En Europa, la Segunda Directiva sobre servicios de pago (DSP2) exige que todos los sitios de e-commerce que realicen cobros con tarjeta bancaria en un sitio web o una aplicación móvil deben proceder a la autentificación fuerte del cliente.
Sin embargo, algunos pagos pueden estar exentos y se pueden realizar sin una autentificación fuerte del titular si se encuentran dentro de las exenciones definidas por el DSP2 (ejemplos: monto bajo, beneficiario de confianza, etc.).
La implementación operativa de estos casos de exención se llevará a cabo de forma progresiva de acuerdo al calendario establecido por el Observatorio de la seguridad de los medios de pago (OSMP) del Banco de Francia y las partes interesadas.
En el caso de los pagos en línea, el emisor de la tarjeta puede oponerse a la falta de autentificación 3-D Secure v2. Por ejemplo, si el emisor detecta una situación inusual (pago desde otro dispositivo, pago desde el extranjero, etc.), puede solicitar una autentificación fuerte.