A bank és a kereskedő dönti el, hogy a kockázatelemzés alapján szükséges-e SCA vagy rákerülhet a tranzakció permanens whilelist-re. Ha kiderül, hogy a SCA megfogta volna a visszaélést, akkor ilyenkor a bank vagy a kereskedő bukja a pénzt, az ügyfelet kártalanítják. Ha volt SCA, akkor szinte minden esetben az ügyfél bukja a pénzt, bizonyos nézőpontból a SCA nem az ügyfelet védi, hanem a bankot, az ügyfélnek és a kereskedőnek egy szükséges rossz.
Permanens whitelist lehet például az, hogy minden nap ugyanott veszed meg a reggelit vagy ugyanúgy fizetsz a buszjegyért, teljesen értelmetlen ezért minden alkalommal SCA-t kérni, mindegy, hogy épp elértél-e valami limitet vagy sem. Ugyanígy a kereskedő is mondhat olyat, hogy X össze alatt nem kér SCA-t, ha az ügyfél reklamál, akkor inkább kifizeti, de több időt és pénzt veszt a sor miatt, mintha kb. azonnal elfogadná a tranzakciót. És ugyanígy a bank is mondhatja, hogy szokásos kis összegű tranzakció, nem szopatja az ügyfelet SCA-val.
Aztán vannak azok a bankok és kereskedők, akik minden egyes alkalommal szopatják az ügyfelet SCA-val.