Adyen 3D Secure: Як працює автентифікація 3DS2
3D Secure – це рівень автентифікації, який знаходиться між платежем карткою та його схваленням. Adyen 3DS – одна з найпоширеніших реалізацій цього стандарту, вбудована в платіжну платформу Adyen та обробляє мільярди транзакцій щорічно в Європі, Північній Америці та Азії.
Те, як Adyen обробляє 3D Secure, має значення для будь-якого розробника, який інтегрує карткові платежі, а також для будь-якого продавця, який намагається збалансувати запобігання шахрайству з конверсією при оформленні замовлення. Ці два аспекти безпосередньо суперечать один одному: більше автентифікації означає менше шахрайства, але це також означає більше труднощів, а ці труднощі призводять до витрат на продажі. Регіональні дані з цього питання, особливо зі США та Бразилії, є більш серйозними, ніж очікує більшість продавців.
Що таке Adyen 3D Secure?
Коли хтось розплачується онлайн карткою Visa, Visa може вимагати від покупця підтвердження своєї особи. Механізмом для цього є 3D Secure — протокол автентифікації, розроблений мережами карток (Visa називає його Verified by Visa, Mastercard — SecureCode) спеціально для транзакцій без пред'явлення картки. Adyen 3DS — це спосіб, у який Adyen впроваджує його на своїй платіжній платформі.
Існує дві версії. Перше покоління — 3DS1 — перенаправляло покупця на власну сторінку автентифікації емітента картки, повністю порушуючи процес оформлення замовлення. Конверсія впала. Продавці це ненавиділи. Більшість відмовилися від 3DS1, де тільки могли.
3D Secure 2 замінив його розумнішим підходом. Замість перенаправлення, він непомітно збирає дані про пристрій та браузер у фоновому режимі — роздільну здатність екрана, часовий пояс, IP-адресу, історію сеансів — і надсилає все це до банку-емітента. Механізм оцінки ризиків банку отримує понад 150 точок даних для оцінки. Маючи таку кількість сигналів, він часто може просто непомітно схвалити транзакцію, навіть не підозрюючи покупця про роботу 3DS.
Продавці з ЄС та ЄЕЗ не мають великого вибору. Правила PSD2 щодо надійної автентифікації клієнтів вимагають використання 3D Secure 2 для платежів карткою на суму понад 30 євро. Будь-який спосіб оплати, що включає транзакцію з карткою, підпадає під дію цих правил. За межами ЄС 3DS2 наполегливо рекомендується для захисту від відповідальності за шахрайство, який він забезпечує, але це не є юридично обов'язковим.
Як працює автентифікація Adyen 3DS2
Процес 3DS2 проходить у три фази: збір даних, автентифікація та авторизація. Він завершується за лічені секунди, якщо все йде гладко.
- Покупець ініціює оплату — вводить дані картки на сторінці оформлення замовлення продавця
- Adyen збирає дані про пристрої — невеликий компонент JavaScript (відбиток 3DS2) працює у фоновому режимі, збираючи сигнали браузера та пристрою: роздільну здатність екрана, часовий пояс, мову, тип пристрою, IP-адресу.
- Adyen надсилає запит на автентифікацію — відбиток пальця пристрою та дані транзакції упаковуються та надсилаються емітенту картки через мережу карток.
- Емітент оцінює запит — механізм оцінки ризиків емітента оцінює понад 150 точок даних порівняно з історією поведінки власника картки та сигналами шахрайства.
- Емітент вирішує: безперешкодний або виклик — якщо ризик низький, емітент автентифікується тихо (безперешкодний); якщо присутні сигнали ризику, емітент запитує виклик.
- Процес перевірки виконується, якщо його активовано — покупець проходить додаткову перевірку: одноразовий пароль, біометричні дані або підтвердження в банківському додатку.
- Повернуто результат автентифікації — Adyen отримує результат автентифікації (автентифіковано, неавтентифіковано або спроба)
- Adyen надсилає авторизацію — після додавання результату автентифікації платіж переходить до авторизації через мережу картки
- Застосовується перенесення відповідальності — якщо автентифікація пройшла успішно, відповідальність за повернення платежу, пов’язане з шахрайством, переходить з продавця на банк-емітент.
Ключова відмінність між 3DS1 та 3D Secure 2 полягає у кроці 2. У 3DS1 емітент майже не мав даних для роботи, тому проблеми виникали часто. У 3D Secure 2 багатший відбиток пальця пристрою означає, що емітенти можуть непомітно схвалювати набагато більше транзакцій, незалежно від того, який спосіб оплати використовує покупець, головне, щоб це була картка.
Безтертячий потік проти потоку викликів в Адієні
Результати безперешкодного використання та оскарження визначаються емітентом, а не Adyen чи продавцем. Проте, якість збору даних Adyen безпосередньо впливає на те, як часто емітенти можуть працювати безперешкодно — кращі дані про відбитки пристроїв означають, що меншій кількості емітентів потрібно звертатися до служби підтримки для оскарження.
| Фактор | Потік без тертя | Потік завдань |
|---|---|---|
| Досвід покупця | Невидимий — без зайвих кроків | Потрібне одноразове паролі, біометричне підтвердження або підтвердження застосунком |
| Вплив на конверсію | Мінімальний — те саме, що й без 3DS | Значне падіння (залежить від ринку) |
| Хто вирішує | Механізм управління ризиками банку-емітента | Механізм управління ризиками банку-емітента |
| Тригер | Сигнали ризику низькі, даних достатньо | Сигнали ризику підвищені або дані неповні |
| Зміна відповідальності | Так — емітент несе ризик шахрайства | Так — емітент несе ризик шахрайства |
| Типова частка | 40%–93% транзакцій (залежно від ринку) | 7%–60% (залежно від ринку) |
Японія демонструє переваги безперешкодного використання: приблизно 60% транзакцій 3DS завершуються безперешкодно, а загальна конверсія залишається на рівні 93%. Бразилія є протилежною — поширені потоки викликів призвели до 55% конверсії. У США середній вплив потоків викликів на конверсію становить 43%, згідно з дослідженням Stripe щодо моделей впровадження 3DS.
Захист від шахрайства є послідовним незалежно від того, який процес завершується. Як безперешкодна, так і автентифікація з викликом активують перенесення відповідальності. Повернення платежу, пов'язане з шахрайством, після успішної 3DS-автентифікації є фінансовою проблемою емітента, а не продавця.
Правила Adyen Dynamic 3D Secure
Більшість реалізацій 3DS застосовують автентифікацію універсально: для кожної транзакції, кожного разу. Механізм правил Dynamic 3D Secure від Adyen дозволяє продавцям бути більш оперативними у цьому питанні.
Динамічний 3DS дозволяє продавцям налаштовувати маршрутизацію на основі правил, яка застосовує 3DS вибірково, виходячи з сигналів ризику, винятків та характеристик транзакцій. Мета полягає в тому, щоб максимізувати автентифікацію для ризикованих транзакцій, використовуючи винятки для зменшення труднощів для низькоризикових.
Ключові типи правил, доступні в конфігурації Dynamic 3DS від Adyen:
- Правила винятків — направляйте транзакції з низьким рівнем ризику через винятки SCA (аналіз ризику транзакцій, винятки для транзакцій з низькою вартістю нижче 30 євро, списки перевірених продавців), щоб повністю уникнути 3DS, де це дозволено законом.
- Обробка м’якого відхилення — автоматичне перенаправлення транзакцій, які емітенти відхилили без 3DS, запускаючи автентифікацію 3DS з другої спроби
- Правила швидкості — застосовують 3DS на основі частоти транзакцій з певної картки або пристрою протягом часового вікна
- Порогові суми — активують 3DS при перевищенні певної суми транзакції, водночас виключаючи менші покупки
- Правила на основі країни — застосовують різну логіку автентифікації залежно від країни покупця, враховуючи регіональні вимоги SCA та поведінку емітента
- Правила щодо типів карток — маршрутизація корпоративних або преміальних карток через 3DS, водночас дозволяючи стандартні споживчі дебетові платежі через потоки звільнень
Продавці, які інтелектуально налаштовують динамічний 3DS, можуть значно зменшити ризики шахрайства порівняно з універсальним застосунком 3DS, зберігаючи при цьому повний захист від шахрайства у сегментах з високим рівнем ризику.
Методи інтеграції Adyen 3DS
Спосіб інтеграції 3DS продавцями через Adyen залежить від їхнього методу інтеграції платежів. Adyen підтримує три основні підходи:
- Сесії (рекомендовано) — попередньо вбудована інтеграція Adyen обробляє 3DS безпосередньо без додаткового налаштування. Потік сесій автоматично збирає відбитки пристроїв та прозоро керує безперебійною маршрутизацією/маршрутизацією викликів. Найпростіший шлях для більшості продавців.
- Drop-in — розміщений компонент інтерфейсу Adyen вбудовується на сторінку оформлення замовлення продавця та обробляє процеси 3DS, включаючи спливаючі вікна завдань та обробку результатів. Менше налаштування, ніж повна інтеграція API, більше налаштувань, ніж сеанси.
- Інтеграція API — повний контроль над процесом 3DS. Код продавця обробляє збір відбитків пальців, запити на автентифікацію, розбір результатів та надсилання авторизації. Необхідно для високоналаштованих оформлення замовлення або нативних мобільних додатків, що потребують нативного 3DS2 в інтерфейсі додатка.
Для більшості продавців електронної комерції сесії або прямі продажі забезпечують найкращий баланс між зусиллями з інтеграції та відповідністю 3DS. Інтеграція нативного API зазвичай використовується корпоративними продавцями зі спеціалізованими командами платіжної інженерії.
Одна деталь, характерна для Adyen: для нативного 3DS2 у мобільних додатках потрібні SDK Adyen для iOS та Android, які включають компоненти зчитування відбитків пальців та інтерфейс користувача. Веб-інтеграції за допомогою сесій або Drop-in обробляють це автоматично.
Вплив конверсій 3D Secure: регіональні дані
Заголовок «3DS шкодить конверсії» частково правдивий, але фактичний вплив майже повністю залежить від факторів, характерних для конкретного ринку, — наскільки покупці знайомі з процесами банківської автентифікації та чи є зручним користувацький інтерфейс мобільного банкінгу.
| Ринок | Коефіцієнт виклику | Вплив на конверсію | Нотатки |
|---|---|---|---|
| Японія | ~40% виклик | Мінімальне падіння | Автентифікація в банківському додатку вже звична; висока безперебійна швидкість |
| Велика Британія | ~25% виклик | Низький-помірний | Банківський додаток (біометричний) є стандартним, швидкий. |
| Франція | ~50% виклик | Помірний | Частота викликів подвоїлася, але користувачі знайомі з одноразовими паролями |
| США | ~45% виклик | -43% за оскаржені транзакції | 3DS все ще новинка; користувачі не знайомі з процесом обробки одноразових паролів у банку |
| Бразилія | ~60%+ виклик | -55% | Високий рівень викликів; нестабільні процеси банківської автентифікації |
| Середній показник у світі | — | Ринок 1,72 млрд доларів США (2026) | Очікується, що до 2034 року він досягне 4,66 млрд доларів США. |
Цифри щодо скорочення шахрайства стали зрозумілішими: 3DS-автентифікація зменшує кількість суперечок, пов'язаних з шахрайством, до 80%, а за оцінками Європи, вона запобігає приблизно 900 мільйонам євро щорічних втрат від шахрайства. Це економія на стороні продавців. Зворотні платежі є дорогими, окрім вартості транзакції — вони додають операційні накладні витрати, ризикують штрафами за оцінку, а в деяких випадках і ризик взаємодії з обробником.
Парадокс конверсії вирішується, якщо розділити два фактори: чи було застосовано 3DS, і чи було випробування гладким. Ринки з хорошими мобільними банківськими додатками та досвідченими покупцями добре справляються з труднощами. Ринки, де покупці використовують OTP через SMS або непослідовні банківські додатки, втрачають багато касових апаратів.
3DS та криптовалютні платежі
3D Secure застосовується до карткових платежів і нічого більше. Транзакції з криптовалютою не проходять через карткові мережі, тому немає жодного потоку 3DS для активації.
Це працює в обидва боки. Шлюзи криптовалютних платежів не можуть покладатися на перенесення відповідальності на 3DS — немає банку-емітента, якому можна було б передати ризик шахрайства. Безпека залежить від інших механізмів: моніторингу транзакцій, перевірки гаманців, оцінки ризиків у режимі реального часу на рівні шлюзу.
З іншого боку: жодних проблем із 3DS. Жодного фонового сканування відбитків пальців пристрою, жодної перевірки емітента, жодного одноразового пароля, на який потрібно чекати. Оплата така ж проста, як сканування адреси гаманця або підтвердження в додатку гаманця. Для продавців, які спостерігали за конвертацією шкоди від Challenge Flow у США чи Бразилії, така простота варта реальних грошей.
Для продавців, які хочуть пропонувати криптовалюту як варіант оплати поряд з традиційними картками, Plisio надає крипто-платіжний шлюз, який обробляє криптовалюту без додавання складності відповідності 3DS до стеку продавця.
