Het 3D Secure protocol voegt een authenticatiestap toe bij online aankopen met een creditcard. Sinds de volledige toepassing van de Europese richtlijn DSP2 is deze sterke authenticatie de norm geworden voor de meeste transacties. Sommige webwinkels schakelen deze functie niet in, om technische redenen of omdat ze gebruikmaken van regelgevende vrijstellingen. Aankopen op deze platforms brengen specifieke risico’s met zich mee, zowel voor de kaarthouder als voor de handelaar.
Verantwoordelijkheidsoverdracht bij fraude zonder sterke authenticatie
Mechanisme dat het minst zichtbaar is voor de koper, is ook het meest structureel. Wanneer een betaling via 3D Secure verloopt, verschuift de verantwoordelijkheid voor een frauduleuze transactie van de handelaar naar de bank die de kaart uitgeeft. Zonder deze authenticatie draait het schema om.
Aanrader : De sleutels tot succes en het stimuleren van uw bedrijf in 2024
De Banque de France herinnert in zijn Panorama van de fraude met betaalmiddelen 2024 eraan dat de regels van de Monetaire en Financiële Code van toepassing blijven: de uitgever moet de betaler onmiddellijk terugbetalen, tenzij er verdenking van fraude van deze laatste is. De verantwoordelijkheid voor de terugbetaling ligt bij de betalingsdienstverlener wanneer een betaling is gedaan zonder sterke authenticatie terwijl deze vereist was.
In de praktijk betekent dit dat de consument door de wet beschermd blijft. De situatie is veel risicovoller voor de handelaar die ervoor kiest om 3D Secure niet in te schakelen: in geval van een betwisting is hij degene die de financiële verlies draagt. Om te begrijpen waarom sommige handelaren deze keuze desondanks maken, biedt een lijst van sites zonder 3D Secure op Geekfinity een gedetailleerd overzicht van de commerciële motivaties achter deze beslissing.
Lees ook : Navigeren in de wereld van educatieve portals: focus op gebruikersauthenticatie
Fraude met creditcards op sites zonder 3D Secure: een hoger percentage
Het laatste rapport van het Observatorium voor de veiligheid van betaalmiddelen (OSMP) bevestigt een duidelijke trend: het fraudepercentage bij online betalingen met creditcards is continu aan het dalen in de periode 2023-2024, dankzij de generalisatie van sterke authenticatie en 3D Secure 2.
Het rapport verduidelijkt dat transacties die zonder sterke authenticatie worden uitgevoerd, zelfs wanneer ze zijn toegestaan door een regelgevende vrijstelling, een aanzienlijk hoger percentage van de fraude concentreren dan geauthenticeerde transacties. Aankopen op een site die deze verificatie niet uitvoert, plaatst de transactie dus in de statistisch meest blootgestelde categorie.
Hoe een fraudeur de afwezigheid van 3D Secure benut
Zonder sterke authenticatie vereist een frauduleuze aankoop slechts drie gegevens: het kaartnummer, de vervaldatum en de driecijferige visuele cryptogram op de achterkant. Onderzoekers hebben aangetoond dat deze gegevens door brute kracht kunnen worden geraden door gebruik te maken van de antwoorden van de betaalsystemen van bepaalde sites, zoals gerapporteerd door de site Korben.
Het typische scenario verloopt als volgt:
- Een fraudeur verkrijgt een kaartnummer via een phishing-site of een datalek.
- Hij test de kaart op een site zonder 3D Secure, waar geen SMS-code of biometrische validatie wordt gevraagd.
- De transactie wordt binnen enkele seconden goedgekeurd, zonder dat de kaarthouder wordt gewaarschuwd voordat hij zijn bankafschrift ontvangt.
Dit type aanval wordt veel moeilijker, zelfs onmogelijk, wanneer de sterke authenticatie een extra factor vereist die de fraudeur niet heeft (toegang tot de telefoon, vingerafdruk).
Vrijstellingen DSP2: waarom sommige betalingen zonder authenticatie doorgaan
Niet alle online betalingen zonder 3D Secure zijn illegitiem. De DSP2 voorziet in vrijstellingen voor sterke authenticatie in specifieke gevallen:
- Transacties van laag bedrag, onder een door de regelgeving gedefinieerde drempel.
- Terugkerende transacties bij dezelfde handelaar na een eerste succesvolle authenticatie.
- Transacties die als laag risico worden beschouwd door de realtime-analyse van de betalingsdienstverlener (de zogenaamde “frictionless” benadering van 3D Secure 2).
- Aankopen bij vertrouwde begunstigden die eerder door de kaarthouder bij zijn bank zijn geregistreerd.
De “frictionless” modus van 3D Secure 2 verdient bijzondere aandacht. De authenticatie vindt wel plaats, maar is stil: het systeem analyseert op de achtergrond tientallen parameters (gebruikte apparaat, locatie, aankoopgeschiedenis) om te beslissen of een actieve verificatie van de kaarthouder nodig is. De afwezigheid van een pop-up betekent niet de afwezigheid van bescherming.
Het onderscheid is belangrijk. Een site die profiteert van een DSP2-vrijstelling blijft binnen een gecontroleerd regelgevend kader. Een site die eenvoudigweg geen 3D Secure aanbiedt, vaak gehost buiten de Europese Economische Ruimte, heeft geen van deze waarborgen.
Controleer de veiligheid van een site voordat u online met een kaart koopt
Voordat u bankgegevens invoert op een site die geen authenticatie uitvoert, zijn er verschillende punten waarmee u het werkelijke risiconiveau kunt beoordelen.
De aanwezigheid van het HTTPS-slot in de adresbalk garandeert de versleuteling van gegevens in transit, maar zegt niets over de betrouwbaarheid van de handelaar. Een frauduleuze site kan heel goed een SSL-certificaat hebben.
Alternatieve betaalmethoden bieden een extra beschermingslaag. Virtuele creditcards, aangeboden door de meeste banken en fintechs, genereren een uniek kaartnummer dat na de transactie niet meer bruikbaar is. Zelfs in het geval van een datalek, maken de verkregen gegevens geen verdere aankopen mogelijk.
De website van het ministerie van Economie raadt ook aan om nooit uw bankgegevens op een webwinkel op te slaan en om openbare Wi-Fi-netwerken te vermijden voor transacties.
De regelgevende trend gaat naar een versterking van de authenticatie, niet naar versoepeling. De toekomstige richtlijn DSP3 voorziet in een nog striktere regulering van de vrijstellingen en een uitbreiding van de reikwijdte van de sterke authenticatie. Websites die vandaag de 3D Secure om commerciële redenen omzeilen, zullen hun praktijken moeten aanpassen of accepteren dat ze een toenemend financieel risico lopen bij elke betwisting van een transactie.