3D Secure je mednarodni varnostni standard, ki pri spletnih plačilih s kartico potrdi, da transakcijo res izvajate vi in ne nekdo z ukradenimi podatki kartice. Pri Visi se ta zaščita imenuje Visa Secure (prej Verified by Visa), pri Mastercardu pa Mastercard Identity Check. V Sloveniji jo uporabljajo praktično vse banke, postopek potrditve pa večina izvaja prek storitve Rekono ali prek enkratnega gesla po SMS-u.
V tem vodniku pojasnjujemo, kako 3D Secure deluje, kako ga slovenske banke izvajajo v praksi, kako ga aktivirate in kaj storiti, ko potrditev ne uspe. Stran je namenjena vsem, ki s kartico plačujejo na spletu – ne glede na to, kje.
Kaj je 3D Secure in zakaj obstaja
3D Secure (»3-domenski varnostni protokol«) doda spletnemu plačilu dodaten korak preverjanja. Ko vnesete podatke kartice, vas banka prek aplikacije ali SMS-a prosi za potrditev, da ste plačilo res sprožili vi. Šele po tej potrditvi je transakcija dokončana. Tako tudi morebiti ukradeni podatki kartice sami po sebi ne zadostujejo za zlorabo, saj zadnji korak zahteva dostop do vašega telefona ali bančnih poverilnic.
Standard je obvezen del evropske direktive PSD2 in pravil o močni avtentikaciji strank (SCA), ki od 1. januarja 2021 v Sloveniji veljajo za spletna kartična plačila. Prav zato vas banka pri spletnem nakupu pogosto preusmeri na dodatno potrditev – to ni nadlegovanje, temveč zakonska zaščita.
Tri »domene« protokola
Ime izhaja iz treh strani, ki sodelujejo pri preverjanju: vaša banka (izdajatelj kartice), banka trgovca in vmesni varnostni sistem, ki ju povezuje. V Sloveniji tehnično obdelavo kartičnih plačil za številne banke izvaja procesni center Bankart, čigar plačilni prehod je skladen s standardi PCI DSS, EMV 3D Secure in PSD2.
Kako slovenske banke izvajajo 3D Secure
V praksi se v Sloveniji uporabljata predvsem dva načina potrditve: prek mobilne aplikacije Rekono in prek enkratnega gesla po SMS-u. Vse pogostejša in priporočena je potrditev z aplikacijo, saj je hitrejša in varnejša.
Potrditev z aplikacijo Rekono OnePass
Številne slovenske banke za potrjevanje spletnih nakupov uporabljajo storitev Rekono oziroma mobilno aplikacijo Rekono OnePass. Ko opravite spletno plačilo, na telefon prejmete potisno obvestilo (push). V obvestilu vidite podatke o nakupu – trgovca in znesek – plačilo pa potrdite z vnosom kode PIN ali z biometrijo (prstni odtis ali prepoznava obraza), ki ste jo nastavili ob registraciji aplikacije.
Ta način je priročen, ker poteka v hipu in brez čakanja na SMS. Edini pogoj je, da imate aplikacijo nameščeno, prijavljeno in povezano s svojo kartico ter da ima telefon dostop do interneta.
Potrditev z geslom in SMS kodo
Kot rezervna možnost ali pri nekaterih bankah se uporablja kombinacija statičnega gesla in enkratnega gesla (OTP), ki ga prejmete po SMS-u na svojo registrirano telefonsko številko. Ob plačilu vnesete prejeto kodo in s tem potrdite transakcijo. Ta način deluje tudi brez pametnega telefona, je pa nekoliko počasnejši in odvisen od dosega mobilnega omrežja.
| Način potrditve | Kako poteka | Prednost | Slabost |
|---|---|---|---|
| Rekono OnePass (aplikacija) | Push obvestilo + PIN ali biometrija | Hitro, varno, brez SMS-a | Potreben pametni telefon in internet |
| SMS koda + geslo | Vnos enkratne kode iz SMS-a | Deluje brez pametnega telefona | Počasneje, odvisno od signala |
Kako aktivirati 3D Secure
Pri večini slovenskih bank je 3D Secure za spletna plačila vključen samodejno, aktivirati pa je treba način potrditve – najpogosteje z registracijo računa Rekono in povezavo kartice. Postopek se po bankah nekoliko razlikuje, načelo pa je enako.
Splošni koraki aktivacije
- Prenesite aplikacijo, ki jo priporoča vaša banka (pogosto Rekono OnePass), iz uradne trgovine Google Play ali App Store.
- Ustvarite oziroma prijavite se v račun Rekono in ga povežite s svojo banko.
- Dodajte svojo plačilno kartico in nastavite način potrditve (PIN in/ali biometrijo).
- Po potrebi potrdite registracijo z enkratno kodo, ki jo prejmete po SMS-u ali v spletni banki.
- Od tedaj boste spletne nakupe potrjevali prek aplikacije.
Razlike med bankami
Slovenske banke – med njimi NLB, Nova KBM, SKB, Intesa Sanpaolo, Addiko Bank, Gorenjska banka, Delavska hranilnica in druge – 3D Secure izvajajo na podoben način, a z lastnimi navodili in aplikacijami. NLB na primer ponuja aktivacijo prek računa Rekono, druge banke pa imajo bodisi enako rešitev bodisi lastno mobilno aplikacijo. Najnatančnejša, vedno aktualna navodila zato vedno najdete na spletni strani svoje banke ali v njeni mobilni aplikaciji. Če niste prepričani, kateri način uporablja vaša banka, se obrnite na njihovo podporo.
PSD2 in močna avtentikacija strank (SCA)
Od uveljavitve direktive PSD2 je močna avtentikacija strank (SCA) obvezna za večino spletnih kartičnih plačil v EU. SCA zahteva, da se istovetnost potrdi z vsaj dvema od treh elementov: nekaj, kar veste (geslo ali PIN), nekaj, kar imate (telefon), in nekaj, kar ste (biometrija). 3D Secure je prav mehanizem, ki to zahtevo izpolni.
V praksi to pomeni, da spletnega plačila brez dodatne potrditve pri večini trgovcev ni mogoče dokončati. Obstajajo izjeme (npr. nizki zneski ali zaupanja vredni trgovci), a pravilo je, da je dodatna potrditev del vsakega varnega spletnega nakupa. Prav to varnost cenijo tudi igralci, ki na spletu uporabljajo pravi denar; če iščete zanesljiv Visa casino, je podpora 3D Secure eden od znakov resnega ponudnika.
3D Secure pri različnih vrstah kartic Visa
Visa Secure deluje pri vseh glavnih vrstah kartic Visa, čeprav so podrobnosti odvisne od banke izdajateljice. Pri debetni kartici Visa potrditev poteka enako kot pri kreditni – prek aplikacije ali SMS-a – le da se sredstva črpajo neposredno z računa. Pri kreditni kartici Visa je postopek identičen, banka pa pri spletnih plačilih pogosto uporablja enak način avtentikacije kot za debetno.
Pri predplačniških in darilnih karticah Visa je slika nekoliko bolj pestra. Nekatere predplačniške kartice podpirajo 3D Secure in zahtevajo registracijo telefonske številke za prejem kode, druge pa te zaščite nimajo, zato jih nekateri spletni trgovci ne sprejmejo. Če uporabljate predplačniško kartico, pred spletnim plačilom preverite, ali podpira dodatno potrditev – to najlažje izveste pri izdajatelju kartice.
Starejša kartica Visa Electron, ki je v Sloveniji manj pogosta kot nekoč, prav tako večinoma deluje z 3D Secure, kadar jo izda banka, ki to zaščito ponuja. V vsakem primeru velja, da je kartica z aktivnim 3D Secure bolje zaščitena in širše sprejeta pri spletnih plačilih kot tista brez njega.
3D Secure pri tujih trgovcih
Kartico Visa s slovensko izdano 3D Secure zaščito uporabljate enako tudi pri spletnih nakupih pri tujih trgovcih. Postopek potrditve teče prek vaše banke ne glede na to, kje ima trgovec sedež – torej boste tudi pri nakupu v tuji spletni trgovini prejeli obvestilo v aplikacijo ali SMS kodo, povsem enako kot doma. Razlika je le v tem, da nekateri tuji trgovci uporabljajo nekoliko drugačen vmesnik za potrditev; bistvo pa ostaja enako, saj zadnji korak vedno izvede vaša banka.
Pri nakupih v tuji valuti bodite pozorni na morebitno pretvorbo valut in pripadajoč pribitek, ki ga zaračuna banka ali kartično omrežje. To ni povezano s 3D Secure, je pa dober razlog, da pred potrditvijo preverite prikazani znesek. Če se vam zdi sumljiv ali se ne ujema z nakupom, potrditev raje zavrnite.
Vpliv na hitrost in zavrnitve plačil
Dodatni korak potrditve podaljša plačilo le za nekaj sekund, hkrati pa močno zmanjša tveganje za neupravičeno zavrnitev. Plačila s kartico, ki nima aktivnega 3D Secure, nekateri trgovci namreč zavrnejo, ker ne morejo izpolniti zahtev SCA. Z aktivnim 3D Secure je kartica širše sprejeta in plačila tečejo bolj gladko. Če se vam plačila pogosto zavračajo, je smiselno najprej preveriti, ali je način potrditve pravilno nastavljen in ali je aplikacija za potrjevanje posodobljena.
Pogoste težave in rešitve
Tudi pri dobro nastavljenem 3D Secure občasno pride do zapletov. Spodaj so najpogostejši in kako jih rešite.
Ne prejmem potisnega obvestila
Če potrditev ne prispe v aplikacijo, najprej preverite, ali ima telefon dostop do interneta in ali so obvestila za aplikacijo vklopljena. Pomaga tudi, da aplikacijo odprete ročno – pogosto čakajočo zahtevo najdete znotraj nje. Če to ne deluje, preverite, ali je aplikacija posodobljena na najnovejšo različico.
Plačilo je zavrnjeno kljub potrditvi
Vzrok je lahko pri banki (omejitve kartice, dnevni limit, blokada spletnih plačil) ali pri neujemanju podatkov. Preverite nastavitve kartice v spletni ali mobilni banki ter se po potrebi obrnite na podporo banke, ki edina vidi razlog za zavrnitev.
Zamenjal sem telefon ali številko
Ob menjavi telefona morate aplikacijo za potrjevanje znova namestiti in registrirati, ob spremembi telefonske številke pa to sporočiti banki, da boste prejemali SMS kode na pravo številko. Brez posodobitve teh podatkov potrditev ne bo mogoča.
Nasveti za varno spletno plačevanje
- Potrjujte le nakupe, ki ste jih dejansko sprožili – če prejmete zahtevo za potrditev plačila, ki ga niste opravili, ga zavrnite in obvestite banko.
- Nikoli ne delite kode PIN, gesla ali SMS kode z nikomer; banka vas po teh podatkih ne bo nikoli prosila po telefonu ali e-pošti.
- Aplikacijo za potrjevanje prenašajte le iz uradnih trgovin in jo redno posodabljajte.
- Vključite biometrično zaščito telefona, da do aplikacije ne more nihče drug.
- Bodite pozorni na lažne strani (phishing), ki posnemajo banko in vas skušajo pretentati v razkritje podatkov.
Pogosta vprašanja
Je 3D Secure isto kot Verified by Visa?
Da. »Verified by Visa« je starejše ime za Visin 3D Secure; danes se imenuje Visa Secure. Pri Mastercardu se enakovredna zaščita imenuje Mastercard Identity Check.
Moram 3D Secure aktivirati sam?
Pri večini slovenskih bank je zaščita vključena samodejno, aktivirati pa morate način potrditve – običajno z registracijo aplikacije Rekono in povezavo kartice. Točna navodila ima vaša banka.
Kaj če nimam pametnega telefona?
V tem primeru se uporablja potrditev z enkratno kodo po SMS-u v kombinaciji z geslom. Ta način deluje tudi na klasičnem telefonu.
Zakaj me sistem pri plačilu vedno znova sprašuje za potrditev?
To zahteva evropska direktiva PSD2 oziroma močna avtentikacija strank (SCA). Dodatna potrditev je standard za varna spletna plačila in vas ščiti pred zlorabo.
Povzetek
3D Secure (Visa Secure) je temelj varnega spletnega plačevanja s kartico. V Sloveniji ga banke izvajajo predvsem prek aplikacije Rekono OnePass s potrditvijo prek PIN-a ali biometrije, kot rezerva pa služi enkratna koda po SMS-u. Aktivacija je preprosta, navodila pa vedno najdete pri svoji banki. Z vključenim 3D Secure in nekaj osnovnimi varnostnimi navadami so vaša spletna plačila bistveno bolje zaščitena.