Dans le cadre des obligations réglementaires de la Directive des Services de Paiement n°2 (DSP2), l'authentification forte doit être généralisée sur l’ensemble des sites e-commerce qui réalisent des encaissements en ligne (internet ou application mobile) par carte bancaire.

Cependant, certains paiements pourront être exemptés, et ainsi être réalisés sans authentification forte du porteur (mode frictionless), s’ils sont éligibles aux exemptions définies par la DSP2 (exemples : faible montant, analyse de risques émetteurs (TRA émetteurs), analyse de risque acquéreurs (TRA acquéreurs), bénéficiaire de confiance, …). Voir Quelles sont les exemptions à l'authentification forte? pour plus d'information.

La mise en œuvre opérationnelle de ces cas d'exemption se fera progressivement selon le calendrier établi entre l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France et les parties prenantes. L'exemption bénéficiaire de confiance est prévu par exemple pour 2022.

L’établissement émetteur de la carte, dans le cas de paiement en ligne, pourra refuser l'absence d'authentification 3D Secure avec un code refus soft decline.

Il demandera une authentification du porteur s’il détecte, par exemple, une situation non habituelle (paiement depuis un autre équipement, paiement depuis un pays étranger, etc.).