Visa CNP tranzakció fogadásnál: a kártya-jelenlét nélküli online fizetés szabályai

Szerkesztőség «Visa Fogadás» május 9, 2026 Olvasási idő: 7 perc

A CNP fogalma és alapvető különbsége a POS-tranzakciótól

Egy ügyfelem évekkel ezelőtt megkérdezte: ‘miért tart drágábbnak a bank az online fogadási befizetést, mint amikor a sarki boltban kártyázok?’. A válasz egyetlen mozaikszóra szűkül: CNP – Card Not Present. A ‘kártya jelenlét nélküli’ tranzakciók egész más kockázati profillal rendelkeznek, mint a fizikai POS-fizetések, és a fogadási kassza majdnem mindig CNP-kontextusban dolgozik.

A POS-tranzakciónál a kártya fizikailag jelen van: chipben, kontaktless-érintőn, mágnescsíkban. A merchant ‘látja’ a kártyát, és ezzel a Visa-szabványban a felelősség megoszlása is más. CNP esetén csak a kártyaszám, a lejárati dátum, a CVV és a 3DS megerősítés van kéznél – minden adat, amelyet egy csaló is tud másolni vagy lopni. A bank ezért a CNP-tranzakcióknál szigorúbb kockázati ellenőrzést alkalmaz, és a felelősségi elosztás is szigorúbb a merchant felé. Ez a cikk azt mutatja meg, mit jelent ez a játékos szempontjából.

Felelősségi áttétel: ki viseli a csalási kockázatot CNP-nél

A Visa-szabványban a felelősség elosztása egyértelmű, csak a játékos szemszögéből gyakran homályos. POS-tranzakciónál, ha utólag kiderül, hogy a kártya lopott vagy hamisított volt, a kibocsátó bank viseli a kárt. A merchant védve van – hiszen a kártya fizikailag jelen volt, a chip+PIN vagy kontaktless tranzakció autentikussá tette a fizetést.

CNP-nél fordított a séma. A kibocsátó bank a ‘kártyát nem látta’, ezért a felelősség alapesetben a merchant-re hárul – kivéve, ha a merchant 3DS-megerősítést alkalmazott. A 3D Secure protokollt 2001-ben hozta létre a Visa az Arcot Systems-szel közösen, pontosan ennek a felelősségi áttételnek a megoldására. Ha a tranzakció 3DS-en átment, és a játékos jóváhagyta a banki appon vagy SMS-kódon keresztül, a felelősség visszakerül a kibocsátóhoz – a merchant védve van.

A fogadási oldalon ez a logika közvetlen következménnyel jár. Az operátor, aki minden CNP-tranzakcióra erőlteti a 3DS-t, hosszú távon kevesebb chargeback-et szenved el. Ezért is van, hogy a magyar bukméker oldalak ma már szinte kivétel nélkül mindig 3DS-megerősítést kérnek a Visa-befizetésnél – még akkor is, ha a kis összegű tranzakcióknál a Visa szabályzata megengedne exempt-flow-t. Az operátor inkább a játékos kényelmét egy lépéssel csökkenti, mintsem a chargeback-kockázatot vállalja.

Egy gyakran elhagyott apróság: a merchant CNP-felelőssége kifejezetten a fraud-jellegű chargeback-re vonatkozik. Ha a vita ‘service not rendered’ indokon alapul (a játékos nem kapta meg a fogadási szolgáltatást), a felelősség más logika szerint oszlik meg, és a 3DS sem véd automatikusan. A magyar engedélyes operátoroknál ez a típusú vita ritka, mert a szolgáltatás digitálisan azonnal teljesül. Az offshore oldalakon, ahol a kifizetés elakadhat, gyakoribb.

A 3DS és a CNP közötti összefüggés

A 3DS és a CNP elválaszthatatlan páros. 2015. augusztus 1. óta minden EU-tagállambeli fizetési szolgáltató köteles támogatni a 3D Secure rendszert, és a 2018-as PSD2 hatályba lépésével az SCA – Strong Customer Authentication – kötelező lett a legtöbb online tranzakcióra. A két szabály a CNP-kontextusra szabott védelmi rendszert épített fel.

A magyar fogadási oldalakon a 3DS megvalósítása szinte mindig EMV 3DS 2.x szabvány szerint történik – modern, mobil-első, biometriás megerősítést is támogató verzió. A régebbi 3DS 1.0 (statikus jelszó vagy SMS-kód) ma már a magyar bukméker piacon ritka. A korszerű 3DS-flow gyakran ‘frictionless’ – vagyis a játékos észre sem veszi, hogy 3DS futott, mert a banki risk-engine elegendő adatot gyűjtött be a hitelesítéshez automatikusan.

A frictionless flow-nak van egy gyakran félreértett oldala. A játékos azt hiszi, a ‘gyors befizetés’ azt jelenti, hogy 3DS nem volt – pedig 3DS volt, csak láthatatlanul. A felelősségi áttétel lefutott, az operátor védve van, és a játékos jogai is azok, mintha látható megerősítés történt volna. Ha utólag a játékos vitatja a tranzakciót, és a 3DS-tranzakciós tanúsítvány ellene szól, a chargeback-jogosultsága szűkül.

Banki kockázatértékelés CNP-tranzakcióknál

A magyar bankok risk-engine-jei a CNP-tranzakciókat több dimenzióban értékelik. Az első dimenzió a merchant: az MCC, a country code, a merchant ID és a feldolgozó hírneve. Egy magyar engedélyes bukméker MCC 7995-tel és magyar feldolgozóval alacsonyabb pontszámot kap, mint egy offshore operátor ismeretlen feldolgozóval és külföldi country code-dal.

A második dimenzió a tranzakció maga: az összeg, az időzítés, a gyakoriság. Egy 5 000 forintos egyszeri tranzakció hétfő délután más pontszámot kap, mint öt 1 000 forintos tranzakció szombat hajnali kettőkor. A bankok a ‘card testing’ mintázatokat (sok kicsi tranzakció rövid idő alatt) automatikusan flag-elik.

A harmadik dimenzió a kártyatulajdonos története: korábbi vásárlások, banki egyenlegmozgás, kontextus. Ha a játékos hónapok óta rendszeresen használja a kártyát fogadási kasszánál, és a profilja stabil, a bank engedékenyebb. Ha az első CNP-tranzakció egy nagy összegű fogadási befizetés, a risk-engine extra figyelmet ad neki.

A magyar fogyasztók 2025 első negyedévében 45,2 millió bankkártyás tranzakciót bonyolítottak külföldi online kereskedőknél, és a négy év alatt 2021-ben elért 1,29 milliárd hazai kártyás vásárlásból a fogyasztók napi rutinjává vált a CNP-fizetés. Ezzel együtt a banki risk-engine-ek finomodtak – a kontextus alapján egyre pontosabb szűrést tudnak végezni, és kevesebb az indokolatlan elutasítás.

A játékos védelme CNP-csalás esetén

A CNP-csalás a kártyatulajdonos szempontjából háromféle lehet. Az első: lopott kártyaadat (kártyaszám, CVV, lejárat) használata egy merchant-nél, akit a játékos nem ismer. A második: jogosulatlan ismétlődő tranzakció egy korábban elfogadott merchant-nél (például egy fogadási oldal a játékos tudtán kívül levonja az előfizetési díjat). A harmadik: szándékosan félrevezető merchant – a játékos a fizetésre szánt összeget egy oldalra utalja, amelyik aztán nem szolgáltat ellenértéket.

Mindhárom esetben a Visa Claims Resolution folyamat a védelem keretrendszere. A játékos a banknál vitatja a tranzakciót, és a bank elindítja a chargeback-folyamatot. A 3DS-en átment tranzakciónál a játékos pozíciója gyengébb – a merchant a 3DS-tanúsítvánnyal védekezhet -, de a ‘jogosulatlan ismétlődő tranzakció’ és a ‘szolgáltatás nem teljesült’ indokok akkor is érvényesek, ha 3DS volt.

A magyar fogadási kontextusban a chargeback-ezés azonban kockázatos. Az operátor a chargeback-et követően gyakran zárolja a játékosi fiókot, és a játékos a fogadási egyenlegét sem tudja kivenni. Az engedélyes operátorok ezzel rugalmasabbak – egyeztetésre nyitottak -, az offshore oldalak már sokkal kevésbé. A jó stratégia a chargeback előtt a merchant ügyfélszolgálatának felkeresése, és csak ha az nem hoz eredményt, akkor a banki vitatás. A részletes 3DS-flow technikai elemzése a 3D Secure Visa-fogadásról szóló cikkben található.

Egy záró megfigyelés a CNP-világból. A magyar piacon a tendencia az, hogy a kasszás flow egyre rövidül – az operátorok a tárolt fizetési módokra építenek, a 3DS-flow frictionless ágára optimalizálnak, és a játékos egy kattintással tud befizetni. Ez kényelmes, de azt is jelenti, hogy a CNP-tranzakciók sebessége és térfogata is nőtt. A bankok a saját risk-engine-jeiket kalibrálják ehhez – több adatot dolgoznak fel, finomabb különbségtételt tesznek a fogadási tranzakciók kategóriái között. A játékos szempontjából ez kétoldalú: a tranzakciók simábban futnak, ha a profil ‘normálisnak’ tűnik, és gyorsabban elutasulnak, ha bármi szokatlan.

A(z) „Visa Fogadás” szerkesztősége készítette.