На банківських картках окрім номера картки та дати випуску є ще й так званий "код безпеки" — це трьохзначні коди CVV2 або CVC2, які наносяться на картку зі зворотного боку.
Цей код служить як додатковий реквізит для платежів "без присутності картки" — тобто в основному для розрахунків в інтернеті.
В банках іноді пояснюють, що цей код "це такий пін-код для інтернет-платежів".
Коли я вперше дізнався, для чого він потрібен у мене одразу виникло питання: чому код CVV2 наносять на картку, а не видають у запечатаному конверті?
Щоб відповісти на це питання, потрібно згадати, що ці коди почали з'являтися на картках наприкінці 90-х років, з широким розповсюдженням інтернету.
Код CVC2 з'явився на картках MasterCard з 1997 року, а на картках Visa коду CVV2 не було до 2001 року.
У ті роки з'явилися перші інтернет-магазини, аукціони і, звичайно, одразу з'явилися шахраї, які почали використовувати чужі номери банківських карток для купівлі товарів та послуг онлайн.
Для того щоб оплатити покупку достатньо було знати номер банківської картки, ім'я власника та дату випуску картки. При цьому джерел таких даних було багато — інтернет-магазини зберігали ці дані у себе, а випадків витоку даних тоді було не менше ніж зараз.
Страждали від цього не стільки клієнти банків, скільки самі банки та онлайн-продавці.
Якщо хтось розплатився, використовуючи дані чужої картки в інтернеті, то власник картки опротестовував операцію, і витрати лягали або на плечі магазину або банку.
Тобто "коди безпеки" потрібні не для безпеки власника картки, а для зниження ризиків магазину та банку.
Додатковий код був потрібен для того, щоб знизити ймовірність такої ситуації. За правилами платіжних систем його не можна зберігати.
Це означає, що навіть якщо в інтернет-магазині заведеться недобросовісний співробітник, то в базі даних магазину він не знайде заповітних цифр.
І якщо станеться витік, і база даних цього магазину потрапить до рук шахраїв, то там виявляться тільки реквізити карток без CVV-кодів.
CVV-код не призначений для підтвердження особи клієнта, і служить просто як ще один реквізит картки, тому його і не видають у конверті, а наносять прямо на картку.
Зараз нам здається очевидним, що CVV-код треба зберігати в секреті і видавати в конверті як пін-код (або в мобільному додатку). Але коли ці коди з'являлися, то в багатьох країнах, пін-код взагалі не використовувався при розрахунках банківськими картками. При оплаті карткою у звичайному магазині, операція підтверджувалася підписом на чеку. І сама поява коду розглядалася як достатній захід щодо зниження ризиків онлайн-платежів.
Часто можна зустріти пораду про те, що потрібно зафарбовувати або стирати коди, нанесені на картку. Це дійсно допоможе в тому випадку, якщо ви втратите картку. Але не дасть стовідсоткового захисту — досі зустрічаються інтернет-магазини, де можна здійснити оплату, як це було в 90-х роках — без використання кодів CVC2/CVV2.
Джерело: ukr.media
