Betekent een online betaling die wordt geaccepteerd zonder SMS-code of validatie in uw bankapplicatie dat de webwinkel uw veiligheid negeert? Sinds de generalisatie van het 3D Secure 2.x-protocol en de invoering van de PSD2 in Europa, verdient het antwoord een grondigere lezing dan de simpele reflex “geen 3D Secure = gevaar”. Dit artikel vergelijkt de verschillende scenario’s van betalingen zonder zichtbare authenticatie om het werkelijke risico voor de koper te meten.
Betaling zonder zichtbare authenticatie: wat zegt de PSD2-regelgeving
De Europese richtlijn voor betalingsdiensten (PSD2) verplicht banken tot sterke authenticatie voor online betalingen. Deze verplichting dekt de grote meerderheid van de kaarttransacties op Europese e-commerce websites.
Ook interessant : Alles wat je moet weten over de beoordelingen van Le patrimoscope in 2024
De PSD2 voorziet ook in specifieke uitzonderingen. Een betaling kan in verschillende gereguleerde gevallen worden geaccepteerd zonder zichtbare authenticatiestap, zonder dat dit een overtreding of een teken van fraude betekent.
- Transacties met een laag bedrag, onder een drempel die door de regelgeving is vastgesteld (RTS), kunnen door de uitgevende bank worden vrijgesteld.
- Vaste terugkerende abonnementen vereisen sterke authenticatie alleen bij de eerste vervaldatum, niet bij de volgende.
- Vertrouwde begunstigden, die de kaarthouder voorafgaand bij zijn bank heeft geregistreerd, zijn vrijgesteld van aanvullende verificatie.
- Gedraganalyse (risk-based authentication) stelt de bank of de acquirer in staat om het risico in real-time te beoordelen en de zichtbare stap te verwijderen als de transactie als veilig wordt beschouwd.
Begrijpen de sites zonder 3D Secure in 2025 vereist dat we deze legitieme uitzonderingen onderscheiden van een totale afwezigheid van beveiligingsprotocol aan de zijde van de verkoper.
Aanvullende lectuur : Voorbereiden van je reizen in 2025: de beste apps om problemen te vermijden
3D Secure 2.x en frictionless authenticatie: vergelijkende tabel van scenario’s
Sinds de migratie naar 3D Secure 2.2+ stellen de netwerken Visa en Mastercard zogenaamde “frictionless” trajecten mogelijk: de klant wordt op de achtergrond geauthenticeerd, zonder SMS-code of bankmelding te zien. Het visuele criterium is dus niet langer betrouwbaar om het beschermingsniveau van een site te beoordelen.
| Betalingsscenario | Werkelijke authenticatie | Zichtbare stap voor de klant | Risico voor de koper |
|---|---|---|---|
| 3D Secure 2.x met challenge (SMS, app) | Sterk (PSD2) | Ja | Laag |
| 3D Secure 2.x frictionless | Sterk (achtergrondanalyse) | Nee | Laag |
| PSD2-exemptie (laag bedrag, vertrouwde begunstigde) | Deeltijd of uitgesteld | Nee | Laag tot gematigd |
| Site buiten EER zonder 3DS-protocol | Geen aan de verkoperszijde | Nee | Hoog |
| Frauduleuze of niet-conforme site | Geen | Nee | Zeer hoog |
De tabel benadrukt een belangrijke kloof: de afwezigheid van een zichtbare stap betekent niet altijd een gebrek aan bescherming. Het frictionless scenario en de PSD2-exempties bieden een vergelijkbaar beveiligingsniveau als de klassieke challenge, mits de bank of de betalingsdienstverlener het protocol correct toepast.
Bankverantwoordelijkheid in geval van fraude bij een niet-geauthenticeerde betaling
Wanneer een betaling wordt gedaan zonder sterke authenticatie en er fraude optreedt, verschuift de verantwoordelijkheid naar de actor die de uitzondering heeft ingeroepen. In de praktijk verandert dit de situatie voor een Europese koper.
Als de uitgevende bank of de acquirer een uitzondering heeft toegestaan en er een frauduleuze transactie wordt vastgesteld, neemt de bank de financiële verantwoordelijkheid voor de terugbetaling op zich. De kaarthouder profiteert van de bescherming die de PSD2 biedt en kan de transactie aanvechten bij zijn bank.
Daarentegen geldt deze regelgevende bescherming niet op dezelfde manier voor een site die zich buiten de Europese Economische Ruimte bevindt en geen enkel authenticatieprotocol toepast. De mogelijkheid tot verhaal in geval van fraude hangt dan af van de algemene voorwaarden van het kaartnetwerk (Visa, Mastercard) en het contract met uw bank.
De specifieke situatie van sites buiten Europa
Japan heeft 3D Secure 2.0 verplicht gesteld voor alle e-commercebedrijven sinds maart 2025. Andere markten bewegen in dezelfde richting. Maar veel webwinkels, met name in de Verenigde Staten, zijn niet onderworpen aan enige verplichting die gelijkwaardig is aan de PSD2.
Aankopen op een Amerikaanse site zonder zichtbare authenticatie blijven gebruikelijk. Het risico hangt dan af van de betalingsdienstverlener die door de verkoper wordt gebruikt en van het terugbetalingsbeleid van uw eigen bank, niet van de site zelf.
Concreet signaal om de betrouwbaarheid van een site zonder 3D Secure te evalueren
In plaats van systematisch elk site te vermijden waar de authenticatie niet zichtbaar is, kunnen enkele controles helpen om het werkelijke risico te meten.
- Controleer of de URL begint met HTTPS en of het SSL-certificaat geldig is (hangslot in de adresbalk). Een site zonder gegevensversleuteling is een veel betrouwbaarder waarschuwingssignaal dan de afwezigheid van 3D Secure.
- Identificeer de betalingsdienstverlener: Stripe, Adyen, PayPal of een andere erkende speler integreren hun eigen beveiligings- en fraudedetectielaag, zelfs zonder zichtbare challenge.
- Raadpleeg de wettelijke vermeldingen en de algemene voorwaarden. Een conforme site toont zijn SIRET-nummer (in Frankrijk), zijn fysieke contactgegevens en zijn terugbetalingsbeleid.
Een site die een erkende betalingsdienstverlener gebruikt zonder zichtbare 3D Secure kan net zo veilig zijn als een site met SMS-challenge. Het frictionless authenticatieprotocol werkt op de achtergrond zonder dat de koper het merkt.
Wanneer voorzichtigheid gerechtvaardigd blijft
Een onbekende webwinkel, gehost buiten Europa, zonder wettelijke vermeldingen, met een twijfelachtig SSL-certificaat en een betalingsformulier dat om uw pincode vraagt, verzamelt signalen die niets met 3D Secure te maken hebben. In dit geval voegt de afwezigheid van zichtbare authenticatie zich bij een reeks aanwijzingen, zonder de belangrijkste oorzaak te zijn.
De meest betrouwbare benadering in 2025 is om de volledige beveiligingsketen van de site te evalueren (versleuteling, betalingsdienstverlener, juridische conformiteit) in plaats van alleen te vertrouwen op de aanwezigheid of afwezigheid van een zichtbare bankvalidatiestap. De massale migratie naar 3D Secure 2.x frictionless maakt dit geïsoleerde criterium steeds minder relevant om de betrouwbaarheid van een online aankoop te beoordelen.