Dans le cadre des obligations réglementaires de la Deuxième directive des services de paiement (DSP2), l'authentification forte doit être généralisée sur l’ensemble des sites e-commerce qui réalisent des encaissements en ligne (internet ou application mobile) par carte bancaire.
Cependant, certains paiements pourront être exemptés, et ainsi être réalisés sans authentification forte du porteur, s’ils sont éligibles aux exemptions définies par la DSP2 (exemples : faible montant, bénéficiaire de confiance, etc).
La mise en œuvre opérationnelle de ces cas d'exemption se fera progressivement selon le calendrier établi entre l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France et les parties prenantes.
Dans le cas de paiement en ligne, l’établissement émetteur de la carte pourra refuser l'absence d'authentification 3D Secure v2. Il demandera une authentification du porteur s’il détecte, par exemple, une situation non habituelle (paiement depuis un autre équipement, paiement depuis un pays étranger, etc.).