Het 3D Secure-protocol voegt een authenticatiestap toe bij een aankoop met een creditcard op internet. De kaarthouder bevestigt zijn identiteit via een code die per sms wordt ontvangen, een notificatie op zijn bankapp of een biometrische gegevens. Deze verificatie vermindert het risico op fraude door ervoor te zorgen dat de persoon die betaalt daadwerkelijk de kaarthouder is.
Niet alle webwinkels activeren deze stap, en de redenen hiervoor zijn zowel te vinden in de regelgeving als in de commerciële keuzes van de handelaren.
A lire en complément : Beginnen op sociale media: tips voor het effectief beheren van uw online aanwezigheid
Uitzonderingen voorzien door de DSP2-richtlijn over sterke authenticatie
De Europese richtlijn voor betalingsdiensten (DSP2), die sinds 2019 van kracht is, vereist sterke authenticatie voor de meeste online betalingen met een creditcard. Deze verplichting dekt echter niet alle scenario’s. De tekst voorziet in specifieke uitzonderingen die door betalingsdienstverleners en uitgevende banken kunnen worden geactiveerd.
Transacties met een laag bedrag vormen de eerste uitzondering. Onder een bepaalde drempel kan de bank de betaling goedkeuren zonder 3D Secure te activeren, op voorwaarde dat het cumulatieve bedrag van recente betalingen zonder authenticatie ook onder een plafond blijft.
A lire aussi : Welke verzekering kiezen voor uw Franse bulldog?
Terugkerende abonnementen krijgen een bijzondere behandeling. Zodra de eerste betaling is geverifieerd, verlopen de volgende incasso’s, voor een gelijk bedrag bij dezelfde handelaar, zonder nieuwe verificatie. Een streamingdienst of een krantenabonnement vraagt dus niet bij elke vervaldatum om een code.
Een gedetailleerd artikel over het onderwerp van onveilige betalingen op Geekfinity bespreekt de verschillende scenario’s die kopers tegenkomen.
- Transacties die door de analyse van de acquirerbank als laag risico worden beschouwd, op basis van het totale fraudetarieven.
- Betalingen aan een vertrouwde begunstigde, die eerder door de kaarthouder op een witte lijst bij zijn bank is toegevoegd.
- Transacties die door de handelaar zijn geïnitieerd (merchant-initiated betalingen), zoals aanpassingen van het bedrag na hotelreserveringen of autoverhuur.
Deze uitzonderingen zijn geen willekeurige keuze van de webwinkel. Ze zijn gereguleerd en goedgekeurd door de uitgevende bank of de betalingsdienstverlener, die het risiconiveau in realtime beoordeelt.
Realtime risicobeoordeling en frictionless flows
Betalingsdienstverleners zoals Stripe, Adyen of Worldpay integreren risicobeoordelingsmotoren die elke transactie evalueren voordat ze beslissen of de 3D Secure-authenticatie moet worden geactiveerd. Deze beoordeling is gebaseerd op tientallen parameters die tijdens de betaling worden verzonden.
Het 3D Secure 2-protocol, de opvolger van de oorspronkelijke versie, is ontworpen om dit soort contextuele beslissingen mogelijk te maken. In tegenstelling tot de eerste versie, die altijd een omleiding naar een authenticatiepagina vereiste, verzendt 3DS2 meer gegevens naar het bancaire netwerk: type apparaat, IP-adres, aankoopgeschiedenis, browsegedrag.
Wanneer de analyse concludeert dat het risico op fraude zeer laag is, verloopt de transactie in “frictionless” modus: de klant ziet geen extra authenticatiestappen. 3D Secure is wel op de achtergrond ingeschakeld, maar de uitgevende bank heeft de verificatie overbodig geacht. Vanuit het perspectief van de koper lijkt de betaling het protocol niet te hebben gebruikt.
Deze onderscheid is belangrijk. Een site die geen zichtbaar authenticatiescherm activeert, heeft niet per se 3D Secure gedeactiveerd. De frictionless flow is precies het doel van 3DS2: beveiligen zonder te vertragen.
Winkelwagentjes verlaten en commerciële afwegingen van handelaren
Elke stap die aan de betalingsstroom wordt toegevoegd, vergroot het risico dat de koper zijn bestelling verlaat. Sterke authenticatie, wanneer deze vereist dat men overschakelt naar een bankapp of wacht op een sms, genereert meetbare wrijving. Online handelaren zijn zich bewust van deze correlatie en proberen deze te beperken.
Handelaren met een laag fraudetarieven kunnen hun betalingsdienstverlener vragen om de zogenaamde “TRA” (Transaction Risk Analysis) uitzondering toe te passen. Deze uitzondering maakt het mogelijk om meer betalingen zonder zichtbare authenticatie te verwerken, op voorwaarde dat het fraudetarieven van de handelaar onder de door de Europese regelgeving vastgestelde drempels blijft.
Dit mechanisme creëert een situatie waarin grote e-commerce sites, die investeren in effectieve antifraudetools, gemakkelijker uitzonderingen verkrijgen dan kleine handelaren. Het paradox: de meest betrouwbare sites zijn ook de sites die het minst vaak 3D Secure bij hun klanten aanvragen.
Sites gevestigd buiten de Europese Economische Ruimte
De DSP2 is van toepassing op transacties waarbij zowel de uitgevende bank als de betalingsdienstverlener van de handelaar zich in de Europese Economische Ruimte bevinden. Een webwinkel gevestigd in de Verenigde Staten of Azië, die een niet-Europese acquirer gebruikt, is niet onderworpen aan dezelfde verplichtingen voor sterke authenticatie.
In dit geval kan de Europese uitgevende bank van de klant desondanks een authenticatie eisen, maar de buitenlandse handelaar is niet verplicht deze te implementeren. De betaling kan dan doorgaan zonder 3D Secure, met een overdracht van verantwoordelijkheid in geval van fraude die terugvalt op de uitgevende bank of de handelaar, afhankelijk van de bestaande overeenkomsten.
Verantwoordelijkheid in geval van fraude zonder 3D Secure
3D Secure verandert de verdeling van de financiële verantwoordelijkheid in geval van een frauduleuze transactie. Wanneer het protocol is geactiveerd en de authenticatie slaagt, verschuift de verantwoordelijkheid van de handelaar naar de uitgevende bank. Dit mechanisme, “liability shift” genoemd, beschermt de handelaar tegen betalingsbetwistingen (chargebacks).
Wanneer een handelaar ervoor kiest om 3D Secure niet te activeren, of wanneer een uitzondering wordt toegepast, vindt deze overdracht van verantwoordelijkheid niet plaats. De handelaar neemt dan het financiële risico in geval van fraude op zich. Deze keuze is berekend: sommige handelaren geven er de voorkeur aan om een laag fraudetarieven te absorberen in plaats van verkopen te verliezen door authenticatie.
Voor de koper blijft de bescherming in beide gevallen gelijk. De Europese bankregelgeving garandeert de terugbetaling van een niet-geautoriseerde transactie, ongeacht of 3D Secure is gebruikt of niet. De bank van de kaarthouder moet de klant die slachtoffer is van fraude terugbetalen en kan zich vervolgens tegen de handelaar keren als de liability shift dit toestaat.
Het ontbreken van zichtbare authenticatie tijdens een online aankoop betekent dus niet dat de betaling minder veilig is voor de consument. Het weerspiegelt ofwel een wettelijke uitzondering, ofwel een frictionless flow, ofwel een commerciële afweging van de handelaar die het risico voor zijn rekening neemt.