Objectifs :
L’EMV (Europay MasterCard Visa) est une norme imposée par les réseaux internationaux Visa et MasterCard afin d’assurer l’interopérabilité mondiale des paiements par carte à puce dans un environnement particulièrement sécuritaire.
Basée sur la technologie de la puce, la norme EMV a été conçue dans un contexte multi-applicatif. Ceci permet à la carte bancaire de supporter plusieurs applications en sus de celles de paiement et de retrait utilisées.
ORGANISME DE GESTION
- EMVCo
CONFORMITE EXIGEE
- GIM-UEMOA
- Membres
- Personnalisateurs de cartes
- Fabricants de terminaux de paiement
AVANTAGES
L’EMV est un enjeu important pour les banques car elle leur permet de renforcer la sécurité lors de l’utilisation de la carte, cette dernière étant notamment plus difficile à contrefaire. Par ailleurs, l’offre multi-applicative qu’elles peuvent développer grâce à la puce leur donne l’opportunité d’intégrer des services non bancaires dans leurs produits monétiques.
L’apport sécuritaire majeur de l’EMV est le renforcement de la protection contre la fraude à travers plusieurs facteurs concomitants :
- Lutte contre la contrefaçon des cartes à piste magnétique grâce à leur remplacement par des cartes à puces.
- Lutte contre l’utilisation frauduleuse des cartes perdues ou volées grâce à la généralisation (au niveau international) de l’usage du code confidentiel (code PIN) pour authentifier le porteur.
- Amélioration de la gestion du risque porteur par l’émetteur (via, par exemple, des demandes d’autorisation qui seront générées en fonction des caractéristiques de la transaction en cours, mais également des transactions précédentes enregistrées sur la carte, du profil du porteur, …).
- Amélioration de l’authentification de la transaction (à travers l’authentification de la carte, de l’émetteur, etc.).
Et également un bref rappel historique sur le Transfert de responsabilité (en anglais Liability shift)
- Transfert de Responsabilité EMV :
En Février 2003, le conseil d’administration de VISA EUROPE établissait le principe du Transfert de Responsabilité ainsi que les règles le régissant, en Octobre 2003 la zone CEMEA adoptait les mêmes règles.
L’application du Transfert de Responsabilité devenait effective le 01 Janvier 2005 au niveau de la zone VISA EUROPE, et plus tard le 01 Janvier 2006 au niveau de la zone CEMEA.
En début d’année 2005, le conseil d’administration de Visa International entérinait un accord bilatéral entre les zones Visa CEMEA et Visa EUROPE portant sur le principe du Transfert de Responsabilité.
Cet accord devait voir son effectivité à compter du 1er Janvier 2006, selon ces mêmes accords il était stipulé que les transactions ATM n’étaient pas concernées dans une première phase et qu’elles devraient l’être dans un futur proche.
Ainsi en Octobre 2006, un amendement fût rajouté par le conseil d’administration de VISA INTL sur les accords portant sur le principe du Transfert de Responsabilité déjà en vigueur entre la zone VISA CEMEA et la zone VISA EUROPE et précisait que désormais les transactions ATM seraient concernées par le Transfert de Responsabilité avec comme date d’effectivité le 01 Juillet 2008;
Including ATM Transactions
- Impact chez l’Acquéreur
Les acquéreurs au travers de leurs Gabs qui ne seront pas en mesure de traiter des transactions par carte à puce EMV s’exposent à des risques de fraude en cas de contrefaçons de cartes à puce émises par la zone VISA EUROPE.
- Impact chez l'Emetteur
Les émetteurs qui auront investi dans la technologie puce EMV bénéficieront de la protection liée au principe de Transfert de Responsabilité au moment où leurs cartes seront utilisées dans des distributeurs non certifiés EMV.
- Résumé des Règles du Transfert de Responsabilité
Si dans deux zones concernées par le Transfert de Responsabilité, un émetteur est aux normes EMV et un acquéreur ne l’est pas, et que l’utilisation frauduleuse d’une carte EMV ait été favorisée du fait du non alignement de l’acquéreur aux normes EMV, la Responsabilité est engagée du côté de l’acquéreur, par contre dans le cas où les deux parties sont aux normes EMV, et que la transaction s’est faite au moyen d’une lecture de la puce et que le pin a été contrôlé, l’émetteur sera responsable de la transaction ou à défaut en cas de contestation il devra se référer aux règles Opérationnelles Internationales de VISA (VIOR)
- les transactions Intra Régionales entre un émetteur membre de la zone CEMEA et un Acquéreur membre de la zone CEMEA, les règles du Transfert de Responsabilité s’appliquent à toutes les transactions dont la carte était présente, effectuées le ou après le 01 Janvier 2006, ceci intègre aussi les transactions ATM.
- Pour les transactions Inter Régionales avec la zone VISA EUROPE (ex transaction entre un émetteur de la zone VISA CEMEA et un acquéreur de la zone VISA EUROPE ou l’inverse), les règles du Transfert de Responsabilité s’appliquent à toutes les transactions frauduleuses dont la carte était présente (exceptées les transactions ATM) effectuées le ou après le 01 Janvier 2006.