De DSP2-richtlijn vereist sterke authenticatie voor online betalingen in de Europese Economische Ruimte. Toch zal in 2025 een aanzienlijk percentage van de creditcardtransacties nog steeds plaatsvinden zonder enige zichtbare 3D Secure-uitdaging voor de kaarthouder. Begrijpen waarom en onder welke voorwaarden vereist dat we legitieme uitzonderingen onderscheiden van echte nalevingsfouten.
DSP2-uitzonderingen en transaction risk analysis: het technische mechanisme achter betalingen zonder 3D Secure
Een site die een betaling per kaart accepteert zonder een authenticatiepagina weer te geven, is niet per se illegaal. PSP’s (betalingsdienstverleners) hebben regelgevende middelen die door de DSP2 zelf zijn voorzien om de uitdaging te omzeilen.
Lees ook : Welke oplossingen zijn er voor de tramuren in Grenoble 's nachts en vroeg in de ochtend?
De meest gebruikte methode blijft de transaction risk analysis (TRA), een realtime risicoanalyse uitgevoerd door de acquirer of de uitgever. Als het fraudepercentage van de PSP onder de door de RTS (Regulatory Technical Standards) gedefinieerde drempels blijft, kan hij een uitzondering aanvragen voor bepaalde maximumbedragen. Resultaat: de kaarthouder ziet geen 3D Secure-scherm, maar de transactie blijft gedekt door een wettelijke basis.
Andere veelvoorkomende uitzonderingen:
Lees ook : Welke CAF-ondersteuning is er na 3 jaar voor de schooltoeslag in Frankrijk?
- Transacties van laag bedrag, meestal onder een cumulatieve drempel, zolang het aantal opeenvolgende transacties zonder authenticatie de door de uitgevende bank vastgestelde limiet niet overschrijdt.
- Terugkerende betalingen (abonnementen): alleen de eerste transactie vereist sterke authenticatie, de volgende zijn vrijgesteld.
- Betrouwbare begunstigden (trusted beneficiaries): de kaarthouder kan een handelaar op een witte lijst bij zijn bank inschrijven, waardoor de uitdaging voor latere aankopen vervalt.
- Transacties geïnitieerd door de handelaar (MIT), typisch de incasso’s op een geregistreerde kaart, die buiten het bereik van de SCA vallen.
We zien dat de meeste sites die worden gepresenteerd als “zonder 3D Secure” in werkelijkheid gebruikmaken van een van deze uitzonderingen. Het raadplegen van een lijst van sites zonder 3D Secure in 2025 maakt het mogelijk om de omvang van het fenomeen te meten, maar het onderscheid tussen legitieme uitzondering en echte niet-naleving vereist een technische lezing.
Aansprakelijkheid in geval van fraude bij een betaling zonder sterke authenticatie
Zonder sterke authenticatie en zonder geldige uitzondering ligt de aansprakelijkheid voor fraude bij de PSP, niet bij de kaarthouder. De Banque de France herinnert in het kader van het Observatorium voor de veiligheid van betaalmiddelen (rapport 2024) aan deze verdeling.
Concreet, als een handelaar een betaling zonder SCA laat plaatsvinden terwijl er geen uitzondering van toepassing is, is het de bank van de betaler (of de acquirer, afhankelijk van de overeenkomst) die het risico van terugboeking draagt. De gefraudeerde kaarthouder heeft recht op bijna automatische terugbetaling.
Voor de handelaar is de impact indirect maar reëel. De netwerken Visa en Mastercard passen toezichtprogramma’s toe op handelaren wiens terugboekingspercentage bepaalde drempels overschrijdt. Een abnormaal volume van betwistingen op niet-geauthenticeerde transacties kan leiden tot:
- Een verhoging van de door de acquirer toegepaste interchangekosten.
- Een plaatsing in een monitoringprogramma met de verplichting om een correctieplan op te stellen.
- In extreme gevallen, een beëindiging van het contract voor kaartacquisitie.
De overdracht van aansprakelijkheid (liability shift) blijft het structurerende punt. Met 3D Secure geactiveerd en een geslaagde uitdaging, verschuift de aansprakelijkheid naar de uitgever. Zonder 3D Secure blijft deze aan de kant van de acquirer of handelaar, tenzij er een gedocumenteerde uitzondering is.
Regelgevende controles en verwachte verstrenging met de DSP3
De Europese Bankautoriteit (EBA) heeft haar controles op PSP’s die misbruik maken van TRA-uitzonderingen verscherpt. We raden handelaren aan om te controleren of hun betalingsdienstverlener elke gebruikte uitzondering documenteert, omdat de Europese toezichthouders nu gericht zijn op spelers met verminderde frictie waarvan de uitzonderingpercentages onevenredig lijken.
Platforms buiten de EER vormen een ander probleem. Een site die buiten de Unie is gevestigd, valt niet rechtstreeks onder de DSP2, maar de Europese uitgever van de kaart van de kaarthouder is verplicht de SCA toe te passen. In de praktijk activeren sommige niet-Europese acquirers het protocol niet, wat verklaart waarom internationale sites nog steeds betalingen zonder enige verificatie accepteren.
De toekomstige DSP3, waarvan de wetgevende werkzaamheden aan de gang zijn, voorziet in een verstrenging van het kader. Onder de besproken richtingen: een striktere harmonisatie van de toepassing van uitzonderingen, een versterkte regulering van grensoverschrijdende transacties buiten de EER, en een uitbreiding van het bereik naar nieuwe betaalmiddelen (wallets, betalingen via link).
Letpunten voor kaarthouders op sites zonder 3D Secure
Het ontbreken van 3D Secure op een handelswebsite is op zich geen signaal van fraude. Het verandert echter het risicoprofiel van de transactie. Een aankoop gedaan zonder sterke authenticatie op een onbekende site combineert twee kwetsbaarheidsfactoren: geen identiteitsverificatie aan de betalingszijde en geen garantie op de betrouwbaarheid van de handelaar.
De virtuele kaart voor eenmalig gebruik blijft de meest effectieve oplossing voor aankopen op platforms zonder authenticatie. De meeste Franse banken bieden deze service aan, die de blootstelling beperkt in geval van compromittering van de kaartgegevens.
Een andere reflex: controleren of de handelaar op de lijst van betrouwbare begunstigden in uw bankomgeving staat. Als dat niet het geval is en de betaling zonder uitdaging doorgaat, is het waarschijnlijk een TRA-uitzondering toegepast door de PSP. De kaarthouder behoudt zijn recht op terugbetaling in geval van een niet-geautoriseerde transactie, ongeacht of 3D Secure is geactiveerd of niet.
De geleidelijke verdwijning van werkelijk niet-nalevende sites is een onderliggende trend. Handelaren die de SCA opzettelijk omzeilen zonder wettelijke basis lopen het risico op toenemende sancties, en de uitgevers verscherpen hun filterregels. Tot de inwerkingtreding van de DSP3 zal het aantal transacties zonder enige vorm van authenticatie naar verwachting nog aanzienlijk afnemen.