Le recours à la carte bancaire lors dun paiement en ligne donne naissance à deux relations contractuelles, la première entre le titulaire de la carte et sa banque, la seconde entre la banque qui affilie le commerçant, ou prestataire de services, et celui-ci qui accepte la carte comme moyen de paiement sur son site de commerce en ligne. Dans la plupart des cas il sagira de contrats émanant du Groupement des Cartes Bancaires (CB) qui regroupe les deux réseaux émetteurs de cartes bancaires : le réseau Visa et le réseau Eurocard Mastercard, ce groupement a adopté la nouvelle norme internationale Europay Mastercard Visa (EMV).
Lorsque le titulaire de la carte fait un achat chez un commerçant en ligne affilié CB, un contrat les lie. Le titulaire de la carte émet un ordre de paiement, cet ordre remonte à la banque du commerçant. Les transactions par carte bancaire peuvent faire lobjet dune demande dautorisation pour les paiements dépassant un certain montant chez les commerçants. La demande est transportée par le réseau carte bancaire, depuis la banque du commerçant jusquà celle du titulaire de la carte. Cette dernière après vérification donne son accord pour procéder à la transaction. Une fois que la banque du client a autorisé lordre de paiement, elle a lobligation de payer la banque du commerçant : cest le système de règlements interbancaires.
Il existe différents dispositifs pour sécuriser des transactions de paiement par carte bancaire. Il y a dabord le cryptogramme visuel qui correspond aux trois derniers chiffres figurant au dos de la carte, à lemplacement de la signature. Le commerçant doit le demander à son client lors de tout paiement à distance, en cas derreur la transaction pourra être refusée. Il y a ensuite la demande dautorisation, lors dune transaction payée à distance avec une carte bancaire, la banque du client est contactée par la banque du commerçant pour vérifier que le numéro de carte existe, que la date dexpiration de la carte est juste, que la carte na pas été signalée comme étant volée ou perdue et que le plafond de paiement de la carte na pas été dépassé. La banque du client autorisera la transaction quand ces conditions seront réunies. Lattribution dun numéro dautorisation confère au commerçant une information de sécurité supplémentaire sur la qualité de son client.
Sans être obligatoire, il est recommandé au consommateur sur internet de sassurer que les données bancaires quil sapprête à transmettre le seront de façon cryptée. Il indiquera alors son numéro de carte bancaire, la date de validité de celle-ci et le cryptogramme visuel. Ce moyen de paiement bien quétant rapide et sûr, il peut toutefois arriver quune personne constate des anomalies sur son relevé de compte, des achats sur lInternet quil na pas effectué lui-même. Malgré le caractère irrévocable de lordre de paiement par carte bancaire, il reste toujours possible de remettre en cause une opération de paiement à distance par carte bancaire lorsque le titulaire de la carte bancaire, le client de la banque, na pas composé son code confidentiel, ce qui est généralement le cas sur lInternet, seule la composition de ce code exprime le consentement du porteur de la carte et lengage de façon irrévocable. Composer son code serait émettre une signature électronique, celle-ci doit permettre didentifier celui qui lappose, elle est la manifestation de son consentement. En labsence de signature électronique, et si le client dune banque conteste un achat, le risque nest pas pour le client mais pour le commerçant qui devra supporter le risque du paiement à distance.
Le titulaire de la carte n'est pas responsable de son utilisation frauduleuse si le paiement contesté a été effectué en détournant, à son insu, la carte bancaire ou les données qui lui sont liées, il nest pas non plus responsable en cas de contrefaçon de la carte et si, au moment de l'opération contestée, il était en possession physique de la carte bancaire. Dans ces deux cas, il lui suffira de faire rapidement opposition et de contester par écrit avoir effectué un paiement, il sera alors immédiatement remboursé par la banque. En transmettant un numéro de carte bancaire et la date limite de validité de celle-ci, le commerçant peut légitimement présumer que son client a accepté loffre qui lui est faite. Cependant, si le titulaire de la carte bancaire conteste la transaction, et en labsence dun bon de commande signé par le client dont il pourrait se prévaloir, le commerçant se voit obligé de supporter le risque dune utilisation frauduleuse des cartes bancaires utilisées sur son site. Le titulaire du compte, lui, ne subira aucune perte, même si son comportement a facilité la tâche de l'usurpateur sauf le cas où il aurait révélé une grave négligence, à charge pour la banque de le prouver, la mise en opposition de la carte de paiement marque la fin de la responsabilité du client dune banque. Il convient de noter que la négligence grave du client, comme la signature de la victime dune fraude, exonèrent la banque de sa responsabilité de rembourser son client. La signature électronique, par la composition de code confidentiel, constitue, bien souvent, la preuve de l'ordre du client. On présume quen labsence dopposition de ce dernier il est celui qui a ordonné le paiement, cest donc lui qui doit répondre du paiement, à lui donc de se retourner vers lauteur de la fraude.
Pour se dégager de cette responsabilité les banques doivent également réfléchir à la mise en place de méthodes dauthentification du client plus évoluées. Aujourdhui, le mode didentification de personne le plus fiable est la biométrie qui, par des méthodes telles que la prise dempreinte digitale ou la reconnaissance faciale, rend presque impossible toute contrefaçon. Il est aujourdhui possible de scanner une empreinte digitale et de la comparer avec une base de données biométrique pour vérifier lidentité de la personne.