Il existe une obligation de mise en œuvre systématique de 3D Secure v2 mais avec des exemptions possibles.

Dans le cadre des obligations réglementaires de la Directive des Services de Paiement n°2 (DSP2), l'authentification forte doit être généralisée sur l’ensemble des sites e-commerce qui réalisent des encaissements en ligne (internet ou application mobile) par carte bancaire.

Cependant, certains paiements pourront être exemptés, et ainsi être réalisés sans authentification forte du porteur, s’ils sont éligibles aux exemptions définies par la DSP2 (exemples : faible montant, bénéficiaire de confiance, …).

La mise en œuvre opérationnelle de ces cas d'exemption se fera progressivement selon le calendrier établi entre l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France et les parties prenantes.

L’établissement émetteur de la carte, dans le cas de paiement en ligne, pourra refuser l'absence d'authentification 3D Secure v2, contrairement à la version actuelle de 3D Secure v1. Il demandera une authentification du porteur s’il détecte, par exemple, une situation non habituelle (paiement depuis un autre équipement, paiement depuis un pays étranger, etc.).