et testeront les contrôles d’accès de sécurité dans le but de les contourner. En conséquence, si une chaîne de paiement entièrement protégée existe, les attaques ont tendance à se concentrer sur les installations des détaillants – par exemple, dans la voûte d’un fournisseur de service token ou même chez les fournisseurs de services de paiement impliqués dans la transaction.
Le New York State Department des services financiers (DFS) a annoncé que les banques réglementées seraient examinées sur une base régulière; les zones à contrôler comprennent des protocoles pour la détection des cyber-violations, des tests de pénétration, et les défenses contre les violations, y compris l’authentification multi-facteurs.
SPA souhaite souligner qu’à l’heure actuelle aucune attaque réussie a été publiée prouvant la capacité d’introduire un vers ou un virus dans une carte à puce ou un élément sécurisé pour divulguer des secrets utiles à des fins de fraude. Les membres SPA offrent une technologie de dispositif mobile qui combine des éléments de sécurité (Secure Elements /SE) et un environnement d’exécution fiable (Trusted Execution Environment /TEE) pour protéger les informations d’identification de paiement – et l’intégrité de l’interface utilisateur de l’appareil mobile – au cours d’une transaction.”
L’économie partagée sera le moteur des paiements mobiles de personne à personne
L’économie de partage se développe et devrait croître pour atteindre des centaines de milliards de dollars d’ici 2025. Activées par les smartphones avec puces GPS et connexions Internet, de nouvelles entreprises d’intermédiation cherchent à utiliser cette technologie pour connecter un vaste marché qui est prêt à payer pour les interactions pratiques avec les petites entreprises ou les personnes qui cherchent du travail flexible. “La technologie mobile d’aujourd’hui rend le partage d’une expérience localisée peer-to-peer possible permettant, par exemple, la découverte d’entités basées localement destinées à la location ou aux services”, dit Lorenzo Gaston. “De cette façon, les personnes ayant des actifs partageables et l’accès à un niveau significatif de la demande peuvent devenir propriétaires de petites entreprises.
À l’heure actuelle, l’économie partagée est en grande partie financée par des paiements en ligne (par exemple, en se connectant à une institution financière et en fournissant un ordre de transfert de crédit). Mais de nouvelles plates-formes mobiles P2P, accessibles grâce à des applications de paiement résidant dans l’appareil mobile, vont être proposées. L’absorption virale classique du service P2P mobile peut faciliter la croissance, mais cette croissance peut être limitée en fonction de la nature du service partagé.”
Des infrastructures de paiement en temps réel interopérables seront la règle, non l’exception
Mais cette migration prendra du temps et sera à nouveau largement tributaire de la région du monde considérée. Lorenzo Gaston: “Le Royaume-Uni a été le pionnier de la mise en œuvre d’un règlement presque instantané d’un service d’ordre de paiement. Les États-Unis quant à eux, avec leur problème chronique de systèmes de paiement faibles, sont en train d’accélérer leurs systèmes de paiement de détail en étudiant des architectures alternatives pour des infrastructures de paiement plus efficaces. L’Australie est à un stade équivalent, tandis que dans le cadre du SEPA de l’UE, une période d’étude initiale des besoins business pour les paiements en temps réel a été lancée.
Au-delà de ces initiatives, le principe ‘être payé directement est mieux que plus tard’ est sans aucun doute un argument. La génération du millénaire a grandi dans un monde interconnecté et des réseaux sociaux en temps réel, et les paiements – en particulier de personne à personne – ne devraient pas constituer l’exception à cette règle. Cependant, il y a des problèmes à surmonter: (1) des investissements importants sont nécessaires pour améliorer les infrastructures de paiement existantes, mais comment inciter une telle évolution, (2) comment les différents instruments de paiement vont-ils accueillir et bénéficier de cette évolution, et (3) comment aborder la grande diversité des besoins des utilisateurs pour les paiements en temps réel?
Malgré la difficulté d’identifier le business case, il est plus que probable que les futurs systèmes de paiement vont de plus en plus offrir une expérience en temps réel pour les utilisateurs finaux et agiront comme un pilote pour les nouveaux instruments de paiement et les services financiers, à la fois dans un contexte fixe et mobile. Raccourcir le temps nécessaire pour exécuter une transaction constituera un moteur de l’innovation comme un effet secondaire positif. Parce que l’achèvement du paiement est un objectif souhaitable, cette évolution majeure vers un règlement instantané aura un impact direct sur la manière dont s’effectuera le risk management.”
Maîtriser la gestion efficace des risques de paiement électronique sera un avantage stratégique-clé
Comme l’indique Lorenzo Gaston, une gestion efficace et globale des risques en temps réel intègre le suivi de l’engagement, la gestion de contrepartie, la diffusion financière, la probabilité de défaut, la perte en cas de défaut, les limites de contrôle, les propositions et le prix de produits, les activités de back-office et les lignes directrices comme les ‘Principes pour l’agrégation de données risques effectives et le reporting de risque’ délivrés par le Comité de Bâle sur le contrôle bancaire.
“La gestion des risques en temps réel en particulier représentera un défi pour les fournisseurs de services de paiement non-financiers et les entités impliquées dans les transactions de paiements qui peuvent représenter un niveau de risque élevé (financiers, opérationnels, juridiques) pour des transferts d’argent transfrontaliers au-delà d’un certain montant .
Ajoutée à cela, la surveillance de la fraude en temps réel est susceptible de concentrer les paiements dans d’énormes entreprises numériques, et perturber l’environnement concurrentiel au sein de paiements fondés sur des éléments sécurisés que nous voyons aujourd’hui. Les entités plus petites et moyennes seront tout simplement incapables d’avoir les moyens d’investir dans le monitoring en temps réel. Ceux qui réussissent à relever ce défi occuperont une position de plus en plus dominante sur le marché des paiements de détail.
Dans ce domaine, nous assisterons à une politique plus interventionniste par les régulateurs, à la fois en termes de processus obligatoires à appliquer et la surveillance directe que ces exigences impliquent effectivement. La capacité de prévoir ces exigences légales constituera un facteur de différenciation stratégique pour les fournisseurs de services de paiement.”
La prochaine génération EMV de protocoles surmontera ses inconvénients actuels
Lorenzo Gaston: “Les cartes EMV n’ont jamais été conçues pour être connectées à un PC clients, même si les lecteurs de cartes à puce étaient disponibles pour effectuer des transactions sur Internet qui émulent un paiement du titulaire de carte. En conséquence, les attaquants se sont déplacés vers le monde en ligne lorsque les cartes EMV ont été déployées et 3DS était la première tentative sérieuse par EMVCo pour arrêter les fraudes dites ‘card not present’.
Etant conscient de la nécessité de renforcer la collaboration entre les régimes dans le contexte de concurrence agressive, EMVCo tirera parti de son rôle pour le développement de spécifications communes dans le domaine de grande innovation (tokenization, e-commerce, m-commerce, et l’émulation logicielle d’instruments de paiement). Cette politique aidera à résoudre rapidement les problèmes techniques et opérationnels inévitables inhérents à de nouveaux protocoles et technologies de paiement.
Dans ce contexte, il n’est pas surprenant d’apprendre qu’EMVCo – qui est la propriété collective d’American Express, Discover, JCB, MasterCard, UnionPay et Visa – sera désormais responsable de développer encore la spécification EMV 3DS 2.0 et le programme de certification associé.”