TrustPay 3D Secure: ako prebieha overenie cez SMS a banking app
Načítava sa...
Obsah
Tri sekundy, ktoré rozhodnú o úspechu vkladu
Začiatkom roka som školil podporu jednej kancelárie a pýtal som sa kolegov, ktorá obrazovka v platobnom toku robí najviac problémov. Odpoveď bola jednomyseľná — 3D Secure overenie. Práve tam ľudia odpadávajú, niekedy zbytočne, lebo nepochopia, že tá zelená SMS od banky je presne to, na čo majú reagovať okamžite.
Trust Pay a.s. je priamym členom VISA Europe a Mastercard, takže pri kartových platbách prechádzajú jeho transakcie cez 3D Secure 2.0 — najnovšiu verziu autentifikačného protokolu. Pri okamžitom bankovom prevode platí trochu odlišný režim — silná autentifikácia (SCA) sa robí v prostredí banky, nie v TrustPay. Ale v oboch prípadoch máte približne tri minúty na to, aby ste overenie potvrdili. Po troch minútach session vyprší a vklad neprejde.
V tomto článku rozpíšem celý mechanizmus 3D Secure pri TrustPay — ako vyzerá overenie cez bankovú aplikáciu, kedy príde SMS kód, čo robiť, keď obrazovka padne v polovici, a prečo niekedy 3D Secure pri opakovanej platbe ani nevyžaduje druhý faktor.
Čo je 3D Secure 2 a prečo ho TrustPay používa
Klient, ktorý mi minulý mesiac volal pozdĺž Petržalky, mi opísal moment, kedy sa mu zjavila obrazovka 3D Secure: „Bolo tam logo banky, polia na SMS kód, a ja som nevedel, čo s tým.“ Pre niekoho, kto nikdy neplatil online kartou, je tento okamih zbytočne stresujúci. V skutočnosti je to však najsilnejší ochranný mechanizmus, ktorý dnes pri online platbe máte.
3D Secure je protokol, ktorý do platobného procesu vkladá tretí krok overenia — okrem čísla karty a CVV vyžaduje ešte potvrdenie od vás osobne. Verzia 2 (3DS2), ktorú dnes Európa používa povinne podľa smernice PSD2, ho robí inteligentnejším — pre väčšinu nízkorizikových platieb sa overenie deje na pozadí bez vašej interakcie. Pre stávkové platby sa však 3DS aktivuje takmer vždy, lebo bukmejkér je v rizikovej kategórii MCC 7995.
TrustPay, ako platobná inštitúcia s licenciou Národnej banky Slovenska, musí 3D Secure používať pri všetkých kartových transakciách, ktoré nie sú pod limitom výnimky. Limit výnimky pre eurozónu je 30 € — pod túto sumu môže byť overenie preskočené (tzv. nízka hodnota), nad ňou je 3DS povinný. Pri prvej platbe novou kartou je 3DS povinný vždy, bez ohľadu na sumu.
Pri okamžitom bankovom prevode cez TrustPay funguje SCA inak — overenie sa nevykoná v TrustPay rozhraní, ale priamo v aplikácii vašej banky. Vy len kliknete na „Zaplatiť“, banka vás požiada o potvrdenie, vy potvrdíte odtlačkom prsta alebo Face ID, transakcia prejde. Z pohľadu PSD2 je to platná silná autentifikácia, len v inom prevedení.
Overenie cez bankovú aplikáciu — najrýchlejšia cesta
Keď som pred tromi rokmi prešiel zo SMS overenia na biometriu v aplikácii Tatra Mobile Banking, ušetril som pri každom vklade asi 20 sekúnd. Nie je to veľa, ale pri zápase, kde každá minúta pred výkopom mení kurzy, je to rozdiel medzi stávkou a prehrou možnosti.
Banking app autentifikácia funguje takto: TrustPay alebo váš bukmejkér odošle požiadavku na overenie cez ACS server banky. Banka vám pošle push notifikáciu do mobilnej aplikácie. Vy ju otvoríte (alebo na ňu kliknete priamo z notifikácie), aplikácia zobrazí detail platby — sumu, príjemcu (TrustPay alebo Trust Pay), čas. Vy potvrdíte cez odtlačok prsta, Face ID alebo zadáte štvor- až šesťmiestny PIN aplikácie. Notifikácia zmizne, vrátite sa na bukmejkérov web a vidíte zelené potvrdenie.
Pre Tatra Banka tento tok funguje cez aplikáciu Tatra Banka. ČSOB má SmartBanking alebo SmartKey. Slovenská sporiteľňa využíva George — autorizácia sa volá „Schválenie platby“. VÚB má Mobil Banking aplikáciu. Poštová banka má Postova banka aplikáciu. Fio banka má Fio Smartbanking. Každá z nich podporuje biometriu na novších telefónoch.
Pri prvom použití banking app pre 3DS je potrebné spárovať telefón s bankovým účtom — to robíte cez nastavenia aplikácie a banka pri tom žiada SMS potvrdenie alebo prihlasovacie údaje k internet bankingu. Po jednorazovom spárovaní sa už aplikácia stáva primárnym overovateľom a SMS sa používa len ako záloha. Toto spárovanie odporúčam každému, kto plánuje TrustPay používať pravidelne — šetrí čas a je bezpečnejšie ako SMS.
Overenie cez SMS — záloha pre starší banking
SMS kód ostáva najuniverzálnejší overovací nástroj, lebo nepotrebuje aplikáciu, dátové pripojenie ani biometrický senzor. Ale je aj najpomalší a najzraniteľnejší — SIM swap útoky a chyby pri doručovaní SMS sú v Slovenskej republike zdokumentované problémy.
Pri TrustPay 3D Secure cez SMS dostanete šesť- alebo osemmiestny kód na číslo registrované v banke. Kód príde do 30 sekúnd, platnosť má zvyčajne 3 minúty. Zadáte ho do prázdneho poľa na 3DS obrazovke, kliknete „Potvrdiť“, obrazovka sa obnoví a vrátite sa na bukmejkéra. Žiadna magia, len rýchla výmena šifrovaného kódu medzi servermi.
Niektoré banky pri opakovanej platbe rovnakému príjemcovi v krátkom čase SMS kód nepýtajú — vyhodnotia transakciu ako nízko rizikovú a prejdú frictionless flow. Toto je súčasť 3DS2 a šetrí to čas. Mali by ste však očakávať, že po každom resete relácie (odhlásenie z banky, vypršaná session) sa SMS overenie vyžaduje znova.
Pri čísle, ktoré nemáte aktivované — napríklad ste si vymenili telefón a na novej SIM ešte nezaregistrovali roaming alebo dáta — SMS kód nepríde a 3DS overenie zlyhá. Riešenie je buď opraviť doručovanie SMS, alebo prepnúť na banking app authentifikáciu. Toto je najčastejšia príčina zlyhaní 3DS, ktoré v praxi vidím.
Druhá najčastejšia príčina je oneskorené doručenie SMS od mobilného operátora. Telekom, O2 a 4ka majú v hlavnom meste a väčších mestách doručovacie časy pod 10 sekúnd, ale v slabšie pokrytých oblastiach (Spišský región, niektoré obce na Orave) som videl SMS prichádzať aj 60–90 sekúnd po požiadavke. Pri trojminútovom okne na overenie to môže byť kritické. Ak žijete v takejto oblasti, banking app je jednoznačne lepšia voľba.
Pri zmene telefónneho čísla v banke je dôležité pamätať na to, že nové číslo sa aktivuje pre 3DS spravidla až po 24-48 hodinách. Banka totiž z bezpečnostných dôvodov drží staré číslo paralelne aktívne, kým si overia, že nejde o sociálne inžinierstvo (útočník si zmenil číslo a chce odčerpať peniaze). Kým je toto okno otvorené, SMS kódy môžu chodiť na obe čísla — a niektoré banky kód považujú za úspešne doručený, aj keď ho dostalo staré číslo.
Čo robiť, keď overenie zlyhalo alebo zamrzlo
Najnervóznejší moment je, keď stojíte pred 3DS obrazovkou s odpočítavaním a vy neviete, čo sa stalo. Trust Pay v októbri 2023 spustila funkciu Instant Refunds, takže ak vám transakcia visí v limbe a nakoniec zlyhá, peniaze sa vrátia rýchlejšie ako kedysi. Ale aj tak — žiadne peniaze nevidieť 30 minút po platbe nie je príjemný pocit.
Najčastejšie príčiny zlyhania 3DS pri TrustPay sú štyri. Prvá: vypršaný čas relácie — 3 minúty na overenie, čo je niekedy málo, ak hľadáte SMS kód na inom telefóne. Druhá: nesprávne zadaný kód — preklep, posunutý kurzor v poli. Tretia: neaktívne overenie cez aplikáciu — banka vás odhlásila, push notifikácia neprišla, biometria odmietla skúšanie. Štvrtá: technická chyba na strane banky — ACS server nedostupný, čo banka deklaruje cez stavovú stránku.
Ak overenie zlyhá, neopakujte transakciu okamžite. Banky často spustia anti-fraud filter pri opakovaných pokusoch v rade za sebou a nasledujúce platby zablokujú aj keď sú legitímne. Počkajte 5 minút, skontrolujte si číslo karty a doručené SMS, otvorte si bankovú aplikáciu manuálne. Po obnovení relácie skúste platbu znova. Ak ani druhý pokus neprejde, prejdite na inú metódu — kartu nahraďte okamžitým bankovým prevodom alebo opačne.
Konečné riešenie pri opakovaných problémoch je postup pri zlyhaných TrustPay vkladoch — tam rozoberám konkrétne chybové kódy a kedy sa už oplatí kontaktovať podporu namiesto čakania.
Pre praktickú prevenciu odporúčam pred prvým väčším vkladom (nad 200 €) urobiť testovaciu platbu s minimálnou sumou. Ak prejde plynule, viete, že 3DS infraštruktúra na vašej strane funguje, telefón doručuje SMS a banková aplikácia odpovedá. Ak nie, zistíte to bez toho, aby ste viseli na strate veľkej sumy. Tento test som odporúčal každému klientovi a ušetril mi nespočetné množstvo telefonátov o zlyhaných transakciách.
Ešte jedna technická poznámka, ktorá sa zriedka spomína: 3DS overenie pri TrustPay sa loguje na strane banky aj na strane TrustPay, takže ak by neskôr vznikla disputácia (napríklad chargeback alebo reklamácia), obe strany majú dôkaz o tom, že overenie prebehlo. To je výhoda pre vás aj pre bukmejkéra — pri správne dokončenom 3DS sa zodpovednosť za fraud presúva na banku, nie na obchodníka. Pre hráča to znamená, že legitímne overené transakcie sú prakticky neporovnateľne istejšie ako tie, ktoré 3DS preskočili.
Prečo niekedy 3D Secure pri TrustPay nepýta SMS kód?
Ide o 3DS2 frictionless flow — banka vyhodnotí transakciu na základe rizikového skóre (suma, príjemca, vaše predošlé platby) a ak je riziko nízke, autorizuje platbu bez druhého faktora. Stáva sa to najmä pri opakovaných nízkych sumách u toho istého bukmejkéra.
Funguje TrustPay 3D Secure aj v zahraničí?
Áno, 3DS je medzinárodný protokol VISA a Mastercard a funguje vždy, kým sú vaše SMS doručované na slovenské číslo aj v roamingu, alebo máte aktívnu bankovú aplikáciu s dátami. V krajinách mimo EHP sa môže meniť priebeh kvôli odlišným regulačným pravidlám.
Podobné články
TrustPay mesačný a denný limit vkladu u slovenských bukmejkérov
TrustPay v Tipsporte: minimálny vklad od 1 € a postup krok za krokom
