Вопрос к Сбербанку - платежи с банковской карты без подтверждения⁠⁠

Любой трафик делиться на 3ds(сейчас уже везде 2.0) и non3ds, по другому безакцепт.

Если сайт не использует сертификат pci dss (как Али или Joom), то хранить данные карт он не может и есть такая штука, как токенизация - запоминание данных карты по токену (маска карты).
Например в Али вы привязывает карту в ЛК, так же происходит во всяких других сервисах, Аля каршеринг, например.
Так вот первую транзакцию вы проводите с 3ds - с подтверждением платежа по смс, а вот то при последующих покупках вас уже идентифицируют по токену, то есть карту уже знают и списание уже идёт без cvv. Делается это для увеличения конверсии общего потока.
На других ресурсах таких как пополнение транспортных карт или мобильной связи, может вообще изначально быть только по non3ds канал активен.
Но нужно понимать, что в таком случае все риски будут на поставщике услуги а не на банке эквайере или тем более эмитенте. И такие компании идут в эту историю абсолютно осознанно.