Già nel 2000, l’istituto di carte di credito VISA ha sviluppato una procedura per rendere più sicuro l’uso delle carte di credito su Internet. L’azienda stessa utilizza la tecnologia con il nome “Verified by VISA”. Allo stesso tempo, anche altri fornitori di carte di credito hanno implementato il meccanismo di sicurezza. Ad esempio, 3D Secure si chiama “SecureCode” (ora “Identity Check”) per Mastercard, “SafeKey” per American Express e “J/Secure” per JCB.
In precedenza, il pagamento con carta di credito su Internet era molto semplice: si inserivano i dati della carta di credito negli appositi campi, si confermava il possesso della carta con il Card Validation Code (CVC) che si trova sul retro di ogni carta di credito, e si addebitava sulla carta con un clic del mouse. Chiunque sia in possesso della carta di credito può comunque acquistare prodotti, anche di prezzi elevati, da Internet. Era ovvio che questo metodo non era particolarmente sicuro.
Con la continua espansione del settore e-commerce e il numero crescente di persone che pagano online con le loro carte di credito, aumenta anche l’interesse dei malintenzionati verso le informazioni sulle carte. Soprattutto attraverso il phishing e il social engineering, i malintenzionati ottengono spesso una grande quantità di dati. Per contenere questo fenomeno, è stato sviluppato 3D Secure.
Oltre alle informazioni contenute nella carta (e che ne confermano il possesso), questa procedura richiede l’indicazione di informazioni aggiuntive, come una password che solo il legittimo titolare della carta può conoscere. Si tratta quindi di un’autenticazione a due fattori: infatti sono necessari due diversi tipi di informazioni perché venga addebitato l’importo sulla carta di credito.
Per farlo, il consumatore viene reindirizzato al sito della compagnia della carta di credito e vi inserisce l’ulteriore funzione di sicurezza. Il secondo fattore viene comunicato dall’utente solo alla banca o alla compagnia della carta di credito. Il gestore dello shop online riceve solo la conferma che l’utilizzo della carta è legittimo. Ma anche questo metodo non si è rivelato molto sicuro. Entro il 2016 l’importo delle frodi nell’area SEPA secondo la Banca Centrale Europea è salito a 1,32 miliardi di euro.