Le fait que ce soit systématique ou non dépend de la banque et d'algorithmes. La banque trace les achats et l'algorithme décide si c'est un achat inhabituel ou non.
Avec LCL par exemple, on peut demander à ce que ce soit systématique pour tous les achats et tous les vendeurs via 2 codes (un code fixe et un code temporaire à usage unique envoyé par SMS). Mais globalement, lorsqu'on paie énormément en ligne (95% de mes achats), la demande ne se fait que si l'achat est considéré inhabituel par l'algorithme (par exemple montant plus élevé que les achats habituels, marchand inconnu, IP inhabituelle, etc...).
Pour les petits montants, je n'ai quasiment jamais de demande (hors conditions évoquées), par contre à partir d'un certain montant c'est systématique. Je règle cependant peu par CB, la très grande majorité du temps j'utilise PayPal sans CB (via prélèvement / virement immédiat avec IBAN). C'est quelque chose que tout le monde ne semble pas savoir, mais avec PayPal on peut avoir plusieurs comptes bancaires pour payer / recevoir, juste en fournissant les RIB et en signant une autorisation. On est pas obligé d'utiliser des CB. Et la différence c'est que via PayPal, la demande d'authentification est systématique (ID/MDP mais aussi code envoyé par SMS, empreinte, appel téléphonique, etc...).
J'ai des CB avec des limites importantes de retrait et peu de limites en achat, car je n'utilise plus du tout d'argent liquide depuis au moins 15 ans. On peut customiser ses limites et services avec son banquier en fonction de son usage. Si on me vole mes CB avec le code, ils ne pourront pas retirer grand chose, mon plafond de retrait aux DAB étant volontairement très bas.