3D Secure: cum să faci tranzacții în siguranță pe internet

Care este cel mai frustrant lucru când faci o plată cu cardul pe internet? Cel puțin pentru mine este necesitatea de a introduce o parolă suplimentară pentru validarea tranzacției, în cazul în care site-ul respectiv este înrolat în serviciul 3D Secure. Indiferent de forma ei, această parolă suplimentară reprezintă însă un compromis necesar pentru siguranța banilor mei.

Așa cum probabil știi, pentru a efectua o plată cu cardul pe internet trebuie să introduci seria cardului inscripționată pe față, data expirării cardului, numele complet menționat pe card și un cod CCV din trei cifre menționat pe spatele cardului. Codul PIN nu este necesar. Toate aceste informații sunt vizibile pe card. Cu alte cuvinte, dacă pierzi cardul sau acesta îți este furat, până la blocarea acestuia persoana care intră în posesia lui poate efectua fără probleme tranzacții pe internet, întrucât deține toate informațiile necesare. Iar în România valoarea tranzacțiilor online este în continuă creștere și a ajuns la 3.5 miliarde de lei în primele trei luni ale anului 2016.

Pentru a limita riscul unor fraude de acest tip, procesatorii de carduri au adoptat începând din 2001 un sistem de securitate botezat 3D Secure. Acesta a fost implementat inițial de Visa sub numele Verified by Visa și ulterior de Mastercard sub brandul Mastercard SecureCode.

Cum se folosește 3D Secure?

Sistemul 3D Secure presupune utilizarea unei parole suplimentare pe care trebuie să o introduci într-un tab nou al browserului după ce completezi datele cardului. În forma sa inițială, parola 3D Secure este stabilită de către tine prin accesarea unei pagini dedicate de pe site-ul oficial al băncii care a emis cardul. Din păcate, acest procedeu presupune să memorezi încă o parolă pentru a putea face tranzacții pe internet.

Tocmai de aceea, în ultimul an a apărut și în România o nouă metodă de autentificare pentru 3D Secure: în locul parolei clasice, banca generează un cod unic pe care îl trimite prin SMS pe numărul de telefon asociat contului tău bancar la fiecare tranzacție pe care vrei s-o efectuezi pe internet. Vorbim astfel despre o parolă dinamică, care în termeni tehnici se numește one-time-password. În acest fel, nu trebuie să mai memorezi nicio parolă, iar tranzacția este la fel de sigură ca înainte, cu excepția cazului în care pierzi simultan cardul și telefonul. În plus, în acest caz cardul bancar va fi înrolat automat în sistemul 3D Secure la emiterea acestuia, astfel că tu nu va trebui să mai faci nimic în plus.

Care sunt băncile din România care solicită o parolă pentru serviciul 3D Secure și care dintre ele trimit coduri prin SMS? Pentru a afla răspunsul am analizat ofertele curente ale celor mai mari zece bănci din România după valoarea activelor:

3d-secure

Toate datele din tabelul de mai sus sunt valabile în 13 noiembrie 2016. Pentru date actualizate la zi poți verifica și site-ul Romcard, compania care procesează tranzacțiile cu carduri din România.

Ce probleme are 3D Secure?

Este important de menționat că nu toate site-urile sunt înrolate în sistemul 3D Secure. Cele care au implementat sistemul 3D Secure au afișate logo-urile Verified by Visa și Mastercard SecureCode. În cazul în care acestea nu sunt prezente, înseamnă că site-ul respectiv nu este înrolat în 3D Secure, iar tranzacția ta se va desfășura fără necesitatea de a utiliza parola 3D Secure sau codul unic trimis de bancă prin SMS.

Din păcate, sistemul 3D Secure este departe de a fi perfect, iar pe parcursul timpului a generat critici din partea utilizatorilor. Nu doar din cauza unui pas suplimentar care necesită utilizarea unei parole sau a unui cod, ci mai ales din cauza faptului că ești redirecționat pe o pagină separată pentru a introdue aceste date.

În unele cazuri, clienții magazinului interpretează că pagina respectivă este de tip phishing, întrucât site-ul pe care trebuie introdusă parola sau codul primit prin SMS nu este nici site-ul magazinului, nici site-ul oficial al băncii care a emis cardul și nici site-ul oficial Visa sau Mastercard. În cazul site-urilor românești, ești redirecționat pe site-ul Secure2gw.

Pe de altă parte, în cazul tranzacțiilor efectuate de pe smartphone, pagina de securitate pentru introducerea parolei sau codului 3D Secure nu este optimizată întotdeauna pentru mobil, chiar dacă site-ul de pe care cumperi este optimizat în mod corespunzător. Astfel, în unele cazuri, pagina 3D Secure nu va fi afișată corect sau va fi afișată în varianta desktop, ceea ce înseamnă că trebuie să faci zoom în browser pentru a introduce parola sau codul primit prin SMS.

Probabil însă că aceste aspecte vor fi remediate în timp, mai ales că numărul tranzacțiilor efectuate pe smartphone-uri este în creștere puternică și, mai devreme sau mai târziu, va depăși numărul de tranzacții efectuate pe desktop. Cert este că 3D Secure este practic un rău necesar pentru ca tranzacțiile tale să se efecuteze în siguranță.