Je registreert je creditcard op Amazon, je valideert een bestelling, en de betaling gaat door zonder dat je de cryptogram opnieuw hoeft in te voeren of iets hoeft te bevestigen in de app van je bank. De eerste keer is dat verrassend.
Op de meeste webwinkels moet je de drie cijfers op de achterkant van de kaart invoeren, en vervolgens bevestigen via een sms-code of een banknotificatie. Amazon omzeilt deze twee zichtbare stappen, wat legitieme vragen oproept over de veiligheid van de transactie.
Aanvullende lectuur : Identificatie en kenmerken van exotische vogelsoorten
Waarom vraagt Amazon het cryptogram niet opnieuw bij elke aankoop
Wanneer je een kaart aan je Amazon-account toevoegt, wordt het cryptogram (CVV of CVC) slechts één keer gevraagd, bij de registratie. Daarna vertrouwt Amazon op andere elementen om de legitimiteit van de betaling te verifiëren: factuuradres, consistentie van de kaartgegevens en accountgeschiedenis.
Concreet slaat het systeem het cryptogram niet op (de PCI DSS-normen verbieden dit), maar het heeft het niet meer nodig voor de volgende aankopen. Amazon stuurt een set gegevens naar de uitgevende bank die voldoende is zodat deze de transactie goedkeurt zonder opnieuw om de CVV te vragen.
Verder lezen : Gebruik van de Orange-decoder om een USB-stick te lezen: stappen en voordelen
Dit systeem zien we ook bij andere spelers die de kaart tokeniseren: het echte nummer wordt vervangen door een unieke token, en het is deze token die bij elke betaling circuleert. Om beter te begrijpen waarom 3D Secure afwezig is op Amazon, moet je kijken naar de verdeling van verantwoordelijkheden tussen de verkoper en de bank, niet alleen naar de gebruikersinterface.
Sterke authenticatie en 3D Secure: wat er op de achtergrond gebeurt
De Europese richtlijn DSP2 vereist sterke authenticatie voor online betalingen. In de praktijk gebeurt dit via het 3D Secure-protocol, dat een extra verificatie oproept (notificatie in de bankapp, sms-code, biometrie).
Toch lijkt Amazon deze stap te omzeilen. In werkelijkheid betekent de afwezigheid van zichtbaar 3D Secure niet dat er geen authenticatie is. Verschillende mechanismen kunnen verklaren waarom een betaling doorgaat zonder tussenkomst van de klant:
- De uitgevende bank kan een uitzondering toestaan als zij het risico laag inschat, op basis van haar eigen analysemotor (bescheiden bedrag, kaartgeschiedenis, gebruikelijk gedrag van de kaarthouder).
- De verkoper kan een uitzondering aanvragen op basis van transactionele risicoanalyse (TRA), op voorwaarde dat zijn fraudecijfer onder een wettelijke drempel blijft.
- Sommige kaarten zijn niet geregistreerd in het 3D Secure-systeem, waardoor de verificatie technisch niet kan worden geactiveerd, zelfs als de verkoper het als verplicht instelt.
De technische documentatie van IXOPAY bevestigt dit punt: een betaling die is ingesteld als 3DS “verplicht” kan toch doorgaan als niet-geauthenticeerd als de kaart niet is geregistreerd. 3D Secure is geen binaire schakelaar.
Fraudecijfer Amazon: waarom de bank het risico accepteert
Om regelmatig uitzonderingen op de sterke authenticatie te krijgen, moet het fraudecijfer van een verkoper zeer laag blijven. Amazon investeert massaal in de detectie van verdachte gedragingen in real-time. Elke bestelling wordt gescreend door een risicomotor die tientallen signalen kruist: gebruikt apparaat, IP-adres, aankoopgeschiedenis, afleveradres, surfgedrag.
Dit systeem stelt Amazon in staat om de financiële verantwoordelijkheid in geval van fraude op zich te nemen (de “liability shift” verschuift naar de verkoper wanneer er geen 3D Secure is). Amazon accepteert deze overdracht van verantwoordelijkheid omdat haar algoritmen bijna alle frauduleuze transacties filteren voordat ze worden uitgevoerd.
Voor de uitgevende bank is het een eenvoudige rekensom: als Amazon het verlies in geval van fraude op zich neemt en de meldingen zeldzaam blijven, is er geen reden om de transactie te blokkeren met een extra authenticatie.
Veiligheid van het Amazon-klantenaccount: de bescherming verschuift
Amazon heeft ervoor gekozen een aanzienlijk deel van de beveiliging te verplaatsen naar de toegang tot het account zelf, in plaats van naar elke individuele transactie. Het platform biedt tweefactorauthenticatie (2FA) voor het klantenaccount: wachtwoord plus tijdelijke code via een app of sms.
Deze architecturale keuze heeft een logische basis. Een fraudeur die geen toegang heeft tot het Amazon-account kan de geregistreerde kaart niet misbruiken, zelfs als hij het nummer en het cryptogram kent. De barrière ligt voorafgaand aan de betaling, niet op het moment van de betaling.
Andere spelers hanteren een vergelijkbare aanpak. Revolut, bijvoorbeeld, biedt nu bankkaarten aan zonder zichtbaar nummer dat erop is gedrukt, uitgaande van het principe dat gevoelige gegevens niet fysiek blootgesteld moeten worden. De algemene trend in de sector is om het aanvalsvlak te verkleinen in plaats van de validatiestappen voor de gebruiker te vermenigvuldigen.
Wat te doen als een Amazon-betaling doorgaat zonder bankverificatie
Een betaling die is goedgekeurd zonder 3D Secure en zonder cryptogram betekent niet dat de transactie kwetsbaar is. De reacties variëren hierover afhankelijk van de banken en de kaartconfiguraties, maar in de meeste gevallen dekt de combinatie van de Amazon-risicomotor en de wettelijke uitzonderingen de situatie.
Enkele concrete reflexen om je eigen veiligheid te versterken:
- De tweefactorauthenticatie op je Amazon-account inschakelen (accountinstellingen, sectie “Inloggen en beveiliging”).
- Controleren of de betalingsnotificaties zijn ingeschakeld aan de bankzijde, om onmiddellijk elke niet-herkende transactie op te merken.
- Nooit je kaart registreren op een gedeeld apparaat of een openbaar Wi-Fi-netwerk zonder VPN.
- Regelmatig de bestelgeschiedenis en de apparaten die aan het account zijn gekoppeld controleren.
Het model van Amazon is gebaseerd op een berekende afweging: minder wrijving bij de betaling, meer controle achter de schermen. Zolang het fraudecijfer beheersbaar blijft en de financiële verantwoordelijkheid door de verkoper wordt gedragen, hebben banken geen belang bij het systematisch opleggen van sterke authenticatie. Deze werking is geen vergetelheid of kwetsbaarheid, het is een beveiligingsarchitectuur die zijn vergrendelingen elders plaatst dan waar men ze verwacht.