We plaatsen een bestelling op Amazon, we klikken op “kopen”, en de betaling wordt goedgekeurd zonder dat er een SMS-code of bankmelding verschijnt. Voor wie gewend is om elke online aankoop te bevestigen via een pop-up van zijn bank, lijkt de situatie abnormaal. Het mechanisme achter deze schijnbare afwezigheid van 3D Secure berust op een spel van regelgevende vrijstellingen en technische keuzes die Amazon beter beheerst dan de meeste e-commercebedrijven.
Vrijstellingen SCA en richtlijn DSP2: wat er achter de schermen gebeurt tijdens een Amazon-betaling
Wanneer we het hebben over 3D Secure, hebben we het in werkelijkheid over een protocol dat wordt geactiveerd door de bank die de kaart uitgeeft, niet door de verkoper. De Europese richtlijn DSP2 vereist een sterke klantauthenticatie (SCA) voor online betalingen, maar voorziet ook in een reeks vrijstellingen. Daar draait alles om.
Ook interessant : Percko T-shirt bij Decathlon voor vrouwen: echte effectiviteit voor de houding?
Amazon steunt op deze vrijstellingen om te voorkomen dat de 3D Secure-uitdaging bij elke transactie wordt geactiveerd. De meest gebruikte is de “transaction risk analysis” (TRA): als de verkoper aantoont dat het fraudetarief voldoende laag is, kan de bank de betaling goedkeuren zonder zichtbare authenticatie. Met aanzienlijke transactievolumes en zeer geavanceerde gedragsanalyse-tools voldoet Amazon ruimschoots aan de criteria om deze vrijstellingen aan te vragen.
Om dieper in te gaan op de dubbele authenticatie 3D Secure op Amazon, moet men begrijpen dat de uiteindelijke beslissing bij de uitgevende bank ligt. Amazon stuurt een verzoek om vrijstelling, maar het is de bank die accepteert of weigert. Wanneer de bank van mening is dat het risico laag is, valideert zij zonder extra verificatie te activeren.
Aanrader : Regionale online banken: deze platforms die aan kracht winnen
Andere veelvoorkomende vrijstellingen zijn lage bedragen en terugkerende betalingen. Een Amazon Prime-abonnement dat elke maand wordt verlengd of een kleine aankoop zal vrijwel nooit 3D Secure activeren, omdat de regelgeving zelf deze gevallen voorziet.
Gedragsanalyse Amazon: waarom beveiliging niet via een SMS-code gaat
Men reduceert vaak de beveiliging van een online betaling tot de code die per SMS wordt ontvangen. Dat is een fout perspectief. Amazon heeft een fraudedetectiesysteem opgebouwd dat werkt voordat de transactie zelfs maar aan de bank wordt voorgelegd.
Concreet analyseert Amazon tientallen signalen bij elke aankoop: het gebruikte apparaat, het IP-adres, de bestelgeschiedenis, het afleveradres, het surfgedrag, de klikfrequentie. Als al deze signalen overeenkomen met het gebruikelijke profiel van de koper, wordt het risico als minimaal beoordeeld en is er geen extra verificatie nodig.
Dit scoringssysteem vervangt in de praktijk de rol van 3D Secure voor de meeste transacties. De 3D Secure wordt alleen geactiveerd wanneer er een waarschuwingssignaal verschijnt: nieuwe kaart, ongebruikelijk afleveradres, hoog bedrag op een recent account, inloggen vanaf een onbekend apparaat.
Voor de gebruiker lijkt het alsof Amazon de beveiliging “omzeilt”. De werkelijkheid is omgekeerd: de verificatie vindt plaats, maar is onzichtbaar. Dit model wordt trouwens aangehaald in conferenties tussen regelgevers en banken als een gebruiksvoorbeeld van de TRA-vrijstellingen die door de DSP2 zijn voorzien.
Concreet gevolgen voor de koper in geval van fraude op Amazon
Wanneer een verkoper een SCA-vrijstelling gebruikt en er fraude plaatsvindt, valt de financiële verantwoordelijkheid terug op de verkoper, niet op de klant. Dit is een punt dat velen negeren. Amazon neemt dit risico omdat het fraudetarief laag genoeg blijft zodat de totale kosten lager zijn dan die van het verlaten van de winkelwagentjes veroorzaakt door de 3D Secure.
Want 3D Secure heeft een echte commerciële kost. Bij elke extra authenticatiestap haakt een bepaald aantal kopers af: probleem met het ontvangen van de SMS, bankapp die niet reageert, time-out. Grote e-commercebedrijven meten dit afhaakpercentage nauwkeurig en maken een afweging tussen frictie en beveiliging.
Wat te doen als je een verdachte afschrijving constateert
- Controleer de bestelgeschiedenis in het Amazon-account, inclusief gearchiveerde bestellingen en geregistreerde secundaire betaalmethoden
- Neem contact op met de klantenservice van Amazon om de transactie te melden, omdat de verkoper verantwoordelijk is in geval van een geaccepteerde SCA-vrijstelling
- Waarschuw je bank om een blokkade aan te vragen als er een ongeautoriseerde toegang tot het account wordt vermoed, en vraag om een terugbetaling via de chargeback-procedure
De getuigenis van een Reddit-gebruiker illustreert goed de valstrik: een vergeten secundaire betaalmethode, die nooit is verwijderd, die het mogelijk maakt om een aankoop te valideren zonder enige tussenkomst. Verwijder ongebruikte kaarten uit je Amazon-account blijft de meest effectieve reflex.
Tokenisatie en geregistreerde kaart: de rol van de bank bij de betaling zonder 3D Secure
Een ander technisch mechanisme verklaart de afwezigheid van zichtbare 3D Secure: tokenisatie. Wanneer je een creditcard registreert op Amazon, wordt het echte nummer niet opgeslagen. Amazon bewaart een token dat door het kaartnetwerk of de uitgevende bank is verstrekt.
Dit token is gekoppeld aan het apparaat, het account en de verkoper. De uitgevende bank herkent deze combinatie als betrouwbaar en behandelt tokenized betalingen als transacties met een verlaagd risico. Resultaat: geen 3D Secure-uitdaging geactiveerd.
De reacties variëren op dit punt afhankelijk van de banken. Sommige activeren toch een verificatie bij het aanvankelijke toevoegen van de kaart of na een wijziging van apparaat. Anderen passen tokenisatie transparant toe vanaf de eerste aankoop. Het exacte gedrag hangt af van het beleid van de uitgever, niet van Amazon.
Verificatie bij het registreren van een nieuwe kaart
Amazon kan een micro-debit of een verificatiecode vragen op het moment dat je een kaart toevoegt. Deze unieke stap dient als initiële SCA. Eenmaal gevalideerd, verlopen de volgende aankopen zonder zichtbare authenticatie zolang het risicoprofiel stabiel blijft.
De afwezigheid van 3D Secure op Amazon is dus geen gat in de beveiliging. Het is het resultaat van een combinatie van DSP2-regelgevende vrijstellingen, real-time gedragsanalyse en banktokenisatie. Het systeem werkt omdat Amazon de financiële verantwoordelijkheid voor niet-geauthentificeerde fraude draagt, een risico dat maar weinig kleinere verkopers zich kunnen veroorloven om te dragen.