Sinds de inwerkingtreding van de DSP2 heeft het landschap van online betalingen in Frankrijk zich georganiseerd rond sterke authenticatie. De sites die lijken te functioneren zonder 3D Secure zijn niet allemaal verdwenen, maar hun werking berust op specifieke mechanismen die door de regelgeving worden omkaderd. Het meten van het werkelijke risiconiveau van deze transacties in vergelijking met geauthenticeerde betalingen maakt het mogelijk te begrijpen wat er speelt voor consumenten en handelaren in 2025.
Fraudecijfers met en zonder sterke authenticatie: de gemeten verschillen
Het rapport van het Observatorium voor de Veiligheid van Betalingsmiddelen (OSMP) biedt bruikbare gegevens om de twee situaties te vergelijken. De onderstaande tabel geeft een samenvatting van de gedocumenteerde fraudecijfers.
Aanvullende lectuur : Welke risico's voor de beveiliging van betalingen zonder 3D Secure op het internet?
| Betalingstype | Fraudecijfer | Opmerking |
|---|---|---|
| Met sterke authenticatie (3D Secure) | 0,095 % | Traject met goedgekeurde challenge of frictionless |
| Zonder sterke authenticatie | 0,358 % | Transacties vrijgesteld of buiten het SCA-perimeter |
| Verhouding | x 3,8 | Betalingen zonder SCA genereren bijna vier keer zoveel fraude |
Deze verhouding spreekt voor zich. De vraag die zich stelt voor handelaren die gebruikmaken van trajecten zonder zichtbare challenge, betreft de exacte aard van de vrijstelling waar zij van profiteren, en de duurzaamheid ervan tegenover de verscherping van de regelgeving die door de Banque de France wordt geleid sinds november 2024.
Om de concrete uitdagingen achter deze cijfers beter te begrijpen, biedt een gedetailleerd overzicht van sites zonder 3D Secure in 2025 de mogelijkheid om legitieme vrijstellingsgevallen van echte tekortkomingen te onderscheiden.
Zie ook : De voordelen van chiropractie voor het verlichten van uw dagelijkse pijn
DSP2-vrijstellingen en drempels voor activering: het mechanisme achter het ontbreken van een challenge
Een site waar de koper nooit een 3D Secure-scherm ziet, is niet per se een onveilige site. Sinds 2023-2024 hebben de grote Franse uitgevers (BNP Paribas, Société Générale, Crédit Agricole) massaal de risk-based authentication (RBA) uitgerold, een realtime analyse van meer dan 100 signalen door de bank.
De 3DS2 wordt op de achtergrond geactiveerd, maar de bank besluit om geen challenge weer te geven wanneer het risico als laag wordt beoordeeld. De consument heeft de indruk te betalen “zonder 3D Secure”, terwijl het protocol wel degelijk is ingeschakeld.
De regelgevende drempels die de vrijstelling bepalen
De DSP2-mechanica is gebaseerd op specifieke regels voor kleine bedragen:
- Aankoop onder de 30 euro: mogelijke vrijstelling, zonder challenge voor de klant
- Zodra vijf opeenvolgende betalingen zonder sterke authenticatie zijn bereikt, activeert de bank verplicht een SCA
- De cumulatie van 100 euro aan vrijgestelde betalingen veroorzaakt ook een automatische activering van de authenticatie
Deze drempels creëren een kantelpunt. Een consument die een reeks kleine aankopen doet, zal uiteindelijk een verificatiescherm tegenkomen, zelfs op een normaal soepel functionerende site.
Handelaren met een goede fraudecijfer: een gedifferentieerde behandeling
Betalingsdienstverleners (PSP) stellen handelaren met een zeer laag fraudecijfer in staat om van bredere vrijstellingen te profiteren. Deze handelaren optimaliseren hun trajecten rond de DSP2-drempels om de wrijving te verminderen zonder buiten het wettelijke kader te treden.
Daarentegen verliest een handelaar wiens fraudecijfer de door de OSMP vastgestelde drempels overschrijdt geleidelijk zijn vrijstellingen. Het OSMP-plan, dat sinds november 2024 is uitgerold, versnelt deze logica door bepaalde afwijkende regelingen te schrappen.
OSMP-plan en einde van afwijkende regelingen: wat er concreet verandert
Het programma dat door de Banque de France wordt geleid, heeft als doel de fraude te verminderen, die in 2024 1,2 miljard euro heeft bereikt voor alle betalingsmiddelen. Verschillende maatregelen hebben directe impact op sites die functioneren zonder zichtbare authenticatie.
- Einde van de DTA (Direct to Authorisation), die bepaalde handelaren in staat stelde het 3DS-protocol volledig te omzeilen
- Versterking van de regels voor terugkerende betalingen (MIT): abonnementen en automatische incasso’s zijn nu onderworpen aan strengere controles bij de initiële registratie van de kaart
- Betalingen met één klik met een geregistreerde kaart moeten een periodieke verificatie van de identiteit van de kaarthouder omvatten
De afschaffing van de DTA is de meest ingrijpende verandering. Handelaren die deze weg gebruikten om een volledig soepel betalingsproces aan te bieden, moeten overstappen naar oplossingen die compatibel zijn met 3DS2, anders riskeren ze dat hun transacties door de uitgevers worden geweigerd.
Frictionless 3DS2 versus totale afwezigheid van veiligheid: twee verschillende realiteiten
De verwarring tussen “geen zichtbare challenge” en “geen veiligheid” voedt een verkeerde perceptie van het risico. De frictionless flow van 3DS2 behoudt een onzichtbare beschermingslaag voor de koper, gebaseerd op gedrags- en contextanalyse.
Een site die werkelijk geen enkele vorm van authenticatie heeft, stelt de kaarthouder bloot aan een risico dat bijna vier keer zo hoog is, zoals de gegevens van de OSMP aantonen. Voor de handelaar vertaalt deze blootstelling zich in een hoger betwistingspercentage (chargeback) en een mogelijke verslechtering van zijn tariefvoorwaarden bij zijn acquirer.
Omgekeerd behoudt een handelaar die de frictionless 3DS2 toepast een snel traject terwijl hij profiteert van de overdracht van verantwoordelijkheid naar de uitgevende bank in geval van fraude. De frictionless beschermt zowel de handelaar als de consument, zonder merkbare wrijving toe te voegen.
De Franse regelgevende koers laat geen twijfel over de genomen richting. Transacties die werkelijk buiten 3DS vallen, worden zeldzamer naarmate de OSMP de voorwaarden voor vrijstelling aanscherpt. Voor een koper is de aanwezigheid of afwezigheid van een verificatiescherm geen betrouwbare indicator meer van het werkelijke veiligheidsniveau van een betaling. Wat telt, is het vermogen van de handelaar en zijn bank om het risico op de achtergrond te analyseren, transactie per transactie.