Поряд з номером картки та датою видачі, банківські картки містять так званий «код безпеки» — це тризначні коди CVV2 або CVC2, розташовані на зворотному боці картки.
Цей код діє як додаткова вимога для транзакцій «без пред’явлення картки» — головним чином для онлайн-покупок.
Банки іноді описують цей код як «PIN-код для онлайн-платежів».
З'ясувавши його призначення, я почав розмірковувати: чому код CVV2 надруковано на картці, а не надано в запечатаному конверті?
Щоб відповісти на це запитання, важливо нагадати, що ці коди почали вбудовувати в картки наприкінці 1990-х років, що збіглося з розвитком Інтернету.
Код CVC2 було введено на картках MasterCard у 1997 році, тоді як код CVV2 не був введений на картках Visa до 2001 року.
У цей період з'явилися перші інтернет-магазини та аукціони, і неминуче шахраї почали використовувати номери банківських карток інших осіб для здійснення онлайн-покупок.
Для завершення транзакції було достатньо знати номер банківської картки, ім'я власника та термін дії картки. Існувало безліч джерел такої інформації — інтернет-магазини самі зберігали ці дані, і випадки витоків даних були такими ж поширеними тоді, як і зараз.
Основний тягар цієї проблеми відчули не головним чином клієнти банків, а самі банки та онлайн-продавці.
Якщо хтось здійснив покупку онлайн, використовуючи дані картки іншої особи, власник картки оскаржив би транзакцію, що призвело б до витрат, понесених або продавцем, або банком.
Таким чином, «коди безпеки» впроваджуються не для захисту власника картки, а радше для зменшення ризиків для продавця та банку.
Додатковий код був необхідний для зменшення ймовірності таких інцидентів. Згідно з правилами платіжної системи, його не можна зберігати.
Це означає, що навіть якщо нечесний працівник зареєструється в інтернет-магазині, він не знайде бажаних номерів у базі даних магазину.
У разі витоку даних, у скомпрометованій базі даних буде присутня лише інформація про картку без кодів CVV.
Код CVV не призначений для підтвердження особи клієнта; він просто служить ще одним реквізитом картки, тому його друкують безпосередньо на картці, а не видають у конверті.
Сьогодні здається очевидним, що код CVV має залишатися конфіденційним і розповсюджуватися в конверті, як PIN-код (або через мобільний додаток). Однак, коли ці коди були запроваджені, багато країн взагалі не використовували PIN-коди для карткових платежів. У традиційних роздрібних торгових середовищах транзакції підтверджувалися підписанням чека. Сама наявність коду вважалася достатнім заходом для зменшення ризиків онлайн-платежів.
Часто можна зустріти рекомендації закрити або стерти коди, що відображаються на картці. Це справді може бути корисним, якщо ви втратите свою картку. Однак це не гарантує повного захисту — досі існують інтернет-магазини, де транзакції можна здійснювати так само, як і в 90-х, без необхідності введення кодів CVC2/CVV2.
Джерело: ukr.media
