En Suisse, la majorité des terminaux de paiement acceptent les paiements sans contact.
Les cartes de crédit sans contact ou les smartphones/smartwatches/wearables équipés d’Apple Pay, Samsung Pay, Google Pay, SwatchPay! ou d’autres solutions de paiement doivent simplement être brièvement tenus près du terminal. L’antenne contenue dans la carte (ou dans le smartphone/la wearable) transmet immédiatement les données de paiement au moyen de la technologie RFID (interface NFC = Near Field Communication). Les montants inférieurs à CHF 80.- peuvent être ainsi payés rapidement et simplement, sans saisie du code NIP. Pour les montants supérieurs à CHF 80.-, le code NIP ou la signature est en outre requis en cas d’utilisation directe de la carte de crédit – mais pas du smartphone/de la Wearable avec identification biométrique.
Le paiement sans contact est sûr pour le détenteur de carte:
- Afin de rendre le paiement sans contact possible, l’industrie des cartes a développé des technologies de cryptage complexes. Chaque paiement est crypté de manière dynamique ; cela signifie que la carte génère pour chaque paiement un cryptogramme utilisable une seule fois. Même si ces données venaient à être interceptées pendant le transfert, il n’en résulterait aucun risque pour d’autres transactions.
- Pas de transfert de données personnelles (comme p. ex. nom du détenteur de la carte).
- Les paiements involontaires sont impossibles en cas d’utilisation normale de la carte. En effet, pour un paiement, la carte doit être tenue à quelques centimètres (moins de 4 cm) du terminal de paiement. Le terminal doit être activé en même temps ; le commerçant doit donc avoir transmis un ordre de paiement au terminal pour permettre un débit. Si le terminal reconnaît plus qu’une carte, il interrompt automatiquement le processus de paiement, ce qui empêche tout débit d’une carte se trouvant par hasard à proximité du terminal de paiement.
- Pas de double débit: Même si la carte est tenue à plusieurs reprises très rapidement devant le terminal, il est techniquement garanti qu’une seule transaction est possible.
- La carte (ou le smartphone/la smartwatch/la wearable) reste dans la main du détenteur pendant tout le processus de paiement.
- Une tentative consistant à lire les données provenant d’une carte de crédit sans contact – l’image hypothétique souvent utilisée ici est celle d’une personne qui agit dans la foule avec un lecteur de cartes – est quasiment irréalisable en pratique, totalement inutile et sans risque financier pour le détenteur de carte : seuls le numéro de la carte et la date d’échéance peuvent être lus sur une carte sans contact de la dernière génération. Une transaction à charge du détenteur de la carte avec pour seules données le numéro de carte et la date d’échéance est au mieux possible dans certaines boutiques en ligne qui renoncent volontairement aux standards de sécurité courants pour les paiements sur internet. Dans un tel cas, il est important que le détenteur de la carte – à condition qu’il respecte ses devoirs de diligence – soit toujours indemnisé par son émetteur de carte. Les cartes sans contact n’entraînent donc pas de risque élevé de dommage pour le détenteur de carte. En fin de compte, il faut également garder à l’esprit, en ce qui concerne la tentative de fraude évoquée ci-dessus, qu’il serait très compliqué pour les fraudeurs d’accéder à un lecteur de cartes qui fonctionne et qui permette effectivement une transaction sur un compte frauduleux. De tels lecteurs de cartes ne sont disponibles qu’auprès des Acquirers et ne sont mis en service qu’après vérification de la légitimité d’un commerçant.
Avec la virtualisation de la carte de crédit sur le smartphone (p. ex. via Apple Pay ou Samsung Pay) ou un autre appareil mobile – par exemple une smartwatch-, le paiement sans contact est entré dans une nouvelle dimension:
- Les données de cartes nécessaires pour payer avec un appareil mobile sont ici aussi protégées par une technologie de cryptage ultra moderne. Le numéro de carte est remplacé par un numéro alternatif (token) et enregistré dans l’appareil mobile.
- Le numéro de carte effectif n’est ni sauvegardé sur l’appareil, ni enregistré chez le prestataire de la solution (p. ex. Apple ou Samsung).
- Chaque token est créé pour un seul appareil mobile spécifique et ne peut être utilisé sur aucun autre appareil, ce qui permet d’éviter toute utilisation frauduleuse.
- L’antenne contenue dans l’appareil mobile est utilisée pour le paiement sans contact. L’appareil est tenu devant le terminal de paiement et les données de paiement sont transférées au terminal de manière cryptée via la technologie NFC.
- Le détenteur de la carte peut authentifier un paiement de manière biométrique, notamment grâce à son empreinte digitale. Le paiement sans contact est dès lors également possible dans le monde entier pour des montants supérieurs à CHF 80, sans saisie du code NIP et sans signature. Une authentification via code NIP reste cependant possible.