Олексій Рубан, директор з інновацій NovaPay
Світ стрімко переходить у діджитал. Ще десять років тому для покупки потрібно було йти до магазину з готівкою або пластиковою карткою. Сьогодні ж усе можна зробити онлайн — замовити їжу, купити техніку, оплатити комунальні послуги і переказати кошти за навчання дитини. Достатньо смартфона і кількох секунд. Разом зі зростанням зручності, змінювалися й технології безпеки. Розберемо, як саме розвивались технології захисту, й на що варто звертати увагу сьогодні, щоб убезпечити власні кошти.
Як було: мінімальний захист і максимум ризику
У 90-х і на початку 2000-х оплата карткою була ризикованою справою – мало хто міг користуватись, та й технології захисту були сумнівні. Карти мали лише магнітну стрічку – і жодного додаткового захисту. Щоб здійснити покупку, було достатньо знати номер картки, строк дії та CVV – часто ці дані вказувались просто на картці. З іншого боку, і шахраї не були такі просунуті, але все одно такий ступінь безпеки неприйнятний.
Чому це було небезпечно?
- Магнітну стрічку легко копіювали спеціальними пристроями – скімерами, які встановлювали на банкомати чи POS-термінали;
- Технології шифрування не були досконалими — тобто дані могли потрапити у відкритий доступ під час кожної транзакції;
- для онлайн-платежів не було додаткової перевірки — вистачало лише реквізитів картки, наприклад, втраченої чи вкраденої;
- картку було складно швидко заблокувати, хіба що зателефонувавши до контакт-центру — але у багатьох випадках користувачі дізнавалися про проблеми вже після зняття коштів;
- бракувало зручних мобільних сервісів, щоб стежити за рухом коштів або оперативно реагувати на підозрілі операції.
Крім того, активно розвивалося фішинг-шахрайство — коли людей вводили в оману через підробні сайти, схожі на сайти банків або платіжних систем. Варто було один раз ввести свої дані — і контроль над карткою міг перейти до зловмисників.
У результаті користувачам доводилось покладатись більше на удачу, ніж на захист. Саме з цього часу почалася потреба у створенні нових, технологічно просунутих методів захисту, які з часом трансформувалися у те, що ми маємо зараз.
Перший рівень захисту: чіп і PIN-код
Наступним кроком у розвитку платіжної безпеки стала поява карток із чіпом (EMV-картки). На відміну від магнітної стрічки, чіп зберігає дані у зашифрованому вигляді та створює унікальний код для кожної транзакції. Це означає, що навіть якщо хтось отримає доступ до цієї інформації, використати її повторно вже неможливо.
Що додалося до безпеки?
- PIN-код став додатковим бар’єром — навіть якщо картка в руках зловмисника, зазвичай до певного ліміту, більше 1 000 грн, оплата без коду неможлива;
- фізична підробка картки через скімінг значно ускладнилась — вже не виходить скопіювати чіп так само легко, як магнітну стрічку.
Це був перший справжній «щит» у руках користувача: тепер транзакція вимагала не лише доступу до картки, а й особистого підтвердження.
А що з онлайн-оплатами?
В онлайні це рішення не дало такого самого ефекту: чіп не використовується в інтернеті, а PIN-код не запитується. Проте, перехід на чіп сприяв формуванню культури багаторівневої авторизації, яка згодом стала основою для більш сучасних онлайн-рішень.
Чіп і PIN-код стали точкою відліку для переходу від пасивного до активного захисту платежів. Це був перший крок до персоналізованої безпеки, де транзакція — це не просто натискання кнопки, а підтверджена дія конкретної людини.
Захист онлайн-оплат: 3D Secure і одноразові паролі
Коли електронна комерція почала зростати, банки й платіжні системи впровадили 3D Secure-технологію (зараз — EMV 3DS), яка вимагає підтвердити покупку окремо: через SMS, додаток або пароль. Цей етап став проривом у безпеці, адже без підтвердження транзакція не проходить.
Сьогодні це виглядає так: ви вводите дані картки, і вам приходить код або push-повідомлення, яким потрібно підтвердити оплату.
Що важливо знати:
- це не забаганка банків і фінансових компаній, це справді те, що захищає від несанкціонованих платежів: якщо навіть карткові дані викрали, підтвердження так просто не пройдуть (не буду підказувати шахраям, що ще треба зробити, щоб пройшли);
- система адаптується: у нових версіях вона оцінює ризики та може не запитувати підтвердження, якщо транзакція виглядає безпечною, і працює майже всюди — від маркетплейсів до сервісів таксі й доставки;
- зручність зросла: push-підтвердження або біометрія швидші та легші у викооистанні за коди в SMS.
3D Secure став золотим стандартом для онлайн-платежів — об’єднуючи безпеку, зручність і швидкість.
Мобільні додатки та біометрія: контроль у ваших руках
Сучасні фінтех-рішення зробили оплату не лише зручною, а й максимально захищеною. Лише уявіть собі, як розвинулись інтернет-банкінги. Вони спочатку були суто в вебі, потім з’явилися мобільні додатки, в яких можна було встановлювати ліміти на карту, блокувати карту, змінювати пін-код. Водночас, це була еволюція і в плані безпеки, і користувач міг відреагувати на підозрілі речі, самостійно заблокувавши картку. Також багато хто випускав окрему картку для покупок в інтернеті, хоча це створювало інші складнощі. Тепер же, з появою мобільних гаманців, все змінилось кардинально – карткові дані більше не передаються напряму. Замість цього використовується токенізація.
Що це означає?
Дані картки замінюються на одноразовий токен — унікальний код, який використовується тільки для конкретної транзакції. Навіть якщо хтось перехопить цей токен, повторно його застосувати неможливо.
Що ще на варті безпечних платежів:
- біометрія — відбиток пальця або Face ID — стає ще одним бар’єром. Тільки власник пристрою може підтвердити платіж;
- немає фізичної карти — тобто грошима не можна скористатися без смартфона;
- повна інтеграція з додатками дозволяє швидко відстежувати платежі та миттєво блокувати картку в разі потреби.
Фактично, ви завжди маєте повний контроль над оплатою у власному смартфоні — з усіма рівнями сучасного захисту. Навіть у випадку крадіжки телефону скористатись фінансовим додатком, скоріше, неможливо.
З моменту появи перших платіжних карт технології безпеки пройшли довгий шлях. І якщо раніше це були лише механічні засоби контролю, то зараз — це ціла екосистема, в якій ключову роль відіграє технологія, швидкість та зручність для користувача. Попри весь прогрес, найбільша вразливість — це користувач. Людина, яка натискає на підозрілі посилання, вводить свої дані на фейковому сайті чи повідомляє CVV по телефону. Тому головна порада: технології зробили оплату безпечнішою — але відповідальність усе ще лежить на вас.
