On passe commande sur Amazon, on clique sur « Acheter maintenant », et le paiement passe sans qu’aucun code de sécurité ne soit demandé par la banque. Pas de SMS, pas de notification sur l’application bancaire. La première fois, on se demande si la transaction est vraiment sécurisée. Ce comportement, loin d’être un bug, repose sur un mécanisme précis encadré par la réglementation européenne et par les choix techniques d’Amazon.
Exemptions DSP2 : le cadre réglementaire qui autorise Amazon à contourner le code
La directive européenne DSP2 impose en principe une authentification forte (SCA) pour les paiements en ligne. Deux facteurs sur trois doivent être validés : quelque chose que l’on connaît (mot de passe, code), quelque chose que l’on possède (téléphone, carte), ou quelque chose que l’on est (empreinte digitale).
A lire aussi : Guide pratique pour accéder à l'ENT La Rochelle facilement depuis chez vous
La même directive prévoit des cas où cette vérification peut être contournée. On parle d’exemptions réglementaires, et Amazon les exploite méthodiquement pour fluidifier le parcours d’achat. Plusieurs situations permettent de s’en passer :
- Les transactions de faible montant, en dessous d’un seuil défini par la réglementation, ne déclenchent pas systématiquement l’authentification forte.
- Le « merchant whitelisting » permet au client de déclarer Amazon comme commerçant de confiance auprès de sa banque, ce qui supprime la vérification pour les achats suivants.
- L’analyse de risque en temps réel (Transaction Risk Analysis) autorise l’émetteur de la carte ou le prestataire de paiement à évaluer le niveau de risque et à accorder une exemption si le taux de fraude reste sous les seuils réglementaires fixés par l’EBA.
On comprend mieux pourquoi la double authentification sur Amazon ne se déclenche pas à chaque commande. Le système repose sur un arbitrage entre sécurité et fluidité, encadré par la loi.
Lire également : Les dernières tendances high-tech et pop culture à ne pas manquer cette année
Détection de fraude interne chez Amazon : ce qui remplace le SMS de votre banque
Si Amazon peut se permettre de ne pas déclencher la vérification bancaire, c’est parce que la plateforme a développé ses propres mécanismes de détection. Le principe est simple : plutôt que de demander un code à chaque achat, Amazon analyse le comportement du compte en temps réel.
Le système évalue plusieurs signaux avant de valider un paiement. L’adresse IP utilisée, le terminal (ordinateur, téléphone), l’historique des commandes, l’adresse de livraison, le montant de la transaction. Quand le profil de risque est jugé faible, la commande passe sans friction.
En revanche, un achat depuis un nouvel appareil, vers une adresse jamais utilisée, avec un montant inhabituel, déclenchera une vérification. On peut recevoir un SMS, une demande de confirmation par e-mail, ou une notification dans l’application bancaire. Le déclenchement dépend du niveau de risque estimé, pas du montant seul.
Ce modèle a une conséquence directe sur l’expérience d’achat. Amazon optimise la conversion en réduisant le nombre d’étapes de validation. Moins de frictions signifie moins d’abandons de panier, ce qui représente un levier commercial majeur pour la plateforme.
Fraude et exemptions : le risque se déplace, pas la sécurité
L’authentification forte a fait baisser de manière significative la fraude sur les paiements en ligne soumis à SCA depuis son déploiement complet. Les rapports des superviseurs européens confirment cette tendance. Les tentatives de fraude ne disparaissent pas pour autant.
Elles se déplacent vers les transactions qui bénéficient justement des exemptions : paiements de faible montant, achats en un clic, commerçants de confiance. Les fraudeurs ciblent les parcours allégés, ceux où aucun code n’est demandé. C’est un effet mécanique de la réglementation.
Le pari d’Amazon sur la fluidité
Amazon investit dans la détection interne pour compenser ce risque. L’objectif est de maintenir un taux de fraude suffisamment bas pour continuer à bénéficier des exemptions DSP2. Si le taux de fraude dépasse les seuils fixés par l’EBA, la banque émettrice peut refuser l’exemption et exiger systématiquement l’authentification forte.
L’équilibre est donc fragile. Amazon doit maintenir un taux de fraude bas pour conserver ses exemptions réglementaires. C’est un cercle : plus la détection interne est performante, moins la banque impose de vérifications, et plus le parcours d’achat reste fluide.
Vérification bancaire refusée sur Amazon : que faire concrètement
Il arrive que la vérification se déclenche et échoue. L’achat est bloqué, la commande ne passe pas. Plusieurs causes sont possibles, et les retours varient sur ce point selon les banques et les configurations de compte.
- Le numéro de téléphone associé à la carte bancaire n’est plus à jour auprès de la banque, ce qui empêche la réception du code SMS.
- L’application bancaire utilisée pour valider le paiement n’est pas activée ou pas à jour sur le téléphone.
- La carte enregistrée sur Amazon a expiré ou a été remplacée sans que le compte Amazon n’ait été mis à jour.
- Le plafond de paiement en ligne de la carte est atteint ou la carte n’autorise pas les transactions internationales.
Le réflexe le plus efficace est de vérifier d’abord les paramètres de sécurité côté banque. Mettre à jour le numéro de téléphone auprès de sa banque résout la majorité des blocages liés à la réception du code de validation.
Côté Amazon
Sur le compte Amazon, on peut aussi supprimer puis réenregistrer le moyen de paiement. Cette manipulation force une nouvelle vérification de la carte et réinitialise les données transmises à la banque lors du prochain achat.
L’absence systématique de double authentification sur Amazon n’est ni un oubli ni une faille. C’est le résultat d’un cadre réglementaire européen qui prévoit des exemptions, combiné à un système de détection de fraude propre à la plateforme. La sécurité du paiement repose sur l’ensemble de la chaîne, de la banque émettrice jusqu’aux algorithmes d’Amazon, et pas uniquement sur un code reçu par SMS.