Объяснение SCA и 3DS2: аутентификация платежей в соответствии с PSD2.
Продажа товаров европейским покупателям через интернет означает необходимость соблюдения требований SCA и 3D Secure 2, хотите вы этого или нет. Строгая аутентификация клиента (SCA) — это жесткое юридическое требование в соответствии с PSD2, и большинство продавцов фактически выполняют его с помощью 3D Secure 2. Что означает SCA 3D Secure 2 на практике, где возникают нестандартные ситуации и во сколько обходится ошибка — об этом и рассказывает это руководство.
Что такое SCA? Определение надежной аутентификации клиента.
Усиленная аутентификация клиента — это требование к проверке в соответствии с Директивой ЕС о платежных услугах (PSD2). Она применяется, когда клиент инициирует электронный платеж, и банк-эмитент его карты, и банк-эквайер продавца находятся в Европейской экономической зоне.
Само правило касается факторов. Для безопасной аутентификации необходимо использовать как минимум два из трех факторов, и они должны относиться к разным категориям:
- Знания — то, что известно держателю карты: пароль, ПИН-код или контрольный вопрос.
- Владение — то, что находится у держателя карты: мобильный телефон, аппаратный токен или смарт-карта.
- Идентификация — то, чем является владелец карты: отпечаток пальца, распознавание лица, идентификация голоса.
Факторы должны быть независимы друг от друга — компрометация одного не должна привести к раскрытию другого. Они также должны быть динамически связаны с конкретной суммой транзакции и получателем платежа. Статический пароль, работающий при каждой покупке, не подходит.
Область применения: SCA распространяется на онлайн-покупки с использованием банковских карт, инициированные клиентом. Оно не применяется к транзакциям, инициированным продавцами (регулярные платежи после первоначальной авторизации), заказам по почте или телефону, а также к любым транзакциям, где продавец или банк держателя карты находятся за пределами ЕЭЗ. Последняя категория называется «односторонней транзакцией» и актуальна для продавцов со смешанной глобальной клиентской базой.
Что такое 3DS2 и как это связано с SCA?
Название можно расшифровать следующим образом: 3D обозначает три домена — банк-эмитент, выпустивший карту держателя, банк-эквайер, обрабатывающий платежи продавца, и платежную сеть, находящуюся между ними. Версия 2 отличает её от оригинального протокола, запущенного Visa в 1999 году под названием «Verified by Visa». Компания EMVCo, находящаяся в совместном владении Visa, Mastercard, Amex и других платежных систем, разработала и поддерживает стандарт 3D Secure 2.
Какова связь с SCA? PSD2 требует, чтобы платежи по картам проходили двухфакторную аутентификацию. 3D Secure 2 — это механизм, который продавцы используют для фактической аутентификации при транзакциях без физического присутствия карты. Технически, открытые банковские потоки и перенаправления в банковских приложениях также могут соответствовать требованиям SCA, но в реальном мире подавляющее большинство онлайн-платежей по картам обрабатывается 3D Secure 2.
Visa и Mastercard прекратили поддержку 3DS1 для европейских транзакций в октябре 2022 года. После этого прекращения использование 3DS1 для обработки карточных платежей стало не просто устаревшим — оно перестало соответствовать требованиям платежных систем. То, что раньше было необязательным, стало обязательным, и единственным выходом стало обновление до 3D Secure 2, которое платежные процессоры рекомендовали годами.
История 3D Secure: от 3DS1 до 3DS2
Система 3DS1 была запущена в начале 2000-х годов. Механизм аутентификации представлял собой всплывающее окно перенаправления, обычно размещаемое банком-эмитентом карты. Держатели карт видели новое окно браузера, вводили статический пароль, который они часто забывали, и либо проходили проверку, либо покидали систему. Отказ на этом этапе был ощутимой проблемой для продавцов во всех категориях товаров и услуг.
| Особенность | 3ДС1 | 3DS2 |
|---|---|---|
| Пользовательский интерфейс аутентификации | Перенаправление во всплывающем окне / новом окне | Встроенный iframe или собственный SDK |
| Данные, отправленные эмитенту | ~15 точек данных | Более 100 точек данных (устройство, поведение, история). |
| Мобильная поддержка | Плохо — нет нативного SDK. | Полноценный нативный SDK для iOS и Android. |
| Поток без трения | Нет в наличии | Да — большинство транзакций |
| Метод вызова | Статический пароль | OTP, push-уведомления, биометрия |
| Перераспределение ответственности | Да | Да (расширенное покрытие) |
| статус ЕС | Устарело с октября 2022 года. | Обязательный |
Протокол 3DS2 был разработан для устранения недостатков, возникших из-за протокола 3DS1. Отправляя эмитенту более 100 сигналов риска в начале процесса, протокол предоставляет банкам достаточно данных для одобрения большинства транзакций без каких-либо действий со стороны клиента. Когда срабатывает запрос подтверждения, это SMS-код или биометрические данные, а не пароль, установленный держателем карты три года назад.
Как работает аутентификация 3DS2: пошаговая инструкция
Каждая транзакция 3DS2 проходит по одному из двух путей. Банк-эмитент выбирает тот или иной путь на основе полученных данных о рисках. В большинстве случаев клиенты даже не замечают, что аутентификация произошла.
Беспрепятственное проведение транзакций (70–90% операций):
- Покупатель вводит данные карты при оформлении заказа.
- Платежный шлюз продавца или 3DS-сервер собирает более 100 точек данных: отпечаток устройства, геолокация IP-адреса, характеристики браузера, история транзакций, поведенческие сигналы.
- Эти данные отправляются в запросе на аутентификацию (AReq) на сервер каталогов платежной сети, а затем перенаправляются на сервер контроля доступа (ACS) банка-эмитента.
- Система ACS выполняет автоматизированную оценку рисков — как правило, менее чем за секунду.
- Если транзакция оценивается как низкорисковая, система ACS выдает беспрепятственное одобрение, не требующее никаких действий со стороны клиента.
- Сделка завершается переходом ответственности к банку-эмитенту.
Проблемный поток (10–30% транзакций):
- Шаги 1–3 одинаковы — сбор данных и отправка запроса AReq.
- Система ACS помечает транзакцию как транзакцию повышенного риска: новое устройство, необычная сумма, новый адрес доставки или повышенный уровень мошенничества для данной категории продавцов.
- Клиенту предлагается ввести второй фактор — одноразовый пароль по SMS, push-уведомление из банковского приложения или биометрические данные.
- Клиент выполнил задание
- Сделка одобрена, ответственность переходит к эмитенту.
Удобство использования — вот что отличает 3DS2 от предшественника. Большинство клиентов совершают подтвержденную транзакцию без каких-либо дополнительных действий. Если же возникает запрос на подтверждение, используется привычный способ — то же самое push-уведомление, которое они используют для одобрения банковского перевода.
Исключения из требований SCA и когда они применяются
Не каждая транзакция требует SCA (Single Factorian Certificate). В директиве PSD2 определены исключения, позволяющие осуществлять платежи без двухфакторной аутентификации. Запрос на исключение не равнозначен его получению. Банк-эмитент решает, принимать его или нет. Отказ означает мягкий отказ, и продавцу необходимо повторно отправить платеж с активированной SCA.
| Тип освобождения | Состояние | Лимит |
|---|---|---|
| Сделка с низкой стоимостью | Сделка на сумму менее 30 евро. | Максимум 5 последовательных транзакций или 100 евро в сумме с момента последнего обращения в SCA. |
| Анализ транзакционных рисков (TRA) | Уровень мошенничества со стороны эквайера или эмитента ниже порогового значения | 100 евро при уровне мошенничества ≤0,13% / 250 евро при уровне мошенничества ≤0,06% / 500 евро при уровне мошенничества ≤0,01% |
| Повторяющиеся транзакции (фиксированная сумма) | Та же сумма, тот же получатель после первоначального SCA. | Без ограничений |
| Транзакция, инициированная продавцом | Оплата подписки, рассрочка. | SCA требуется только при первой транзакции. |
| Доверенный бенефициар | Владелец карты внес продавца в белый список своего банка. | Управляется конкретным продавцом и держателем карты |
| Безопасные корпоративные платежи | Специализированные платежные системы для бизнеса (B2B) | Только системы, одобренные регулирующими органами. |
Ответственность определяется тем, кто воспользовался освобождением от требований TRA. Если эквайер запрашивает освобождение от требований TRA, и эмитент его принимает, то эквайер (и, соответственно, продавец) несет ответственность за мошенничество в случае возникновения проблем. Если эмитент применил освобождение самостоятельно, ответственность лежит на нем. Продавцы, обрабатывающие большие объемы транзакций с использованием освобождений от требований TRA, должны отслеживать, какой путь был использован для каждой транзакции.
Как SCA и 3DS2 влияют на продавцов
Экономическое обоснование правильного внедрения sca 3ds2 выходит далеко за рамки соблюдения нормативных требований:
- Перераспределение ответственности : завершенная аутентификация 3DS2 переносит ответственность за возврат платежей по мошенническим операциям с продавца на банк-эмитент. Отсутствие аутентификации означает, что продавец напрямую принимает на себя мошенничество с картами. В ЕС уровень мошенничества с картами в 17 раз выше в регионах, где не требуется SCA (Single Control Access).
- Показатели авторизации : 3DS2 часто повышает показатели авторизации по сравнению с неаутентифицированными платежами. Эмитенты одобряют платежи с большей уверенностью, когда у них есть 100 точек данных вместо номера карты и CVV-кода.
- Конверсия при оформлении заказа : добавление шага проверки добавляет еще один этап, но беспроблемная система 3DS2 практически не создает никаких препятствий. Хорошо реализованная система 3DS2 обычно обеспечивает нулевое или положительное влияние на конверсию по сравнению с 3DS1.
- Качество данных : качество полезной нагрузки AReq определяет, какой процент транзакций проходит без проблем. Продавцы, отправляющие только обязательные поля, получают более высокий процент запросов на подтверждение транзакции, чем те, кто заполняет необязательные поля — отпечаток устройства, количество транзакций за прошедший период, возраст адреса доставки.
- Географический аспект : Правила SCA различаются в странах-членах ЕЭЗ, Великобритании (собственный график SCA после Brexit) и других рынках. Глобальная система оформления заказа должна корректно сегментировать эти рынки на уровне запроса.
Контрольный список соответствия требованиям SCA для интернет-магазинов
Для правильной настройки SCA 3DS2 недостаточно просто включить 3DS2 на шлюзе. Важна и текущая работа:
- Убедитесь, что ваш платежный терминал или шлюз поддерживает 3DS2. Большинство крупных платежных процессоров (Stripe, Adyen, Worldpay, Braintree) обрабатывают это автоматически. Региональные или более старые процессоры могут по-прежнему работать на 3DS1 или иметь частичную реализацию.
- Проведите аудит данных, передаваемых через AReq. Вместе с вашим платежным провайдером убедитесь, что вы отправляете все 100+ необязательных полей, а не только обязательный минимум. Каждое дополнительное поле повышает уверенность эмитента в беспрепятственном одобрении платежа.
- Составьте карту типов транзакций. Определите, какие платежи инициированы продавцом (подписки после настройки), по почте/телефону или являются односторонними. Правильно пометьте их — они не проходят через 3DS2 и не должны туда направляться.
- Протестируйте пользовательский интерфейс процесса прохождения испытания. При запуске поэтапного испытания интерфейс должен быть понятным и удобным для мобильных устройств. Запутанный экран ввода OTP снижает конверсию. Протестируйте на разных устройствах и в разных браузерах перед запуском.
- Отслеживайте показатели бесконтактной проверки по сравнению с проверкой на наличие мошенничества. Снижение показателя бесконтактной проверки сигнализирует о проблеме — ухудшении качества передаваемых данных, изменении модели оценки рисков эмитентом или превышении порогового значения TRA по уровню мошенничества в определенной категории продавцов.
- Отслеживайте результаты рассмотрения заявок на освобождение от налогов. Знайте, какие заявки на освобождение от налогов вы подаете, какие одобрены, а какие отклонены. Отказ в освобождении от налогов на небольшие суммы часто означает, что совокупный лимит в 100 евро был достигнут без обнуления.
- Следите за хронологией PSD3. Предложение Европейской комиссии по PSD3 находится на стадии законодательного процесса; внедрение в государствах-членах ожидается в 2026–2027 годах. Оно расширяет SCA, а не заменяет его — требования к аутентификации становятся более детализированными, а не менее гибкими.
Многие продавцы не осознают одну важную вещь в отношении SCA 3DS2: вся эта структура охватывает электронные платежные операции, регулируемые в соответствии с PSD2, что означает перемещение фиатной валюты через банки и карточные сети. Криптовалютные платежи полностью выходят за рамки этой области.
Когда клиент оплачивает покупку биткоинами, эфириумом или стейблкоином, транзакция не проходит через платежную сеть или банк. Ни один эмитент не управляет системой ACS. Нет запросов AReq, нет серверов каталогов, нет потока проверки подлинности, который нужно было бы контролировать. Правила SCA не применяются, поскольку этот тип платежа находится за пределами нормативной базы.
Для продавцов это выглядит наглядно. При оплате криптовалютой не требуется этап аутентификации 3DS2, запрос OTP и процедура проверки подлинности. Клиент оплачивает покупку со своего кошелька; средства поступают на счет. Возврат платежей также отсутствует — криптовалютные транзакции необратимы, что полностью исключает возможность мошенничества.
Для продавцов, желающих добавить способ оплаты, полностью выходящий за рамки аутентификации карты, Plisio поддерживает более 20 криптовалют без дополнительных затрат на проверку подлинности карты (SCA), без риска возврата платежей и без зависимости от модели оценки рисков банка-эмитента.
Что означают SCA и 3DS2 для вашей платежной системы
SCA не становится проще. PSD3 еще больше расширит требования к аутентификации, а в Великобритании после Brexit действует собственная система обеспечения соблюдения SCA. Практический вопрос для продавцов заключается в том, насколько хорошо на самом деле работает реализация SCA 3ds2, а не в том, стоит ли ее внедрять.
При правильном подходе эта система работает для всех участников. Продавцы получают защиту от ответственности за мошеннические возвраты платежей. Эмитенты получают более информативные сигналы благодаря расширенному объему данных в 3D Secure 2 и могут уверенно одобрять больше транзакций. Клиенты получают безопасную аутентификацию, которая обычно вообще не прерывает процесс оформления заказа. Проблемы возникают у тех продавцов, которые включили 3DS2 на минимальном уровне шлюза и больше никогда не проверяли свои тарифы на бесперебойные платежи, качество данных AReq или процент срабатывания исключений.
