We plaatsen een bestelling op Amazon, we klikken op “Nu kopen”, en de betaling gaat door zonder dat er een beveiligingscode door de bank wordt gevraagd. Geen SMS, geen melding in de bankapp. De eerste keer vraag je je af of de transactie echt veilig is. Dit gedrag, dat verre van een bug is, berust op een specifiek mechanisme dat wordt omkaderd door de Europese regelgeving en de technische keuzes van Amazon.
Uitzonderingen DSP2: het regelgevend kader dat Amazon toestaat de code te omzeilen
De Europese richtlijn DSP2 vereist in principe een sterke authenticatie (SCA) voor online betalingen. Twee van de drie factoren moeten gevalideerd worden: iets dat je kent (wachtwoord, code), iets dat je bezit (telefoon, kaart), of iets dat je bent (vingerafdruk).
Ook interessant : Waarom kiezen voor een online vastgoedgids om uw zoekopdrachten te optimaliseren
Dezelfde richtlijn voorziet in gevallen waarin deze verificatie kan worden omzeild. We spreken van regelgevende uitzonderingen, en Amazon maakt hier systematisch gebruik van om het aankooptraject te versoepelen. Verschillende situaties maken het mogelijk om zonder te doen:
- Transacties van lage bedragen, onder een door de regelgeving gedefinieerde drempel, triggeren niet automatisch de sterke authenticatie.
- De “merchant whitelisting” stelt de klant in staat om Amazon als vertrouwde handelaar bij zijn bank te registreren, wat de verificatie voor de volgende aankopen opheft.
- De realtime risicoanalyse (Transaction Risk Analysis) stelt de kaartuitgever of betalingsdienstverlener in staat om het risiconiveau te evalueren en een uitzondering toe te kennen als het fraudetarief onder de door de EBA vastgestelde drempels blijft.
We begrijpen beter waarom de dubbele authenticatie op Amazon niet bij elke bestelling wordt geactiveerd. Het systeem berust op een afweging tussen veiligheid en soepelheid, omkaderd door de wet.
Lees ook : Waarom de puff steeds meer dagelijkse aantrekkingskracht heeft
Interne fraudedetectie bij Amazon: wat de SMS van uw bank vervangt
Als Amazon zich kan veroorloven om de bankverificatie niet te activeren, is dat omdat het platform zijn eigen detectiemechanismen heeft ontwikkeld. Het principe is eenvoudig: in plaats van bij elke aankoop om een code te vragen, analyseert Amazon het gedrag van het account in realtime.
Het systeem evalueert verschillende signalen voordat een betaling wordt gevalideerd. Het gebruikte IP-adres, het apparaat (computer, telefoon), de bestelgeschiedenis, het afleveradres, het bedrag van de transactie. Wanneer het risicoprofiel als laag wordt beoordeeld, gaat de bestelling zonder frictie door.
Daarentegen zal een aankoop vanaf een nieuw apparaat, naar een nog nooit gebruikt adres, met een ongebruikelijk bedrag, een verificatie activeren. Je kunt een SMS ontvangen, een bevestigingsverzoek per e-mail, of een melding in de bankapp. De activering hangt af van het geschatte risiconiveau, niet alleen van het bedrag.
Dit model heeft een directe consequentie voor de winkelervaring. Amazon optimaliseert de conversie door het aantal validatiestappen te verminderen. Minder frictie betekent minder winkelwagentjes die worden verlaten, wat een belangrijke commerciële hefboom voor het platform vertegenwoordigt.
Fraude en uitzonderingen: het risico verschuift, niet de veiligheid
De sterke authenticatie heeft de fraude bij online betalingen die aan SCA zijn onderworpen, aanzienlijk verminderd sinds de volledige uitrol. De rapporten van de Europese toezichthouders bevestigen deze trend. De pogingen tot fraude verdwijnen echter niet.
Ze verschuiven naar de transacties die juist profiteren van de uitzonderingen: betalingen van lage bedragen, aankopen met één klik, vertrouwde handelaren. Fraudeurs richten zich op de versoepelde trajecten, waar geen code wordt gevraagd. Dit is een mechanisch effect van de regelgeving.
De inzet van Amazon op soepelheid
Amazon investeert in interne detectie om dit risico te compenseren. Het doel is om een fraudetarief voldoende laag te houden om te blijven profiteren van de DSP2-uitzonderingen. Als het fraudetarief de door de EBA vastgestelde drempels overschrijdt, kan de uitgevende bank de uitzondering weigeren en systematisch de sterke authenticatie eisen.
De balans is dus fragiel. Amazon moet een laag fraudetarief handhaven om zijn regelgevende uitzonderingen te behouden. Het is een cirkel: hoe beter de interne detectie, hoe minder de bank verificaties oplegt, en hoe soepeler het aankooptraject blijft.
Bankverificatie geweigerd op Amazon: wat concreet te doen
Soms wordt de verificatie geactiveerd en mislukt. De aankoop wordt geblokkeerd, de bestelling gaat niet door. Er zijn verschillende mogelijke oorzaken, en de reacties variëren hierover afhankelijk van de banken en de accountconfiguraties.
- Het telefoonnummer dat aan de bankkaart is gekoppeld, is niet meer up-to-date bij de bank, waardoor de ontvangst van de SMS-code wordt verhinderd.
- De bankapp die wordt gebruikt om de betaling te valideren, is niet geactiveerd of niet up-to-date op de telefoon.
- De kaart die op Amazon is geregistreerd, is verlopen of vervangen zonder dat het Amazon-account is bijgewerkt.
- De limiet voor online betalingen van de kaart is bereikt of de kaart staat geen internationale transacties toe.
De meest effectieve reflex is om eerst de beveiligingsinstellingen aan de bankzijde te controleren. Het bijwerken van het telefoonnummer bij de bank lost de meeste blokkades op die verband houden met het ontvangen van de validatiecode.
Aan de Amazon-kant
Op het Amazon-account kun je ook de betaalmethode verwijderen en opnieuw registreren. Deze handeling dwingt een nieuwe verificatie van de kaart af en reset de gegevens die naar de bank worden verzonden bij de volgende aankoop.
De systematische afwezigheid van dubbele authenticatie op Amazon is noch een vergetelheid, noch een tekortkoming. Het is het resultaat van een Europees regelgevend kader dat uitzonderingen voorziet, gecombineerd met een fraudedetectiesysteem dat specifiek is voor het platform. De veiligheid van de betaling berust op de gehele keten, van de uitgevende bank tot de algoritmen van Amazon, en niet alleen op een code die per SMS wordt ontvangen.