Si bien existe una obligación de implementación sistemática de 3D Secure v2, existen algunas exenciones.

En el marco de los requisitos reglamentarios de la Directiva sobre servicios de pago n°2 (DSP2), la autenticación fuerte deberá implementarse en todos los sitios de e-commerce que realicen cobros en línea (ya sea en un sitio web o en una aplicación móvil) mediante tarjeta bancaria.

Sin embargo, algunos pagos podrán estar exentos y, por lo tanto, se podrán realizar sin una autenticación fuerte del titular, si son elegibles a las excepciones definidas por el DSP2 (ejemplos: monto bajo, beneficiario de confianza...).

La implementación operativa de estos casos de exención se llevará a cabo de forma progresiva de acuerdo al calendario establecido por el Observatorio de la seguridad de los medios de pago (OSMP) del Banco de Francia y las partes interesadas.

A diferencia de la versión actual 3D Secure v1, en el caso del pago en línea, el establecimiento emisor de la tarjeta podrá rechazar la ausencia de autenticación 3D Secure v2. Solicitará una autenticación al titular si detecta, por ejemplo, una situación inusual (pago desde otro dispositivo, pago desde el extranjero, etc.).