De Europese richtlijn inzake betalingsdiensten (PSD2) vereist al enkele jaren sterke authenticatie voor online kaarttransacties. In 2025 wordt het regelgevend kader nog strenger. Handelaren die blijven opereren zonder 3D Secure maken gebruik van de wettelijke uitzonderingen, maar deze speelruimte vermindert kwartaal na kwartaal onder druk van de toezichthouders en de kaartnetwerken.
Verantwoordelijkheidsoverdracht bij fraude: wat handelaren onderschatten
Mechanisme dat het minst zichtbaar is voor een e-commerce ondernemer die 3D Secure weigert, betreft de liability shift. Sinds Visa en Mastercard hun verantwoordelijkheidsprogramma’s hebben aangepast tussen 2023 en 2025, draagt een handelaar zonder 3D Secure alleen de kosten van frauduleuze chargebacks. De acquirer en de kaartuitgever dekken de fraude niet meer als de sterke authenticatie niet is geactiveerd.
Aanvullende lectuur : Wie is de huidige eigenaar van het Ritz Paris? Geschiedenis en evolutie tot 2025
Concreet betekent dit dat een site die een significante hoeveelheid transacties zonder authenticatie verwerkt, onbetaalde bedragen accumuleert die zijn acquirer niet meer dekt. Boven een bepaalde drempel van chargebacks passen de kaartnetwerken toezichtprogramma’s toe met toenemende financiële sancties. Verschillende Europese handelaren hebben een sterke stijging van hun verwerkingskosten gezien nadat ze onder toezicht waren geplaatst door Visa of Mastercard.
De situatie van sites zonder 3D Secure in 2025 blijft legaal zolang de uitzonderingen correct zijn gedocumenteerd, maar de werkelijke financiële kosten overschrijden vaak de veronderstelde besparing op de conversieratio.
Aanrader : Alles wat u moet weten over de STECAL in de stedenbouwkundige code: definitie en nut
SCA-uitzonderingen in 2025: een steeds strenger gecontroleerd kader
De Europese regelgeving voorziet in verschillende gevallen waarin sterke authenticatie kan worden omzeild: transacties van laag bedrag, realtime risicoanalyse (TRA), vertrouwde begunstigden op de whitelist, of terugkerende betalingen na een eerste authenticatie. Deze uitzonderingen bestaan om de soepelheid van het aankooptraject te waarborgen.
De Europese Bankautoriteit (EBA) heeft eind 2024 verschillende updates van haar Q&A over de PSD2 gepubliceerd. De boodschap is duidelijk: de uitzonderingen moeten minderheidsstatus behouden, gedocumenteerd en gecontroleerd worden. Betalingsdienstverleners (PSP’s) die een te hoog volume aan vrijgestelde transacties doorlaten, lopen het risico op strengere controles en bevelen om het gebruik van trajecten zonder authenticatie te beperken.
Voor een handelaar betekent dit dat zelfs als zijn PSP vandaag bepaalde transacties zonder 3D Secure via de TRA-uitzondering accepteert, er geen garantie is dat deze mogelijkheid over zes maanden nog steeds bestaat. PSP’s passen hun drempels aan op basis van de regelgevende druk.
De nog bruikbare uitzonderingen en hun voorwaarden
- Transacties van laag bedrag (meestal onder een door het netwerk vastgestelde drempel) blijven vrijgesteld, maar er geldt een cumulatieve limiet. Boven deze limiet wordt sterke authenticatie weer verplicht.
- Realtime risicoanalyse (TRA) stelt de PSP in staat om 3D Secure te omzeilen als zijn totale fraudetarief onder een bepaalde drempel blijft. Een PSP wiens fraudetarief stijgt, verliest deze mogelijkheid.
- De whitelist (vertrouwde begunstigden) is gebaseerd op een beslissing van de kaarthouder bij zijn bank. De handelaar heeft geen directe controle over deze inschrijving.
Fraude bij internetbetalingen zonder sterke authenticatie: de gegevens uit de praktijk
De Banque de France merkt in het jaarlijkse rapport 2024 van het Observatorium voor de veiligheid van betaalmiddelen een duidelijke trend op. Fraude bij internetbetalingen met kaart neemt toe waar sterke authenticatie niet systematisch wordt toegepast. Transacties die zijn beschermd door 3D Secure 2.x vertonen een aanzienlijk lager fraudetarief dan de rest.
Deze constatering dringt Franse toezichthouders ertoe om configuraties zonder 3DS af te raden, behalve in zeer gerichte gebruiksgevallen. De praktijkervaringen verschillen over de exacte omvang van het fraudedifferentiëel per sector, maar de richting is duidelijk: minder authenticatie leidt tot meer fraude.
Voor handelaren is het risico niet alleen financieel. Een hoog fraudetarief schaadt de reputatie van de site bij de kaartuitgevers, die kunnen besluiten om systematisch transacties van deze handelaar te weigeren, zelfs die met authenticatie. De cirkel wordt dan moeilijk te doorbreken.
DSP3 en online betaling: wat er na 2025 op komst is
De Europese Commissie werkt aan de DSP3, die de PSD2 in de komende jaren zou moeten vervangen. De lopende discussies zijn gericht op een verstrenging van de verplichtingen voor authenticatie en een vermindering van de reikwijdte van de uitzonderingen.
Verschillende richtingen tekenen zich af:
- Een striktere regeling van de TRA-uitzondering, met lagere fraudedrempels voor PSP’s die hiervan willen profiteren.
- Een Europese harmonisatie van de uitzonderingspraktijken, die vandaag de dag per land varieert afhankelijk van de interpretatie door de nationale toezichthouders.
- De integratie van nieuwe authenticatiemethoden (gedragsbiometrie, sessietokens) die 3D Secure minder zichtbaar voor de gebruiker kunnen maken, terwijl het beveiligingsniveau behouden blijft.
Als de DSP3 het huidige pad volgt, zullen sites die zonder enige vorm van sterke authenticatie functioneren een regelgevende anomalie worden in plaats van een eenvoudige commerciële strategie. Handelaren die deze omslag niet anticiperen, riskeren hun betalingsinfrastructuur in alle haast te moeten aanpassen.
Conversie en veiligheid: de valse tegenstelling
Het historische argument tegen 3D Secure was de wrijving die het toevoegde aan het aankooptraject. Met versie 2.x van het protocol is deze wrijving aanzienlijk verminderd. Authenticatie gebeurt nu vaak passief, via de analyse van het apparaat en het gedrag van de koper, zonder zichtbare tussenkomst.
De beschikbare gegevens stellen niet vast dat 3D Secure 2.x de conversie significant schaadt in vergelijking met een traject zonder authenticatie. Daarentegen genereert het ontbreken van 3D Secure chargebacks die wel een meetbare impact hebben op de marge.
De economische berekening is veranderd. In 2025 is de vraag voor een handelaar niet langer of hij zonder 3D Secure kan, maar hoe lang hij dat nog kan volhouden voordat de indirecte kosten de veronderstelde voordelen op de conversieratio overschrijden.