pour amazon c'est pas une histoire de securité insuffisante ou non du sms.
C'est uniquement pour faciliter le parcours client du paiement, tu ne sors pas du tunnel de commande. la consequence est bien sur une recrudescence d'utilisation de cb volées, heben tant pis ils remboursent et gerent ces problemes et ca leur coute plus cher. J'avais des clients en ecomerce, aucun ne pouvaient se permettre de faire pareil, ils avaient tous les sms activé.
Quand tu t'appelle Amazon tu peux te permettre de garder les n° de carte des clients, et assumer (financièrement) les dégâts d'une fuite de données : Les banques se battrons pour que tu utilises leur services, fraudes ou pas.
Sinon, c'est la banque qui dicte sa loi, et le tunnel de commande, elles, elles s'en foutent. Elles s'en foutent aussi de ton site, d'ailleurs : Le client, si il dépense pas son argent chez toi il le fera ailleurs et la commission ça rentrera quand même dans leur poche.
Le SMS me gêne pas tellement , surtout au delà d'un certain montant par exemple , je trouve ça plutôt rassurant. Installer une appli, paradoxalement, je trouve ça moins sécurisant (car j'ai moins confiance dans les développeurs de la banque et de leurs managers).
Après, même si j'en ai pas connaissance en europe, apparemment aux USA le simjacking ou autre technique d'interception des SMS est un fléau.
Une autre solution (qui existe depuis longtemps en France, souvent payant) c'est d'avoir des n° de carte à usage unique, voir des cartes avec des écran e-ink dessus pour générer des numéros , par exemple sur le CCV , Mais dans tous les cas , c'est quand même le client qui, in fine, paie la technologie qui protège la banque des fraudes :-)