La directive européenne sur les services de paiement (DSP2) impose depuis plusieurs années l’authentification forte pour les transactions en ligne par carte. En 2025, le cadre réglementaire se resserre encore. Les marchands qui continuent d’opérer sans 3D Secure exploitent des exemptions prévues par la loi, mais ces marges de manœuvre se réduisent trimestre après trimestre sous la pression des régulateurs et des réseaux de cartes.
Transfert de responsabilité fraude : ce que les marchands sous-estiment
Le mécanisme le moins visible pour un e-commerçant qui refuse le 3D Secure concerne le liability shift. Depuis que Visa et Mastercard ont fait évoluer leurs programmes de responsabilité entre 2023 et 2025, un marchand sans 3D Secure supporte seul le coût des chargebacks frauduleux. L’acquéreur et l’émetteur de la carte ne couvrent plus la fraude si l’authentification forte n’a pas été déclenchée.
A voir aussi : Qui est le propriétaire actuel du Ritz Paris ? Histoire et évolution jusqu'en 2025
Concrètement, un site qui traite un volume significatif de transactions sans authentification accumule des impayés que sa banque acquéreuse ne prend plus en charge. Au-delà d’un certain seuil de chargebacks, les réseaux de cartes appliquent des programmes de surveillance assortis de pénalités financières croissantes. Plusieurs marchands européens ont vu leurs frais de traitement augmenter fortement après avoir été placés sous monitoring par Visa ou Mastercard.
La situation des sites sans 3D Secure en 2025 reste légale tant que les exemptions sont correctement documentées, mais le coût financier réel dépasse souvent l’économie supposée sur le taux de conversion.
A lire en complément : Prépa animation ou entrée directe en école, comment choisir sa voie sans regret
Exemptions SCA en 2025 : un cadre de plus en plus surveillé
La réglementation européenne prévoit plusieurs cas où l’authentification forte peut être contournée : transactions de faible montant, analyse de risque en temps réel (TRA), bénéficiaires de confiance inscrits en liste blanche, ou encore paiements récurrents après une première authentification. Ces exemptions existent pour préserver la fluidité du parcours d’achat.
L’Autorité bancaire européenne (EBA) a publié fin 2024 plusieurs mises à jour de ses Q&A sur la DSP2. Le message est direct : les exemptions doivent rester minoritaires, documentées et surveillées. Les prestataires de services de paiement (PSP) qui laissent passer un volume trop élevé de transactions exemptées s’exposent à des contrôles renforcés et à des injonctions de limiter le recours aux parcours sans authentification.
Pour un marchand, cela signifie que même si son PSP accepte aujourd’hui de router certaines transactions sans 3D Secure via l’exemption TRA, rien ne garantit que cette possibilité sera maintenue dans six mois. Les PSP ajustent leurs seuils en fonction de la pression réglementaire.
Les exemptions encore utilisables et leurs conditions
- Les transactions de faible montant (généralement en dessous d’un seuil fixé par le réseau) restent exemptées, mais un plafond cumulé s’applique. Au-delà, l’authentification forte redevient obligatoire.
- L’analyse de risque en temps réel (TRA) permet au PSP de contourner le 3D Secure si son taux de fraude global reste sous un certain palier. Un PSP dont le taux de fraude augmente perd cette faculté.
- La liste blanche (bénéficiaires de confiance) repose sur une décision du porteur de carte auprès de sa banque. Le marchand n’a aucun contrôle direct sur cette inscription.
Fraude sur les paiements internet sans authentification forte : les données terrain
La Banque de France, dans le rapport annuel 2024 de l’Observatoire de la sécurité des moyens de paiement, relève une tendance nette. La fraude sur les paiements internet par carte augmente là où l’authentification forte n’est pas systématiquement appliquée. Les transactions protégées par 3D Secure 2.x affichent un taux de fraude nettement inférieur au reste.
Ce constat pousse les régulateurs français à déconseiller les configurations sans 3DS au-delà de cas d’usage très ciblés. Les retours terrain divergent sur l’ampleur exacte du différentiel de fraude selon les secteurs, mais la direction est claire : moins d’authentification produit plus de fraude.
Pour les marchands, le risque n’est pas seulement financier. Un taux de fraude élevé dégrade la réputation du site auprès des émetteurs de cartes, qui peuvent décider de refuser systématiquement les transactions provenant de ce marchand, même celles avec authentification. Le cercle devient alors difficile à inverser.
DSP3 et paiement en ligne : ce qui se prépare après 2025
La Commission européenne travaille sur la DSP3, qui devrait remplacer la DSP2 dans les années à venir. Les discussions en cours portent sur un durcissement des obligations d’authentification et sur une réduction du périmètre des exemptions.
Plusieurs orientations se dessinent :
- Un encadrement plus strict de l’exemption TRA, avec des seuils de fraude plus bas pour les PSP souhaitant en bénéficier.
- Une harmonisation européenne des pratiques d’exemption, qui varie aujourd’hui d’un pays à l’autre selon l’interprétation des régulateurs nationaux.
- L’intégration de nouvelles méthodes d’authentification (biométrie comportementale, tokens de session) qui pourraient rendre le 3D Secure moins visible pour l’utilisateur tout en maintenant le niveau de sécurité.
Si la DSP3 suit la trajectoire actuelle, les sites fonctionnant sans aucune forme d’authentification forte deviendront une anomalie réglementaire plutôt qu’une simple stratégie commerciale. Les marchands qui n’anticipent pas ce virage risquent de devoir adapter leur infrastructure de paiement dans l’urgence.
Conversion et sécurité : la fausse opposition
L’argument historique contre le 3D Secure reposait sur la friction qu’il ajoutait au parcours d’achat. Avec la version 2.x du protocole, cette friction a considérablement diminué. L’authentification se fait désormais souvent de manière passive, via l’analyse du terminal et du comportement de l’acheteur, sans intervention visible.
Les données disponibles ne permettent pas de conclure que le 3D Secure 2.x dégrade significativement la conversion par rapport à un parcours sans authentification. En revanche, l’absence de 3D Secure génère des chargebacks qui, eux, ont un impact mesurable sur la marge.
Le calcul économique a changé. En 2025, la question pour un marchand n’est plus de savoir s’il peut se passer du 3D Secure, mais combien de temps il peut encore le faire avant que les coûts indirects ne dépassent le bénéfice supposé sur le taux de conversion.