Depuis mi-2021, la directive européenne DSP2 impose une authentification forte pour les paiements en ligne par carte bancaire en France et dans l’Union européenne. Le dispositif 3D Secure, dans sa version 2.0, constitue le principal mécanisme déployé par les banques et les prestataires de paiement pour répondre à cette obligation.
Pourtant, certains sites marchands continuent d’accepter des transactions sans déclencher cette vérification. L’année 2025 marque un durcissement des contrôles et une évolution du partage de responsabilité qui changent la donne pour ces acteurs.
A lire également : Top des sites de torrent français à découvrir pour vos téléchargements en 2024
Transfert de responsabilité : ce que le marchand supporte sans 3D Secure
Le mécanisme central à comprendre s’appelle le liability shift. Lorsqu’un paiement passe par 3D Secure et qu’une fraude survient, la responsabilité financière est transférée à la banque émettrice de la carte. Sans cette authentification, c’est le marchand qui absorbe la perte en cas de contestation (chargeback).
Payplug souligne que les établissements bancaires renforcent désormais leurs politiques de liability shift. Les marchands qui n’appliquent pas 3D Secure ou une authentification forte équivalente supportent eux-mêmes les pertes liées aux contestations de paiements. La charge financière ne se limite pas au montant de la transaction contestée : il faut ajouter les frais de gestion du chargeback, facturés par l’acquéreur, et la perte du produit expédié.
Lire également : Comment regarder le football en streaming légalement : guide pratique et astuces
Un site e-commerce qui traite un volume régulier de transactions sans authentification forte accumule un risque financier proportionnel à son chiffre d’affaires. Pour un commerçant en ligne qui souhaite consulter une liste de sites sans vérification bancaire afin de comprendre l’état du marché, ce point de liability shift représente la première alerte concrète.
Signalement par l’Observatoire de la sécurité des moyens de paiement en France
L’Observatoire de la sécurité des moyens de paiement (OSMP) produit des rapports qui cartographient les segments de marché à forte sinistralité. Les critères analysés incluent le type de parcours de paiement et le niveau d’authentification appliqué.
Les commerçants qui acceptent des paiements sans 3D Secure ni autre forme de SCA (Strong Customer Authentication) sont plus susceptibles d’être identifiés comme points de vulnérabilité dans ces rapports. Cette identification n’est pas anodine : elle peut déclencher des demandes de mise en conformité par les prestataires de services de paiement (PSP) ou les acquéreurs bancaires.
Concrètement, un PSP qui constate un taux de fraude anormalement élevé sur un marchand peut lui imposer l’activation de 3D Secure, augmenter ses commissions, ou résilier le contrat. Le marchand se retrouve alors face à un choix limité de prestataires, souvent plus coûteux ou moins performants.
Un effet de cascade sur les frais et l’accès aux services
La reclassification en « maillon faible » ne reste pas théorique. Les acquéreurs ajustent leurs grilles tarifaires en fonction du profil de risque. Un marchand signalé pour un taux de contestation élevé voit ses frais de transaction grimper, parfois de manière significative. Dans les cas extrêmes, certains prestataires refusent purement et simplement d’embarquer ces marchands.
Refus d’autorisation et abandon de panier : l’effet réseau en 2025
Les réseaux de cartes (Visa, Mastercard, et d’autres) poussent activement l’adoption de 3D Secure 2.0 à l’échelle mondiale. Stripe rappelle que cette dynamique dépasse le cadre européen : au Japon, les schemes ont exigé l’activation de 3DS2 sur les sites e-commerce en raison de la hausse continue de la fraude sur les paiements à distance.
Pour un site qui n’active pas 3D Secure, les conséquences se manifestent aussi du côté du taux d’autorisation. Les banques émettrices deviennent plus strictes : elles refusent davantage de transactions non authentifiées, surtout lorsque le montant dépasse un certain seuil ou que le comportement d’achat paraît atypique. Le marchand subit alors un taux élevé de refus d’autorisation sur les transactions légitimes.
Le paradoxe mérite d’être souligné. Certains commerçants évitent 3D Secure par crainte de l’abandon de panier lié à l’étape d’authentification supplémentaire. En revanche, 3D Secure 2.0 a considérablement réduit cette friction par rapport à la version 1.0. L’authentification se fait désormais souvent de manière transparente (analyse de risque en arrière-plan), sans que le client ait à saisir un code. La version 2.0 génère moins d’abandons que l’absence d’authentification ne provoque de refus bancaires.
Exemptions légales et zones grises : ce que la DSP2 autorise encore
La DSP2 prévoit des cas d’exemption à l’authentification forte. Ces exemptions ne signifient pas que le site fonctionne « sans vérification », mais que la vérification est modulée selon le risque évalué.
- Les transactions de faible montant (généralement en dessous d’un seuil défini par la réglementation) peuvent être exemptées si le taux de fraude global du PSP reste bas.
- Les paiements récurrents, après une première authentification forte, peuvent être traités sans nouvelle vérification pour les montants identiques.
- L’analyse de risque en temps réel (Transaction Risk Analysis, TRA) permet aux PSP dont le taux de fraude est particulièrement faible d’exempter certaines transactions, sous conditions strictes.
Ces exemptions sont gérées par le prestataire de paiement, pas par le marchand. Un site qui prétend ne pas utiliser 3D Secure peut en réalité bénéficier d’exemptions TRA sans que l’acheteur ne s’en rende compte. La distinction entre « site sans 3D Secure » et « site dont le PSP applique des exemptions calibrées » est souvent floue pour le consommateur.
Les données disponibles ne permettent pas de tout trancher
Les retours terrain divergent sur le taux réel de transactions qui passent sans aucune forme de vérification en 2025. Certaines plateformes utilisent des mécanismes propriétaires de détection de fraude qui ne reposent pas sur 3D Secure mais offrent un niveau de protection comparable. D’autres, en revanche, n’appliquent tout simplement aucun contrôle, exposant à la fois le client et le marchand.
- Un site sans aucune vérification fait porter le risque de fraude au marchand (liability shift) et fragilise la confiance du client.
- Un site utilisant des exemptions TRA via son PSP reste conforme à la DSP2 tout en proposant un parcours fluide.
- Un site hors de l’Espace économique européen n’est pas soumis à la DSP2, ce qui complique la lecture pour les acheteurs français.
Pour un acheteur en ligne, l’absence visible d’authentification ne signifie pas l’absence de protection. Le niveau de risque réel dépend de l’architecture technique du site et de son prestataire de paiement, pas uniquement de ce qui est affiché à l’écran.
La tendance réglementaire va clairement vers un durcissement. Les marchands qui n’intègrent aucune forme d’authentification forte en 2025 cumulent un risque financier direct (chargebacks non couverts), un risque d’accès aux services de paiement (résiliation ou surcoût par les PSP) et un risque réputationnel auprès de clients de plus en plus sensibilisés à la sécurité des transactions en ligne. Le coût de l’inaction dépasse désormais celui de la mise en conformité.