GH GambleHub

UPI Inde : QR, VPA et limites

1) Qu'est-ce que l'UPI

Unified Payments Interface (UPI) est le bus de paiement national de l'Inde, géré par NPCI. Il permet des transferts instantanés 24/7 entre les comptes bancaires et les applications fintech (PSP). Pour l'utilisateur et le merchant, l'UPI est une couche unique d'adressage (VPA), de confirmation (2FA) et de compensation sur laquelle sont construits les scripts P2P et P2M.

Principes clés :
  • Interopérabilité : toutes les applications UPI ↔ toutes les banques/comptes.
  • Adressage sans détails : VPA de la vue « nom @ handle » au lieu d'IFSC/compte.
  • Instantanéité et finalité : la traduction est confirmée immédiatement ; les retours sont une opération distincte.
  • Faible coût pour le merchant : la réglementation MDR/régimes réduit le coût du recouvrement.

2) Acteurs de l'écosystème

NPCI (circuit/pull) : itinérance, réglementation, certification.
Banques PSP et non-banques PSP (Front-End Apps) : applications clientes (PhonePe, Google Pay, Paytm, etc.), SDK/API pour les merchants.
Acquirer/Issuer : banque acquéreuse du merchant et banque émettrice du payeur.
Merchant PSP : fournisseur de réception UPI pour les entreprises (SDK, QR, Intent, reconnaissance).

3) Identifiants : VPA et détails

VPA (Virtual Payment Address) est l'ID principal de l'UPI : 'user @ psphandle' ou 'merchantname @ acquirer'.

Caractéristiques :
  • Est lié à un compte bancaire/node dans l'UPI.
  • Peut être personnel (P2P) ou merchant (P2M) avec les détails de l'entreprise inclus.
  • Prend en charge la demande de paiement (collect request), les factures et les métadonnées (orderId, purpose, MCC).

4) Paiements QR : statique vs dynamique

QR statique

Contient VPA/handle merchant, parfois des champs fixes (MCC, nom).
Le montant est entré manuellement par le payeur (approprié pour le café/petit marché).
Avantages : simplicité, impression unique. Inconvénients : risques d'un montant erroné, plus faible que l'analyste.

QR dynamique (per-order)

Généré par chèque : comprend le montant, orderId, le champ purpose, les rabais facultatifs, les étiquettes prop.
Le scan → l'application du payeur ouvre une facture fixe.
Avantages : moins d'erreurs, rapprochement plus facile, loyauté et preuves anti-retour.

Intent & Deep-Link Flow

Au lieu de scanner, l'application Merchant exécute le client UPI deeplink/Intent URI en transmettant le montant et les métadonnées.
Pratique dans les applications e-commerce/, vous permet de construire un UX plat sans caméra.

5) Flux de paiement types

P2P (pull/push) : traduction entre utilisateurs par VPA/téléphone/QR.
P2M (push) : l'acheteur lance le paiement (scan/pay).
Demande Collect (pull pour le merchant) : le merchant présente une demande, l'acheteur la confirme dans son application UPI.
AutoPay (e-mandate) : abonnement avec préautorisation de la limite et de la fréquence, le débit est initié par mandat sans confirmation manuelle de chaque transaction (jusqu'à la limite).

6) Limites UPI : comment elles fonctionnent

Les limites sont déterminées par les règles du régime, les politiques RBI/NPCI, les banques émettrices et parfois par la catégorie du merchant. Ils peuvent varier selon les participants, le profil de risque et le canal.

Principaux types de limites :

1. Per-transaction cap (par transaction) : valeur « typique » pour la plupart des scénarios de retail - jusqu'à ~₹1,00,000 (1 lakh) par paiement ; pour les catégories individuelles supérieures/inférieures.

2. Per-day cap (pour 24 heures) : limitation du volume total/colle dans les transactions sur l'application de paiement/la banque.

3. Limites de catégorie : pour certains CCM (p. ex. investissements, éducation/médecine, billets, services publics), des seuils élevés/distincts peuvent s'appliquer.

4. Nouveaux destinataires/délais de risque : Lors du premier transfert vers un nouvel APV, des limites ponctuelles réduites et un extrait sont possibles.

5. UPI Lite (micropaiement hors ligne) : portefeuille sur un appareil/une banque pour les petits paiements hors ligne ; les limites sont inférieures aux UPI habituelles et sont spécifiées séparément (per-txn et diurne).

6. AutoPay (e-mandate) : limite pour les prélèvements automatiques sans réauthentification - est fixé dans le mandat ; pour différentes catégories, des seuils différents.

7. Scénario/canal : intents/QR peuvent avoir leurs propres validations (anti-abyse, velocity).

💡 Pratique : lors de la conception de l'intégration, fixez des limites configurables et un manuel sur les banques/PSP, ne cochez pas les montants durs. Montrez à l'utilisateur le solde de la limite UX, en particulier pour AutoPay.

7) Sécurité et authentification

2FA : confirmation dans l'application UPI (PIN/biométrie) + lien avec l'appareil/la couche SIM/compte.
Binding device : anti-frod au niveau de l'application PSP.
Stratégies de risque en temps réel : chèque velocity, modèles de sanctions/frauduleux, vérification du nom du destinataire (affichage du nom beneficiaire).
UPI Lite et hors ligne : Microlimites + Poster dans le noyau pour réduire les risques.

8) Tarifs et commissions (MDR)

Pour l'UPI dans le segment de la vente au détail, il existe historiquement un RMD minimum ou des frais nuls pour les merchants dans les cas de base. Des exceptions sont possibles pour les catégories/outils (par exemple, portefeuilles liés UPI, solutions d'entreprise, services PSP). Lors du calcul de l'économie unitaire, tenez compte :
  • abonnement/SDK fee pour l'acquisition de l'UPI,
  • frais de dopage (QR dynamique, API de reconnaissance, annotations, rapports),
  • les frais de soutien, les disputes et les remboursements.

9) Retours, retours partiels et disputes (ODR)

Il n'y a pas de chargeback dans le sens de la carte. Le retour est une nouvelle opération de crédit du merchant au payeur, en référence à la transaction initiale.
Le remboursement partiel est pris en charge (au total).
ODR (Online Dispute Resolution) : processus standard de règlement des réclamations en ligne - statuts, SLA, raison du refus, preuve (journal de paie, chèque, lettre de voiture).
Délais : dépendent de la banque/PSP ; mettre dans les règlements de soutien.

10) Intégration du merchant : options

1. UPI QR statique : minimum de développement ; bon pour POS/SMB.
2. QR UPI dynamique : le serveur génère un QR personnalisé ; un meilleur rapprochement du montant/de la commande.
3. Intent/Deep Link : UX mobile sans caméra ; web checkout → « Ouvrir l'application UPI ».
4. Collect (request-to-pay) : le merchant initie un « compte », le client confirme.
5. SDK/JS/Native : modules PSP prêts pour Android/iOS/web avec traitement des statuts.

Composants obligatoires :
  • génération de paiement payload (VPA/montant/étiquettes),
  • colback-endpoint pour paiement avec succès/échec,
  • reconciliation (rapprochement) selon TID/RRN/UTR,
  • refund manuel/automatique,
  • surveillance des PSP/banques SLA.

11) Rapprochement et établissement de rapports (UTR, statuts)

UTR (Unique Transaction Reference) est un identifiant de règlement unique dans le rail bancaire ; gardez-le pour toutes les opérations.
Dans les rapports PSP : paramètres originaux (VPA, somme, orderId), statuts (initié, pending, success, failure), mises à jour tardives, retours.
Obligatoire quotidien auto-recon et périodique full-recon (voûte avec banque/PSP).

12) Hors ligne et disponibilité sans smartphone

UPI Lite (micropaiement hors ligne) : pour les petites sommes ; les transactions sont confirmées sans demande réseau, l'affichage est plus tard.
UPI 123PAY/IVR/feature-phone : paiement par numéro/menu IVR.
Tap-and-Pay (NFC-UPI) : scénarios sans contact là où ils sont pris en charge.

13) Cross-border (UPI Global)

L'UPI s'intègre progressivement avec les rails étrangers/les partenariats de pays (par exemple, scanner l'UPI-QR indien par des touristes ou des Indiens à l'étranger dans des réseaux de partenaires). Le soutien et les limites dépendent du couple de pays/partenaires et de la banque émettrice.

14) Risques, AML/KYC, conformité

Les niveaux KYC des PSP/banques affectent les limites.
AML/sanctions : filtres destinataires/destinataires, surveillance des anomalies.
Fred casing : aucun remboursement n'est possible sans l'accord du merchant → une vérification stricte de la commande est nécessaire (QR dynamique, chèque, géo/device).
Le régime juridique de l'industrie : des restrictions s'appliquent à certaines verticales (catégories MCC, licences, géoblocs dans les États/UT). Planifiez avec des avocats la tolérance locale d'admission à l'UPI pour votre type d'entreprise.

15) Conception UX et meilleures pratiques

Surface d'erreur : montrez explicitement le minuteur, les instructions et comment refaire le paiement.
Idempotency : 'orderId' + clé d'idempotentialité pour les répétitions sécurisées.
Fallback : si Intent n'a pas ouvert, proposez QR et « copier VPA/montant ».
Limites dans l'interface : avertissez-vous des dépassements et proposez le broyage des chèques là où vous pouvez le faire.
Fiabilité : retraits par exposant pour le statut, webhooks + pull-API.
Transparence : chèque avec UTR, montant, date/heure, VPA merchant, contact support.

16) Chèque d'intégration (P2M)

1. Obtenez un VPA/handle merchant de PSP.
2. Sélectionner un canal : QR statique/dynamique, Intent, Collect.
3. Implémentez la génération payload et les saucisses sécurisées.
4. Activer la récupération par UTR/OrderId (daily + full).
5. Configurer les retours (partiels/complets), logs et ODR.
6. Entrez les règles antifrod (velocity, nouveaux destinataires, surbrillance high-risk MCC).
7. UI/UX : conseils, erreurs, répétition, affichage des limites.
8. Mettre en place un suivi de SLA PSP/banques, alertes et rapports.
9. Effectuer des tests de bout en bout avec de vrais clients UPI.
10. Actualiser régulièrement les limites/règles (par banque/catégorie).

17) Carte limite (repères de conception)

💡 Les valeurs servent de repères de conception ; les limites réelles sont fixées par la banque/PSP/le schéma et peuvent varier.

Per-txn (rosée) : point de référence jusqu'à ~₹1,00,000.
Per-day : seuil journalier total par pot/application ; spécifié localement.
UPI Lite : sensiblement en dessous de l'UPI classique (micropaiements).
AutoPay (e-mandate) : limite de transaction sans nouvelle 2FA - par mandat/catégorie.
Nouveaux bénéficiaires : limites ponctuelles réduites et/ou retards.
Catégories avec des plafonds élevés : dépendent des règles de l'AISS/de la banque (exemple : éducation/médecine/billets/scénarios d'investissement - par harmonisation).

18) Comparaison des stratégies QR pour le merchant

CritèreQR statiqueQR dynamiqueIntent/Deep Link
Erreurs de montantPlus hautBasBas
RapprochementDe baseLe meilleur (per-order)Le meilleur (per-order)
UXSimplementLe meilleur pour l'offlineLe meilleur pour en ligne
Coûts de mise en œuvreMinimumMoyennesMoyennes
Signaux antifrodMoins de contextePlus de métadonnéesPlus de métadonnées

19) Que prendre en compte iGaming/Verticales à haut risque

Vérifiez la validité de la catégorie auprès de PSP/banque et la conformité à la loi locale.
Attendez-vous à des limites réduites et à l'exigence d'un KYC/ODR élargi.
Envisager d'autres rails pour le dépôt/retrait et la segmentation stricte du trafic.

20) Notes architecturales

Service « UPI-Gateway » en tant que microservice :
  • endpoints: `createPaymentIntent`, `generateDynamicQR`, `refund`, `reconcile`, `webhook`.
  • idempotence à travers les clés et la table dedupe.
  • files d'attente d'événements (event bus) pour les statuts et la comptabilité.
  • observabilité : métriques (succès/échecs/latence), trace, alertes.
  • Security : HMAC signature webhooks, IP PSP allowlist, rotation secrète.

Résumé de la production

Pariez sur QR et/ou Intent dynamiques.
Ne cochez pas les limites - config + actualisation par banque/PSP.
Incluez le rapprochement UTR, les retours partiels et le flow ODR.
Couvrez l'UX avec des scripts d'échec, des répétitions et des chèques transparents.
Examiner régulièrement la politique sur les limites et les catégories avec le PSP.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Telegram
@Gamble_GC
Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.