Seit dem Inkrafttreten der DSP2 hat sich die Landschaft der Online-Zahlungen in Frankreich um die starke Authentifizierung strukturiert. Die Websites, die scheinbar ohne 3D Secure funktionieren, sind nicht alle verschwunden, aber ihr Betrieb beruht auf präzisen Mechanismen, die durch die Regulierung geregelt sind. Die Messung des tatsächlichen Risikoniveaus dieser Transaktionen im Vergleich zu authentifizierten Zahlungen ermöglicht es, zu verstehen, was 2025 für Verbraucher und Händler auf dem Spiel steht.
Frauderrate mit und ohne starke Authentifizierung: die gemessenen Unterschiede
Der Bericht des Observatoire de la Sécurité des Moyens de Paiement (OSMP) liefert verwertbare Daten, um die beiden Situationen zu vergleichen. Die folgende Tabelle fasst die dokumentierten Frauderraten zusammen.
Lesetipp : Erfahren Sie, wie die Dienstleistungen von Alias Immo Ihre Immobilienprojekte erleichtern
| Zahlungsart | Frauderrate | Beobachtung |
|---|---|---|
| Mit starker Authentifizierung (3D Secure) | 0,095 % | Prozess mit validiertem Challenge oder frictionless |
| Ohne starke Authentifizierung | 0,358 % | Transaktionen, die von der SCA ausgenommen oder außerhalb des Geltungsbereichs sind |
| Verhältnis | x 3,8 | Zahlungen ohne SCA erzeugen fast viermal so viel Betrug |
Dieses Verhältnis spricht für sich. Die Frage, die sich für Händler stellt, die Prozesse ohne sichtbaren Challenge nutzen, betrifft die genaue Art der Ausnahme, von der sie profitieren, und ihre Nachhaltigkeit angesichts der regulatorischen Verschärfungen, die von der Banque de France seit November 2024 vorangetrieben werden.
Um die konkreten Herausforderungen hinter diesen Zahlen besser zu verstehen, ermöglicht ein detaillierter Überblick über die Websites ohne 3D Secure im Jahr 2025 die Unterscheidung zwischen legitimen Ausnahmen und echten Schwachstellen.
Ebenfalls empfehlenswert : Welche Risiken für die Sicherheit von Zahlungen ohne 3D Secure im Internet?
DSP2-Ausnahmen und Auslöseschwellen: der Mechanismus hinter der Abwesenheit von Challenge
Eine Website, auf der der Käufer niemals einen 3D Secure-Bildschirm sieht, ist nicht unbedingt eine unsichere Website. Seit 2023-2024 haben die großen französischen Emittenten (BNP Paribas, Société Générale, Crédit Agricole) massiv die risikobasierte Authentifizierung (RBA) eingeführt, eine Echtzeitanalyse von mehr als 100 Signalen durch die Bank.
Der 3DS2 wird im Hintergrund ausgelöst, aber die Bank entscheidet sich, keinen Challenge anzuzeigen, wenn das Risiko als gering eingeschätzt wird. Der Verbraucher hat den Eindruck, “ohne 3D Secure” zu bezahlen, obwohl das Protokoll tatsächlich angefordert wurde.
Die regulatorischen Schwellen, die die Ausnahme bedingen
Die Mechanik der DSP2 beruht auf präzisen Regeln für kleine Beträge:
- Einkauf unter 30 Euro: mögliche Ausnahme, ohne dass dem Kunden ein Challenge angezeigt wird
- Sobald fünf aufeinanderfolgende Zahlungen ohne starke Authentifizierung erreicht sind, löst die Bank zwingend eine SCA aus
- Die Ansammlung von 100 Euro an ausgenommenen Zahlungen führt ebenfalls zu einem automatischen Auslösen der Authentifizierung
Diese Schwellen schaffen einen Kipppunkt. Ein Verbraucher, der eine Reihe von Käufen mit geringem Betrag tätigt, wird schließlich auf einen Überprüfungsbildschirm stoßen, selbst auf einer normalerweise reibungslosen Website.
Händler mit gutem Betrugs-Score: eine differenzierte Behandlung
Zahlungsdienstleister (PSP) ermöglichen es Händlern mit einer sehr niedrigen Frauderrate, von breiteren Ausnahmen zu profitieren. Diese Händler optimieren ihre Prozesse rund um die DSP2-Schwellen, um die Reibung zu reduzieren, ohne den gesetzlichen Rahmen zu verlassen.
Im Gegensatz dazu verliert ein Händler, dessen Frauderrate die von der OSMP festgelegten Schwellen überschreitet, schrittweise seine Ausnahmen. Der OSMP-Plan, der seit November 2024 umgesetzt wird, beschleunigt diese Logik, indem er bestimmte Ausnahmebedingungen abschafft.
OSMP-Plan und Ende der Ausnahmebedingungen: was sich konkret ändert
Das von der Banque de France geleitete Programm zielt darauf ab, die Betrugsrate zu senken, die 2024 1,2 Milliarden Euro bei allen Zahlungsmethoden erreicht hat. Mehrere Maßnahmen wirken sich direkt auf Websites aus, die ohne sichtbare Authentifizierung funktionieren.
- Ende des DTA (Direct to Authorisation), das es bestimmten Händlern ermöglichte, das 3DS-Protokoll vollständig zu umgehen
- Verschärfung der Regeln für wiederkehrende Zahlungen (MIT): Abonnements und automatische Lastschriften unterliegen nun strengeren Kontrollen bei der erstmaligen Registrierung der Karte
- Ein-Klick-Zahlungen mit registrierter Karte müssen eine regelmäßige Überprüfung der Identität des Karteninhabers beinhalten
Die Abschaffung des DTA stellt die strukturellste Veränderung dar. Händler, die diesen Weg genutzt haben, um einen völlig reibungslosen Zahlungsprozess anzubieten, müssen auf 3DS2-kompatible Lösungen umsteigen, andernfalls riskieren sie, dass ihre Transaktionen von den Emittenten abgelehnt werden.
Frictionless 3DS2 gegen totale Abwesenheit von Sicherheit: zwei unterschiedliche Realitäten
Die Verwirrung zwischen “kein sichtbarer Challenge” und “keine Sicherheit” nährt eine falsche Risikowahrnehmung. Der frictionless flow des 3DS2 erhält eine unsichtbare Schutzschicht für den Käufer, die auf Verhaltens- und Kontextanalysen basiert.
Eine Website, die tatsächlich jeglicher Form von Authentifizierung entbehrt, setzt den Karteninhaber einem Risiko aus, das fast viermal so hoch ist, wie die Daten der OSMP zeigen. Für den Händler bedeutet diese Exposition eine höhere Rückbuchungsrate (Chargeback) und möglicherweise eine Verschlechterung seiner Konditionen bei seinem Acquirer.
Im Gegensatz dazu behält ein Händler, der das frictionless 3DS2 annimmt, einen schnellen Prozess bei und profitiert im Falle von Betrug von der Übertragung der Verantwortung auf die ausstellende Bank. Das Frictionless schützt sowohl den Händler als auch den Verbraucher, ohne spürbare Reibung hinzuzufügen.
Der regulatorische Kurs in Frankreich lässt keinen Zweifel an der eingeschlagenen Richtung. Transaktionen, die tatsächlich außerhalb von 3DS stattfinden, werden seltener, während die OSMP die Bedingungen für Ausnahmen verschärft. Für einen Käufer stellt die Anwesenheit oder Abwesenheit eines Überprüfungsbildschirms keinen zuverlässigen Indikator mehr für das tatsächliche Sicherheitsniveau einer Zahlung dar. Was zählt, ist die Fähigkeit des Händlers und seiner Bank, das Risiko im Hintergrund, Transaktion für Transaktion, zu analysieren.