3D Secure a Visa fogadásnál: hitelesítési protokoll a fogadási kasszában

Szerkesztőség «Visa Fogadás» április 30, 2026 Olvasási idő: 19 perc

A 3D Secure mint kötelező szabvány a fogadási kasszánál

A 3D Secure – sokak számára csak az „az a kis ablak, ami felugrik fizetésnél” – a magyar fogadási világ egyik legkevésbé értett, mégis legmindennaposabb biztonsági funkciója. Az átlagjátékosnak ez a megerősítő képernyő bosszantó akadály, amit gyorsan el akar tüntetni a tippje és a meccs kezdete között. Tizenegy év alatt rengetegszer hallottam: „Miért kell ezt megint? Tegnap is jóváhagytam!”

A válasz egyszerű: ez a néhány másodperces kis kihagyás akadályozza meg, hogy ha valaki ellopja a kártyaszámodat, automatikusan kifoszthassa a számládat. A 3D Secure a „valami, amit tudsz” (a kártyaszám) mellé hozzáteszi a „valami, ami nálad van” (a banki app vagy a regisztrált telefonszámod) elemet. Bárki, aki látja a kártyádat, csak akkor tudja használni online, ha a telefonod is nála van. Ez a kétfaktoros logika a teljes európai online fizetés biztonságának a gerincét adja.

A magyar fogadási oldalakon – akár hazai, akár nemzetközi engedélyes operátorról beszélünk – a 3D Secure 2025-ben gyakorlatilag kötelező. Egy szerencsejáték-tranzakcióban (MCC 7995) szinte soha nem alkalmazzák azokat a kivételeket, amelyek más kategóriájú vásárlásoknál engedélyeznek SCA-mentes flow-t. Ez nemcsak biztonsági okból, hanem szabályozási okból is van így – a kibocsátó bankok a legtöbb esetben magas kockázatúnak minősítik a szerencsejátékos tranzakciót, és ezért kötelezően aktiválják a megerősítő réteget.

A 3DS rövid története: 2001-től az EMV 3DS 2.x-ig

Egy érdekes adat, amivel ritkán találkozni: a 3D Secure protokollt 2001-ben hozta létre a Visa az Arcot Systems nevű kaliforniai biztonsági céggel közösen. Ez akkor csaknem science fiction volt – a magyar online vásárlás akkor még gyerekcipőben járt, az e-kereskedelem éves forgalma globálisan a mai egyszerű napi forgalmának töredéke volt.

Az eredeti 3DS – amit ma 3DS 1.0-ként ismerünk – egy egyszerű elven épült. A vásárlás során a kassza átirányította a felhasználót egy banki oldalra, ahol az meg kellett adnia egy jelszót. Ez a „Verified by Visa” rendszer Magyarországon is futott a 2010-es évek elejéig, és sokak még emlékeznek a felugró ablakra, ahol egy banki webes felületen kellett begépelni egy egyszer használatos kódot.

A 3DS 1.0-nak komoly problémái voltak. Először, sok felhasználó nem értette, mi történik – hirtelen átirányítás egy ismeretlen weblapra, ahol jelszót kellett adni, ezért elhagyták a vásárlást. Másodszor, a mobil-kompatibilitás siralmas volt – egy iframe-alapú oldal mobilon szinte használhatatlan volt. Harmadszor, az adatcsere a kereskedő, a kibocsátó és a hálózat között mindössze tíz adatmező volt – kevés ahhoz, hogy a bank intelligens kockázati döntést hozzon.

2016-ban jött az EMVCo – a Visa, Mastercard, American Express, Discover, JCB és UnionPay közös szabványosítási szervezete – és bevezette az EMV 3DS 2.0-t. Ez nem csak egy „kicsit jobb” verzió volt, hanem teljes újratervezés. A kommunikációs adatkészlet 10-ről 150 mezőre bővült, vagyis a bank most már olyan kontextust is megkap, mint a böngésző típusa, az IP-cím földrajzi helyzete, a vásárlás múltbeli mintái, az eszköz egyedi azonosítója. Ezek alapján a bank kockázatelemzést tud futtatni, és gyakran úgy dönt, hogy nem kell a felhasználónak a megerősítő képernyő.

2022-2024 között zajlott le a globális átállás a 3DS 2.x-re. A magyar piacon ma minden Visa-tranzakció a 2.2-es vagy 2.3-as verzión fut – a régi 3DS 1.0 már nem támogatott. Ez óriási különbséget jelent a játékos számára: ahol korábban minden tranzakcióhoz SMS-kód kellett, ott ma sok esetben „frictionless” flow van, vagyis a megerősítő képernyő egyáltalán nem jelenik meg, mert a bank a kontextus alapján alacsony kockázatúnak ítélte a kérést.

PSD2 és SCA: miért kötelező Európa-szerte a megerősített hitelesítés

2015. augusztus 1. – ez a dátum az EU-tagállambeli pénzforgalmi szolgáltatók és a 3D Secure történetének közös fordulópontja. Ettől a naptól kezdve minden EU-tagállambeli fizetési szolgáltató köteles támogatni a 3D Secure rendszert. Ez a dátum a PSD2 – Payment Services Directive 2 – hatálybalépésének előkészítése volt, és a magyar bankok ekkor kezdték meg a tömeges 3DS-roll-out-ot.

A PSD2-t 2018-ban hivatalosan is bevezették az EU-ban, és ennek egyik központi eleme az SCA – Strong Customer Authentication, megerősített ügyfél-hitelesítés. Az SCA-szabály három tényező közül legalább kettőt követel meg: valami, amit tudsz (jelszó, PIN), valami, ami nálad van (mobiltelefon, kártya), és valami, ami te vagy (ujjlenyomat, arcfelismerés). Az online kártyatranzakcióknál a „valami, amit tudsz” jellemzően a kártyaszám és CVV, a „valami, ami nálad van” pedig a regisztrált telefonszámra érkező SMS-kód vagy a banki app push-értesítése.

Magyarországon az SCA-szabály 2019 szeptember 14-től lépett hatályba, néhány hónapnyi átállási türelmi időszak után. Innentől kezdve a bankok a Visa-hálózat felé jelzik, hogy egy adott tranzakcióhoz SCA-t kérnek – és a kassza ennek megfelelően jeleníti meg a 3DS-megerősítő flow-t. A szerencsejáték-kategóriában (MCC 7995) a kibocsátó bankok gyakorlatilag minden tranzakcióhoz SCA-t kérnek, függetlenül az összegtől.

A PSD2 SCA-szabály indoklásai egyértelműek voltak. Az EU-szabályozó becslései szerint a megerősített hitelesítés bevezetése előtt az online kártyacsalások éves vesztesége az EU-ban közel 2 milliárd euró volt – azaz a kibocsátó bankok és a kereskedők éves szinten ekkora összeget veszítettek a csalások miatt. A PSD2 bevezetése után – a bankközi adatok szerint – a CNP-csalások aránya az európai online tranzakciókban 60-70 százalékkal csökkent.

A magyar bankok az SCA-implementációt tovább szigorították a saját belső politikájuk szerint. Egy konkrét példa: az OTP, a K&H, az Erste és a Raiffeisen mind a négy magyar nagybank a szerencsejáték-kategóriás tranzakciókhoz alapból SCA-t kér, függetlenül az összegtől és a kockázati pontszámtól. Ez azt jelenti, hogy a fogadási befizetésnél a „frictionless flow” gyakorlatilag soha nem aktiválódik – mindig lesz megerősítő SMS vagy push-értesítés, akár 1000, akár 100 000 forintos a tranzakció.

Ez nem hiba, és nem is felesleges szigor – hanem konzekvens kockázatkezelés egy magas csalás-érzékenységű kategóriában. A játékosnak érdemes ezt nem akadálynak, hanem a tranzakció biztonságának a bizonyítékaként értelmeznie.

Hogyan jelenik meg a 3DS-folyamat a fogadási oldalon

Tegyél fel egy 50 ezer forintos befizetést egy fogadási oldalon, és figyeld meg, mi történik a „Megerősítés” gomb megnyomása után. A felhasználói felület szempontjából két forgatókönyv lehetséges, és a kettő közti különbség sokat elárul a háttérben futó technológiáról.

Az első forgatókönyvben – amit „redirect flow”-nak nevezünk – a kassza átvált egy banki oldalra, vagy egy felugró ablakot nyit. A banki oldal vagy SMS-kódot kér, vagy felszólít a banki app megnyitására. A megerősítés után visszairányít a kasszára, és látod a „Sikeres befizetés” üzenetet. Ez a klasszikus 3DS-flow, és ma is működik a magyar bankoknál.

A második forgatókönyvben – „in-page flow” vagy „iframe-based 3DS” -, a kassza egy beágyazott iframe-ben jeleníti meg a hitelesítést. A felhasználó nem hagyja el a kassza oldalát, csak egy kis ablak ugrik fel. Ez a fejlettebb forma, amit a 3DS 2.x támogat, és a felhasználói élményt jelentősen javítja – különösen mobilon.

A háttérben mindkét forgatókönyv ugyanazt teszi. A kassza payment gatewayje küld egy 3DS-kérést a kibocsátó banknak, ami visszaad egy egyedi tranzakcióazonosítót és a hitelesítési URL-t (az ACS, Access Control Server URL-jét). A felhasználó ezen az URL-en megerősíti a tranzakciót, és az ACS visszaküld egy kriptográfiailag aláírt válaszüzenetet (a CAVV – Cardholder Authentication Verification Value), amit a kassza átad a Visa-hálózatnak. A Visa Inc. hivatalos kommunikációja szerint a Visa több mint 15 éve úttörője volt az eredeti 3-D Secure protokollnak, hogy az e-kereskedelmi tranzakciókat egy további személyazonosság-igazolási réteggel védje meg az authorizáció előtt – ez a CAVV pontosan ezt a réteget bizonyítja a Visa-hálózat felé.

A magyar fogadási platformokon a hitelesítés-flow általában 15-30 másodpercet vesz igénybe, ha minden zökkenőmentesen megy. Az SMS-kód érkezése a leglassúbb pont – néha 5-10 másodperc, néha akár fél perc. A banki app push-értesítése jellemzően azonnali, és a játékos egyetlen kattintással megerősítheti a tranzakciót.

Ami sok játékost meglep: a megerősítő SMS vagy push-értesítés tartalmazza a tranzakció pontos összegét és a kereskedő nevét. Ezt mindig érdemes ellenőrizni a megerősítés előtt – ha az összeg nem stimmel, vagy a kereskedő neve ismeretlen, ne erősítsd meg, és ne add meg az SMS-kódot. Ez egy beépített csalásvédelmi réteg, ami sok csalás megelőzhetne, ha a felhasználók komolyan vennék.

SMS-kód, push-értesítés és banki app: a hitelesítési csatornák összehasonlítása

Egy gyakori frusztráció a magyar játékosoknál: a fogadási oldalon megnyomod a „Befizetés” gombot, az SMS-megerősítő képernyő felugrik, és vársz… várod a kódot… aztán semmi. Az SMS nem jön, a meccs kezdetéig már csak két perc, és a tranzakció 5-10 perc múlva időtúllépés miatt megszakad. Ez a klasszikus 3DS SMS-csapda.

Az SMS-ben küldött 3D Secure biztonsági kód a kibocsátó banktól függően 5-10 percig érvényes. Ez technikai választás – a hosszabb érvényesség nagyobb biztonsági kockázatot jelent (egy megszerzett kód hosszabb ideig maradna használható), a rövidebb pedig használhatatlanná tenné a rendszert lassú hálózatokon. Az 5-10 perces ablak egy kompromisszum, amit a magyar bankok közül a K&H és a Raiffeisen 5-10 perces tartományban tart, az OTP és az Erste hasonlóan kezeli.

Az SMS-csatorna problémái közismertek. A mobilszolgáltató hálózati torlódásai, a roaming melletti késések, a „delay-of-service” kategóriájú átmeneti kimaradások mind okozhatnak 30-60 másodperces vagy hosszabb késést. A roaming különösen problémás – külföldi utazás során, vagy határmenti helyeken (ahol a telefon hol magyar, hol osztrák hálózatra csatlakozik), az SMS-ek kiszámíthatatlan ideig elérhetnek.

A banki push-értesítés egészen más logikát követ. Itt a hitelesítés egy banki applikációban zajlik, amit előzetesen telepíteni és aktiválni kell. Amikor a kasszában megnyomod a „Megerősítés” gombot, a kibocsátó bank push-üzenetet küld a regisztrált eszközedre. Megnyitod az appot, ujjlenyomattal vagy arcfelismeréssel azonosítod magad, jóváhagyod a tranzakciót – és kész. A teljes folyamat 5-10 másodperc, és nincs SMS-csatorna függőség.

A push-csatorna előnyei többszörösek. Először, gyorsabb és megbízhatóbb – mindig működik, ha az eszközöd online van. Másodszor, biztonságosabb – egy ellopott telefonon a banki app jellemzően egy második faktorral (ujjlenyomat, biometria) is védve van. Harmadszor, részletesebb – a push-üzenet jellemzően mutatja a teljes kereskedői nevet, a tranzakció összegét, a devizaértéket, a tranzakció időpontját.

A magyar nagybankok mindegyike kínál push-megerősítést a saját mobil-appján belül. Az OTP a OTP SmartBank, a K&H a K&H mobilbank, az Erste az George app, a Raiffeisen pedig a saját bankalkalmazásán át kezeli. A beállítás 2-3 perc, és a fogadási oldalakon való első megerősítés után a rendszer automatikusan a push-csatornára vált.

Egy gyakorlati tanács: ha sokat fogadsz, vagy gyakran van élő-fogadásod, érdemes a push-megerősítést alapértelmezetté tenni a banki appban. Az SMS-csatornát csak vészhelyzetre tartsd meg – például ha a banki app betöltése elakadna.

SCA-mentes esetek: alacsony összeg, bizalmi kereskedő, banki kockázatelemzés

A PSD2 SCA-szabálya nem abszolút – tartalmaz kivételeket, amelyek bizonyos feltételek mellett mentesítik a tranzakciót a megerősítő hitelesítés alól. Ezek a kivételek a legtöbb online kategóriában érvényesek, de a szerencsejáték-szektorban gyakorlatilag soha nem alkalmazzák. Érdemes tudni, hogy miért.

Az első kivétel az alacsony összegű tranzakció (Low Value Transaction). Ha az összeg 30 euró (kb. 12 ezer forint) alatt van, és nem éri el az utolsó 5 SCA-mentes tranzakció halmozott 100 eurós küszöbét, akkor a kibocsátó bank dönthet úgy, hogy nem kér megerősítést. A szerencsejáték-szektorban ez a kivétel ki van zárva – a bankok minden 7995-ös MCC-kódú tranzakciót automatikusan SCA-kötelezőnek minősítenek.

A második kivétel a bizalmi kereskedői lista (Trusted Beneficiary). A kártyabirtokos felveheti egy adott kereskedőt a bizalmi listára – ezután az adott kereskedőnél történő tranzakciók SCA-mentesek. Ez tipikusan a Spotify, Netflix, és hasonló rendszeresen használt szolgáltatóknál működik. A magyar bankok azonban a szerencsejáték-szektort kifejezetten kizárják a bizalmi lista funkcionalitásából – hiába próbálnád felvenni egy fogadási oldalt, a bank nem fogadja el.

A harmadik kivétel a Transaction Risk Analysis (TRA). Ez egy banki kockázatelemző algoritmus, ami a tranzakció összes paramétere alapján (összeg, hely, idő, eszköz, viselkedési minta) eldönti, hogy a tranzakció alacsony kockázatú-e. Ha igen, és a bank csalásráta a vonatkozó referenciaértékek alatt van, az SCA elhagyható. A szerencsejáték-szektorban a TRA-mentesítés gyakorlatilag soha nem aktiválódik, mert a bankok ezt a kategóriát konzekvensen magas kockázatúnak minősítik.

A negyedik kivétel a recurring transaction (visszatérő tranzakció). Az első tranzakcióhoz SCA kell, de az azonos összegű és kereskedőjű ismétlődő tranzakciók (mint például havi előfizetés) SCA-mentesek lehetnek. A szerencsejáték-szektorban a visszatérő tranzakció koncepciója nem értelmezhető – minden befizetés egyedi összegű és időpontú, ezért ez a kivétel sem alkalmazható.

A magyar játékos szempontjából tehát a tényleges tapasztalat: minden Visa-befizetés a fogadási kasszában 3DS-megerősítést kér, kivétel nélkül. Ez nem rendszerhiba és nem felesleges szigor – ez a magas kockázatú kategória konzekvens kezelésének következménye. Az egyetlen módja annak, hogy ne lássál SCA-flow-t, az lenne, ha az operátor és a kibocsátó bank közösen olyan technikai megállapodást kötne, amely az adott platformon trusted-beneficiary státuszt biztosítana – és ez a magyar piacon ma nem létezik.

Mit tegyen, ha a 3DS-kód nem érkezik meg vagy lejár

A 3DS-folyamat öt különböző helyen megakadhat, és minden egyes elakadási pontnál más a megoldási stratégia. Praktikus diagnosztika – sorrendben végighaladva a leggyakoribb okok mentén.

Az első akadályozó tényező maga az SMS-csatorna. Ha a kód nem érkezik meg 30 másodpercen belül, ne nyomd meg újra az „Új kód kérése” gombot – ez gyakran két párhuzamos kódot eredményez, és a rendszer az újabbat fogadja el, miközben az első még úton van. Várj 60-90 másodpercet, majd ha tényleg nem jött semmi, kérj új kódot. Az új kérelem után az előző kód már nem érvényes.

A második akadály a kódlejárat. Ha a kód megérkezett, de már 5-10 perc telt el, a beírás lejárt kódot eredményez. Ekkor a kassza általában „Authentication failed” üzenetet ad – és nem mindig egyértelmű, hogy a probléma a lejárat vagy az érvénytelen kód. A megoldás: új tranzakciót indítani, és gyorsabban beírni az új kódot.

A harmadik a banki app problémái. Ha a push-megerősítést használod, és az app nem nyílik meg, vagy a megerősítő képernyő nem reagál, gyakran az app újraindítása megoldja – néha az operációs rendszer felfüggesztett háttérfolyamatokat, és az újraindítás visszaállítja a kapcsolatot. Ha ez nem segít, az SMS-csatornára való átváltás (általában van „SMS-kódot kérek” gomb a megerősítő képernyőn) kihúzhat a helyzetből.

A negyedik a böngésző-problémák. A 3DS-flow iframe-ben fut, és bizonyos böngésző-bővítmények (különösen reklámblokkolók és cookie-managerek) blokkolhatják a kommunikációt. Ha a megerősítő képernyő üresen marad, vagy „Loading” állapotban ragad, próbáld meg a tranzakciót egy másik böngészővel, vagy inkognitó módban.

Az ötödik a banki oldali „soft decline”. Ez egy ritkább, de létező eset: a bank kockázatelemzője a tranzakciót gyanúsnak ítéli, és nem engedi az SCA-folyamatot. Ekkor a kassza „Authentication aborted” vagy „Transaction declined by issuer” üzenetet ad. A megoldás itt nem a kasszán múlik – a bank ügyfélszolgálatát kell hívni, és kérni az adott tranzakció felülbírálatát. A magyar bankok többsége ilyenkor SMS-megerősítést kér a saját rendszerében, és utólag engedélyezi az új próbálkozást.

Egy fontos szabály: ha a 3DS háromszor egymás után meghiúsul, sok kibocsátó bank automatikusan ideiglenesen blokkolja a kártyát online használatra. Ezt a blokkolást fel lehet oldani a banki app vagy ügyfélszolgálat útján, de időbe kerül. Ezért: ha a második próbálkozás nem sikerül, ne erőltesd a harmadikat – várj 30-60 percet, vagy próbálj másik fizetési módot.

A 3DS jövője: tokenizáció, biometrikus autentikáció, frictionless flow

2026-ra a kereskedők 80 százaléka számára a technológiai infrastruktúra a legnagyobb csalási kihívás, és 72 százalékuk valamilyen tokenizációs megoldást használ – ez a Visa Acceptance Solutions és a Merchant Risk Council közös éves riportjának a fő következtetése. A számok mögött egy gyors átalakulás húzódik meg: a kártyaadat-cseréről a tokenizált adatcsere felé.

A tokenizáció lényege egyszerű. A kártyaszámod egy egyedi, kereskedő-specifikus tokenné alakul – egy 16 számjegyű kódra, amit a Visa-hálózat kibocsátott, és kizárólag az adott kereskedőnél működik. Ha a tokent ellopnák egy adatlopás során, máshol használhatatlan lenne. A kereskedő tárolja a tokent (nem a kártyaszámot), és minden tranzakciónál ezt a tokent küldi a hálózat felé.

A 3DS és a tokenizáció együtt formálják a következő évek biztonsági alapját. A tokenizált tranzakcióknál a 3DS-flow gyakran egyszerűbb – mert a Visa-hálózat tudja, hogy a kereskedő által küldött token biztonságos forrásból származik, és a kockázati pontszám automatikusan alacsonyabb. Ez vezethet a „frictionless flow”-hoz, ahol a felhasználónak egyáltalán nem kell SMS-kódot megadnia.

A biometrikus autentikáció a következő evolúciós lépés. Az ujjlenyomat- és arcfelismerés alapú megerősítés már ma is sok banki appban elérhető Magyarországon – a folyamat 1-2 másodperces, és a felhasználói élmény nehéz felülmúlhatóan kényelmes. A Visa és a Mastercard egyaránt fejleszti a „passkey” alapú autentikációt, ami a klasszikus jelszót teljesen kiválthatja a következő években.

A frictionless flow térnyerésével arányosan változik majd a magyar fogadási játékos tapasztalata is. Ahol ma minden tranzakcióhoz SMS-kódot kérnek, ott pár év múlva a megerősítő képernyő egyáltalán nem fog megjelenni a tipikus, ismert tranzakcióknál. A bank a kontextus alapján (ismert kártya, ismert kereskedő, megszokott összeg, stabil eszköz) automatikusan átengedi a tranzakciót.

A tokenizáció részletes működésével – hogyan generálja a Visa a tokeneket, milyen kereskedők használják, mit jelent a játékos szempontjából a háttérben futó token-csere – a tokenizáció és a fogadási befizetések kapcsolatát részletesen tárgyalja egy külön cikk a sorozatban.

Gyakori kérdések a 3D Secure-ról

Hogyan készüljön fel a 3DS-hitelesítésre fogadás előtt

A 3D Secure-felkészülés három egyszerű előzetes lépésen áll. Először, telepítsd és aktiváld a kibocsátó bankod hivatalos mobilappját, és állítsd be benne a push-megerősítést. Ez 2-3 perc, és a befizetések egész élményét megváltoztatja – SMS-kódok várása helyett egyetlen ujjlenyomat lesz a megerősítés.

Másodszor, ellenőrizd, hogy a banknál regisztrált telefonszámod aktuális-e. Ha nemrég váltottál számot, a banki ügyfélszolgálatnál meg kell változtatnod, különben az SMS-megerősítések soha nem fognak megérkezni. Sok problémát látok, amik onnan származnak, hogy a játékos évekkel ezelőtt regisztrált egy telefonszámot, ami már nem aktív.

Harmadszor, légy mindig egy biztonságos hálózaton. A nyilvános Wi-Fi (kávézó, repülőtér) bizonytalan környezet a 3DS-megerősítéshez – a banki kockázatelemzés ezt magas kockázatnak ítélheti, és a tranzakciót akár soft decline-nal is megválaszolhatja. Ha tehetsz, használj mobil internetet, vagy várj, amíg hazaérsz a saját biztonságos hálózatodra.

A(z) „Visa Fogadás” szerkesztősége készítette.