De Europese richtlijn inzake betalingsdiensten (PSD2) vereist al enkele jaren een sterke authenticatie voor online betalingen met creditcard. Het 3D Secure-protocol, in zijn versie 2, vormt het belangrijkste mechanisme voor deze verificatie. Ondanks dit regelgevend kader worden nog steeds een aanzienlijk aantal betalingen op internet afgerond zonder enige authenticatiestap. De redenen hiervoor zijn zowel technische keuzes van de handelaren als de vrijstellingsmechanismen die door de regelgeving zelf zijn voorzien.
Vrijstellingen PSD2 en transactionele risicoanalyse: het kader dat betaling zonder 3D Secure toestaat
Het feit dat een betaling zonder authenticatie wordt afgerond, betekent niet automatisch een overtreding. De PSD2 voorziet in verschillende gevallen van vrijstelling, en daar wordt het onderwerp ingewikkeld.
Verder lezen : De beste mantra's en gebeden om uw huis effectief te zuiveren
Sinds eind 2023 hebben verschillende Europese uitgevers het gebruik van zogenaamde laag-risico vrijstellingen versterkt, in het kader van het 3D Secure 2-protocol. Concreet, wanneer de risicoscore van een transactie (beoordeeld via de TRA-methode, voor Transaction Risk Analysis) als zeer laag wordt beschouwd, kan de betaling zonder sterke authenticatie worden verwerkt, zelfs voor bedragen die normaal gesproken zijn vrijgesteld.
De Europese Centrale Bank herinnerde in december 2023 eraan dat deze vrijstellingen gereguleerd zijn maar aangemoedigd worden om de online handel te vergemakkelijken. Een gedetailleerd artikel behandelt het onderwerp van betaling zonder 3D Secure op Geekfinity en legt de verschillende scenario’s uit die consumenten tegenkomen.
Ook interessant : Alles wat je moet weten over de maat XXL voor vrouwen en de overeenkomsten ervan
De meest voorkomende vrijstellingen zijn onder andere:
- Transacties met een laag bedrag, meestal onder een door de regelgeving gedefinieerde drempel, die zonder aanvullende verificatie kunnen worden verwerkt zolang een cumulatief plafond niet is bereikt.
- Terugkerende betalingen bij dezelfde handelaar (abonnementen), waarbij alleen de eerste transactie een volledige authenticatie vereist.
- Transacties die door de acquirer of de uitgever als zeer laag risico worden beoordeeld, op basis van de TRA, wanneer hun totale fraudetarieven onder de door de PSD2 vastgestelde drempels blijven.
- Vertrouwde ontvangers, handmatig toegevoegd door de kaarthouder in zijn bankomgeving, die het mogelijk maken om de authenticatie voor volgende aankopen te omzeilen.
Deze mechanismen verklaren waarom een perfect legitieme site uw aankoop kan afronden zonder ooit een 3D Secure-venster te activeren.
Handelaars buiten de EER en betalingsroutering: de grijze gebieden van omzeiling
Niet alle transacties zonder authenticatie vallen onder legitieme vrijstellingen. De Europese Bankenautoriteit heeft in zijn updates met betrekking tot de PSD2 verduidelijkt dat sommige handelaren systematisch de sterke authenticatie omzeilen. Twee methoden komen vaak voor.
De eerste gaat via betalingsdienstverleners (PSP) die zich buiten de Europese Economische Ruimte bevinden. Wanneer de acquirer van de transactie zich buiten de EER bevindt, zijn de PSD2-regels niet op dezelfde manier van toepassing. De handelaar ontsnapt dan aan de verplichting tot sterke authenticatie, zelfs als de kaarthouder in Europa woont.
De tweede methode is gebaseerd op betalingsrouters die zijn geconfigureerd om transacties via circuits te leiden die de activering van 3D Secure vermijden. Deze praktijk, die minder transparant is, betreft met name online goksites of platforms waarvan het businessmodel afhankelijk is van snelle conversie, waarbij elke extra stap in de betalingsflow klanten kan verliezen.
Overdracht van verantwoordelijkheid in geval van fraude
Het technische punt om te onthouden betreft de liability shift, de overdracht van verantwoordelijkheid. Wanneer een betaling via het 3D Secure-protocol gaat en er zich een fraude voordoet, ligt de financiële verantwoordelijkheid bij de uitgevende bank. Daarentegen is het de handelaar die de kosten van de fraude draagt zonder 3D Secure. Sommige handelaren accepteren dit risico bewust, omdat ze geloven dat de daling van het aantal verlaten winkelwagentjes de verliezen door betwistingen compenseert.
De beschikbare gegevens stellen niet in staat om het volume van opzettelijk buiten 3DS geleide transacties in Europa precies te kwantificeren. De feedback uit het veld varieert hierover tussen de PSP’s, die het fenomeen minimaliseren, en de nationale toezichthouders, die het nauwlettend in de gaten houden.
Fraude bij betalingen zonder authenticatie: wat de Franse gegevens laten zien
Het Observatorium voor de veiligheid van betaalmiddelen biedt in zijn rapport 2024 een directe kijk op de werkelijkheid van het risico. De fraude bij afstandsbetalingen met kaart is afgenomen sinds de generalisatie van sterke authenticatie. De vaststelling is duidelijk.
Het belangrijkste punt van het rapport ligt in een asymmetrie: transacties zonder 3D Secure concentreren de meerderheid van de frauduleuze bedragen op internet, terwijl ze slechts een minderheid van het totale volume aan online betalingen vertegenwoordigen. Het Observatorium spreekt van een “sterke differentiatie van het fraudetarieven” tussen geauthenticeerde en niet-geauthenticeerde transacties.
Voor de consument heeft deze gegevens een concrete implicatie. Een aankoop gedaan zonder authenticatie op een onbekende site brengt een groter risico met zich mee voor frauduleus gebruik van de kaartgegevens. Zelfs als de bank de kaarthouder doorgaans vergoedt in geval van bewezen fraude (wettelijke verplichting in Frankrijk), kost de betwistingsprocedure tijd en vereist het stappen.
Waarschuwingssignalen voor de consument
Enkele elementen helpen om het risiconiveau te beoordelen bij een aankoop zonder authenticatie:
- De totale afwezigheid van een beveiligd protocol (geen HTTPS-slot, geen vermelding van een erkende PSP) vormt een sterk negatief signaal, anders dan de eenvoudige afwezigheid van 3D Secure.
- Een site die geen enkele wettelijke vermelding, geen fysiek adres of geen klantenservicenummer toont, verhoogt de kans op een niet-conforme handel.
- Platforms die buiten de EER zijn gehost, soms te herkennen aan hun domeinnaam of algemene voorwaarden, passen zelden de Europese standaarden voor authenticatie toe.
Regelgevende evolutie en betalingen zonder 3D Secure: wat zich aandient
De Europese Commissie werkt aan de PSD3, die de eisen voor authenticatie zou moeten versterken terwijl de bestaande vrijstellingen worden verfijnd. De uitdaging is dubbel: de resterende fraude bij niet-geauthenticeerde transacties verminderen zonder de winkelervaring te verslechteren.
De TRA-vrijstellingen blijven waarschijnlijk bestaan, omdat ze voldoen aan een reële behoefte aan commerciële soepelheid. Aan de andere kant krijgen de omzeilingsmechanismen via PSP’s buiten de EER steeds meer aandacht van de toezichthouders. De Europese Bankenautoriteit heeft aangegeven dat handelaren die systematisch gebruikmaken van deze praktijken zich blootstellen aan sancties en beperkingen voor toegang tot de Europese betalingsnetwerken.
Betaling zonder 3D Secure is dus niet op weg naar uitsterven. Het zal blijven bestaan voor transacties met een laag risico die door bankalgoritmen worden beoordeeld. De grens tussen legitieme vrijstelling en problematische omzeiling blijft het echte onderwerp van waakzaamheid, zowel voor toezichthouders als voor kopers.