PSD2 и SCA при онлайн залагания: какво означава за Visa плащанията ви
Loading...
PSD2: европейската директива, която промени онлайн залаганията
Първия път, когато клиент ми каза, че не може да направи депозит, защото букмейкърът „иска код два пъти“, помислих за техническа грешка. Оказа се, че операторът е внедрил PSD2 изискванията и всяка транзакция вече минава през двуфакторна автентикация. Днес това е стандартът – но мнозина все още не разбират защо се случва.
PSD2 е Втората директива за платежните услуги на Европейския съюз, влязла в сила поетапно от 2019 г. Целта е проста: да направи онлайн плащанията по-сигурни. Как го прави? Чрез изискване за Strong Customer Authentication – силна автентикация на клиента – при повечето електронни транзакции. Европейският онлайн хазартен пазар е достигнал приходи от 47,9 милиарда евро през 2024 г. – и всяка стотинка от тези приходи минава през PSD2 регулациите.
За вас като залагащ с Visa карта, PSD2 означава едно конкретно нещо: когато правите депозит, банката трябва да потвърди, че транзакцията е ваша. Не е достатъчно просто да въведете номера на картата и CVC кода. Трябва да потвърдите самоличността си поне по два от три начина – нещо, което знаете (парола), нещо, което имате (телефон), или нещо, което сте (биометрия).
Какво е SCA и как работи при Visa депозит
SCA – Strong Customer Authentication – е механизмът, чрез който PSD2 се изпълнява на практика. Ако PSD2 е законът, SCA е полицията.
При Visa депозит в букмейкър SCA работи най-често чрез 3D Secure 2.0 протокола. Процесът изглежда така: въвеждате данните на картата, букмейкърът изпраща заявката към платежния процесор, процесорът я препраща към банката ви, банката ви иска допълнително потвърждение – SMS код, push нотификация или биометричен отпечатък в мобилното приложение – и едва след вашето потвърждение транзакцията се одобрява.
3D Secure 2.0 е довел до 70% намаляване на изоставянето на транзакцията и 85% подобрение на времето за завършване на плащане в сравнение с предишната версия. Разликата е забележима: вместо да бъдете прехвърлени на отделна страница за въвеждане на код, автентикацията се случва в рамките на букмейкърския сайт или приложение – по-бързо, по-гладко, с по-малко объркване.
Двуфакторната автентикация е нещо, с което вече сте свикнали при банкиране. При залагания работи по абсолютно същия начин – с тази разлика, че е букмейкърът, който инициира заявката, а банката, която я верифицира. За вас като потребител процесът е прозрачен: въвеждате данните на картата, получавате код или push нотификация, потвърждавате – и депозитът е направен.
Има и един технически детайл, който е полезно да знаете: SCA не защитава само вашата транзакция – тя защитава и букмейкъра. Ако транзакция мине без SCA и после се окаже неоторизирана, отговорността пада върху оператора, а не върху банката. Именно затова букмейкърите са заинтересовани SCA да работи коректно – тя ги предпазва от chargeback-ове и загуби при измами.
Кога SCA не се изисква: изключения за хазартни транзакции
Ако всеки депозит изискваше пълна двуфакторна автентикация, залаганията на живо щяха да бъдат невъзможни – докато чакате SMS кода, мачът вече е на друг резултат. Затова PSD2 предвижда изключения, и те са особено важни за хазартния сектор.
Как Maarten Haijer от EGBA отбелязва, с преминаването на Финландия от монопол към лицензионна система, почти всички страни от ЕС вече имат някаква форма на мултилицензионна рамка за онлайн хазарт – и всички работят в рамките на PSD2.
Първото изключение е за транзакции с ниска стойност. Плащания под 30 евро (около 59 лв.) могат да бъдат освободени от SCA – но банката и процесорът решават дали да приложат изключението. На практика, ако правите чести малки депозити, няма да получавате SMS код всеки път.
Второто изключение е за „доверени търговци“. Ако вашата банка поддържа тази функция, можете да добавите букмейкъра в списъка с доверени получатели – и следващите транзакции към него ще минават без SCA. Не всички банки в България поддържат тази опция, но тенденцията е към нейното разширяване.
Третото изключение е за повторяеми транзакции с фиксирана сума. Ако правите автоматичен депозит всяка седмица за една и съща сума, SCA се изисква само при първата транзакция. Но в хазартния контекст автоматичните депозити са рядкост – повечето играчи правят ръчни депозити с различни суми.
Четвъртото изключение е Transaction Risk Analysis (TRA). Ако платежният процесор определи, че транзакцията е нискорискова въз основа на поведенчески анализ, тя може да мине без SCA. Това е технологично изключение – вие не го контролирате, но го забелязвате, когато депозитът мине без код. TRA анализира фактори като устройството, от което правите транзакцията, историята на предишните ви плащания и географското местоположение – ако всичко съвпада с обичайния ви профил, вероятността за SCA изключение е висока.
Важно е да знаете, че тези изключения не са гарантирани. Банката винаги има последната дума – дори ако транзакцията попада в изключение, банката може да изиска SCA по собствена преценка. Това е причината понякога да минете без код, а друг път – при абсолютно същия депозит – да ви поискат потвърждение.
Как PSD2 променя ежедневното залагане с Visa
На практика, ежедневното ви залагане с Visa се е променило по няколко начина след пълното въвеждане на PSD2.
Първо – депозитите отнемат 10-15 секунди повече. Звучи малко, но при залагания на живо всяка секунда има значение. Мнозина от клиентите ми решават този проблем, като зареждат баланса предварително, вместо да правят депозит по време на мач.
Второ – трябва да имате телефона си до вас при всяко плащане. Ако SMS кодът или push нотификацията идва на телефона, а вие залагате от компютъра, трябва двете устройства да са на ръка разстояние. Visa Secure протоколът намалява загубите от измами с около 40%, но изисква тази допълнителна стъпка.
Трето – грешки с 3D Secure автентикация стават по-чести. Ако телефонът ви е в самолетен режим, ако сте сменили номера без да го обновите в банката, или ако банковото приложение не е актуализирано, депозитът ще бъде отказан. Не защото нещо е грешно с картата, а защото SCA не може да бъде завършена.
Четвърто – и това е положителната промяна – вероятността някой друг да направи депозит с вашата карта без ваше знание е драстично намалена. PSD2 защитава не само парите ви, но и идентичността на картата ви. Преди PSD2, ако някой имаше номера на картата ви и CVC кода, можеше свободно да прави депозити в букмейкъри. Днес, без достъп до телефона ви или биометричните ви данни, тази възможност е практически елиминирана.
Пето – PSD2 промени и начина, по който букмейкърите съхраняват картовите ви данни. Ако сте запазили Visa картата си в акаунта за бъдещи депозити, операторът не пази реалния номер на картата – а токенизирана версия. Дори при пробив в сигурността на букмейкъра, данните на картата ви са защитени. Това е инфраструктурна промяна, невидима за потребителя, но критична за сигурността.
За по-подробен разбор на техническата страна на протокола, разгледайте материала ми за Visa 3D Secure при залагания.
Прилага ли се PSD2 за български букмейкъри?
Да. България е член на ЕС и PSD2 директивата е транспонирана в националното законодателство. Всички лицензирани букмейкъри, работещи в България, са задължени да прилагат Strong Customer Authentication при електронни плащания с Visa и други карти.
Защо понякога ми искат SMS код, а друг път – не?
PSD2 предвижда изключения от задължителната двуфакторна автентикация. Транзакции с ниска стойност, плащания към доверени търговци и операции, определени като нискорискови чрез автоматичен анализ, могат да минат без допълнително потвърждение. Решението взема банката ви, не букмейкърът.
Създадено от редакцията на „Visa Zalaganiya“.
