3D Secure
Протокол дополнительной аутентификации держателя карты при онлайн-оплате. Версия 1.0 — SMS-код, версия 2.x — биометрия и push с автоматическим пропуском низкорисковых операций без действий покупателя.
Как работает 3D Secure
3D Secure — протокол аутентификации держателя карты при оплате в интернете. Три домена в названии — эмитент (банк покупателя), эквайер (банк продавца) и каталог платёжной системы. Когда покупатель вводит номер карты на сайте, браузер переадресует его на страницу банка-эмитента: тот подтверждает личность и возвращает результат магазину. Вся цепочка занимает секунды, но добавляет лишний шаг — в версии 1.0 это заметно, в 2.x практически нет.
Версии 1.0, 2.0, 2.2, 2.3
Версия 1.0 (2001) — полная переадресация на страницу банка и ввод OTP из SMS. В России знакома как Verified by Visa, MasterCard SecureCode, МИР Accept. Прерывает покупку, повышает процент брошенных корзин.
Версии 2.0–2.2 (2017–2020) — новая логика: магазин передаёт банку контекст транзакции (устройство, история, геолокация). При низком риске операция проходит в frictionless flow — без каких-либо действий покупателя. При высоком запрашивается биометрия или push. По отраслевым данным, 80–90% операций в 3DS 2.x проходят в frictionless-режиме.
Версия 2.3 (EMVCo, с 2024) — расширенный контекст транзакции, лучший UX при высокорисковых сценариях. ЦБ с 2025 рекомендует 2.x как основной стандарт для онлайн-операций.
3DS и QR-платежи
Оплата по QR через банковское приложение (СБП, SberQR, T-Pay) — 3DS не нужен. Покупатель уже авторизован в своём банковском приложении PIN-кодом или биометрией, приложение подписывает операцию собственным ключом. Это и есть аутентификация — дополнительный фактор избыточен.
Оплата обычной картой по QR-ссылке — когда QR ведёт на платёжную страницу интернет-магазина с вводом реквизитов карты — 3DS обязателен, как при любой CNP-транзакции. Подробнее о таких сценариях — в разделе про динамический QR.
Именно поэтому СБП и банковские QR-кошельки дают более высокую конверсию: аутентификация встроена в само приложение, лишних экранов нет. Подробнее о QR-эквайринге через СБП и его тарифах — в соответствующей статье.
Частые вопросы
Что такое frictionless flow?
Режим 3DS 2.x, при котором транзакция проходит без каких-либо действий покупателя. Банк-эмитент анализирует устройство, IP, историю операций и самостоятельно принимает решение об аутентификации. Если риск низкий — покупатель вообще не видит дополнительных экранов. Это принципиальное отличие от 3DS 1.0, где SMS-шаг был обязательным всегда.
Чем 3DS отличается от PIN банковского приложения?
PIN приложения — аутентификация пользователя внутри доверенной среды эмитента. При оплате через СБП или SberQR банк уверен, что операцию совершает именно его клиент. 3DS — внешний протокол для ситуаций, когда реквизиты карты вводятся на стороннем сайте: магазин не знает, кто в реальности за экраном, поэтому банк проверяет через отдельный канал.
Нужен ли 3DS при приёме оплаты через СБП QR в интернет-магазине?
Нет. СБП C2B — межбанковский перевод через НСПК, не карточная операция. Покупатель сканирует QR банковским приложением и подтверждает перевод внутри него — это и есть аутентификация, 3DS в цепочке не участвует. Дополнительное преимущество для магазина: меньше шагов, выше конверсия, ставка 0,4–0,7% против 1,5–2,5% у карточного эквайринга.
Что будет, если покупатель не прошёл 3DS?
Транзакция отклоняется с кодом «Authentication Failed». Деньги не списываются. Чаще всего причина — устаревший номер телефона для SMS или технические проблемы на стороне банка. Покупателю нужно обратиться к эмитенту для обновления контактных данных или одноразового разрешения операции.
Обязателен ли 3DS в России?
Да. Банк России обязал эмитентов поддерживать 3DS для всех онлайн-операций с картами. С 2021 года операция без попытки аутентификации может быть отклонена, а ответственность за чарджбэк переходит к эквайеру или мерчанту. Для интернет-магазинов это означает обязательное подключение через платёжный шлюз с поддержкой 3DS.