Depuis l’entrée en vigueur de la DSP2, le paysage du paiement en ligne en France s’est structuré autour de l’authentification forte. Les sites qui semblent fonctionner sans 3D Secure n’ont pas tous disparu, mais leur fonctionnement repose sur des mécanismes précis que la réglementation encadre. Mesurer le niveau de risque réel de ces transactions par rapport aux paiements authentifiés permet de comprendre ce qui se joue pour les consommateurs et les marchands en 2025.
Taux de fraude avec et sans authentification forte : les écarts mesurés
Le rapport de l’Observatoire de la Sécurité des Moyens de Paiement (OSMP) fournit des données exploitables pour comparer les deux situations. Le tableau ci-dessous synthétise les taux de fraude documentés.
A découvrir également : Pourquoi l'éthique en entreprise est un levier essentiel pour réussir durablement
| Type de paiement | Taux de fraude | Observation |
|---|---|---|
| Avec authentification forte (3D Secure) | 0,095 % | Parcours avec challenge ou frictionless validé |
| Sans authentification forte | 0,358 % | Transactions exemptées ou hors périmètre SCA |
| Ratio | x 3,8 | Les paiements sans SCA génèrent près de quatre fois plus de fraude |
Ce ratio parle de lui-même. La question qui se pose pour les marchands exploitant des parcours sans challenge visible concerne la nature exacte de l’exemption dont ils bénéficient, et sa pérennité face au durcissement réglementaire piloté par la Banque de France depuis novembre 2024.
Pour mieux cerner les enjeux concrets derrière ces chiffres, un panorama détaillé des sites sans 3d secure en 2025 permet de distinguer les cas d’exemption légitime des véritables failles.
A découvrir également : Quels risques pour la sécurité du paiement sans 3D Secure sur Internet ?
Exemptions DSP2 et seuils de déclenchement : le mécanisme derrière l’absence de challenge
Un site où l’acheteur ne voit jamais d’écran 3D Secure n’est pas forcément un site non sécurisé. Depuis 2023-2024, les grands émetteurs français (BNP Paribas, Société Générale, Crédit Agricole) ont massivement déployé le risk-based authentication (RBA), une analyse en temps réel de plus de 100 signaux par la banque.
Le 3DS2 est déclenché en arrière-plan, mais la banque décide de ne pas afficher de challenge lorsque le risque est jugé faible. Le consommateur a l’impression de payer « sans 3D Secure », alors que le protocole a bien été sollicité.
Les seuils réglementaires qui conditionnent l’exemption
La mécanique DSP2 repose sur des règles précises pour les petits montants :
- Achat inférieur à 30 euros : exemption possible, sans challenge affiché au client
- Dès que cinq paiements consécutifs sans authentification forte sont atteints, la banque déclenche obligatoirement une SCA
- Le cumul de 100 euros de paiements exemptés provoque aussi un déclenchement automatique de l’authentification
Ces seuils créent un effet de bascule. Un consommateur qui enchaîne des achats de faible montant finit par rencontrer un écran de vérification, même sur un site habituellement fluide.
Marchands à bon score de fraude : un traitement différencié
Les prestataires de paiement (PSP) permettent aux marchands affichant un taux de fraude très bas de bénéficier d’exemptions plus larges. Ces marchands optimisent leurs parcours autour des seuils DSP2 pour réduire la friction sans sortir du cadre légal.
En revanche, un marchand dont le taux de fraude dépasse les seuils fixés par l’OSMP perd progressivement ses exemptions. Le plan OSMP, déployé depuis novembre 2024, accélère cette logique en supprimant certains régimes dérogatoires.
Plan OSMP et fin des régimes dérogatoires : ce qui change concrètement
Le programme piloté par la Banque de France a pour objectif de réduire la fraude, qui a atteint 1,2 milliard d’euros en 2024 sur l’ensemble des moyens de paiement. Plusieurs mesures impactent directement les sites fonctionnant sans authentification visible.
- Fin du DTA (Direct to Authorisation), qui permettait à certains marchands de contourner entièrement le protocole 3DS
- Renforcement des règles sur les paiements récurrents (MIT) : les abonnements et prélèvements automatiques sont désormais soumis à des contrôles plus stricts lors de l’enregistrement initial de la carte
- Les paiements en un clic avec carte enregistrée doivent intégrer une vérification périodique de l’identité du porteur
La suppression du DTA représente le changement le plus structurant. Les marchands qui utilisaient cette voie pour proposer un parcours de paiement totalement fluide doivent migrer vers des solutions compatibles 3DS2, sous peine de voir leurs transactions refusées par les émetteurs.
Frictionless 3DS2 contre absence totale de sécurité : deux réalités distinctes
La confusion entre « pas de challenge visible » et « pas de sécurité » alimente une perception erronée du risque. Le frictionless flow du 3DS2 maintient une couche de protection invisible pour l’acheteur, fondée sur l’analyse comportementale et contextuelle.
Un site réellement dépourvu de toute forme d’authentification expose le porteur de carte à un risque multiplié par près de quatre, comme le montrent les données OSMP. Pour le marchand, cette exposition se traduit par un taux de contestation (chargeback) plus élevé et une possible dégradation de ses conditions tarifaires auprès de son acquéreur.
À l’inverse, un marchand qui adopte le frictionless 3DS2 conserve un parcours rapide tout en bénéficiant du transfert de responsabilité vers la banque émettrice en cas de fraude. Le frictionless protège autant le marchand que le consommateur, sans ajouter de friction perceptible.
La trajectoire réglementaire française ne laisse pas de doute sur la direction prise. Les transactions réellement hors 3DS deviennent plus rares à mesure que l’OSMP resserre les conditions d’exemption. Pour un acheteur, la présence ou l’absence d’un écran de vérification ne constitue plus un indicateur fiable du niveau de sécurité réel d’un paiement. Ce qui compte, c’est la capacité du marchand et de sa banque à analyser le risque en arrière-plan, transaction par transaction.