Dès 2000, VISA a développé une procédure pour rendre l’utilisation des cartes de crédit sur Internet plus sûre. L’entreprise utilise sa propre technologie sous le nom de « Verified by VISA ». En parallèle, d’autres fournisseurs de cartes de crédit ont également mis en œuvre le mécanisme de sécurité. Par exemple, 3D Secure s’appelle chez Mastercard « SecureCode » (maintenant « Identity Check »), chez American Express « SafeKey » et pour JCB « J/Secure ».
Avant, le paiement sur Internet par carte de crédit était très simple : vous saisissiez les informations de votre carte dans les champs appropriés, confirmiez d’une certaine manière que vous possédiez la carte avec le code de validation de carte (CVC) qui se trouve à son dos, et validiez en un clic. Toute personne en possession de la carte de crédit pouvait donc acheter des produits sur Internet, même ceux à des prix très élevés. Cette méthode bien sûr ne donnait pas toutes les garanties de sécurité que l’on pouvait espérer.
Au fur et à mesure que le commerce électronique se développait et que de plus en plus de gens payaient en ligne avec leur carte de crédit, l’intérêt des criminels pour les cartes de crédit augmentait également. Particulièrement à travers le phishing et le social engineering, ils obtiennent souvent les données dont ils ont besoin. C’est donc dans l’idée de contenir ce développement que 3D Secure a été développé.
En plus des informations contenues sur la carte, la procédure nécessite de fournir des informations supplémentaires, telles qu’un mot de passe que seul le titulaire légitime de la carte de crédit peut connaître. Il s’agit donc d’une authentification à deux facteurs : deux données différentes sont requises pour que la carte de crédit soit débitée.
Pour ce faire, le consommateur est redirigé vers le site de la société émettrice de la carte de crédit et y entre les données de sécurité supplémentaires. Le second facteur n’est communiqué par l’utilisateur qu’à la banque ou la société émettrice de la carte de crédit. L’exploitant de la boutique en ligne reçoit alors simplement la confirmation que l’utilisation de la carte est autorisée. Toutefois, cette méthode aussi ne s’est pas avérée très sûre. En 2016, le montant des fraudes dans la zone SEPA est passé à 1,32 milliard d’eurosselon la Banque centrale européenne.