Sinds de volledige toepassing van de Europese richtlijn DSP2 is sterke authenticatie (SCA) de norm geworden voor online betalingen met creditcards in Europa. De meeste transacties verlopen via het protocol 3D Secure 2.0, dat de identiteit van de kaarthouder verifieert voordat de aankoop wordt gevalideerd.
Sommige sites blijven betalingen verwerken zonder deze verificatie, door gebruik te maken van vrijstellingsmechanismen die door de regelgeving zijn voorzien. De vraag naar de levensvatbaarheid van deze aanpak wordt bijzonder urgent in 2025.
Aanvullende lectuur : Kledingtrends voor een geslaagde look tijdens een dansavond
DSP2-vrijstellingen en transacties zonder 3D Secure: het mechanisme achter de uitzondering
De DSP2 verplicht niet tot sterke authenticatie voor elke transactie. De verordening voorziet in verschillende gevallen van vrijstelling die betalingsdienstaanbieders (PSP’s) kunnen inroepen om een betaling zonder bankverificatie door te laten.
De meest gebruikte vrijstellingen hebben betrekking op zogenaamde “low-value” transacties (lage bedragen, meestal onder een door de PSP gedefinieerde drempel) en operaties die door de realtime risicoanalyse (TRA) van de aanbieder als “low-risk” worden beschouwd. Een PSP wiens fraudecijfer onder bepaalde drempels blijft, kan verzoeken om zijn transacties vrij te stellen van sterke authenticatie.
Lees ook : De beste sites om content te downloaden in 2023: waar naartoe?
- Terugkerende transacties na een eerste succesvolle authenticatie kunnen zonder 3D Secure worden verwerkt bij de volgende betalingen.
- Operaties met een laag bedrag profiteren van een automatische vrijstelling, maar een cumulatie van opeenvolgende transacties activeert een nieuwe verificatie.
- De realtime risicoanalyse (TRA) stelt de PSP in staat om elke operatie te evalueren en te beslissen of de vrijstelling van toepassing is, op voorwaarde dat zijn fraudecijfer binnen de wettelijke drempels blijft.
Voor handelaren die een lijst van sites zonder bankverificatie 2025 raadplegen, verklaren deze vrijstellingen waarom sommige platforms nog steeds kunnen functioneren zonder zichtbare authenticatie. De betaling gaat door, maar de verantwoordelijkheid in geval van fraude verschuift.
Chargebacks en financiële verantwoordelijkheid: wat de handelaar aanvaardt zonder sterke authenticatie
De overdracht van verantwoordelijkheid (liability shift) vormt het meest directe financiële risico. Wanneer een betaling wordt geauthenticeerd via 3D Secure, neemt de uitgevende bank de verantwoordelijkheid in geval van frauduleuze betwisting. Zonder deze authenticatie, draagt de handelaar alleen de kosten van de chargeback.
Het Observatorium voor de Veiligheid van Betalingsmiddelen (OSMP) meldde in zijn rapport dat in maart 2025 een significante stijging van chargebacks op Europese sites die geen gebruik maken van 3D Secure. De consumentengeschillen nemen toe, en de trend versnelt.
Voor een site met een hoog volume kan deze blootstelling een aanzienlijke kost betekenen. Elke betwisting genereert niet alleen de terugbetaling van het bedrag, maar ook verwerkingskosten die door de PSP in rekening worden gebracht. Boven een bepaald percentage chargebacks plaatsen de kaartnetwerken (Visa, Mastercard) de handelaar in een toezichtprogramma dat leidt tot extra sancties, of zelfs de beëindiging van het acceptatiecontract.
Sectoren die het meest blootgesteld zijn aan bankblokkades
Franse banken hebben hun automatische filters voor niet-geauthenticeerde transacties versterkt. Volgens de feedback uit het veld die eind 2025 door TF1 Info werd doorgegeven, treffen automatische blokkades vooral de hoog-risico sectoren zoals gaming. Een handelaar in deze sectoren die geen 3D Secure activeert, ziet een toenemend percentage van zijn transacties afgewezen voordat ze zelfs maar de betalingsfase bereiken.
Afhankelijkheid van low-risk vrijstellingen: een structurele kwetsbaarheid voor e-commerçants
Een betalingsmodel bouwen rond de DSP2-vrijstellingen is als wedden op de stabiliteit van zijn fraudecijfer. Het mechanisme werkt zolang de indicatoren binnen de perken blijven. Zodra er een piek in fraude optreedt, verliest de PSP zijn vermogen om de TRA-vrijstelling in te roepen, en alle transacties van de handelaar vereisen weer sterke authenticatie.
Deze omschakeling kan abrupt zijn. Een site die gewend is aan een soepel betalingsproces (zonder authenticatiestap) ziet plotseling zijn percentage winkelwagentjes dat wordt verlaten stijgen, omdat zijn klanten nooit met de verificatie zijn geconfronteerd. De aanpassing is niet onmiddellijk: de betalingspagina’s, de conversietunnels en zelfs de klantcommunicatie moeten opnieuw worden doordacht.
Japan illustreert de richting die de regelgevers opgaan. Sinds april 2025 is 3D Secure 2.0 verplicht voor alle Japanse e-commerce sites, zoals Stripe in zijn bijgewerkte documentatie uitlegt. Platforms die het protocol niet hadden geïntegreerd, zagen hun kaartbetalingen van de ene op de andere dag geblokkeerd. De beschikbare gegevens maken het niet mogelijk om te concluderen dat Europa een identieke tijdlijn zal aannemen, maar de regelgevende convergentie gaat in die richting.
Fraude door sociale engineering en de grenzen van filters zonder authenticatie
Fraudetechnieken evolueren sneller dan statistische filters. De realtime risicoanalyse is gebaseerd op modellen die het gedrag van de koper evalueren (gebruikte apparaat, geolocatie, geschiedenis). Deze modellen detecteren goed de bekende patronen, maar hebben moeite met aanvallen door sociale engineering waarbij de kaarthouder wordt gemanipuleerd om zelf de aankoop te doen.
In dit geval detecteert de TRA-analyse geen anomalie omdat het gedrag dat van de echte houder is. De betaling gaat door zonder authenticatie, de fraudeur ontvangt het goed of de dienst, en de consument betwist vervolgens de transactie bij zijn bank. De handelaar, zonder bewijs van sterke authenticatie, verliest systematisch het geschil.
Tokenisatie en alternatieven: aanvullingen, geen vervangers
Sommige handelaren compenseren het gebrek aan 3D Secure door andere beveiligingslagen: tokenisatie van kaartgegevens, versterkte gedragsbeoordeling, adresverificatie (AVS). Deze tools verminderen bepaalde fraudevectoren, maar geen enkele vervangt de overdracht van verantwoordelijkheid die sterke authenticatie biedt.
Tokenisatie beschermt de opgeslagen gegevens tegen lekken. De scoring verfijnt de detectie. De AVS vergelijkt het factuuradres. Geen van deze methoden bewijst dat de kaarthouder de transactie heeft gevalideerd, wat het bepalende criterium blijft bij een geschil.
Het Europese regelgevingskader blijft zich aanscherpen rond sterke authenticatie. De DSP3, die momenteel wordt afgerond, zal de reikwijdte van de SCA uitbreiden en de huidige vrijstellingsmarges verkleinen. Voor een e-commerçant die zijn betalingsproces heeft gebouwd op de afwezigheid van verificatie, vertegenwoordigt elke regelgevende evolutie een direct operationeel risico. Het integreren van 3D Secure 2.0 nu, ook voor transacties die in aanmerking komen voor een vrijstelling, blijft de minst kostbare strategie op middellange termijn.