Sinds medio 2021 vereist de Europese richtlijn DSP2 een sterke authenticatie voor online betalingen met creditcards in Frankrijk en de Europese Unie. Het 3D Secure-systeem, in zijn versie 2.0, is het belangrijkste mechanisme dat door banken en betalingsdienstverleners wordt ingezet om aan deze verplichting te voldoen.
Toch blijven sommige webwinkels transacties accepteren zonder deze verificatie te activeren. Het jaar 2025 markeert een verstrenging van de controles en een evolutie van de verantwoordelijkheidsverdeling die de situatie voor deze actoren verandert.
Lees ook : Top Franse torrent sites om te ontdekken voor je downloads in 2024
Overdracht van verantwoordelijkheid: wat de handelaar zonder 3D Secure draagt
Het centrale mechanisme dat begrepen moet worden, heet liability shift. Wanneer een betaling via 3D Secure gaat en er een fraude optreedt, wordt de financiële verantwoordelijkheid overgedragen aan de bank die de kaart heeft uitgegeven. Zonder deze authenticatie is het de handelaar die het verlies absorbeert in geval van betwisting (chargeback).
Payplug benadrukt dat banken nu hun beleid omtrent liability shift versterken. Handelaren die geen 3D Secure of een equivalente sterke authenticatie toepassen dragen zelf de verliezen die verband houden met betwistingen van betalingen. De financiële last beperkt zich niet tot het bedrag van de betwiste transactie: daar komen de beheerskosten van de chargeback bij, die door de acquirer in rekening worden gebracht, en het verlies van het verzonden product.
Verder lezen : Fase 1: Ontdek de voordelen en risico's van motorherprogrammering voor auto's
Een e-commerce site die een regelmatig volume aan transacties zonder sterke authenticatie verwerkt, accumuleert een financieel risico dat evenredig is aan zijn omzet. Voor een online handelaar die een lijst van sites zonder bancaire verificatie wil raadplegen om de staat van de markt te begrijpen, vertegenwoordigt dit punt van liability shift de eerste concrete waarschuwing.
Rapportage door het Observatorium voor de veiligheid van betaalmiddelen in Frankrijk
Het Observatorium voor de veiligheid van betaalmiddelen (OSMP) produceert rapporten die de marksegmenten met hoge schade in kaart brengen. De geanalyseerde criteria omvatten het type betalingsproces en het niveau van de toegepaste authenticatie.
Handelaren die betalingen accepteren zonder 3D Secure of een andere vorm van SCA (Strong Customer Authentication) zijn meer geneigd om als kwetsbare punten te worden geïdentificeerd in deze rapporten. Deze identificatie is niet onschuldig: het kan leiden tot verzoeken om naleving door betalingsdienstverleners (PSP) of bankacquirers.
Concreet kan een PSP die een abnormaal hoog fraudetarief opmerkt bij een handelaar, hem verplichten 3D Secure te activeren, zijn commissies verhogen of het contract beëindigen. De handelaar komt dan voor een beperkt aantal aanbieders te staan, die vaak duurder of minder efficiënt zijn.
Een domino-effect op kosten en toegang tot diensten
De herclassificatie als “zwak schakelpunt” blijft niet theoretisch. Acquirers passen hun prijsstructuren aan op basis van het risicoprofiel. Een handelaar die wordt gemeld vanwege een hoog betwistingspercentage ziet zijn transactiekosten stijgen, soms aanzienlijk. In extreme gevallen weigerden sommige aanbieders simpelweg om deze handelaren aan boord te nemen.
Weigering van autorisatie en winkelwagentje verlaten: het netwerkeffect in 2025
De kaartnetwerken (Visa, Mastercard en anderen) stimuleren actief de wereldwijde adoptie van 3D Secure 2.0. Stripe herinnert eraan dat deze dynamiek het Europese kader overstijgt: in Japan hebben de schemes geëist dat 3DS2 op e-commerce sites wordt geactiveerd vanwege de voortdurende stijging van fraude bij afstandsbetalingen.
Voor een site die 3D Secure niet activeert, manifesteren de gevolgen zich ook aan de kant van het autorisatietarief. De uitgevende banken worden strenger: ze weigeren meer niet-geauthenticeerde transacties, vooral wanneer het bedrag een bepaalde drempel overschrijdt of wanneer het aankoopgedrag ongebruikelijk lijkt. De handelaar ondervindt dan een hoog percentage weigeringen van autorisatie op legitieme transacties.
De paradox verdient het om te worden benadrukt. Sommige handelaren vermijden 3D Secure uit angst voor het verlaten van het winkelwagentje dat verband houdt met de extra authenticatiestap. Aan de andere kant heeft 3D Secure 2.0 deze wrijving aanzienlijk verminderd in vergelijking met versie 1.0. De authenticatie gebeurt nu vaak transparant (risico-analyse op de achtergrond), zonder dat de klant een code hoeft in te voeren. Versie 2.0 genereert minder verlaten winkelwagentjes dan de afwezigheid van authenticatie weigeringen door banken veroorzaakt.
Wettelijke vrijstellingen en grijze gebieden: wat de DSP2 nog toestaat
De DSP2 voorziet in gevallen van vrijstelling van sterke authenticatie. Deze vrijstellingen betekenen niet dat de site “zonder verificatie” functioneert, maar dat de verificatie wordt aangepast op basis van het geëvalueerde risico.
- Transacties van laag bedrag (meestal onder een door de regelgeving gedefinieerde drempel) kunnen worden vrijgesteld als het totale fraudetarief van de PSP laag blijft.
- Terugkerende betalingen, na een eerste sterke authenticatie, kunnen zonder nieuwe verificatie worden verwerkt voor dezelfde bedragen.
- Realtime risico-analyse (Transaction Risk Analysis, TRA) stelt PSP’s met een bijzonder laag fraudetarief in staat om bepaalde transacties vrij te stellen, onder strikte voorwaarden.
Deze vrijstellingen worden beheerd door de betalingsdienstverlener, niet door de handelaar. Een site die beweert geen 3D Secure te gebruiken, kan in werkelijkheid profiteren van TRA-vrijstellingen zonder dat de koper zich daarvan bewust is. Het onderscheid tussen “site zonder 3D Secure” en “site waarvan de PSP afgestemde vrijstellingen toepast” is vaak vaag voor de consument.
De beschikbare gegevens bieden geen eenduidige antwoorden
De ervaringen op de werkvloer verschillen over het werkelijke percentage transacties die zonder enige vorm van verificatie in 2025 doorgaan. Sommige platforms gebruiken eigen mechanismen voor fraudedetectie die niet op 3D Secure zijn gebaseerd maar een vergelijkbaar beschermingsniveau bieden. Andere passen simpelweg geen enkele controle toe, waardoor zowel de klant als de handelaar worden blootgesteld.
- Een site zonder enige verificatie legt het risico van fraude bij de handelaar (liability shift) en verzwakt het vertrouwen van de klant.
- Een site die TRA-vrijstellingen via zijn PSP gebruikt, blijft compliant met de DSP2 terwijl het een soepele ervaring biedt.
- Een site buiten de Europese Economische Ruimte valt niet onder de DSP2, wat de interpretatie voor Franse kopers bemoeilijkt.
Voor een online koper betekent de zichtbare afwezigheid van authenticatie niet de afwezigheid van bescherming. Het werkelijke risiconiveau hangt af van de technische architectuur van de site en zijn betalingsdienstverlener, niet alleen van wat er op het scherm wordt weergegeven.
De regelgevende trend gaat duidelijk richting verstrenging. Handelaren die in 2025 geen enkele vorm van sterke authenticatie integreren, accumuleren een direct financieel risico (onverzekerde chargebacks), een risico op toegang tot betalingsdiensten (beëindiging of extra kosten door PSP’s) en een reputatierisico bij klanten die steeds meer bewust zijn van de veiligheid van online transacties. De kosten van inactiviteit overschrijden nu die van naleving.