Лет 20-25 назад, когда единственной секретной величиной был ПИН, а «микропроцессорная» карта вызывала только немой вопрос, кредитные карты использовались, в основном, при личном обращении клиента в точку продажи товара или услуги. Конечно, при заказе отеля с клиента брали номер карты и срок ее действия чтобы в случае отказа списать с нее плату за одну ночь («no show»). Но Интернета и электронной коммерции в нем еще не было в таких объемах, как сейчас. В основном проводились операции «заказ по почте/телефону» («MOTO»), при которых клиент сообщал номер карты и срок ее действия. Далее магазин проводил авторизацию по карте и отправлял товар. Если авторизация не проводилась, то номер карты только проверялся в стоп-листе, но при этом сумма была ограничена, как правило, 50 долларами («floor limit»). Разумеется, найти номера карт и срок их действия совершенно не было проблемой. Тогда были распространены импринтеры, и нечистоплотные сотрудники магазинов имели доступ к такой информации. Не говоря уже о сотрудниках тех процессинговых узлов, через которые проходила операция, ведь номер карты и срок действия присутствует даже в самой урезанной форме для просмотра операций.

Понятно, что эмитент карты был совершенно не в состоянии отвечать за все те операции, которые могли быть совершены без наличия клиента и без его ведома. Вся ответственность ложилась на банк-эквайер, а он благополучно перекладывал ее на магазин, либо закладывал такой процент, чтобы компенсировать все потери, которые он понес. Банки внедряли системы мониторинга, но кардинально проблемы это не решало.

Немного полегче стало, когда платежные системы, разрабатывая защиту от мошенников, придумали Card Verification Value или Card Verification Code (одно и тоже, названия для разных платежных систем). Суть его состоит в том, что на основе данных карты и секретного ключа вычисляется трехзначное число, которое записывается на магнитную полосу и эмитент, получив данные магнитной полосы, мог проверить ее подлинность (в достаточной мере). Через пять-семь лет для МОТО и интернет-транзакций был придуман CVV2/CVC2 – тот же алгоритм, но немного другие данные. Получившееся число печатается индент-печатью на полосе для подписи. Все банки-эмитенты обязались печатать и проверять CVV2, а всем банкам-эквайерам было рекомендовано его запрашивать у клиента и передавать в запросе. Теперь клиент при покупке без присутствия карты должен был сообщить это число, а эмитент проверял его. Это ненадолго снизило уровень мошенничества, но кардинально не поменяло ситуацию. Ответственность за операцию по-прежнему ложилась на банк-эквайер, а мошенникам к прежним данным необходимо было добыть еще и этот код, что несколько усложняло задачу, но отнюдь не делало ее невыполнимой. Параллельно с этими процессами в девяностых годах шло бурное развитие Интернета: увеличивающиеся обороты он-лайновых магазинов (и их потери за счет мошенничества) требовали разработки принципиально иного решения. Таковым стала технология 3D-secure, известная клиентам под торговыми марками «Verified by Visa», «MasterCard SecureCode»

Основным принципом этой технологии стал отказ от записи на карту и транзита через процессинговые узлы каких бы то ни было секретных величин. Когда клиент совершает покупку в он-лайновом магазине, после ввода данных карты он перенаправляется на специальный авторизационный сервер банка-эмитента, и там вводит пароль для покупок в сети Интернет (это ни в коем случае не ПИН карты). При этом между компьютером клиента и сервером эмитента устанавливается шифрованное соединение, и никто не может подсмотреть то, что он ввел. Все, операция стала безопасной. Пароль не напечатан на карте, которую клиент постоянно теряет из виду в ресторанах, пароль не проходит через магазин, банк-эквайер, линии связи, где его могут подсмотреть. Теперь, по правилам платежных систем, за операцию несет ответственность банк-эмитент и он-лайн магазины могут не опасаться за потенциальный отказ клиента от операции и потерю при этом денег. Это, разумеется, даст огромный толчок интернет-коммерции. Потому что теперь те магазины, которые из-за нормы прибыли не могли оплачивать комиссию 5-7%, с удовольствием будут принимать карты, так как банк-эквайер будет гарантировать им возмещение за 2-2,5%. Данный стандарт стал уже обязательным для всех новых интернет-эквайеров, и недалек тот день, когда он станет обязательным для всех. По нашей статистике, уже 25-30% всех операций проходит с поддержкой этой технологии. Российские банки-эмитенты также активно стали внедрять ее. Кому хочется нести ответственность за мошеннические операции!

Конечно, для клиента внедрение данной технологии несет в себе некоторые неудобства. Банк сообщает ему пароль либо при выпуске карты, либо нужно произвести какие-то действия, чтобы его получить, например, зайти на сайт банка, или получить его в банкомате. Путь получения пароля зависит от банка, от его технологических возможностей. Причем, строго говоря, банк может использовать разные методы идентификации, которые он сочтет нужным, например одноразовые пароли, комбинацию пароля и кодового слова, т.п. Статический пароль – самый простой вариант, и наиболее удобный для клиента - если банк считает его достаточной защитой. Не надо забывать, что за операции, в которых использовались данные карты, несет ответственность клиент.  По крайней мере, это предусмотрено в большинстве договоров или правил, которые получатель карты подписывает в банке. Поэтому лучше перетерпеть некоторые неудобства, чем потом писать в банк гневные письма о том, что с карты списаны непонятные суммы (а банк совершенно правомерно откажет в их компенсации).

Подводя итоги, можно сказать - если Вы планируете совершать покупки в сети, сейчас надо не просто открывать карту, а интересоваться, поддерживает ли банк технологию 3D-secure, и при получении карты одновременно получать и пароль для безопасных покупок. Тогда Ваш виртуальный шоппинг не принесет никаких расстройств, разве что из-за расцветки вещи, которую вам прислали в пакете. Но это тема уже другого исследования.