obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

Liability shift

Liability shift (transfert de responsabilité fraude)

Mécanisme des schemes carte par lequel la responsabilité d'une fraude bascule du commerçant vers la banque émettrice quand 3DS2 a été utilisé. Incitation économique majeure à pousser le 3DS2.

Voir aussi :3D SecureSCAChargebackVisa / MastercardCBAcquéreur / ÉmetteurAPP fraud

Définition

Le liability shift (transfert de responsabilité) fait basculer la charge financière d'une fraude carte d'un acteur à l'autre selon le dispositif de sécurité employé.

Le cas le plus connu : avec 3DS2, la responsabilité d'une fraude passe du commerçant (responsable par défaut) à la banque émettrice. C'est l'incitation économique majeure à déployer 3DS2 — bien plus puissante que la seule obligation SCA de la DSP2.

Règle de base : qui paye la fraude

Sans dispositif particulier, sur une transaction frauduleuse :

  • le porteur est remboursé par sa banque émettrice (DSP2 + SCA en EEE) ;
  • l'émetteur émet un chargeback contre l'acquéreur et le commerçant ;
  • le commerçant supporte donc la perte (montant + frais de chargeback).

Le liability shift inverse cette dernière étape : si 3DS2 a été correctement utilisé, l'émetteur ne peut plus émettre de chargeback pour fraude, et c'est lui qui supporte la perte.

Les cas de liability shift

  • E-commerce (3DS2) : une transaction passée en 3DS2 (challenge ou frictionless) bascule vers l'émetteur sur les motifs de fraude ; sans 3DS2, le commerçant reste responsable. Une MIT (abonnement) avec accord initial SCA et bon flag bascule aussi vers l'émetteur.
  • Physique (EMV) : une transaction EMV puce + PIN ou EMV NFC bascule vers l'émetteur ; une transaction piste magnétique alors qu'EMV était possible laisse le commerçant responsable (cas de la migration EMV US de 2015).
  • Apple Pay / Google Pay : DPAN tokenisé + SCA biométrique locale → liability shift toujours vers l'émetteur, l'une des raisons du très faible taux de fraude de ces wallets.

Ce que le liability shift ne couvre pas

  • La friendly fraud : le porteur conteste un achat qu'il a réellement effectué — reste à la charge du commerçant.
  • La fraude APP : virements autorisés, hors carte, hors périmètre.
  • Les autres motifs de chargeback : produit défectueux, non livré, abonnement non résilié restent à la charge du commerçant.
  • Hors EEE : 3DS2 est moins systématique aux US, donc le shift y est moins automatique.

Le calcul économique

Pour un marchand à 100 M€ de volume annuel : un taux de fraude de 0,3 % sans 3DS2 (300 K€ de pertes) peut tomber, avec 3DS2, à 0,05 % dont 150 K€ transférés à l'émetteur et ~50 K€ résiduels (friendly fraud, hors périmètre). Soit ~250 K€ d'économie par an, bien au-delà du coût d'intégration et du léger abandon de panier (le frictionless coûte < 1 % de drop). C'est pourquoi les PSP poussent activement le 3DS2, même quand une exemption SCA serait possible.

L'évolution depuis l'IFR / DSP2

  • 2010s — liability shift pour 3DS1, peu adopté (UX dégradée).
  • 2018+ — la SCA obligatoire en EEE fait du 3DS2 le standard, et du liability shift un mécanisme quasi universel sur les cartes EEE.
  • 2024+ — Visa et Mastercard durcissent les règles de motifs de chargeback pour limiter l'abus de friendly fraud.

Ce que le liability shift n'est pas

  • Pas une garantie zéro fraude : le marchand reste responsable de la qualité produit, de la livraison, des abonnements et de la friendly fraud.
  • Pas un mécanisme DSP2 : c'est un mécanisme des réseaux, antérieur à la DSP2, que la SCA a popularisé.
  • Pas universel : il varie selon le réseau, la juridiction et le type de carte.
  • Pas sans contrepartie : un émetteur subissant trop de fraude post-shift peut resserrer sa politique (plus de challenge, moins de frictionless).

Dans l'écosystème PSD2

Le liability shift est l'alignement économique entre les réseaux et la SCA DSP2 : il rend rationnel d'investir dans 3DS2, même hors obligation. C'est aussi un levier de qualité — un ACS trop laxiste sur le frictionless finit par payer plus de pertes, ce qui l'incite à bien scorer.

Exemples concrets

  • E-commerce avec 3DS2 : un achat de 200 € sur Cdiscount en 3DS2 frictionless ; en cas de fraude avérée, l'émetteur rembourse le porteur sans pouvoir chargeback — il supporte la perte.
  • E-commerce sans 3DS2 : un marchand qui contourne 3DS2 subit un chargeback fraude réussi et perd les 200 €.
  • Migration EMV US : depuis octobre 2015, une fraude sur piste magnétique alors qu'EMV était possible bascule vers la partie n'ayant pas migré — ce qui a accéléré la migration des TPE américains.
  • Apple Pay : une transaction frauduleuse reste à la charge de l'émetteur (DPAN + SCA biométrique), pour un taux de fraude particulièrement bas.
  • Friendly fraud : un parent conteste 50 € chez Roblox payés par son enfant — non couvert, à la charge du marchand.
  • PSP qui optimisent : Stripe Radar, Adyen RevenueProtect, Checkout.com ajoutent un scoring fraude côté marchand pour éviter la friendly fraud et arbitrer entre 3DS2 et exemptions.
  • Coût : le liability shift transfère plusieurs milliards d'euros de fraude des marchands vers les émetteurs chaque année en EEE, ces derniers compensant par l'interchange et le scoring de risque.

Sources

Retour au glossaire