3D Secure en Depósitos: Guía y Seguridad
Loading...
3D Secure: protocolul invizibil care îți validează banii
Apeși „Plătește 100 lei”. Ecranul se schimbă, vezi pentru jumătate de secundă numele băncii tale, primești notificare push pe telefon – „Confirmă plata pentru X”. Apeși biometric, te întorci la operator, banii sunt în cont. Toată secvența durează 5-15 secunde și pare magic. În spate stă un protocol numit 3D Secure, vechi de două decenii, dar care abia în ultimii 5 ani a devenit cu adevărat invizibil.
Platforma NETOPIA Payments este certificată PCI-DSS Level 1 (cel mai înalt standard de securitate aplicabil procesării plăților prin carduri), iar 3D Secure e una dintre componentele care se cumulează în această conformitate. La nivelul anului 2026, toate plățile online cu cardul în spațiul european trec prin 3D Secure în varianta lui modernă (3DS 2.x), datorită PSD2 și SCA. Pariurile online nu fac excepție – sunt poate domeniul cu cea mai strictă aplicare, datorită profilului de risc.
Ce face 3DS, în două propoziții. Verifică, înainte ca banii să plece din contul tău, că tu ești cel care autorizează tranzacția. Verificarea se face prin „ceva ce ai” (telefonul) plus „ceva ce știi” (parola/PIN-ul) plus „ceva ce ești” (biometric). Două din trei sunt suficiente pentru autentificare puternică.
Pentru utilizator, 3DS se traduce în trei posibilități. Prima: nu vezi nimic – autentificare „frictionless”, banca a aprobat pe baza scoringului automat și nu ți-a cerut interactiune. A doua: o notificare push pe telefon care te roagă să confirmi cu biometric sau PIN. A treia: redirect la o pagină web a băncii unde introduci cod SMS sau parolă. Toate trei sunt forme legitime de 3DS – diferă doar prin friction-ul perceput.
3DS nu e opțional pentru tine ca utilizator. E obligatoriu pentru orice plată online cu cardul în UE, conform reglementărilor PSD2. Operatorul nu îl poate dezactiva. Banca nu îl poate sări (decât în condițiile clar definite ale frictionless flow). E componenta universală a infrastructurii de plată, în 2026.
Securitatea sporită permite o depunere instant în case de pariuri fără riscuri.
PSD2, SCA și de ce s-a schimbat regula
Cadrul reglementar care a impus 3DS modern e Directiva PSD2 (Payment Services Directive 2) – directivă europeană din 2015, intrată în vigoare graduală 2018-2021. Componenta principală pentru utilizator e SCA – Strong Customer Authentication, autentificarea puternică a clientului.
SCA cere că pentru orice tranzacție electronică în UE, banca să verifice identitatea utilizatorului prin minim doi din trei factori independenți:
Knowledge (ceva ce știi): parolă, PIN, răspuns la întrebare secretă, cod static.
Possession (ceva ce ai): telefon, smartcard, hardware token, cheie biometrică pe dispozitiv.
Inherence (ceva ce ești): amprentă, recunoaștere facială, voice ID, alte forme biometrice.
Combinarea a doi factori din categorii diferite oferă protecție mult superioară unei simple parole. Hackerul care fură parola ta nu are și telefonul tău. Cel care îți fură telefonul nu are și amprenta ta. SCA face frauda exponential mai grea.
De ce era nevoie de schimbare. Vechiul 3DS 1.0 (din anii 2000) cerea o parolă statică introdusă pe o pagină web – sistem care, pe lângă că era inelegant pentru UX (mulți utilizatori uitau parola, abandonau plata), nu era foarte sigur. Atacurile de phishing cu pagini false 3DS erau frecvente, parolele puteau fi furate.
3DS 2.0 (și 2.2 actual în 2026) e o reproiectare completă. Banca colectează datele tranzacției, calculează un scor de risc bazat pe peste 100 de variabile (geolocație, dispozitiv, ora, comportament istoric, suma, comerciant), și decide dinamic dacă cere autentificare suplimentară sau aprobă „frictionless”.
Pentru utilizatorul român, schimbarea s-a întâmplat 2019-2021 graduale, cu adoptare 100% până în 2022. Dacă ai un card emis în România, banca ta deja folosește 3DS 2.x. Notificările push în aplicația băncii pentru confirmarea plății sunt cea mai vizibilă formă a noului standard.
Ce vezi tu, ca utilizator, în timpul plății
Experiența 3DS la o plată tipică pentru depunere la operator. Trei scenarii frecvente.
Scenariul 1: frictionless. Apeși „Plătește 100 lei”. Ecranul te trimite la o pagină de redirect timp de 1-2 secunde. Vezi pentru o fracțiune de timp logo-ul băncii, sau doar un mesaj „Verificare în curs”. Apoi te întorci la operator, primești „Plată reușită”. Niciodată nu introduci nimic. Banii sunt în cont.
Asta înseamnă că banca a calculat scoring scăzut de risc – comerciant cunoscut, sumă obișnuită pentru tine, dispozitiv recunoscut, geolocație familiară. Aprobă fără să te întrebe. Frictionless e ținta optimă a infrastructurii moderne – securitate plus UX bun.
Scenariul 2: notificare push în aplicația băncii. Apeși „Plătește”. Ecranul afișează „Verificare în curs, deschide aplicația băncii”. Telefonul tău primește notificare push de la aplicația băncii. Deschizi notificarea, vezi detaliile plății (suma, comerciant, dată), apeși „Confirmă”, folosești biometric sau PIN. Te întorci automat la operator, plata e validată.
Scenariul ăsta e cel mai frecvent în 2026 la marii bănci românești. Durează 5-10 secunde total, e sigur, e elegant. Pentru utilizator, e standardul pe care îl asociem cu plățile moderne.
Scenariul 3: cod SMS. Apeși „Plătește”. Ecranul te trimite la o pagină de la bancă, primești cod prin SMS, introduci codul, confirmi. Te întorci la operator. Asta e flow-ul mai vechi, încă folosit de unele bănci pentru utilizatori fără aplicație instalată sau pentru carduri specifice. Mai puțin elegant, mai vulnerabil la atacuri (SIM swap), dar funcțional.
Cum se decide care scenariu se aplică. Banca, cu date din scoringul ei automat, decide pentru fiecare tranzacție individual. Aceeași sumă, aceeași tranzacție, două zile diferite – pot avea scenarii diferite. Banca optimizează între securitate (pentru ea, pentru tine) și UX (ca tu să nu abandonezi tranzacția).
Plățile cu Apple Pay și Google Pay au un strat suplimentar care simplifică. Pentru aceste, autentificarea biometrică pe telefon (Face ID, Touch ID) substituie 3DS în multe cazuri – Apple Pay și Google Pay sunt considerate „secure customer authentication” la nivel infrastructural. Banca aprobă frictionless mai des, pentru că telefonul tău a deja autentificat tranzacția cu biometric. La operatorii ONJN cardurile rămân acceptarea universală cu depuneri instant și retrageri în 24-48 de ore, iar Apple Pay/Google Pay reduc la minimum friction-ul la depunere.
Când eșuează autentificarea și ce să faci
Autentificarea 3DS poate eșua din motive variate, fără să fie problemă a operatorului sau a ta. Patru cauze frecvente, în ordinea pe care o întâlnesc.
Timeout pe pagina de autentificare. Începi 3DS, primești cod SMS, dar te tergiversezi (cauți telefonul, parolă pentru aplicația băncii, distras de un mesaj). Pagina expiră în 60-180 de secunde la majoritatea băncilor. Tranzacția eșuează cu mesaj „Autentificare eșuată”.
Soluția: relansezi tranzacția. Apeși „Plătește” din nou la operator, începi flow-ul nou. De data asta termină în timp.
Notificare push pierdută. Banca trimite push, dar telefonul tău e cu mod silent, fără date mobile, sau notificarea e blocată în aplicație. După 30-60 de secunde fără răspuns, banca consideră că nu autentificezi și respinge.
Soluția: deschizi manual aplicația băncii, mergi la „Tranzacții în așteptare” sau „Autentificări”. Acolo apare cererea cu posibilitatea de a confirma manual. Funcționează la majoritatea băncilor.
Eroare de comunicare bancă-operator. Tehnică, rară, dar întâmplată. Banca a aprobat, dar mesajul nu a ajuns la operator (timeout pe rețea, sistem temporar nedisponibil). Tranzacția apare ca „în așteptare” la operator, dar la tine pe extras de bancă apare deja blocat un hold.
Soluția: aștepți 5-15 minute. Dacă tranzacția nu se decontează automat (operatorul primește mesajul cu întârziere), contactezi suportul cu un screenshot al hold-ului bancar. Reconcilierea durează 1-24 de ore.
Cod SMS netrimis sau întârziat. La unele bănci pe rețele cu probleme temporare, codul SMS poate să nu sosească sau să sosească după expirare. Frecvent în călătorii (roaming) sau în zone cu semnal slab.
Soluția: folosești canalul alternativ – push în aplicație (dacă banca îl oferă), apel la suport pentru autentificare verbală (foarte rar acceptat), sau încerci tranzacția mai târziu.
Pentru contextul pașilor concreți de depunere de pe telefon și unde apare 3DS în fluxul real al utilizatorului, am detaliat în ghidul pas cu pas pentru depunere la pariuri de pe telefon, unde 3DS apare ca pas standard al confirmării plății.
Frictionless vs Challenge: de ce uneori nu te întreabă nimic
Distincția pe care PSD2 a introdus-o oficial – „frictionless flow” vs „challenge flow” – explică de ce experiența ta de plată variază de la un caz la altul.
Frictionless flow: banca aprobă fără să-ți ceară confirmare. Tranzacția trece în 1-3 secunde, fără interactiune din partea ta. Rămâi pe pagina operatorului, vezi confirmarea de plată, banii sunt creditați.
Banca permite frictionless când scoringul automat e sub un prag stabilit. Variabilele care contribuie pozitiv: dispozitivul recunoscut (cookie 3DS pe browserul tău), geolocația în țara cardului, IP-ul familiar, suma în limitele tale obișnuite, comerciantul cunoscut, ora rezonabilă, lipsa altor pattern-uri suspecte.
SCA permite excepții pentru frictionless în câteva cazuri. Tranzacții sub 30 de euro (pentru retail) cu sume cumulate sub 100 de euro pe ciclu. Tranzacții recurente (abonamente). Tranzacții cu „low risk” verificate prin algoritmul TRA (Transaction Risk Analysis) la bancă cu rate de fraud sub praguri specifice.
Pentru pariuri, multe tranzacții sub 100 de lei (sub pragul TRA echivalent) trec frictionless dacă scoringul e bun. Asta explică de ce uneori plătești 50 lei și nu te întreabă nimic, iar altă dată 50 lei și ești redirecționat la 3DS.
Challenge flow: banca cere autentificare. E activat când scoringul depășește pragul, sau când suma intră în categoria care necesită SCA obligatoriu. Pentru pariuri, sume peste 100-200 lei (în funcție de bancă) declanșează aproape întotdeauna challenge.
Variabilele care contribuie la challenge: dispozitiv nou pentru bancă, geolocație atipică (călătorie), IP nou, sumă mare relativ la istoric, ora atipică (3 dimineața), pattern atipic (multe tranzacții consecutive, retragere imediat după depunere). Toate aceste sunt semnale legitime că banca să fie precaută.
Pentru utilizatorul care vrea mai multe tranzacții frictionless. Folosește același dispozitiv, același browser, aceeași locație geografică pentru o perioadă – banca calibrează scoringul și aprobă mai des fără challenge. Plătește prin Apple Pay/Google Pay – biometric-ul tău e mătrie deja un factor SCA. Menține pattern-uri de joc consistente – nu schimba radical comportamentul de la o sesiune la alta.
Pariază fără griji prin portalul de pariuri.
Pot dezactiva 3D Secure pentru a depune mai rapid?
Nu. 3D Secure e cerință legală în UE prin PSD2 și SCA – nici banca, nici operatorul, nici tu nu îl poți dezactiva. Singura optimizare disponibilă pentru utilizator e să folosești metode care minimizează friction-ul: Apple Pay, Google Pay (biometric-ul de pe telefon e considerat factor SCA), aplicații bancare cu push notifications elegante, dispozitive familiare băncii. Cu pattern de plată consistent, banca aprobă tot mai mult frictionless, dar 3DS-ul nu dispare niciodată – devine doar invizibil.
Ce e SCA (Strong Customer Authentication) față de 3D Secure clasic?
SCA e cerința legală reglementată de PSD2 – autentificarea utilizatorului cu doi din trei factori (knowledge, possession, inherence). 3D Secure e protocolul tehnic prin care SCA se implementează pe plățile cu cardul online. 3DS 1.0 vechi nu îndeplinea cerințele SCA moderne (parolă statică nu e factor sigur). 3DS 2.x actual e proiectat exact pentru SCA – biometric, push notifications, scoring dinamic. Pentru utilizator, distincția e teoretică – vezi 3DS în acțiune, ceea ce înseamnă SCA implementat.
Creat de redacția „Netopia Mobilepay Pariuri”.
