Limites NFC et sans contact
1) Notions de base NFC/EMV
NFC (contactless) sur POS est un paiement EMVCo sur la chaîne radio (Visa payWave, Mastercard PayPass, etc.) avec cryptogramme unique et CVM (Cardholder Verification Method).
Le CVM détermine si la vérification du titulaire est nécessaire et lequel : No CVM, PIN hors ligne, PIN en ligne, CDCVM (Consumer Device CVM - biométrie/pin de l'appareil dans Apple/Google/Samsung Pay).
Token DPAN/Network : les portefeuilles (Apple/Google Pay) utilisent un token au lieu d'un PAN.
Risk-engine terminal : floor limit, règles de risque hors ligne, clés CAPK, TAC/IAC (Terminal/Application Action Codes).
2) D'où vient la « limite sans contact sans PIN »
L'écosystème local définit un « seuil No CVM » (montant auquel un terminal peut effectuer une transaction sans NIP/signature) pour accélérer les petits achats. Dans la pratique, la limite est constituée par :1. Carte (Visa/MC/, etc.) - définit les règles CVM et la compatibilité des noyaux.
2. Régulateur/marché - peut limiter le montant de No-CVM (par exemple, dans l'UE, le Royaume-Uni, etc. - ses seuils).
3. Les paramètres terminaux sont le config du noyau (CVM Limit, Floor Limit, Velocity/Cumulative Counters).
4. Émetteur/carte - Profils de risque, services à distance, compteurs (nombre de transactions consécutives sans SCA et/ou seuil total).
Important : la limite concerne le No CVM des opérations de carte physique. Une fois le CDCVM appliqué, c'est déjà « avec une forte authentification » et le seuil No-CVM n'est pas pertinent.
3) Pourquoi Apple/Google Pay souvent « sans limite »
CDCVM = appareil biométrique/pin confirmé sur le téléphone/horloge. Ceci est conforme à la SCA et est considéré comme une vérification complète du titulaire.
Pour les transactions avec le CDCVM, le terminal reçoit la caractéristique que le CVM est exécuté, de sorte que les limites de somme No-CVM ne s'appliquent pas (le paiement est possible pour n'importe quel montant si l'émetteur approuve).
Exceptions : le terminal/noyau ne prend pas en charge CDCVM, le portefeuille a désactivé la biométrie, les scripts de transit/hors ligne, les règles réglementaires locales.
4) Limites hors ligne et compteurs cumulatifs
Floor limit est un seuil auquel le terminal peut théoriquement autoriser l'autorisation hors ligne (sans contact est plus souvent nul, mais les paramètres dépendent).
Cumulative/Velocity Counters est le nombre d'opérations consécutives sans SCA ou leur valeur totale. Une fois épuisé, le terminal/émetteur nécessite un PIN/en ligne.
Offline PIN dans contactless ne prend pas en charge toutes les cartes/terminaux ; plus souvent, aller en ligne et demander un NIP en ligne.
5) Cadre réglementaire (repères)
PSD2/SCA (EEE) : les opérations de contact et sans contact sans SCA sont autorisées avec des seuils (par exemple jusqu'à ~ €50 à la fois et un total jusqu'à ~ €150/ou N opérations consécutives - repères ; les valeurs exactes dépendent de la mise en œuvre locale de la banque/du marché). L'excès de → est requis par le SCA (PIN/CDCVM).
Royaume-Uni/autres marchés : les propres limites de No-CVM (historiquement augmentées).
Transit/Open-loop (métro, bus) : Paramètres de transport spéciaux - permis par No CVM avec throughput élevé, mécanismes de risque offline et post-autorisation/agrégation subséquente. Des statuts « inhabituels » et des deniles tardifs sont possibles.
6) Troupeaux CVM types
Carte physique, achat en dessous du seuil No-CVM : tap rapide, sans PIN.
Carte physique, au-dessus du seuil No-CVM : le terminal demande un PIN/signature ou le transfère à contact/online.
Apple/Google Pay (CDCVM) : la biométrie est terminée - la limite est en fait « levée », mais l'émetteur peut encore refuser selon ses règles/risques.
Wearables : généralement CDCVM via le PIN de l'appareil en cas de « déverrouillage » et de port permanent ; Une fois l'appareil enlevé, un nouveau PIN est requis.
7) Risques et antifrod
No-CVM perte/vol de carte : les émetteurs indemnisent mais détiennent contre/velocity pour limiter les dommages.
Solutions hors ligne du terminal : augmentez l'UX, mais risquez une défaillance « tardive » lors d'une vérification en ligne ultérieure.
Le CDCVM réduit le risque (SCA), augmente le taux d'approbation, mais n'exclut pas les blocages d'émetteur/de réglementation sur les ACS/géo/scoring.
8) Modèles UX sur la caisse
Reflétez les statuts : "Apportez la carte/téléphone", "Confirmez sur l'installation", "Introduisez PIN".
Avec une decline au-dessus du seuil, suggérez : « Répéter avec un PIN » ou « Payer avec un portefeuille (Apple/Google Pay) ».
En transit, les textes clairs « Tap in/Tap out », « Card clash » (plusieurs cartes/portefeuilles en même temps).
9) Chèque de réglage terminal (acquéreur/merchant)
1. Noyaux : EMV contactless kernels, CAPK, paramètres de schéma (Visa/MC/...) ; mises à jour régulières.
2. CVM Limit/Floor Limit/Velocity : négocier avec la banque et les règles locales ; inclure le support CDCVM.
3. Préférences en ligne : pour le risque élevé - forcer en ligne ; pour le transit - profil de transport.
4. Logique follback : si le seuil est dépassé, une requête PIN/signature/contact insert est →.
5. Logs/télémétrie : cause de la demande PIN (No-CVM exceeded/counters), part CDCVM, solutions hors ligne, taux d'approbation.
6. UX : prompts compréhensibles sur l'écran ; pour les portefeuilles - conseil « Confirmer sur iPhone/montres/Android ».
7. Cas de test : montants inférieurs ou supérieurs au seuil, N tap consécutif sans PIN (contre déclenchement), paiement CDCVM, fenêtre hors ligne, profil de transit.
10) Caractéristiques des verticales
Transit/tiketing : vitesse prioritaire, UI zéro/minimum ; souvent des tarifs/procédures de post-compensation distincts.
Hôtels/locations : Les prepautorisations et les captures incrémentales sont mieux dirigées vers/en ligne avec SCA ; le « tap-and-go » sans contact n'est approprié que lors de la radiation finale.
iGaming/quasi-cache : hors ligne rarement pertinent ; avec le risque MCC, les émetteurs peuvent refuser sélectivement même avec le CDCVM.
11) KPI et métriques opérationnelles
Taux approval par coupe : Carte porte-monnaie vs (CDCVM), ci-dessous/ci-dessus No-CVM, solutions hors ligne.
Part du CDCVM et sa contribution à la conversion.
Taux de NIP (nombre d'opérations exigées par le NIP) et incidence sur la vitesse de service.
Late declines (après autorisations hors ligne), taux de charge pour No-CVM.
Transit KPIs: throughput (taps/min), tap-on/tap-off match, revenue protection.
12) Réponses rapides pour le sapport/opérations
« Pourquoi pas de NIP ? » - CDCVM fait dans le portefeuille ; c'est le SCA.
« Pourquoi a-t-il demandé un PIN pour un petit montant ? » - Les compteurs ont fonctionné ou le terminal a exigé SCA selon les règles.
« Pourquoi le téléphone n'a pas fonctionné ? » - le terminal/noyau ne prend pas en charge CDCVM, porte-monnaie bloqué, pas de réseau en ligne, conflit de cartes (carte clash).
13) Résumé/conclusions pratiques
La limite de non-CVM n'est qu'un seuil pour les opérations sans vérification du titulaire ; avec le CDCVM, il ne s'applique pas.
Configurez les terminaux CDCVM, actualisez les cœurs et les paramètres (CVM/Floor/Velocity).
Tenir compte des seuils réglementaires locaux et des règles de circuit ; garder différents profils (commerce de détail vs transit).
Surveillez le taux d'approbation/CDCVM-share/PIN-prompts et réduisez les risques hors ligne.
Dans la communication et l'IA, faites en sorte que les causes des demandes de NIP soient transparentes et proposez des portefeuilles comme moyen de passer le SCA sans « limite ».