Adyen 3D Secure: как работает аутентификация 3DS2
3D Secure — это уровень аутентификации, который находится между платежом по карте и его подтверждением. Adyen 3DS — одна из наиболее широко используемых реализаций этого стандарта, встроенная в платежную платформу Adyen и обрабатывающая миллиарды транзакций ежегодно в Европе, Северной Америке и Азии.
То, как Adyen обрабатывает 3D Secure, имеет значение для любого разработчика, интегрирующего карточные платежи, и для любого продавца, пытающегося сбалансировать предотвращение мошенничества с конверсией при оформлении заказа. Эти два аспекта находятся в прямом противоречии: чем больше аутентификации, тем меньше мошенничества, но тем больше препятствий, а препятствия снижают продажи. Региональные данные по этому вопросу — особенно из США и Бразилии — более серьезны, чем ожидает большинство продавцов.
Что такое Adyen 3D Secure?
Когда кто-то оплачивает покупку онлайн картой Visa, Visa может потребовать от покупателя подтверждения своей личности. Для этого используется протокол 3D Secure — протокол аутентификации, разработанный платежными системами (Visa называет его Verified by Visa, Mastercard — SecureCode) специально для транзакций без физического присутствия карты. Adyen использует 3DS для реализации этого протокола на своей платежной платформе.
Существует две версии. Первое поколение — 3DS1 — перенаправляло покупателя на страницу аутентификации самого эмитента карты, полностью нарушая процесс оформления заказа. Конверсия упала. Продавцы были недовольны. Большинство отказались от 3DS1 везде, где это было возможно.
В 3D Secure 2 этот подход был заменен более интеллектуальным. Вместо перенаправления система незаметно собирает данные об устройстве и браузере в фоновом режиме — разрешение экрана, часовой пояс, IP-адрес, историю сеансов — и отправляет все это в банк-эмитент. Система оценки рисков банка получает более 150 точек данных для анализа. Благодаря такому объему информации, система часто может просто одобрить транзакцию незаметно, так что покупатель даже не узнает о работе 3D Secure.
У продавцов из ЕС и ЕЭЗ здесь не так уж много выбора. Правила PSD2, касающиеся усиленной аутентификации клиентов, предписывают использование 3D Secure 2 для карточных платежей на сумму свыше 30 евро. Любой способ оплаты, включающий карточную транзакцию, подпадает под действие этих правил. За пределами ЕС 3D Secure 2 настоятельно рекомендуется из-за предоставляемой им защиты от мошенничества, но не является юридически обязательным.
Как работает аутентификация Adyen 3DS2
Процесс 3DS2 проходит три этапа: сбор данных, аутентификация и авторизация. Он завершается за считанные секунды, если все проходит гладко.
- Покупатель инициирует оплату — вводит данные карты на странице оформления заказа продавца.
- Adyen собирает данные об устройстве — небольшой компонент JavaScript (отпечаток 3DS2) работает в фоновом режиме, собирая сигналы браузера и устройства: разрешение экрана, часовой пояс, язык, тип устройства, IP-адрес.
- Adyen отправляет запрос на аутентификацию — отпечаток устройства и данные транзакции упаковываются и отправляются эмитенту карты через карточную сеть.
- Эмитент оценивает запрос — система оценки рисков эмитента анализирует более 150 параметров данных, сопоставляя их с историей поведения держателя карты и признаками мошенничества.
- Эмитент принимает решение: бесконтактная аутентификация или проверка подлинности — если риск низок, эмитент проводит аутентификацию без опознавательных знаков (бесконтактная аутентификация); если присутствуют сигналы риска, эмитент запрашивает проверку подлинности.
- При срабатывании триггера запускается процесс проверки подлинности — покупатель проходит дополнительную верификацию: ввод одноразового пароля, биометрические данные или подтверждение через банковское приложение.
- Возвращен результат аутентификации — Adyen получает результат аутентификации (аутентифицировано, не аутентифицировано или предпринята попытка).
- Adyen отправляет запрос на авторизацию — с прикрепленным результатом аутентификации платеж переходит на этап авторизации в платежной системе.
- Принцип перераспределения ответственности применяется — если аутентификация прошла успешно, ответственность за возврат платежа, связанный с мошенничеством, переходит от продавца к банку-эмитенту.
Ключевое отличие между 3DS1 и 3D Secure 2 заключается во втором этапе. В 3DS1 у эмитента практически не было данных для работы, поэтому проверки возникали часто. В 3D Secure 2 более полная информация об устройстве позволяет эмитентам одобрять гораздо больше транзакций в фоновом режиме, независимо от того, какой способ оплаты использует покупатель, при условии, что это карта.
Беспрепятственный поток против потока с вызовами в Adyen
Исход транзакций без проблем и с запросом подтверждения определяется эмитентом, а не Adyen или продавцом. Тем не менее, качество сбора данных Adyen напрямую влияет на то, как часто эмитенты могут использовать транзакции без проблем — более качественные данные об идентификации устройств означают, что эмитентам реже приходится обращаться к механизму запроса подтверждения.
| Фактор | Поток без трения | Сложный поток |
|---|---|---|
| Покупательский опыт | Незаметно — никаких дополнительных действий | Требуется одноразовый пароль (OTP), биометрическая идентификация или подтверждение через приложение. |
| Влияние на конверсию | Минималистичный — то же самое, что и отсутствие 3DS. | Значительное падение (зависит от рынка) |
| Кто принимает решение? | Система управления рисками банка-эмитента | Система управления рисками банка-эмитента |
| Курок | Сигналы риска низкие, данных достаточно. | Повышенный уровень риска или неполные данные. |
| Перераспределение ответственности | Да — эмитент несёт риск мошенничества. | Да — эмитент несёт риск мошенничества. |
| Типичная доля | 40–93% сделок (зависит от рынка) | 7–60% (зависит от рынка) |
Япония демонстрирует преимущества беспрепятственного завершения транзакций: примерно 60% транзакций через 3DS завершаются без проблем, а общий процент конверсии остается на уровне 93%. В Бразилии ситуация обратная — широко распространенные потоки заявок привели к снижению конверсии на 55%. В США, согласно исследованию Stripe о моделях внедрения 3DS, среднее снижение конверсии из-за потоков заявок составляет 43%.
Защита от мошенничества остается неизменной независимо от того, какой процесс завершается. Как бесконтактная, так и проверка подлинности приводят к перераспределению ответственности. Возврат средств, связанный с мошенничеством после успешной аутентификации 3DS, является финансовой проблемой эмитента, а не продавца.
Правила безопасности Adyen Dynamic 3D
Большинство реализаций 3DS применяют аутентификацию повсеместно: при каждой транзакции, каждый раз. Механизм правил Dynamic 3D Secure от Adyen позволяет продавцам более точно настраивать аутентификацию.
Технология Dynamic 3DS позволяет продавцам настраивать маршрутизацию на основе правил, которая избирательно применяет 3DS в зависимости от сигналов риска, исключений и характеристик транзакций. Цель состоит в том, чтобы максимально повысить аутентификацию рискованных транзакций, используя исключения для снижения сложности транзакций с низким риском.
Основные типы правил, доступные в конфигурации Dynamic 3DS от Adyen:
- Правила освобождения от требований — проведение транзакций с низким риском через исключения SCA (анализ рисков транзакций, исключения для транзакций с низкой стоимостью менее 30 евро, списки проверенных продавцов) для полного обхода 3DS там, где это разрешено законом.
- Обработка мягких отказов — автоматическая переадресация транзакций, отклоненных эмитентами без 3DS, с запуском аутентификации 3DS при второй попытке.
- Правила Velocity — применяют 3DS на основе частоты транзакций с данной карты или устройства в течение определенного временного интервала.
- Пороговые значения суммы — активация 3DS при превышении указанной суммы транзакции, за исключением покупок меньшей суммы.
- Правила, основанные на стране — применяют различную логику аутентификации в зависимости от страны покупателя, учитывая региональные требования SCA и поведение эмитента.
- Правила для разных типов карт — корпоративные или премиальные карты обрабатываются через 3DS, а стандартные потребительские дебетовые карты разрешаются через исключения.
Торговые предприятия, грамотно настраивающие Dynamic 3DS, могут значительно снизить риски, связанные с потоком запросов на подтверждение платежа, по сравнению с универсальным применением 3DS, сохраняя при этом полную защиту от мошенничества в сегментах с высоким риском.
Методы интеграции Adyen 3DS
Способ интеграции 3DS через Adyen зависит от используемого метода интеграции платежей. Adyen поддерживает три основных подхода:
- Сессии (рекомендуется) — готовая интеграция Adyen поддерживает 3DS без дополнительной настройки. Процесс «Сессии» автоматически собирает отпечатки устройств и прозрачно управляет маршрутизацией без проверки подлинности/с подтверждением. Простейший вариант для большинства продавцов.
- Drop-in — встроенный компонент пользовательского интерфейса Adyen, который интегрируется в страницу оформления заказа продавца и обрабатывает потоки 3DS, включая всплывающие окна с запросом подтверждения и обработку результатов. Меньше настроек, чем при полной интеграции API, больше возможностей для персонализации, чем при использовании сессий.
- Интеграция API — полный контроль над процессом 3DS. Код продавца обрабатывает сбор отпечатков пальцев, запросы на аутентификацию, анализ результатов и отправку авторизации. Требуется для высоко персонализированных страниц оформления заказа или нативных мобильных приложений, которым необходима встроенная поддержка 3DS2 в интерфейсе приложения.
Для большинства интернет-магазинов интеграции через сессии или через Drop-in обеспечивают наилучший баланс между трудоемкостью интеграции и соответствием стандартам 3DS. Интеграция через собственный API обычно используется крупными компаниями, имеющими собственные команды разработчиков платежных систем.
Одна особенность Adyen: для работы с нативным 3DS2 в мобильных приложениях требуются SDK Adyen для iOS и Android, которые включают компоненты для снятия отпечатков пальцев и пользовательский интерфейс для проверки подлинности. Веб-интеграции с использованием сессий или Drop-in обрабатывают это автоматически.
Влияние конвертации 3D Secure: региональные данные
Заголовок «3DS снижает конверсию» частично верен, но реальное влияние почти полностью зависит от специфических рыночных факторов — насколько покупатели знакомы с процедурами аутентификации в банках и насколько удобен пользовательский интерфейс мобильного банкинга.
| Рынок | Уровень сложности | Влияние на конверсию | Примечания |
|---|---|---|---|
| Япония | ~40% задача | Минимальное падение | Аутентификация в банковском приложении привычна; высокая скорость и простота использования. |
| Великобритания | ~25% задача | Низкий-умеренный | Банковское приложение (биометрическое) — стандартное, обеспечивает быстрый пользовательский опыт. |
| Франция | ~50% задача | Умеренный | Количество запросов на проверку пароля удвоилось, но пользователи, знакомые с OTP, по-прежнему остаются довольны. |
| НАС | ~45% задача | -43% по оспариваемым сделкам | 3DS всё ещё относительно новая технология; пользователи не знакомы с процедурой ввода одноразовых паролей в банках. |
| Бразилия | ~60%+ задача | -55% | Высокий процент запросов на подтверждение подлинности; непоследовательные процессы банковской аутентификации. |
| среднемировой показатель | — | Рынок объемом 1,72 млрд долларов США (2026 г.) | Ожидается, что к 2034 году его объем достигнет 4,66 млрд долларов США. |
Показатели снижения уровня мошенничества более наглядны: аутентификация 3DS сокращает количество споров по поводу мошенничества до 80%, а по оценкам Европы, она предотвращает ежегодные убытки от мошенничества в размере примерно 900 миллионов евро. Это экономия для продавцов. Возврат платежей обходится дорого не только с точки зрения суммы транзакции — он увеличивает операционные издержки, штрафы за несоответствие оценок риска и в некоторых случаях риск, связанный с отношениями с платежным процессором.
Парадокс конверсии разрешается, когда вы разделяете две вещи: была ли применена технология 3DS и насколько плавно прошла процедура проверки подлинности. Рынки с хорошими мобильными банковскими приложениями и опытными покупателями хорошо справляются с трудностями, возникающими при проверке подлинности. Рынки, где покупатели используют OTP-код через SMS или где банковские приложения работают нестабильно, теряют много покупателей.
3DS и криптовалютные платежи
Технология 3D Secure применяется только к платежам с использованием банковских карт. Криптовалютные транзакции не проходят через платежные сети, поэтому для их запуска нет механизма 3D Secure.
Это работает в обе стороны. Криптовалютные платежные шлюзы не могут полагаться на механизм перекладывания ответственности 3DS — нет банка-эмитента, на который можно было бы переложить риск мошенничества. Безопасность зависит от других механизмов: мониторинга транзакций, проверки кошельков, оценки рисков в режиме реального времени на уровне шлюза.
С другой стороны: никаких сложностей с 3DS. Никакой фоновой идентификации устройства по отпечатку, никакого запроса подтверждения от эмитента, никакого ожидания одноразового пароля. Оформление заказа так же просто, как сканирование адреса кошелька или подтверждение в приложении кошелька. Для продавцов, которые наблюдали за ухудшением показателей конвертации платежей в США или Бразилии, эта простота стоит реальных денег.
Для продавцов, желающих предлагать криптовалюту в качестве способа оплаты наряду с традиционными картами, Plisio предоставляет платежный шлюз для криптовалютных платежей, который обрабатывает прием криптовалют без добавления сложностей в соответствии с требованиями 3DS к стеку инструментов продавца.
