Пояснення SCA та 3DS2: автентифікація платежів PSD2
Продаж онлайн європейським клієнтам означає роботу з SCA та 3DS2, хочете ви цього чи ні. Надійна автентифікація клієнта є жорсткою юридичною вимогою згідно з PSD2, і 3D Secure 2 – це те, як більшість продавців фактично її виконують. Що означає SCA 3DS2 на практиці, де знаходяться крайні випадки та скільки коштує помилка – ось що розглядається в цьому посібнику.
Що таке SCA? Визначення надійної автентифікації клієнта
Надійна автентифікація клієнта є вимогою щодо перевірки згідно з PSD2 — Директивою ЄС про платіжні послуги 2. Вона застосовується, коли клієнт ініціює електронний платіж, і банк-емітент його картки, а також банк-еквайр продавця знаходяться в Європейській економічній зоні.
Саме правило стосується факторів. Безпечна автентифікація повинна використовувати щонайменше два з трьох, і вони повинні належати до різних категорій:
- Знання — щось, що знає власник картки: пароль, PIN-код або контрольне питання
- Володіння — щось, що є у власника картки: мобільний телефон, апаратний токен або смарт-картка
- Власність — те, чим є власник картки: відбиток пальця, розпізнавання обличчя, голосова ідентифікація
Фактори мають бути незалежними один від одного — компрометація одного не може розкрити інший. Вони також мають бути динамічно пов’язані з конкретною сумою транзакції та отримувачем платежу. Статичний пароль, який працює для кожної покупки, не підходить.
Сфера застосування: SCA охоплює онлайн-покупки за допомогою картки, ініційовані клієнтом. Вона не застосовується до транзакцій, ініційованих продавцем (повторне виставлення рахунків після початкової авторизації), замовлень поштою або телефоном, або будь-яких транзакцій, де продавець або банк власника картки знаходиться за межами ЄЕЗ. Остання категорія називається «one-leg-out» (продаж одного товару/послуги) і стосується продавців зі змішаними глобальними клієнтськими базами.
Що таке 3DS2 і як він пов'язаний з SCA?
Назва розшифровується так: 3D означає три домени — банк-емітент, який випустив картку власника картки, банк-еквайр, який обробляє платежі продавця, та мережу карток, що знаходиться між ними. Версія 2 відрізняє її від оригінального протоколу, який Visa запустила в 1999 році під назвою «Verified by Visa». EMVCo, що є спільною власністю Visa, Mastercard, Amex та інших схем, створила та зараз підтримує стандарт 3D Secure 2.
Який зв'язок з SCA? PSD2 вимагає, щоб карткові платежі були автентифіковані за допомогою двох факторів. 3D Secure 2 – це механізм, який продавці використовують для фактичної автентифікації транзакцій без пред'явлення картки. Технічно, відкриті банківські потоки та перенаправлення банківських додатків також можуть задовольнити SCA, але в реальному світі 3DS2 обробляє переважну більшість онлайн-платежів картками.
Visa та Mastercard припинили підтримку 3DS1 для європейських транзакцій у жовтні 2022 року. Після цього припинення маршрутизація карткових платежів через 3DS1 не просто застаріла — вона вийшла з-під контролю за схемою. Те, що колись було необов'язковим, стало обов'язковим, а оновлення 3D Secure 2, яке процесори рекомендували роками, стало єдиним шляхом уперед.
Історія 3D Secure: від 3DS1 до 3DS2
3DS1 було запущено на початку 2000-х років. Механізм автентифікації являв собою спливаюче вікно-перенаправлення, яке зазвичай розміщував банк-емітент картки. Власники карток бачили нове вікно браузера, вводили статичний пароль, який вони часто забували, та або проходили додзвонення, або завершували транзакцію. Відмова від покупки на цьому етапі була вимірною проблемою для продавців у кожній категорії.
| Функція | 3DS1 | 3DS2 |
|---|---|---|
| Інтерфейс користувача автентифікації | Спливаюче вікно перенаправлення / нове вікно | Вбудований iframe або нативний SDK |
| Дані, надіслані емітенту | ~15 точок даних | Понад 100 точок даних (пристрій, поведінка, історія) |
| Мобільна підтримка | Погано — немає вбудованого SDK | Повністю нативний SDK для iOS та Android |
| Потік без тертя | Недоступно | Так — більшість транзакцій |
| Метод виклику | Статичний пароль | OTP, push-сповіщення, біометричний |
| Зміна відповідальності | Так | Так (розширене покриття) |
| статус ЄС | Застаріло у жовтні 2022 року | Обов'язкове |
3DS2 був розроблений для виправлення шкоди від конверсії, спричиненої 3DS1. Надсилаючи понад 100 сигналів ризику емітенту на початку потоку, протокол надає банкам достатньо даних для схвалення більшості транзакцій, не вимагаючи від клієнта жодних дій. Коли спрацьовує виклик, це SMS-код або біометричні дані, а не пароль, який власник картки встановив три роки тому.
Як працює автентифікація 3DS2: крок за кроком
Кожна транзакція 3DS2 проходить одним із двох шляхів. Банк-емітент вибирає той, який він отримує, на основі даних про ризики. У більшості випадків клієнти взагалі не помічають, що відбулася автентифікація.
Безперебійний потік (70–90% транзакцій):
- Клієнт вводить дані картки під час оформлення замовлення
- Платіжний шлюз продавця або 3DS-сервер збирає понад 100 точок даних: відбиток пристрою, геолокацію IP-адреси, характеристики браузера, історію транзакцій, поведінкові сигнали
- Вони надсилаються в запиті на автентифікацію (AReq) на сервер каталогу мережі картки, а потім пересилаються на сервер контролю доступу (ACS) банку-емітента.
- ACS виконує автоматизовану оцінку ризиків — зазвичай менш ніж за секунду
- Якщо транзакція оцінюється як низькоризикова, ACS видає безперешкодне схвалення без необхідності будь-яких дій з боку клієнта.
- Транзакція завершується переходом відповідальності до банку-емітента
Потік викликів (10–30% транзакцій):
- Кроки 1–3 однакові — збір даних та подання AReq
- ACS позначає транзакцію як таку, що має підвищений ризик: новий пристрій, незвичайна сума, нова адреса доставки або підвищений рівень шахрайства для цієї категорії продавців.
- Клієнту пропонується ввести другий фактор — одноразовий пароль у вигляді SMS, push-сповіщення з банківського додатка або біометричні дані.
- Клієнт виконує завдання
- Транзакцію схвалено з переходом відповідальності до емітента
Безперешкодний шлях – це те, що відрізняє 3DS2 від його попередника. Більшість клієнтів завершують автентифіковану транзакцію, не роблячи нічого додатково. Коли з’являється виклик, це звичний метод — те саме push-сповіщення, яке вони використовують для схвалення банківського переказу.
Звільнення від SCA та коли вони застосовуються
Не кожна транзакція вимагає SCA. PSD2 визначає винятки, які дозволяють платежам здійснюватися без двофакторної автентифікації. Запит на виняток – це не те саме, що його отримання. Банк-емітент вирішує, чи задовольняти його. Відхилення означає м’яке відхилення, і продавець повинен повторно надіслати заявку з активованою SCA.
| Тип звільнення | Хвороба | Ліміт |
|---|---|---|
| Транзакція низької вартості | Транзакція до 30 євро | Максимум 5 послідовних транзакцій або 100 євро сумарно з моменту останньої SCA |
| Аналіз ризиків транзакцій (TRA) | Рівень шахрайства з боку еквайра або емітента нижчий за порогове значення | 100 євро з рівнем шахрайства ≤0,13% / 250 євро з рівнем шахрайства ≤0,06% / 500 євро з рівнем шахрайства ≤0,01% |
| Повторювані транзакції (фіксована сума) | Та сама сума, той самий отримувач платежу після початкового SCA | Без обмежень |
| Транзакція, ініційована продавцем | Оплата передплати, розстрочка | SCA потрібна лише для першої транзакції |
| Довірений бенефіціар | Власник картки додав продавця до білого списку свого банку | Спеціально для продавця, контролюється власником картки |
| Безпечні корпоративні платежі | Спеціалізовані платіжні системи B2B | Тільки системи, схвалені регулятором |
Відповідальність випливає з того, хто заявив про звільнення. Якщо еквайр запитує звільнення від TRA, а емітент його приймає, еквайр (і, відповідно, продавець) несе відповідальність за шахрайство, якщо щось піде не так. Якщо емітент застосував звільнення самостійно, відповідальність лежить на ньому. Продавці, які здійснюють будь-який обсяг операцій із звільненнями від TRA, повинні відстежувати, який шлях охоплював кожну транзакцію.
Як SCA та 3DS2 впливають на продавців
Бізнес-кейс для правильного використання SCA 3DS2 виходить далеко за рамки дотримання нормативних вимог:
- Зміна відповідальності : завершена автентифікація 3DS2 переносить відповідальність за повернення платежу за шахрайство з продавця на банк-емітент. Відсутність автентифікації означає, що продавець безпосередньо бере на себе шахрайство з карткою. Шахрайство з картками ЄС трапляється в 17 разів частіше в регіонах, де SCA не потрібна.
- Коефіцієнти авторизації : 3DS2 часто покращує коефіцієнти авторизації порівняно з неавторизованими платежами. Емітенти впевненіше схвалюють платежі, коли мають 100 точок даних замість номера картки та CVV.
- Конверсія оформлення замовлення : потік завдань додає крок, але безперешкодний 3DS2 майже не додає жодних труднощів. Добре реалізований 3DS2 зазвичай забезпечує рівний або позитивний вплив конверсії порівняно з 3DS1.
- Якість даних : якість корисного навантаження AReq визначає, який відсоток транзакцій проходить безперебійно. Продавці, які надсилають лише обов’язкові поля, мають вищий рівень проблем, ніж ті, хто заповнює додаткові поля — відбиток пристрою, кількість транзакцій у минулому, вік адреси доставки.
- Географія : правила SCA відрізняються в країнах-членах ЄЕЗ, Великій Британії (її власна хронологія SCA після Brexit) та інших ринках. Глобальна система оформлення замовлення повинна правильно сегментувати їх на рівні запиту.
Контрольний список відповідності SCA для онлайн-продавців
Правильне налаштування sca 3ds2 вимагає більше, ніж просто ввімкнення 3DS2 на шлюзі. Поточна робота також має значення:
- Перевірте, чи ваш PSP або шлюз підтримує 3DS2. Більшість основних процесорів (Stripe, Adyen, Worldpay, Braintree) обробляють це автоматично. Регіональні або старіші процесори можуть все ще працювати на 3DS1 або мати часткову реалізацію.
- Перевірте корисне навантаження даних AReq. Зверніться до свого постачальника платіжних послуг, щоб переконатися, що ви надсилаєте всі 100+ необов’язкових полів даних, а не лише обов’язковий мінімум. Кожне додаткове поле підвищує безперебійну впевненість емітента у схваленні.
- Зіставте типи транзакцій. Визначте, які платежі ініціює продавець (підписки після налаштування), замовлення поштою/телефоном або одноразові. Правильно позначте їх — вони не проходять через 3DS2 і не повинні туди направлятися.
- Перевірте UX-ефективність процесу виконання завдання. Коли спрацьовує поетапний виклик, інтерфейс має бути зрозумілим та адаптованим для мобільних пристроїв. Заплутаний екран з одноразовими паролями коштує конверсій. Перед запуском протестуйте його на різних пристроях та в різних браузерах.
- Слідкуйте за показниками безперешкодного та виклику клієнтів. Падіння показника безперешкодного сигналізує про проблему — погіршення обсягу даних, зміну емітентом своєї моделі ризику або перевищення показника шахрайства в категорії продавців порогового значення TRA.
- Відстежуйте результати винятків. Дізнайтеся, які винятки ви запитуєте, які схвалено, а які повертаються як м’які відхилення. М’які відхилення щодо винятків з низькою вартістю часто означають, що сукупний ліміт у 100 євро було досягнуто без скидання.
- Слідкуйте за хронологією PSD3. Пропозиція Європейської Комісії щодо PSD3 перебуває на законодавчому етапі; очікується, що впровадження державами-членами відбудеться у 2026–2027 роках. Вона розширює SCA, а не замінює її — вимоги до автентифікації стають більш детальними, а не полегшеними.
Багато продавців не усвідомлюють однієї речі щодо sca 3ds2: вся ця структура охоплює електронні платіжні операції, що регулюються PSD2, що означає переміщення фіатної валюти через банки та карткові мережі. Платежі в криптовалюті повністю виходять за межі цієї сфери застосування.
Коли клієнт платить Bitcoin, Ethereum або стейблкоїном, транзакція не стосується карткової мережі чи банку. Жоден емітент не використовує ACS. Немає AReq, сервера каталогів, потоку запитів для керування. Правила SCA не застосовуються, оскільки тип платежу виходить за межі регуляторного периметра.
Для продавців це проявляється конкретно. Криптовалютна каса не має етапу автентифікації 3DS2, запиту OTP та процесу перевірки. Клієнт платить зі свого гаманця; кошти надходять. Зворотних платежів також не існує — крипто-транзакції є незворотними, що повністю усуває механізм відповідальності за шахрайство.
Для продавців, які бажають додати опцію оплати повністю поза межами системи автентифікації картки, Plisio підтримує понад 20 криптовалют без накладних витрат на SCA, без ризику повернення платежів та без залежності від моделі ризику банку-емітента.
Що означають SCA та 3DS2 для вашого платіжного стеку
SCA не стає простішою. PSD3 ще більше розширить вимоги до автентифікації, а Велика Британія після Brexit запустить власну систему забезпечення дотримання SCA. Практичне питання для продавців полягає в тому, наскільки добре насправді працює впровадження sca 3ds2, а не в тому, чи варто його впроваджувати.
Якщо все зробити добре, фреймворк працює для всіх учасників. Продавці отримують захист від відповідальності за шахрайські повернення платежів. Емітенти отримують більш насичені сигнали завдяки розширеному корисному навантаженню даних 3D Secure 2 та впевнено схвалюють більше транзакцій. Клієнти отримують безпечну автентифікацію, яка зазвичай взагалі не перериває їхню оплату. Продавці, які зазнають труднощів, — це ті, хто ввімкнув 3DS2 як мінімум на шлюзі та більше ніколи не перевіряв свої безперебійні показники, якість корисного навантаження AReq або показники звільнень.
