Lo que supongo es que el riesgo es el mismo. Al fin y al cabo el componente para hacer envío de correos está en el servidor y el flash también. El SSL encripta la data que viaja desde el pc del cliente hasta el servidor, asi, cuando llena la forma, los datos llegan seguros hasta el servidor para almacenarlos en la base de datos o enviarlos por correo.

Sino tienes SSL, ese "viaje" se hace vulnerable a los intrusos (claro..intrusos expertos, porque yo ni idea como lo hacen).

Ahora, viendolo bien, hacer un trabajo de encriptar la data en javascript (del lado del cliente) para que haga el viaje "encriptado" y desencriptarlo con ASP o PHP antes de guardarlo en la base de datos podría ser una solución. El asunto es que el Hacker puede ver el código javascript en la página y conocer el mecanismo que se usó para encriptarlo. Asi podrá también hacer la inversa y descifrar la tarjeta de crédito.

Sinceramente lo veo dificil sin SSL.

Saludos, Luis