Так же иногда возможно сделать аккуратную переадресацию на свой магазин/заказ - придёт смс на ту же сумму, но оплата уйдёт совсем не тому магазину, на котором вбивали данные.
Дальше больше, на хабре пишут что смс с кодом подтверждения не всегда обязателен, даже если 3DS включен. Т.е. угона данных карты достаточно для её опустошения.
Еще круче со смартфонами - посмотрите сколько приложений требует доступ к смс, даже если они им нафиг не нужны. И написав такое приложение или получив доступ к админке, можно сопоставить с базой пластика, которые без смс ну никак. И это только кажется технически сложным...
Как вывод: дополнительная смс валидация это хорошо и лучше чем без неё, но надежность процентов 90 или ниже.