La directive DSP2 impose l’authentification forte sur les paiements en ligne dans l’Espace économique européen. Pourtant, en 2025, une proportion non négligeable de transactions par carte bancaire passe encore sans aucun challenge 3D Secure visible pour le porteur. Comprendre pourquoi, et dans quelles conditions, suppose de distinguer les exemptions légitimes des véritables failles de conformité.
Exemptions DSP2 et transaction risk analysis : le mécanisme technique derrière les paiements sans 3D Secure
Un site qui accepte un paiement par carte sans afficher de page d’authentification ne se trouve pas forcément hors la loi. Les PSP (prestataires de services de paiement) disposent de leviers réglementaires prévus par la DSP2 elle-même pour contourner le challenge.
A lire aussi : Alternance en intelligence artificielle : quels langages maîtriser pour réussir ?
Le plus utilisé reste la transaction risk analysis (TRA), une analyse de risque en temps réel effectuée par l’acquéreur ou l’émetteur. Si le taux de fraude du PSP reste sous les seuils définis par les RTS (Regulatory Technical Standards), il peut demander une exemption pour des montants plafonnés. Résultat : le porteur ne voit aucun écran 3D Secure, mais la transaction reste couverte par un cadre légal.
Autres exemptions fréquentes :
A lire également : Comment nettoyer un carrelage en tomette ?
- Les transactions de faible montant, généralement sous un seuil cumulé, tant que le nombre d’opérations consécutives sans authentification ne dépasse pas la limite fixée par la banque émettrice.
- Les paiements récurrents (abonnements) : seule la première transaction nécessite une authentification forte, les suivantes en sont dispensées.
- Les bénéficiaires de confiance (trusted beneficiaries) : le porteur peut inscrire un marchand sur une liste blanche auprès de sa banque, supprimant le challenge pour les achats ultérieurs.
- Les transactions initiées par le marchand (MIT), typiquement les prélèvements sur carte enregistrée, qui échappent au périmètre de la SCA.
Nous observons que la majorité des sites présentés comme « sans 3D Secure » exploitent en réalité l’une de ces exemptions. Consulter une liste de sites sans 3d secure en 2025 permet de mesurer l’ampleur du phénomène, mais le tri entre exemption légitime et non-conformité réelle demande une lecture technique.
Responsabilité en cas de fraude sur un paiement sans authentification forte
Sans authentification forte et sans exemption valable, la responsabilité de la fraude repose sur le PSP, pas sur le porteur de carte. La Banque de France, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (rapport 2024), rappelle cette répartition.
Concrètement, si un marchand fait transiter un paiement sans SCA alors qu’aucune exemption ne s’applique, c’est la banque du payeur (ou l’acquéreur, selon l’accord) qui supporte le risque de rétrofacturation. Le porteur fraudé dispose d’un droit au remboursement quasi automatique.
Pour le commerçant, l’impact est indirect mais réel. Les réseaux Visa et Mastercard appliquent des programmes de surveillance aux marchands dont le taux de chargebacks dépasse certains seuils. Un volume anormal de contestations sur des transactions non authentifiées peut entraîner :
- Une majoration des frais d’interchange appliqués par l’acquéreur.
- Un placement en programme de monitoring avec obligation de plan correctif.
- Dans les cas extrêmes, une résiliation du contrat d’acquisition carte.
Le transfert de responsabilité (liability shift) reste le point structurant. Avec 3D Secure activé et un challenge réussi, la responsabilité bascule vers l’émetteur. Sans 3D Secure, elle reste côté acquéreur ou marchand, sauf exemption documentée.
Contrôles réglementaires et durcissement prévu avec la DSP3
L’Autorité bancaire européenne (ABE) a intensifié ses contrôles sur les PSP qui abusent des exemptions TRA. Nous recommandons aux marchands de vérifier que leur prestataire de paiement documente chaque exemption utilisée, car les régulateurs européens ciblent désormais les acteurs à friction réduite dont les taux d’exemption paraissent disproportionnés.
Les plateformes situées hors EEE posent un problème distinct. Un site basé en dehors de l’Union n’est pas directement soumis à la DSP2, mais l’émetteur européen de la carte du porteur reste tenu d’appliquer la SCA. En pratique, certains acquéreurs extra-européens ne déclenchent pas le protocole, ce qui explique que des sites internationaux acceptent encore des paiements sans aucune vérification.
La future DSP3, dont les travaux législatifs sont en cours, prévoit de resserrer le cadre. Parmi les orientations discutées : une harmonisation plus stricte de l’application des exemptions, un encadrement renforcé des transactions transfrontalières hors EEE, et une extension du périmètre aux nouveaux moyens de paiement (wallets, paiements par lien).
Points de vigilance pour les porteurs de carte sur les sites sans 3D Secure
L’absence de 3D Secure sur un site marchand n’est pas un signal de fraude en soi. En revanche, elle modifie le profil de risque de la transaction. Un achat réalisé sans authentification forte sur un site inconnu cumule deux facteurs de vulnérabilité : aucune vérification d’identité côté paiement, et aucune garantie sur la fiabilité du marchand.
La carte virtuelle à usage unique reste la parade la plus efficace pour les achats sur des plateformes sans authentification. La plupart des banques françaises proposent ce service, qui limite l’exposition en cas de compromission des données carte.
Autre réflexe : vérifier que le marchand apparaît sur la liste des bénéficiaires de confiance de votre espace bancaire. Si ce n’est pas le cas et que le paiement passe sans challenge, c’est probablement une exemption TRA appliquée par le PSP. Le porteur conserve son droit au remboursement en cas d’opération non autorisée, que le 3D Secure ait été déclenché ou non.
La disparition progressive des sites réellement non conformes est une tendance de fond. Les marchands qui contournent volontairement la SCA sans base légale s’exposent à des sanctions croissantes, et les émetteurs durcissent leurs règles de filtrage. D’ici l’entrée en vigueur de la DSP3, le nombre de transactions sans aucune forme d’authentification devrait encore diminuer significativement.