Cartes à cryptogramme dynamique : quel ROI peuvent en attendre les banques ?

La carte crypto-dynamique, lancée il y a un an et demi par le groupe Société Générale, est désormais en cours de déploiement à la Caisse d’Épargne et en pilote auprès de quelques milliers de clients chez CIC. D’autres banques, comme BNP Paribas, préparent aussi un lancement prochain.

Comment fonctionne la carte ?

Le cryptogramme, code à trois chiffres présents au dos de la carte, change automatiquement de manière régulière, toutes les heures par exemple. En cas de vol de données par piratage, celles-ci ne pourront donc pas être utilisées pour effectuer des achats frauduleux sur Internet une fois le code modifié. Même chose en cas de vol de données dans un lieu public.

Concrètement, la carte intègre un écran e-paper, une mini-batterie et une antenne NFC. Une technologie de pointe qui a obligé les fabricants à développer une batterie et un circuit imprimé électronique assez petits pour être insérés dans la carte de 0,8 mm d’épaisseur. Autres contraintes : la batterie doit pouvoir durer trois ans et le groupement des cartes bancaires CB réclamait au départ un changement de code toutes les 20 minutes. Les fabricants ne parvenaient pas à développer une batterie assez petite et capable de répondre à ces exigences jusqu’à ce qu’Idemia (entité issue de la fusion d’Oberthur et de Morpho) ait finalement réussi à faire valider par CB une carte changeant de code toutes les heures, devenant ainsi le premier fabricant à proposer le produit Motion Code aux banques en 2015.

“L’acquisition de NagraID fin 2014, société spécialisée dans les cartes avancées intégrant de l’électronique et des batteries, nous a permis d’avancer rapidement”, commente Patrice Meilland, vice-président de la ligne de produits Powered Cards. Une usine dédiée a été mise en place en Chine et le produit est certifié Visa, Mastercard et CB.

Gemalto a sorti mi-2017 une offre similaire, baptisée Dynamic Code Verification. Le groupe français et est même parvenu à créer une carte dont le code change toutes les 20 minutes.

“Un serveur spécifique doit être mis en place, au niveau de l’autorisation de la banque, pour valider le cryptogramme dynamique”, explique Nicolas Valette, en charge du marketing produit chez Gemalto. Il peut être développé en interne ou externalisé. Idemia inclut dans la prestation Motion Code le serveur de manière externalisée. Chez Gemalto, “nous proposons notre serveur aux banques, mais elles peuvent aussi déployer la technologie dans leur propre serveur d’autorisation”, indique Nicolas Valette. 

Lutte contre la fraude

Selon le rapport annuel de l’observatoire de la sécurité des moyens de paiement, la fraude aux cartes de paiement a représenté 400 millions d’euros en France en 2016, soit 44% de la fraude globale aux transactions scripturales (paiements carte, prélèvements, chèques, virements, retraits carte…). Cette fraude est issue à 70% de paiements sur Internet, alors qu’ils ne pèsent que 18% des transactions.

Chez BPCE, “la fraude due au vol de données des cartes représente 35% de notre fraude brute”, révèle Catherine Fournier, CEO de Natixis Payment Solutions. Parallèlement aux solutions d’authentification forte comme le 3D-Secure ou des solutions de biométrie, qui permettent de s’assurer de l’identité du porteur de carte, les cartes à cryptogramme dynamique aident à lutter contre le vol de données. “Depuis les premiers déploiements il y a un an, aucune carte à cryptogramme dynamique n’a subi une fraude pour un achat en ligne”, assure Patrice Meilland, d’Idemia.

Combien ça coûte ?

La carte à cryptogramme dynamique coûte pour l’instant plus cher pour les banques qu’une carte traditionnelle. D’abord, parce qu’elle intègre un système électronique plus avancé. Ensuite, parce que les volumes sont encore extrêmement faibles et que des coûts d’échelles s’imposent. La carte coûterait moins d’une dizaine d’euros, même si le prix varie selon le volume de la banque.

Surtout, la carte à cryptogramme dynamique contient une batterie au lithium qui, une fois sa date d’expiration passée, doit obligatoirement être recyclée car elle est classée DEEE (Déchets d’Equipements Electriques et Electroniques). Les banques doivent donc organiser la collecte des cartes expirées puis leur recyclage, un coût supplémentaire par rapport aux cartes classiques.

La Société Générale, par exemple, enverra la nouvelle carte accompagnée d’une enveloppe T à l’adresse de l’organisme de recyclage et demandera à ses clients de la renvoyer ou de la rapporter en agence. “Organiser le processus de collecte est contraignant, d’autant que les banques sont, pour la plupart, dans un processus de réorganisation de leur réseau d’agences et essaient de retirer les tâches sans valeur ajoutée”, commente Pierre Senejoux, directeur associé chez ADN’co.

Chaque banque organise la collecte des cartes, mais une filière de recyclage commune est en train de se mettre en place autour de l’AFPC, l’association des Fabricants et Personnalisateurs de Cartes, et toutes les cartes seront recyclées par le même prestataire.

Au global, la carte à cryptogramme dynamique coûte aux banques deux à cinq fois plus cher que la carte traditionnelle à l’heure actuelle en tenant compte des volumes. Il faut aussi intégrer le prix de mise en place du projet – la banque doit adapter son système d’information pour recalculer le CVV en temps réel, et des coûts de fonctionnement du serveur.

Où en est le déploiement en France ?

BPCE a été le premier groupe bancaire à lancer des tests dans ses réseaux, avec Idemia et Visa, dès 2015. BNP Paribas a aussi annoncé en octobre 2015 un test de la technologie d’Idemia auprès d’un millier de clients, mais n’a plus fait d’annonces depuis et n’a pas souhaité répondre à nos questions sur le sujet. Selon nos informations, un lancement a bien été décidé en interne, mais le calendrier n’a pas encore été fixé.

C’est finalement la Société Générale qui a lancé en premier la carte, en novembre 2016, après un pilote de quatre mois. Le projet a été porté par une équipe d’une dizaine de personnes chez SocGen (gestion de la fraude, maîtrise d’ouvrage et maîtrise d’oeuvre), en lien avec Idemia.

Chez BPCE, le déploiement est en cours auprès de cinq Caisses d’Épargne : Alsace, Auvergne-Limousin, Bretagne-Pays de loire, Lorraine-Champagne Ardenne et Côte d’Azur. Les autres caisses suivront à la fin du mois de mars, indique Catherine Fournier. Depuis novembre 2017, CIC propose aussi à ses clients une offre baptisée “cryptogramme évolutif” mais la banque refuse de communiquer sur le sujet. La banque a limité les commandes à 2 500 unités pour la carte Visa Classic (épuisées) et à 2 500 également pour la Gold Mastercard.

Tous travaillent avec Idemia et le fabricant assure collaborer avec deux autres banques françaises pour lancer ce type de cartes. Chez Gemalto, Nicolas Valette annonce que “des déploiements sont en cours avec des banques françaises”, des “pilotes à plusieurs milliers de cartes”.

Stratégie de distribution

L’option est facturée 1 euro par mois par Société Générale, CIC et BPCE. “Une étude de satisfaction menée aupr!s de nos clients montre qu’ils estiment que le prix se justifie par le côté innovant et la tranquillité d’esprit que la carte apporte”, indique Élodie Trouillaud, responsable marketing cartes chez Société Générale. Le 21 novembre 2016, l’UFC Que Choisir critiquait la facturation du service par la SocGen, soulignant que “la sécurisation des paiements est une obligation qui incombe aux banques”.

En octobre 2017, un an après le lancement de la carte de sécurité crypto-dynamique, Société Générale a dévoilé avoir émis plus de 200 000 cartes, dont 8% pour de nouveaux clients, et avoir enregistré un million de transactions effectuées en ligne avec ces cartes. Élodie Trouillaud nous révèle que la barre des 250 000 cartes émises a été franchie en fin d’année : “ces chiffres sont largement au-delà de nos attentes, on ne s’attendait pas à en vendre autant”.

20% à 30% environ des clients ont bénéficié d’une promotion, comme la première année offerte, et plus de 50% d’entre eux ont affirmé qu’ils auraient souscrit l’option même sans cette offre. Deux profils de clients sont sur-représentés, note la responsable : “les gros utilisateurs d’Internet et ceux qui sont particulièrement préoccupés par la sécurité, comme qui ont souscrit au service e-carte bleue et qui désactivent le sans-contact”. L’offre est principalement poussée par des conseillers, notamment pour les nouveaux clients et les changements de gamme. Elle a aussi été poussée par les campagnes de communication du groupe.

Chez BPCE, “nous ne poursuivons pas une stratégie de lancement d’une nouvelle carte avec un objectif de conversion du parc et une campagne de remplacement, souligne Catherine Fournier. Nous ciblons des nouveaux clients ou bien des populations premium pour augmenter la valeur de leur carte et les fidéliser, via une montée en gamme. Sur les 7 millions de cartes BPCE en circulation, une vingtaine de pourcents sont haut de gamme. C’est cette clientèle que l’on vise, en ciblant ceux qui sont très appétents au e-commerce.” Avec un avantage en termes de distribution : l’acceptation marchand et l’expérience du porteur ne sont pas modifiées. Idemia revendique 300 000 cartes Motion Code en circulation en France – l’écrasante majorité revenant donc à Société Générale.

KPIs : le vrai enjeu, l’acquisition client

Si la lutte contre la fraude est l’argument de distribution de la carte à cryptogramme dynamique, elle pourrait aussi permettre aux banques de faire des économies, dans le cadre d’un déploiement large. “Une part de la fraude pèse dans les comptes d’exploitation de la banque du porteur puisque si l’e-commerçant a bien utilisé le 3D Secure, il n’y a pas de transfert de responsabilité et c’est la banque émettrice qui prend en charge la fraude, commente Pierre Senejoux, d’ADNco. Sans compter que diminuer la fraude, c’est aussi optimiser la charge des back-offices en réduisant le nombre de dossiers à traiter. De manière générale, cette carte rassure les porteurs et les commerçants. Il y a des bénéfices sur toute la chaîne de traitement, du commerçant jusqu’à l’émetteur.”

Mais la stratégie des banques est actuellement bien plus tournée vers la satisfaction et l’acquisition client. “C’est une façon d’acquérir et de fidéliser par le biais de la sécurité, reconnaît Catherine Fournier. Notre enjeu, c’est de faire comprendre la proposition de valeur sur les moyens de paiement sécurisés.” Selon Idemia, lors des premiers lancements effectués dans l’Hexagone, 4% à 5% des porteurs de cartes à cryptogramme dynamique sont venus spécifiquement à la banque pour cette offre.

“Les clients sont conscients que les brèches dans les bases de données sont de plus en plus courantes, comme on a pu le voir avec Equifax aux Etats-Unis ou Tesco au Royaume-Uni, et ils veulent se protéger”, assène Patrice Meilland. Par ailleurs, les porteurs de la carte Motion Code font progresser de 20% le nombre de transactions sur Internet par mois, relève le vice-président.

Passer en gratuit ?

“Tant que cela restera une option payante, l’impact sur la fraude restera limité au parc de cartes équipées, regrette Elodie Trouillaud, de SocGen. Les fraudeurs se contenteront d’utiliser les données de ceux qui n’ont pas cette carte.” Mais à plus long terme, quand davantage de banques et de pays se seront lancés et que des économies d’échelle seront possibles, “nous pourrions la généraliser à l’ensemble de nos cartes et ainsi réduire beaucoup plus significativement la fraude”, prévoit la responsable marketing cartes.

Un point de vue qui n’est pas encore partagé par toutes les banques : “même si les coûts d’échelle diminuent, je ne suis pas sûre que cela suffira pour généraliser ces cartes sur tout le parc en gratuit”, prévoit Catherine Fournier, de Natixis. Qui souligne aussi qu’il “y a d’autres investissements à mettre en oeuvre dans la lutte contre la fraude, comme les outils d’analyse comportementale par exemple. Le mouvement d’enrôlement des cartes sur mobile se développe, donc le but n’est pas forcément d’avoir la totalité du parc avec le CVV dynamique. Si on règle cette fraude, elle se déplacera sur un autre maillon faible.”