На платіжних картках поряд з номером та датою дійсності вказано тризначний «захистний код» — CVV2 або CVC2, який зазвичай розміщують на задній стороні.
Цей реквізит використовується переважно для онлайн-транзакцій, де фізична картка не потрібна.
Фінансові установи іноді характеризують цей код як «аналог пін-коду для віртуальних платежів».
Після першого ознайомлення з функцією коду виникає логічне запитання: чому його вміщують на поверхні картки, а не надають окремо у закритому конверті?
Для розуміння слід звернутися до історії: такі коди почали додавати на картки наприкінці 1990-х років, разом із розвитком інтернету.
CVC2 вперше з’явився на картках MasterCard у 1997 році, тоді як Visa почала використовувати CVV2 лише з 2001 року.
Створення перших інтернет-магазинів та аукціонів у цей період призвело до активізації шахраїв, які використовували вкрадені дані карток для онлайн-оплат.
На той час для здійснення платежу достатньо було знати номер картки, ім’я власника та термін її дії. Такі дані часто зберігалися на серверах магазинів, а витоки інформації траплялися не рідше, ніж сьогодні.
Основний збиток від таких афер завдавався не клієнтам, а банкам та продавцям.
У разі несанкціонованих транзакцій власники карток скасовували операції, змушуючи банки або торговців відшкодовувати втрати.
Таким чином, метою введення «захистних кодів» було зменшення фінансових ризиків саме для бізнесів, а не для клієнтів.
Додатковий код мав ускладнити використання вкрадених даних. Згідно з правилами платіжних систем, його заборонено зберігати в базах.
Це означає, що навіть при несанкціонованому доступі до бази магазину, зловмисник не отримає доступ до цього коду.
Якщо дані витечуть, шахраї отримають лише основні реквізити без CVV/CVC.
Оскільки цей код не використовується для ідентифікації клієнта, а служить додатковим елементом картки, його не видають окремо, а наносять на саму платівку.
Сьогодні ідея секретності CVV-коду видається очевидною — його можна було б надавати у закритому конверті чи через додаток. Однак на момент впровадження цих кодів пін-коди ще не були поширеними у багатьох країнах. Оплати в магазинах часто підтверджувалися підписом на чеку, тому саме додавання коду вважалося достатнім рівнем захисту для онлайн-оплат.
Популярна рекомендація — закривати або стирати код на картці. Це ефективно, якщо картка втрачена, але не гарантує повної безпеки: досі існують сайти, де можна оплатити товар без вказівки CVC2/CVV2 — подібно до систем 1990-х років.
Джерело: ukr.media
