Επεξήγηση SCA και 3DS2: Έλεγχος ταυτότητας πληρωμής PSD2

Η πώληση στο διαδίκτυο σε Ευρωπαίους πελάτες σημαίνει ότι πρέπει να ασχολείστε με την SCA και το 3DS2, είτε το θέλετε είτε όχι. Η ισχυρή επαλήθευση ταυτότητας πελάτη είναι μια αυστηρή νομική απαίτηση βάσει του PSD2 και το 3D Secure 2 είναι ο τρόπος με τον οποίο οι περισσότεροι έμποροι την εκπληρώνουν στην πραγματικότητα. Τι σημαίνει η SCA 3ds2 στην πράξη, πού βρίσκονται οι ακραίες περιπτώσεις και ποιο είναι το κόστος για να γίνει λάθος — αυτά καλύπτει αυτός ο οδηγός.

Τι είναι η SCA; Ορισμός Ισχυρής Ταυτοποίησης Πελατών

Η ισχυρή επαλήθευση ταυτότητας πελάτη αποτελεί απαίτηση επαλήθευσης βάσει της PSD2 — της Οδηγίας 2 της ΕΕ για τις Υπηρεσίες Πληρωμών. Ισχύει όταν ένας πελάτης ξεκινά μια ηλεκτρονική πληρωμή και τόσο η εκδούσα τράπεζα της κάρτας του όσο και η αποδέκτρια τράπεζα του εμπόρου βρίσκονται εντός του Ευρωπαϊκού Οικονομικού Χώρου.

Ο ίδιος ο κανόνας αφορά τους παράγοντες. Ο ασφαλής έλεγχος ταυτότητας πρέπει να χρησιμοποιεί τουλάχιστον δύο από τους τρεις και αυτοί πρέπει να προέρχονται από ξεχωριστές κατηγορίες:

• Γνώση — κάτι που γνωρίζει ο κάτοχος της κάρτας: ένας κωδικός πρόσβασης, ένα PIN ή μια ερώτηση ασφαλείας
• Κατοχή — κάτι που έχει ο κάτοχος της κάρτας: κινητό τηλέφωνο, διακριτικό υλικού ή έξυπνη κάρτα
• Ενυπάρχον στοιχείο — κάτι που είναι ο κάτοχος της κάρτας: δακτυλικό αποτύπωμα, αναγνώριση προσώπου, φωνητική αναγνώριση

Οι παράγοντες πρέπει να είναι ανεξάρτητοι ο ένας από τον άλλον — η παραβίαση του ενός δεν μπορεί να εκθέσει τον άλλον. Πρέπει επίσης να συνδέονται δυναμικά με το συγκεκριμένο ποσό συναλλαγής και τον δικαιούχο. Ένας στατικός κωδικός πρόσβασης που λειτουργεί σε κάθε αγορά δεν πληροί τις προϋποθέσεις.

Πεδίο εφαρμογής: Η SCA καλύπτει τις ηλεκτρονικές αγορές με κάρτα που ξεκινούν από τον πελάτη. Δεν ισχύει για συναλλαγές που ξεκινούν από τον έμπορο (επαναλαμβανόμενη χρέωση μετά την αρχική εξουσιοδότηση), παραγγελίες μέσω ταχυδρομείου ή τηλεφωνικές παραγγελίες ή οποιαδήποτε συναλλαγή όπου ο έμπορος ή η τράπεζα του κατόχου της κάρτας βρίσκεται εκτός του ΕΟΧ. Η τελευταία κατηγορία ονομάζεται one-leg-out και αφορά εμπόρους με μικτές παγκόσμιες πελατειακές βάσεις.

Τι είναι το 3DS2 και πώς σχετίζεται με το SCA;

Το όνομα αναλύεται ως εξής: Το 3D αντιπροσωπεύει τρεις τομείς — την εκδούσα τράπεζα που εξέδωσε την κάρτα του κατόχου της κάρτας, την αποδέκτρια τράπεζα που επεξεργάζεται τις πληρωμές του εμπόρου και το δίκτυο καρτών που βρίσκεται ανάμεσά τους. Η έκδοση 2 το διακρίνει από το αρχικό πρωτόκολλο, το οποίο η Visa λάνσαρε το 1999 με την ονομασία "Verified by Visa". Η EMVCo, η οποία ανήκει από κοινού στις Visa, Mastercard, Amex και άλλα σχήματα, δημιούργησε και τώρα διατηρεί το πρότυπο 3D Secure 2.

Ποια είναι η σύνδεση με την SCA; Το PSD2 απαιτεί την επαλήθευση της ταυτότητας των πληρωμών με κάρτα με δύο παράγοντες. Το 3D Secure 2 είναι ο μηχανισμός που χρησιμοποιούν οι έμποροι για να εκτελέσουν αυτήν την επαλήθευση για συναλλαγές χωρίς την παρουσία κάρτας. Τεχνικά, οι ανοιχτές τραπεζικές ροές και οι ανακατευθύνσεις τραπεζικών εφαρμογών μπορούν επίσης να ικανοποιήσουν την SCA — αλλά στον πραγματικό κόσμο, το 3DS2 χειρίζεται τη συντριπτική πλειοψηφία των online πληρωμών με κάρτα.

Η Visa και η Mastercard σταμάτησαν να υποστηρίζουν το 3DS1 για ευρωπαϊκές συναλλαγές τον Οκτώβριο του 2022. Μετά από αυτό το όριο, η δρομολόγηση πληρωμών με κάρτα μέσω του 3DS1 δεν ήταν απλώς ξεπερασμένη - ήταν εκτός συμμόρφωσης με το πρόγραμμα. Αυτό που κάποτε ήταν προαιρετικό έγινε υποχρεωτικό και η αναβάθμιση του 3D Secure 2 που οι επεξεργαστές συνιστούσαν εδώ και χρόνια έγινε η μόνη οδός προς τα εμπρός.

Ιστορία του 3D Secure: Από το 3DS1 στο 3DS2

Το 3DS1 κυκλοφόρησε στις αρχές της δεκαετίας του 2000. Ο μηχανισμός ελέγχου ταυτότητας ήταν ένα αναδυόμενο παράθυρο ανακατεύθυνσης, που συνήθως φιλοξενούνταν από την εκδότρια τράπεζα της κάρτας. Οι κάτοχοι καρτών έβλεπαν ένα νέο παράθυρο του προγράμματος περιήγησης, εισάγουν έναν στατικό κωδικό πρόσβασης που συχνά ξεχνούσαν και είτε το ολοκληρώνουν είτε το παραδίδουν. Η εγκατάλειψη σε αυτό το βήμα ήταν ένα μετρήσιμο πρόβλημα για τους εμπόρους σε κάθε κατηγορία.

Το 3DS2 σχεδιάστηκε για να διορθώσει τη ζημιά που προκάλεσε η μετατροπή του 3DS1. Στέλνοντας πάνω από 100 σήματα κινδύνου στον εκδότη στην αρχή της ροής, το πρωτόκολλο παρέχει στις τράπεζες αρκετά δεδομένα για να εγκρίνουν τις περισσότερες συναλλαγές χωρίς να ζητήσουν από τον πελάτη να κάνει οτιδήποτε. Όταν ενεργοποιείται μια πρόκληση, πρόκειται για έναν κωδικό SMS ή βιομετρικό στοιχείο, όχι για έναν κωδικό πρόσβασης που έχει ορίσει ο κάτοχος της κάρτας πριν από τρία χρόνια.

Πώς λειτουργεί ο έλεγχος ταυτότητας 3DS2: Βήμα προς βήμα

Κάθε συναλλαγή 3DS2 δρομολογείται μέσω μίας από τις δύο διαδρομές. Η εκδούσα τράπεζα επιλέγει ποια με βάση τα δεδομένα κινδύνου που λαμβάνει. Στις περισσότερες περιπτώσεις, οι πελάτες δεν παρατηρούν ποτέ ότι πραγματοποιήθηκε έλεγχος ταυτότητας.

Απρόσκοπτη ροή (70–90% των συναλλαγών):

1. Ο πελάτης εισάγει τα στοιχεία της κάρτας του κατά την ολοκλήρωση της αγοράς
2. Η πύλη πληρωμών ή ο διακομιστής 3DS του εμπόρου συλλέγει πάνω από 100 σημεία δεδομένων: δακτυλικό αποτύπωμα συσκευής, γεωγραφική τοποθεσία IP, χαρακτηριστικά προγράμματος περιήγησης, ιστορικό συναλλαγών, σήματα συμπεριφοράς
3. Αυτά αποστέλλονται σε ένα Αίτημα Ελέγχου Πιστοποίησης (AReq) στον διακομιστή καταλόγου του δικτύου καρτών και στη συνέχεια προωθούνται στον Διακομιστή Ελέγχου Πρόσβασης (ACS) της εκδούσας τράπεζας.
4. Το ACS εκτελεί αυτοματοποιημένη αξιολόγηση κινδύνου — συνήθως σε λιγότερο από ένα δευτερόλεπτο
5. Εάν η συναλλαγή βαθμολογηθεί ως χαμηλού κινδύνου, η ACS εκδίδει μια απρόσκοπτη έγκριση χωρίς να απαιτείται καμία ενέργεια από τον πελάτη.
6. Η συναλλαγή ολοκληρώνεται με τη μετατόπιση της ευθύνης στην εκδότρια τράπεζα

Ροή πρόκλησης (10–30% των συναλλαγών):

1. Τα βήματα 1–3 είναι τα ίδια — συλλογή δεδομένων και υποβολή AReq
2. Το ACS επισημαίνει τη συναλλαγή ως υψηλότερου κινδύνου: νέα συσκευή, ασυνήθιστο ποσό, νέα διεύθυνση παράδοσης ή αυξημένο ποσοστό απάτης για αυτήν την κατηγορία εμπόρων.
3. Ο πελάτης λαμβάνει ένα δεύτερο στοιχείο που του ζητείται — κωδικός πρόσβασης μίας χρήσης μέσω SMS, ειδοποίηση push από την εφαρμογή τραπεζικής του υπηρεσίας ή βιομετρικά στοιχεία.
4. Ο πελάτης ολοκληρώνει την πρόκληση
5. Η συναλλαγή εγκρίνεται με μετατόπιση της ευθύνης στον εκδότη

Η απρόσκοπτη διαδρομή είναι αυτό που διαφοροποιεί το 3DS2 από τον προκάτοχό του. Οι περισσότεροι πελάτες ολοκληρώνουν μια συναλλαγή με έλεγχο ταυτότητας χωρίς να κάνουν τίποτα επιπλέον. Όταν εμφανιστεί μια πρόκληση, πρόκειται για μια οικεία μέθοδο — την ίδια ειδοποίηση push που χρησιμοποιούν για να εγκρίνουν μια τραπεζική μεταφορά.

Εξαιρέσεις SCA και πότε εφαρμόζονται

Δεν απαιτείται SCA για κάθε συναλλαγή. Το PSD2 ορίζει εξαιρέσεις που επιτρέπουν την εκτέλεση πληρωμών χωρίς έλεγχο ταυτότητας δύο παραγόντων. Το αίτημα εξαίρεσης δεν είναι το ίδιο με την απόκτηση μίας. Η εκδούσα τράπεζα αποφασίζει εάν θα την σεβαστεί. Η απόρριψη σημαίνει μια ήπια απόρριψη και ο έμπορος πρέπει να υποβάλει ξανά την αίτηση με ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων.

Η ευθύνη καθορίζεται από το ποιος αξίωσε την εξαίρεση. Εάν ο αγοραστής ζητήσει εξαίρεση TRA και ο εκδότης την αποδεχτεί, ο αγοραστής (και κατ' επέκταση, ο έμπορος) φέρει την ευθύνη για απάτη εάν κάτι πάει στραβά. Εάν ο εκδότης εφάρμοσε την εξαίρεση ανεξάρτητα, η ευθύνη βαρύνει τον ίδιο. Οι έμποροι που εκτελούν οποιονδήποτε όγκο συναλλαγών με εξαιρέσεις TRA θα πρέπει να παρακολουθούν ποια διαδρομή κάλυψε κάθε συναλλαγή.

Πώς επηρεάζουν οι SCA και 3DS2 τους εμπόρους

Η επιχειρηματική επιχειρηματολογία για τη σωστή εφαρμογή του sca 3ds2 υπερβαίνει κατά πολύ την κανονιστική συμμόρφωση:

• Μετατόπιση ευθύνης : η ολοκληρωμένη επαλήθευση 3DS2 μεταφέρει την ευθύνη αντιστροφής χρέωσης για απάτη από τον έμπορο στην εκδούσα τράπεζα. Η έλλειψη επαλήθευσης σημαίνει ότι ο έμπορος απορροφά άμεσα την απάτη με κάρτα. Η απάτη με κάρτα στην ΕΕ είναι 17 φορές υψηλότερη σε περιοχές όπου δεν απαιτείται SCA.
• Ποσοστά εξουσιοδότησης : Το 3DS2 συχνά βελτιώνει τα ποσοστά εξουσιοδότησης σε σχέση με τις μη εξουσιοδοτημένες πληρωμές. Οι εκδότες εγκρίνουν με μεγαλύτερη σιγουριά όταν έχουν 100 σημεία δεδομένων αντί για έναν αριθμό κάρτας και έναν κωδικό CVV.
• Μετατροπή ολοκλήρωσης αγοράς : η ροή πρόκλησης προσθέτει ένα βήμα, αλλά το 3DS2 χωρίς τριβές δεν προσθέτει σχεδόν καθόλου τριβή. Το καλά υλοποιημένο 3DS2 συνήθως παράγει επίπεδο ή θετικό αντίκτυπο μετατροπής σε σύγκριση με το 3DS1.
• Ποιότητα δεδομένων : η ποιότητα του ωφέλιμου φορτίου AReq καθορίζει το ποσοστό των συναλλαγών που πραγματοποιούνται χωρίς προβλήματα. Οι έμποροι που στέλνουν μόνο υποχρεωτικά πεδία λαμβάνουν υψηλότερα ποσοστά αμφισβητήσεων από εκείνους που συμπληρώνουν προαιρετικά πεδία — δακτυλικό αποτύπωμα συσκευής, ιστορικός αριθμός συναλλαγών, ηλικία διεύθυνσης αποστολής.
• Γεωγραφία : Οι κανόνες της SCA διαφέρουν μεταξύ των κρατών μελών του ΕΟΧ, του Ηνωμένου Βασιλείου (το δικό του χρονοδιάγραμμα SCA μετά το Brexit) και άλλων αγορών. Ένα παγκόσμιο ταμείο πρέπει να τα τμηματοποιεί σωστά σε επίπεδο αιτήματος.

Λίστα ελέγχου συμμόρφωσης SCA για διαδικτυακούς εμπόρους

Η σωστή εγκατάσταση του sca 3ds2 απαιτεί περισσότερα από την απλή ενεργοποίηση του 3DS2 στην πύλη. Η συνεχιζόμενη εργασία έχει επίσης σημασία:

1. Βεβαιωθείτε ότι το PSP ή η πύλη σας υποστηρίζει το 3DS2. Οι περισσότεροι μεγάλοι επεξεργαστές (Stripe, Adyen, Worldpay, Braintree) το χειρίζονται αυτόματα. Οι περιφερειακοί ή παλαιότεροι επεξεργαστές ενδέχεται να εξακολουθούν να εκτελούνται στο 3DS1 ή να έχουν μερικές υλοποιήσεις.
2. Ελέγξτε το ωφέλιμο φορτίο δεδομένων AReq. Συνεργαστείτε με τον πάροχο πληρωμών σας για να επιβεβαιώσετε ότι στέλνετε και τα 100+ προαιρετικά πεδία δεδομένων, όχι μόνο το ελάχιστο υποχρεωτικό. Κάθε επιπλέον πεδίο βελτιώνει την απρόσκοπτη εμπιστοσύνη έγκρισης του εκδότη.
3. Αντιστοιχίστε τους τύπους συναλλαγών σας. Προσδιορίστε ποιες πληρωμές ξεκινούν από τον έμπορο (συνδρομές μετά την εγκατάσταση), γίνονται μέσω ταχυδρομείου/τηλεφωνικής παραγγελίας ή γίνονται με μία μόνο εντολή. Επισημάνετε αυτές τις πληρωμές σωστά — δεν περνούν από το 3DS2 και δεν πρέπει να δρομολογούνται εκεί.
4. Δοκιμάστε την εμπειρία χρήστη (UX) της ροής της πρόκλησης. Όταν ενεργοποιείται μια πρόκληση step-up, η εμπειρία θα πρέπει να είναι σαφής και φιλική προς κινητά. Μια περίπλοκη οθόνη OTP κοστίζει μετατροπές. Δοκιμάστε σε όλες τις συσκευές και τα προγράμματα περιήγησης πριν από τη δημοσίευση.
5. Παρακολουθήστε τα ποσοστά απρόσκοπτης διαχείρισης κινδύνου έναντι των ποσοστών πρόκλησης. Μια μείωση του ποσοστού απρόσκοπτης διαχείρισης κινδύνου σηματοδοτεί ένα πρόβλημα — υποβαθμισμένο ωφέλιμο φορτίο δεδομένων, ένας εκδότης που αλλάζει το μοντέλο κινδύνου του ή ένα ποσοστό απάτης κατηγορίας εμπόρου που υπερβαίνει ένα όριο TRA.
6. Παρακολουθήστε τα αποτελέσματα των εξαιρέσεων. Να γνωρίζετε ποιες εξαιρέσεις ζητάτε, ποιες γίνονται δεκτές και ποιες επιστρέφουν ως ήπιες μειώσεις. Οι ήπιες μειώσεις σε εξαιρέσεις χαμηλής αξίας συχνά σημαίνουν ότι το σωρευτικό όριο των 100 € έχει επιτευχθεί χωρίς επαναφορά.
7. Παρακολουθήστε το χρονοδιάγραμμα του PSD3. Η πρόταση PSD3 της Ευρωπαϊκής Επιτροπής βρίσκεται σε νομοθετική διαδικασία. Η εφαρμογή από τα κράτη μέλη αναμένεται το 2026–2027. Επεκτείνει την SCA αντί να την αντικαθιστά — οι απαιτήσεις ελέγχου ταυτότητας γίνονται πιο λεπτομερείς, όχι απλούστερες.

Ένα πράγμα που πολλοί έμποροι δεν συνειδητοποιούν για το sca 3ds2: ολόκληρο το πλαίσιο καλύπτει τις συναλλαγές ηλεκτρονικών πληρωμών που ρυθμίζονται από την PSD2, πράγμα που σημαίνει ότι το fiat νόμισμα διακινείται μέσω τραπεζών και δικτύων καρτών. Οι πληρωμές με κρυπτονομίσματα βρίσκονται εντελώς εκτός αυτού του πεδίου εφαρμογής.

Όταν ένας πελάτης πληρώνει με Bitcoin, Ethereum ή ένα stablecoin, η συναλλαγή δεν αγγίζει ένα δίκτυο καρτών ή μια τράπεζα. Κανένας εκδότης δεν εκτελεί ACS. Δεν υπάρχει AReq, ούτε διακομιστής καταλόγου, ούτε ροή προκλήσεων προς διαχείριση. Οι κανόνες SCA δεν ισχύουν επειδή ο τύπος πληρωμής εμπίπτει εκτός της κανονιστικής περιμέτρου.

Για τους εμπόρους, αυτό ισχύει συγκεκριμένα. Ένα checkout με κρυπτονομίσματα δεν έχει βήμα ελέγχου ταυτότητας 3DS2, δεν έχει αίτημα OTP και δεν έχει ροή πρόκλησης. Ο πελάτης πληρώνει από το πορτοφόλι του. Τα χρήματα φτάνουν. Δεν υπάρχουν ούτε αντιστροφές χρεώσεων — οι συναλλαγές κρυπτονομισμάτων είναι μη αναστρέψιμες, γεγονός που εξαλείφει εντελώς τους μηχανισμούς ευθύνης για απάτη.

Για τους εμπόρους που επιθυμούν να προσθέσουν μια επιλογή πληρωμής εντελώς εκτός του πλαισίου ελέγχου ταυτότητας κάρτας, το Plisio υποστηρίζει 20+ κρυπτονομίσματα χωρίς επιβάρυνση SCA, χωρίς έκθεση σε αντιστροφή χρέωσης και χωρίς εξάρτηση από το μοντέλο κινδύνου μιας εκδούσας τράπεζας.

Τι σημαίνουν οι SCA και 3DS2 για το Payment Stack σας

Το SCA δεν γίνεται απλούστερο. Το PSD3 θα επεκτείνει περαιτέρω τις απαιτήσεις ελέγχου ταυτότητας και το Ηνωμένο Βασίλειο εφαρμόζει το δικό του πρόγραμμα επιβολής του SCA μετά το Brexit. Το πρακτικό ερώτημα για τους εμπόρους είναι πόσο καλά λειτουργεί στην πραγματικότητα η εφαρμογή του sca 3ds2, όχι αν θα την εφαρμόσουν.

Όταν γίνει σωστά, το πλαίσιο λειτουργεί για όλους τους εμπλεκόμενους. Οι έμποροι λαμβάνουν προστασία αστικής ευθύνης σε περιπτώσεις αντιστροφής χρεώσεων για απάτες. Οι εκδότες λαμβάνουν πλουσιότερα σήματα μέσω του διευρυμένου ωφέλιμου φορτίου δεδομένων του 3D Secure 2 και εγκρίνουν περισσότερες συναλλαγές με σιγουριά. Οι πελάτες λαμβάνουν ασφαλή έλεγχο ταυτότητας που συνήθως δεν διακόπτει καθόλου την ολοκλήρωση της αγοράς τους. Οι έμποροι που κολλάνε είναι αυτοί που ενεργοποίησαν το 3DS2 στο ελάχιστο σημείο της πύλης και δεν εξέτασαν ποτέ ξανά τα ποσοστά απρόσκοπτης λειτουργίας τους, την ποιότητα του ωφέλιμου φορτίου AReq ή τα ποσοστά επιτυχίας εξαίρεσης.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.