Ist der Mastercard IdentityCheck mit 2-Faktor-Authentifizierung nun Pflicht oder nicht?

[jandroid]

Normalerweise erfolgt bei Zahlungen mit Mastercard bei Online-Käufen - bereits seit längerem - immer der Identity Chek mit der 2-Faktor-Authentifizierung. In meinem Fall musste ich dann immer den Secure Code und eine SMSTan eingeben, um die Zahlung freizugeben. Laut Mastercard.de ist die 2-FA seit 2021 Pflicht:

Seit 2021 ist die 2-Faktor-Authentifizierung bei Online-Kartenzahlungen Pflicht. Diese Pflicht basiert auf regulatorischen Vorgaben und betrifft kartenherausgebende Banken und Kartenschemes. Sie stellt sicher, dass nur berechtigte Personen die Zahlung durchführen können.

Auch der Bankenverband schreibt auf seiner Seite:

Jeder, der mit einer Kreditkarte im Internet bezahlen möchte, muss bei Freigabe der Zahlung zusätzlich zur Eingabe der Kartendaten einen weiteren Schritt beachten. Diese Sicherheitsmaßnahme zur Authentifizierung ist für Online-Einkäufe mit Kreditkarte in Europa verpflichtend, so gibt es eine europäische Richtlinie vor.

Gestern habe ich bei Softwareindustrie24 etwas gekauft und mit Mastercard bezahlt. Diesmal musste ich nur die Daten der Mastercard eingeben - ohne 2-FA.
Wie ist das möglich? Ich dachte, das sei nicht mehr zulässig?

Bei meiner Recherche sind mir zwei Dinge aufgefallen. Auf dieser Seite von Mastercard steht folgendes:

Sicher ist sicher: Seit 1. Januar 2021 müssen sich Kunden bei Online-Kartenzahlungen in der Regel doppelt ausweisen

Aha, in der Regel? Also doch nicht zwingend?

Bei meinem Kreditkartenanbieter fand ich zum Identy Check außerdem folgende Angabe:

Woran erkenne ich einen teilnehmenden Händler?
Teilnehmende Händler erkennen Sie an folgendem Symbol:
[Aus Copyrightgründen hier nicht eingefügt]

Also nur die Händler mit einem bestimmten Symbol nehmen Teil, die anderen doch nicht, obwohl es verpflichtend ist?

Bei Wikipedia steht außerdem:

Ohne 3-D Secure haften Webshop-Betreiber für missbräuchlich eingesetzte Kreditkarten.

Also nicht verpflichtend, sondern nur eine Haftungsumkehr? Oder doch verpflichtend und wenn der Händler das nicht einsetzt wird er in die Haftung genommen?

Ist es nur Pflicht als Kartenherausgeber das anzubieten? Ob es der Kunde dann einsezt ist seine Sache?

Alles sehr verwirrend. Ich blicke da ehrlich gesagt nicht durch, was nun gilt. Seid ihr eventuell schlauer als ich und könnt Licht ins Dunkel bringen?