Finanse

Autentykacja 3D Secure i bezpieczeństwo płatności online

Płatności kartą przez internet są dziś tak powszechne, że trudno wyobrazić sobie zakupy bez tej opcji. Problem pojawia się jednak, gdy ta wygoda idzie w parze z ryzykiem — wyłudzenia danych kart płatniczych wciąż należą do jednych z najczęściej zgłaszanych cyberprzestępstw finansowych. Właśnie dlatego 3D Secure stało się standardem, bez którego nowoczesna autoryzacja transakcji kartowych nie byłaby możliwa.

Jak działa 3D Secure podczas zakupów kartą online

Protokół 3D Secure (w skrócie 3DS) to dodatkowa warstwa weryfikacji, która działa pomiędzy sklepem internetowym a bankiem wydającym kartę. Nazwa pochodzi od angielskiego „Three-Domain Secure” — odwołania do trzech domen uczestniczących w procesie: domeny akceptanta (sklep), domeny wydawcy (bank) oraz domeny systemu kartowego (Visa, Mastercard i inne).

Mechanizm można opisać w kilku krokach. Klient wpisuje dane karty w formularzu płatniczym — numer, datę ważności i kod CVV. Następnie sklep przekazuje żądanie autoryzacji do systemu płatniczego, a ten odpytuje bank o profil ryzyka transakcji. Tu zaczyna się najważniejszy etap — weryfikacja tożsamości właściciela karty.

W praktyce użytkownik najczęściej trafia na stronę lub nakładkę swojego banku, gdzie musi potwierdzić transakcję. Może to być jednorazowy kod SMS, powiadomienie push w aplikacji mobilnej banku lub biometryczna autoryzacja odciskiem palca. Dopiero po pozytywnej weryfikacji środki zostają zarezerwowane i transakcja dochodzi do skutku.

Różnica między wersją 3DS1 a 3DS2

Pierwotna wersja protokołu — 3DS1 — przez wiele lat była standardem, ale miała poważne wady. Przekierowywała użytkownika na oddzielną stronę banku, co często kończyło się nieczytelnym interfejsem, problemami na urządzeniach mobilnych i porzucaniem koszyka.

Wersja 3DS2, wprowadzana od 2019 roku, radykalnie zmieniła podejście. System analizuje dziesiątki parametrów transakcji w tle — lokalizację, używane urządzenie, historię zakupów, kwotę — zanim zdecyduje, czy potrzebna jest aktywna weryfikacja użytkownika. Przy transakcjach uznanych za niskie ryzyko klient w ogóle nie jest pytany o hasło czy kod. To tzw. „frictionless flow”, czyli przepływ bez tarcia, który radykalnie poprawił komfort zakupów przy zachowaniu wysokiego poziomu bezpieczeństwa.

Bezpieczne płatności a odpowiedzialność za nieautoryzowane transakcje

Jednym z aspektów, który interesuje użytkowników bardziej niż technikalia protokołów, jest pytanie: kto ponosi odpowiedzialność, gdy dojdzie do oszustwa? Tu 3D Secure ma bezpośredni wpływ na podział ryzyka.

W transakcjach bez weryfikacji 3DS odpowiedzialność za nieautoryzowane obciążenie w większości przypadków spoczywa na sklepie internetowym lub agentie rozliczeniowym. Gdy transakcja przejdzie przez 3D Secure i zostanie potwierdzona przez właściciela karty, odpowiedzialność przesuwa się na bank wydający. Dla sprzedawców oznacza to ochronę przed chargebackiem — procedurą, w której klient żąda zwrotu środków.

Z perspektywy konsumenta sytuacja wygląda nieco inaczej. Polska ustawa o usługach płatniczych, implementująca europejską dyrektywę PSD2, nakłada na banki obowiązek zwrotu środków z nieautoryzowanej transakcji najpóźniej do końca następnego dnia roboczego. Jednak jeśli bank udowodni, że klient działał rażąco niedbale — np. podał kod SMS na fałszywej stronie podstawionej przez przestępców — odpowiedzialność może spaść na użytkownika.

To właśnie dlatego tak istotne jest, aby podczas zakupów kartą weryfikować autentyczność strony, na której się potwierdza transakcję. Bank nigdy nie wysyła kodu SMS z prośbą o podanie go przez telefon ani e-mail. Kod służy wyłącznie do wpisania w dedykowanym oknie pojawiającym się podczas płatności.

Silne uwierzytelnianie klientów — wymogi wynikające z PSD2

Wdrożenie 3DS2 ściśle wiąże się z regulacją PSD2 (Payment Services Directive 2) i wywodzącym się z niej wymogiem SCA — Strong Customer Authentication, czyli silnego uwierzytelniania klientów. Zgodnie z tymi zasadami, każda transakcja płatności elektronicznej powinna być potwierdzona co najmniej dwoma z trzech czynników:

  • Wiedza — coś, co tylko klient wie: hasło, PIN, odpowiedź na pytanie zabezpieczające
  • Posiadanie — coś, co klient ma: telefon komórkowy z kartą SIM, token sprzętowy, aplikacja bankowa
  • Cecha biometryczna — coś, czym klient jest: odcisk palca, rozpoznanie twarzy, skan tęczówki

Połączenie kodu SMS (posiadanie) z numerem PIN do aplikacji (wiedza) spełnia wymogi SCA. Bank autoryzuje transakcję dopiero po spełnieniu obu warunków, co sprawia, że samo poznanie numeru karty i CVV nie wystarczy przestępcy do przeprowadzenia zakupu.

Przepisy przewidują też wyjątki od obowiązku SCA. Transakcje poniżej 30 euro, płatności na rzecz zaufanych odbiorców wpisanych przez klienta na listę whitelist, transakcje cykliczne o stałej kwocie czy płatności inicjowane przez sprzedawcę (MIT) mogą być realizowane bez aktywnego uwierzytelnienia. Granica 30 euro ma jednak swój limit — po pięciu kolejnych transakcjach bez SCA lub po przekroczeniu łącznej kwoty 100 euro bank jest zobowiązany wymagać silnego uwierzytelnienia.

Warto pamiętać, że poziom bezpieczeństwa w całym systemie zależy od tego, jak banki i agenci rozliczeniowi wdrożyli te wymogi. Nie wszystkie instytucje robią to jednakowo — stąd różnice w doświadczeniach użytkowników przy płatnościach w różnych bankach lub na różnych platformach.

Ataki na użytkowników kart mimo działającego 3D Secure

Protokół 3D Secure skutecznie eliminuje jedną klasę ataków — nieautoryzowane transakcje z wykorzystaniem samych danych karty. Nie jest jednak panaceum na wszystkie zagrożenia związane z płatnościami online. Przestępcy, nie mogąc już swobodnie korzystać z wykradzionych numerów kart, przesunęli aktywność w stronę ataków socjotechnicznych.

Phishing powiązany z płatnościami polega na tworzeniu fałszywych stron sklepów lub bramek płatniczych, które wyglądają identycznie jak oryginały. Klient wpisuje dane karty, a następnie trafia na fałszywą stronę „banku”, gdzie proszony jest o podanie kodu SMS. Nieświadomie autoryzuje w ten sposób transakcję na koncie przestępcy. Mechanizm 3DS zadziałał technicznie poprawnie — problem leżał w tym, że ofiara sama przekazała kod.

Na co zwracać uwagę, by nie dać się oszukać podczas zakupów online:

  • Adres strony potwierdzenia transakcji zawsze powinien należeć do domeny banku — sprawdzaj pasek adresu przeglądarki przed wpisaniem kodu
  • Kod SMS z banku zawiera zazwyczaj krótki opis transakcji: kwotę, odbiorcę lub ostatnie cyfry karty — jeśli opis nie zgadza się z tym, co zamawiasz, nie potwierdzaj
  • Bank nigdy nie prosi o podanie kodu w rozmowie telefonicznej, przez e-mail ani komunikator
  • Legalne bramki płatnicze nie wymagają instalacji aplikacji ani pobrania pliku jako warunek dokończenia transakcji

Świadomość tych zasad jest dziś równie ważna co sam protokół techniczny. Systemy bankowe bronią użytkownika, ale dopiero wiedza pozwala z tej ochrony skorzystać w pełni.

Autoryzacja transakcji kartowych w praktyce — co czeka użytkownika

Doświadczenie użytkownika podczas płatności 3DS zależy od banku, agenta rozliczeniowego i oceny ryzyka transakcji. Scenariusze, z którymi można się spotkać, są różne.

Transakcje o niskim ryzyku — frictionless flow

Przy zakupach na zaufanych platformach, niskich kwotach i zgodnym z historią profilu transakcji bank może zatwierdzić płatność bez angażowania klienta. Sklep otrzymuje informację o autoryzacji, a użytkownik w ogóle nie widzi dodatkowego kroku weryfikacji. Dla klienta wygląda to jak zwykła płatność — bez kodów, bez przekierowań.

To rozwiązanie jest szczególnie cenne na urządzeniach mobilnych, gdzie każde dodatkowe okno i przełączenie aplikacji zwiększa liczbę porzuconych transakcji. Badania agentów rozliczeniowych wskazują, że frictionless flow potrafi zredukować porzucenia koszyka nawet o kilkanaście procent w porównaniu z poprzednią wersją protokołu.

Transakcje wymagające aktywnej weryfikacji

Gdy system ocenia transakcję jako potencjalnie ryzykowną — nowe urządzenie, niezwykła lokalizacja, wysoka kwota, rzadki odbiorca — klient zostaje poproszony o potwierdzenie tożsamości. Najczęstsze metody to powiadomienie push w aplikacji mobilnej banku lub kod SMS. Coraz więcej banków w Polsce wdraża też biometryczne potwierdzenie przez aplikację, co eliminuje wpisywanie jakiegokolwiek kodu.

Istnieje też rzadszy scenariusz — odmowa autoryzacji przez bank bez podania szczegółów. Może to oznaczać wykrytą anomalię, techniczną niedostępność systemu 3DS po stronie wydawcy lub przekroczenie limitów. W takim przypadku najlepiej skontaktować się bezpośrednio z bankiem, a zakupy kartą spróbować dokończyć innym kanałem lub po potwierdzeniu tożsamości przez infolinię.

Znajomość tych scenariuszy pozwala spokojniej reagować na nieoczekiwane zachowanie systemu podczas płatności — zamiast wielokrotnie próbować transakcji, warto wiedzieć, kiedy problem leży po stronie banku, a kiedy po stronie sklepu lub sieci.

Redakcja biznes-news.com.pl

Zespół redakcyjny serwisu Biznes-News.com.pl, tworzący treści z zakresu biznesu, finansów, gospodarki oraz nowoczesnych rozwiązań dla firm i przedsiębiorców. Autor zbiorowy skupiający twórców i współpracowników portalu, którzy przygotowują artykuły informacyjne, analizy oraz praktyczne poradniki branżowe.