Das Kreditkarteninstitut VISA hat bereits im Jahr 2000 ein Verfahren entwickelt, das die Verwendung von Kreditkarten im Internet sicherer machen sollte. Das Unternehmen selbst verwendet die Technik unter dem Namen „Verified by VISA“. Gleichzeitig haben auch andere Anbieter von Kreditkarten den Sicherheitsmechanismus bei sich implementiert. 3D Secure heißt bei Mastercard beispielsweise „SecureCode“ (inzwischen „Identity Check“), bei American Express „SafeKey“ und bei JCB „J/Secure“.
Zuvor lief eine Bezahlung per Kreditkarte im Internet sehr simpel ab: Man gab seine Kreditkarteninformationen in die entsprechenden Felder ein, bestätigte den Besitz der Karte mit dem Card Validation Code (CVC), der auf der Rückseite jeder Kreditkarte zu finden ist, und belastete die Karte mit einem Mausklick. Jeder, der im Besitz der Kreditkarte war, konnte somit Produkte – auch mit hochpreisige – aus dem Internet kaufen. Dass diese Methode nicht sonderlich sicher ist, war offensichtlich.
Da sich der E-Commerce-Bereich immer weiter ausweitet und immer mehr Menschen online mit der Kreditkarte zahlen, nimmt auch das Interesse von Kriminellen an den Karteninformationen zu. Besonders durch Phishing und Social Engineering kommen Kriminelle vielfach an Daten. Um diese Entwicklung einzudämmen, wurde 3D Secure entwickelt.
Zusätzlich zu den Informationen, die sich auf der Karte befinden (und damit deren Besitz bestätigen), muss bei diesem Verfahren eine weitere Information angegeben werden, etwa ein Passwort, das nur der rechtmäßige Besitzer der Kreditkarte wissen kann. Es handelt sich also um eine Zwei-Faktor-Authentisierung: Es werden zwei unterschiedliche Merkmale benötigt, um die Belastung der Kreditkarte zu veranlassen.
Dafür wird der Verbraucher auf die Seite des Kreditkarteninstituts weitergeleitet und gibt dort das zusätzliche Sicherheitsmerkmal ein. Den zweiten Faktor teilen Nutzer somit nur der Bank bzw. dem Kreditkarteninstitut mit. Der Betreiber des Onlineshops erhält anschließend nur die Bestätigung, dass die Verwendung der Karte rechtmäßig ist. Doch auch diese Methode hat sich nicht als sehr sicher herausgestellt. Bis zum Jahr 2016 ist die Betrugssumme im SEPA-Raum laut europäischer Zentralbank auf 1,32 Milliarden Euro angewachsen.