На банковских картах кроме номера карты и даты выпуска есть ещё и так называемый «код безопасности» — это трёхзначные коды CVV2 или CVC2, которые наносятся на карту с обратной стороны.
Этот код служит в качестве дополнительного реквизита для платежей «без присутствия карты» — т.е. в основном для расчётов в интернете.
В банках иногда объясняют, что этот код «это такой пин-код для интернет-платежей».
Когда я впервые узнал, зачем у меня сразу возник вопрос:
Почему код CVV2 наносят на карту, а не выдают в запечатанном конверте
Для того чтобы ответить на этот вопрос, нужно вспомнить, что эти коды стали появляться на картах в конце 90-х годов, с широким распространением интернета.
Код CVC2 появился на картах MasterCard с 1997 года, а на картах Visa кода CVV2 не было до 2001 года.
В те годы появились первые интернет-магазины, аукционы и, конечно, тут же появились мошенники, которые стали использовать чужие номера банковских карт для покупки товаров и услуг онлайн.
Для того чтобы оплатить покупку достаточно было знать номер банковской карты, имя держателя и дату выпуска карты. При этом источников таких данных было полно — интернет-магазины сохраняли эти данные у себя, а случаев утечек данных тогда было не меньше чем сейчас.
Страдали от этого не столько клиентов банков, сколько сами банки и онлайн-продавцы.
Если кто-то расплатился, используя данные чужой карты в интернете, то владелец карты опротестовывал операцию, и расходы ложились или на плечи магазина или банка.
То есть «коды безопасности» нужны не для безопасности держателя карты, а для снижения рисков магазина и банка.
Дополнительный код был нужен для того, чтобы снизить вероятность такой ситуации. По правилам платёжных систем его нельзя сохранять.
Это значит, что даже если в интернет-магазине заведётся неблагонадёжный сотрудник, то в базе данных магазина он не найдёт заветных цифр.
И если произойдёт утечка, и база данных этого магазина попадёт в руки мошенников, то там окажутся только реквизиты карт без CVV-кодов.
CVV-код не предназначен для подтверждения личности клиента, и служит просто в качестве ещё одного реквизита карты, поэтому его и не выдают в конверте, а наносят прямо на карту.
Сейчас нам кажется очевидным, что CVV-код надо хранить в секрете и выдавать в конверте как пин-код (или задавать в мобильном приложении банка). Но когда эти коды появлялись, то во многих странах, пин-код вообще не использовался при расчётах банковскими картами. При оплате картой в обычном магазине, операция подтверждалась подписью на чеке. И само появление кода рассматривалось как достаточная мера по снижению рисков онлайн-платежей.
Часто можно встретить совет о том, что нужно закрашивать или стирать коды, нанесённые на карту. Это действительно поможет в том случае, если вы потеряете карту. Но не даст стопроцентной защиты — до сих пор встречаются интернет-магазины, где можно совершить оплату, как это было в 90-х годах — без использования кодов CVC2/CVV2.