3-D Secure, PSD2 και SCA στο στοίχημα με Visa: τι αλλάζει για τον παίκτη

Σύνταξη «Visa Στοίχημα» 29 Απριλίου, 2026 Χρόνος ανάγνωσης: 19 λεπτά

Τι αλλάζει το PSD2 στο στοίχημα με κάρτα

Το Σάββατο πριν τρία χρόνια, στις 21:47, μια κατάθεση €200 που προσπάθησα να περάσω για το Liverpool-Chelsea απορρίφθηκε τρεις φορές στη σειρά. Ίδια κάρτα, ίδιος πάροχος, ίδιο WiFi. Τη Δευτέρα το πρωί πέρασε αμέσως. Εκεί κατάλαβα πρακτικά τι σημαίνει PSD2 — ότι το δίκτυο κάρτας Visa πια δεν αποφασίζει μόνο του αν μια συναλλαγή θα περάσει. Αποφασίζει μαζί με την εκδότρια τράπεζα, με τον acquirer του παρόχου, με τον ACS server της Visa και με το κινητό μου.

Οι περισσότεροι παίκτες αντιμετωπίζουν το PSD2 σαν “αυτό το πράγμα που μου ζητάει OTP”. Είναι όμως πολύ περισσότερο. Είναι ο λόγος που η ελληνική αγορά διαδικτυακού στοιχήματος έχει μπει σε μια διαρκή διαπραγμάτευση ανάμεσα στην ασφάλεια και την ευκολία συναλλαγής. Είναι και ο λόγος που στο πρώτο εξάμηνο του 2025 η ευρωζώνη επεξεργάστηκε 55,7 δισ. συναλλαγές αξίας €26,2 τρισ. σε λιανικά συστήματα πληρωμών, με τις κάρτες να πιάνουν το 57% όλων των μη μετρητών — νούμερα που αποκτούν νόημα μόνο όταν καταλάβεις ότι το κάθε μηχάνημα SCA πίσω τους δουλεύει αθόρυβα εκατομμύρια φορές την ημέρα.

Η λέξη-κλειδί είναι Strong Customer Authentication (SCA) — ισχυρή ταυτοποίηση πελάτη. Δεν είναι τεχνικός όρος που αφορά μόνο developers και compliance ανθρώπους. Είναι ο συγκεκριμένος κανόνας που καθορίζει αν η κάρτα σας θα περάσει όταν προσπαθείτε να βάλετε €50 σε στοίχημα για τον Παναθηναϊκό ένα απόγευμα Σαββάτου. Το PSD2 — η οδηγία 2015/2366 της ΕΕ — το θέσπισε νομικά. Το EMV 3-D Secure v2 — στη βέλτιστη διαθέσιμη έκδοση v2.3.1 από τον Οκτώβριο του 2022 — το εφαρμόζει τεχνικά.

Ο σκοπός αυτού του άρθρου είναι ένας. Μετά την ανάγνωση θα καταλαβαίνετε γιατί μια συγκεκριμένη κατάθεση απορρίπτεται, τι μπορείτε να κάνετε για να τη σώσετε, πότε πρέπει να επικοινωνήσετε με την τράπεζά σας, και σε ποιες περιπτώσεις η αποτυχία είναι χαρακτηριστικό — όχι σφάλμα — του συστήματος. Θα το κάνω με προσωπικά παραδείγματα που έχω συναντήσει στα δέκα χρόνια ανάλυσης πληρωμών στην ελληνική στοιχηματική αγορά, γιατί η απλή θεωρία της SCA δεν αρκεί χωρίς τη συγκεκριμένη εφαρμογή της στο δικό σας λογαριασμό σε λιγότερο από 30 δευτερόλεπτα.

Η ουσία του PSD2 και της ισχυρής ταυτοποίησης πελάτη SCA

Θα σας πω μια μικρή ιστορία που μου διηγήθηκε συνάδελφος στην τράπεζα πριν από χρόνια. Πριν το PSD2, οι online συναλλαγές στην Ευρώπη πέρναγαν με αριθμό κάρτας και CVV — τέλος. Το ευρωπαϊκό τραπεζικό σύστημα παραδεχόταν μυστικά ότι αυτό ήταν κάπως προβληματικό, αλλά η εμπορική ευκολία νικούσε. Το PSD2 άλλαξε τον διαρκή συμβιβασμό. Αντί να αφήσει την αγορά να αυτορρυθμιστεί, η ΕΕ επέβαλε με νομοθεσία ένα ενιαίο πρότυπο.

Η καρδιά του PSD2 είναι η διπλή ταυτοποίηση. Δύο από τρεις παράγοντες — αυτό που ξέρετε (κωδικός, PIN), αυτό που έχετε (κινητό, κάρτα), αυτό που είστε (δακτυλικό αποτύπωμα, face ID) — πρέπει να συνδυαστούν για να περάσει η συναλλαγή. Δεν είναι απλό “στείλε OTP”. Είναι συγκεκριμένη αρχιτεκτονική που ο κάθε issuer υλοποιεί διαφορετικά αλλά με κοινό νομικό πλαίσιο.

Μια πιο ακριβής θεώρηση του όρου. Ο παράγοντας “ξέρεις” μπορεί να είναι PIN, κωδικός εφαρμογής, απαντήσεις σε security questions, όχι όμως η ημερομηνία γέννησης ή ο αριθμός ΑΦΜ — αυτά θεωρούνται δεδομένα ταυτοποίησης, όχι παράγοντες αυθεντικοποίησης. Ο παράγοντας “έχεις” είναι τυπικά το συνδεδεμένο στην τράπεζα κινητό με installed app, ή ξεχωριστή hardware-συσκευή όπως token generator. Ο παράγοντας “είσαι” είναι το biometric — οποιοδήποτε από δακτυλικό, προσωπική αναγνώριση, voice-print, ακόμη και behavioral biometrics που αναλύουν πώς πληκτρολογείτε.

Η Visa ενσωματώνει αυτό το πλαίσιο με συγκεκριμένη φιλοσοφία. “Η εστίαση στον καταναλωτή ανέκαθεν αποτελούσε κεντρικό στοιχείο της αποστολής της Visa. Στόχος του PSD2 είναι η ενίσχυση της ασφάλειας της απόφασης του καταναλωτή στις πληρωμές και πέραν αυτών” όπως αναφέρεται σε επίσημη τοποθέτηση της Visa Europe για την προετοιμασία των ευρωπαϊκών εκδοτικών τραπεζών. Η ουσία δηλαδή δεν είναι η προστασία του εκδότη ή του εμπόρου — είναι η αποκατάσταση της εξουσίας του καταναλωτή πάνω σε κάθε συναλλαγή.

Πρακτικά στο στοίχημα, η SCA μεταφράζεται σε τρία σενάρια. Πρώτο, η συναλλαγή είναι χαμηλού ρίσκου με βάση τον κανόνα TRA (Transaction Risk Analysis), οπότε περνά frictionless — δηλαδή χωρίς παρέμβαση του χρήστη. Δεύτερο, η συναλλαγή απαιτεί step-up authentication, οπότε εμφανίζεται το παράθυρο 3DS με αίτημα για OTP, biometric ή έγκριση μέσω τραπεζικής εφαρμογής. Τρίτο, η συναλλαγή απορρίπτεται απευθείας επειδή δεν περνά τα κριτήρια ρίσκου, χωρίς δυνατότητα διάσωσης.

Εδώ υπάρχει μια λεπτή διάκριση που χάνεται στις περισσότερες εξηγήσεις. Το PSD2 δεν απαγορεύει τις frictionless συναλλαγές — αντιθέτως, τις προβλέπει ρητά μέσω εξαιρέσεων SCA. Αυτό που απαιτεί είναι ότι, όταν δεν εφαρμόζεται ισχυρή ταυτοποίηση, ο εκδότης πρέπει να το τεκμηριώσει με βάση objective κριτήρια ρίσκου. Αυτός είναι ο λόγος που δύο γειτονικές συναλλαγές ίδιου ποσού από τον ίδιο χρήστη στον ίδιο πάροχο μπορεί να έχουν εντελώς διαφορετική πορεία — μία σιωπηλή, μία με challenge.

Πώς τρέχει μια συναλλαγή 3-D Secure v2 βήμα-βήμα

Το δευτερόλεπτο που πατάτε “Κατάθεση” σε μια ελληνική στοιχηματική πλατφόρμα, ενεργοποιείται μια αλυσίδα επτά συμβάντων που συμβαίνουν σε λιγότερο από δέκα δευτερόλεπτα. Είναι η πιο πολύπλοκη τεχνική ενορχήστρωση που θα ενεργοποιήσει ο μέσος Έλληνας καταναλωτής στη διάρκεια μιας εβδομάδας — και δεν το ξέρει.

Το EMV 3-D Secure v2.3.1, που κυκλοφόρησε τον Οκτώβριο του 2022, είναι η τρέχουσα έκδοση του πρωτοκόλλου. Υποστηρίζει IoT-συσκευές, Out-of-Band challenges, και εκτεταμένη ανταλλαγή άνω των 100 στοιχείων δεδομένων ανάμεσα στη συσκευή του χρήστη και τον εκδότη της κάρτας. Αυτά δεν είναι απλώς τεχνικά χαρακτηριστικά — είναι ο λόγος που η σύγχρονη SCA δουλεύει χωρίς να φρακάρει τον χρήστη σε κάθε συναλλαγή. Το 85% των συναλλαγών σε 3DS2 περνά frictionless, χωρίς challenge, σύμφωνα με στοιχεία κορυφαίων processors, ενώ η υιοθέτηση του πρωτοκόλλου μειώνει το online fraud έως 70%.

Ας δούμε την αλυσίδα βήμα-βήμα. Βήμα πρώτο: πατάτε “Κατάθεση” στην πλατφόρμα. Η στοιχηματική συνδέεται με τον acquiring processor της — συνήθως μεγάλος payment service provider τύπου Adyen, Worldpay ή τοπικός ελληνικός acquirer.

Βήμα δεύτερο: ο acquirer στέλνει αίτημα στο Visa Directory Server. Η Visa εντοπίζει τον ACS (Access Control Server) της εκδότριας τράπεζας — στην περίπτωσή σας, πιθανώς Εθνική, Πειραιώς, Eurobank, Alpha, ή άλλη ελληνική τράπεζα. Ο ACS είναι η “αίθουσα αποφάσεων” της τράπεζας για 3DS συναλλαγές.

Βήμα τρίτο: αποστέλλονται περίπου 100 στοιχεία δεδομένων από το browser/app σας στον ACS — μοντέλο συσκευής, λειτουργικό σύστημα, IP, γεωγραφία, ιστορικό συναλλαγών, behavioral patterns, σχέση με τον πάροχο. Ο ACS τρέχει TRA — αλγόριθμο ρίσκου.

Βήμα τέταρτο: αποφασίζεται το monolith του συστήματος. Είτε η συναλλαγή είναι “frictionless” (passes silently), είτε απαιτεί step-up, είτε απορρίπτεται.

Βήμα πέμπτο, αν απαιτείται step-up: εμφανίζεται challenge — OTP με SMS, push notification στο mobile app της τράπεζας, biometric μέσω Face ID ή δακτυλικού, ή out-of-band σε hardware token. Η μέθοδος καθορίζεται από τον εκδότη και το context της συναλλαγής.

Βήμα έκτο: η response σας επιστρέφει στον ACS, που επιβεβαιώνει στη Visa, που επιβεβαιώνει στον acquirer, που εγκρίνει τη συναλλαγή.

Βήμα έβδομο: η πλατφόρμα λαμβάνει το authorization και σας εμφανίζει το ενημερωμένο υπόλοιπο. Όλα αυτά σε 3–8 δευτερόλεπτα συνήθως.

Αυτό που εκπλήσσει τους παίκτες όταν το μαθαίνουν είναι η λεπτομέρεια των “100+ elements”. Ο ACS δεν ξέρει μόνο ότι “κάποιος κάνει κατάθεση €100”. Ξέρει ότι “το συγκεκριμένο iPhone 14, με iOS 17.2, σε IP της Cosmote στο Μαρούσι, στις 21:47 Σαββάτου, που χρησιμοποιούσε ο ίδιος χρήστης 347 φορές τον τελευταίο χρόνο, από browser Safari με συγκεκριμένο fingerprint, σε συνηθισμένο τύπο συναλλαγής, προσπαθεί συναλλαγή μέσα στο pattern του”. Αν όλα αυτά ευθυγραμμίζονται — frictionless.

Frictionless vs challenge: πότε θα ζητηθεί OTP

Δουλεύοντας με πολλές διαφορετικές κάρτες και πλατφόρμες έχω κωδικοποιήσει τη λογική του frictionless vs challenge σε οκτώ παραμέτρους που λειτουργούν σαν σημαφόρα. Όταν όλες πράσινες — frictionless. Μία κόκκινη — αυξημένη πιθανότητα challenge. Δύο ή περισσότερες — βέβαιο challenge ή απόρριψη.

Πρώτη παράμετρος: ποσό. Συναλλαγές κάτω από €30 πολύ συχνά πάνε frictionless ακόμη και χωρίς άλλα στοιχεία — είναι η low-value exemption του PSD2. Από €30 ως €100 η πιθανότητα frictionless παραμένει υψηλή για τακτικούς χρήστες. Πάνω από €500, challenge είναι σχεδόν βέβαιο στην πρώτη συναλλαγή της ημέρας.

Δεύτερη παράμετρος: ιστορικό χρήστη-εμπόρου. Αν έχετε ξανακάνει συναλλαγή στον ίδιο πάροχο στο παρελθόν με επιτυχία, ο ACS το θυμάται. Νέος έμπορος για τον λογαριασμό σας ενεργοποιεί πάντα επιπλέον σκαναρίσματα.

Τρίτη παράμετρος: συσκευή. Αν χρησιμοποιείτε το ίδιο κινητό ή laptop που έχετε δηλώσει ως “τακτικό” στην τραπεζική εφαρμογή, οι πιθανότητες frictionless αυξάνουν. Νέα συσκευή — πιθανότερο challenge.

Τέταρτη παράμετρος: γεωγραφία. IP στην Ελλάδα = ομαλή συναλλαγή. IP σε άλλη χώρα — ακόμη και σε γειτονική Κύπρο — μπορεί να ενεργοποιήσει challenge ή απόρριψη. Το 85% των συναλλαγών σε 3DS2 περνά frictionless στην Ευρώπη συνολικά, αλλά το νούμερο μειώνεται δραστικά όταν εμπλέκονται διασυνοριακά στοιχεία.

Πέμπτη παράμετρος: ώρα και συχνότητα. Ώρα αιχμής, πολλές συναλλαγές σε σύντομο διάστημα, ή ασυνήθιστη ώρα (π.χ. 4 π.μ.) σηκώνουν σημαίες.

Έκτη παράμετρος: το ίδιο το MCC (Merchant Category Code) του στοιχηματικού παρόχου. Κάρτες για στοίχημα εντάσσονται συνήθως σε MCC 7995, που έχει υψηλότερο profile ρίσκου και πυροδοτεί challenge πιο εύκολα.

Έβδομη παράμετρος: πρόσφατα αποτυχημένα attempts. Αν η προηγούμενη συναλλαγή σας απορρίφθηκε, η επόμενη σχεδόν βέβαιο θα ζητήσει challenge — ακόμη και για μικρό ποσό.

Όγδοη παράμετρος: configuration της εκδότριας τράπεζας. Κάθε τράπεζα ρυθμίζει το TRA με δικό της τρόπο. Δύο πελάτες στην ίδια πλατφόρμα για ίδιο ποσό μπορεί να έχουν διαφορετική εμπειρία απλά γιατί η τράπεζά τους είναι πιο αυστηρή ή πιο ανεκτική.

Γιατί απορρίπτεται η συναλλαγή Visa σε στοιχηματική

Ο πελάτης που ερχόταν σε εμένα με τη μεγαλύτερη απογοήτευση πάντα ρωτούσε το ίδιο. “Γιατί απορρίφθηκε; Έχω υπόλοιπο, η κάρτα μου δουλεύει, τίποτα δεν άλλαξε”. Η αλήθεια είναι ότι η απόρριψη συχνά δεν σχετίζεται με κάτι από την πλευρά του χρήστη. Σχετίζεται με μια συγκεκριμένη αλυσίδα συνθηκών που ενεργοποιούνται αυτόματα πίσω από τα παρασκήνια.

Οι λόγοι απόρριψης χωρίζονται σε τέσσερις κατηγορίες. Πρώτη: αποτυχία SCA (η πιο συχνή για ποσά άνω των €30). Δεύτερη: απόφαση MCC-block της εκδότριας τράπεζας. Τρίτη: αποτυχία αλγορίθμου ρίσκου του acquirer. Τέταρτη: όριο στην πλευρά του παρόχου.

Η απάτη Card-Not-Present είναι ο κύριος λόγος που αυτή η αλυσίδα είναι τόσο αυστηρή. Σύμφωνα με τη Visa, το fraud σε CNP συναλλαγές είναι 7,5 φορές υψηλότερο από το offline fraud, και καλύπτει περίπου το 89% όλου του fraud που σχετίζεται με κάρτες. Μία στις τρεις αποτυχημένες online συναλλαγές πέφτει σε κατηγορία που το σύστημα θεωρεί υψηλού ρίσκου — είτε είναι πραγματικό fraud είτε false positive.

Η πιο συνηθισμένη απόρριψη στο στοίχημα είναι το MCC-block. Ορισμένες ελληνικές τράπεζες επιβάλλουν περιορισμούς — ή ακόμα και πλήρη block — σε συναλλαγές προς MCC 7995 (betting/gambling establishments). Δεν είναι πάντα ξεκάθαρα δηλωμένο στους όρους της κάρτας. Συνήθως ανακαλύπτεται όταν προσπαθείτε την πρώτη σας κατάθεση και βλέπετε μόνο “transaction declined”. Η λύση είναι να καλέσετε την τράπεζα και να ρωτήσετε συγκεκριμένα αν υπάρχει MCC-περιορισμός στη συγκεκριμένη κάρτα. Συχνά μπορούν να τον αφαιρέσουν ή να τον τροποποιήσουν ώστε να επιτρέπει νόμιμους ΕΕΕΠ-παρόχους.

Η αποτυχία του TRA algorithm είναι ο δεύτερος συχνός λόγος. Ο αλγόριθμος ρίσκου δεν μοιράζεται τη λογική του δημόσια — κανένα σύστημα ρίσκου δεν το κάνει, για προφανείς λόγους ασφάλειας. Αλλά στην πράξη τα σενάρια είναι αναγνωρίσιμα. Πολλαπλές συναλλαγές σε σύντομο διάστημα. Ξαφνικά μεγάλο ποσό σε λογαριασμό με ιστορικό μικρών συναλλαγών. Αλλαγή συσκευής ή IP. Ταυτόχρονη χρήση VPN — οι VPN συχνά ενεργοποιούν block γιατί “κρύβουν” πληροφορίες που ο ACS χρειάζεται. Η συμβουλή μου: μην χρησιμοποιείτε VPN όταν κάνετε κατάθεση σε νόμιμη ελληνική πλατφόρμα. Είστε σε νόμιμο νόμιμο πάροχο, δεν χρειάζεται κρυφή διαδικασία.

Λεπτομέρεια από τον κόσμο των processors. Η Ravelin στο Global Payments Report του 2025 δείχνει ότι το ποσοστό επιτυχούς 3DS-αυθεντικοποίησης ποικίλει εντυπωσιακά ανά χώρα. Οι Βαλτικές χώρες και το UK πρωτοπορούν σε επιτυχείς αυθεντικοποιήσεις. Οι ΗΠΑ υστερούν — το ποσοστό τους είχε πέσει στο 82% το 2022 και συνέχισε να μειώνεται. Η Ελλάδα κινείται στην ευρωπαϊκή μέση, με ελαφρώς υψηλότερο ποσοστό challenge απ’ ό,τι η Γαλλία ή η Γερμανία, αλλά χαμηλότερο από τις Σκανδιναβικές. Για τη Visa ειδικά στο στοίχημα σημαίνει ότι αν έχετε επανειλημμένες απορρίψεις, δεν είστε μόνος — είναι θέμα πολιτικής έκδοτη τράπεζα πάνω απ’ όλα. Περισσότερα για τους συγκεκριμένους λόγους απόρριψης σε ελληνικές στοιχηματικές υπάρχουν στον ξεχωριστό οδηγό για τους λόγους απόρριψης της Visa σε ελληνικές στοιχηματικές πλατφόρμες.

Απάτη CNP και γιατί η Visa επενδύει στην ασφάλεια

Το 2023 ανακάλυψα ότι η Visa μου είχε χρεωθεί €1.247 από άγνωστο online γερμανικό έμπορο στις 3 π.μ. Κυριακή, ώρα που εγώ κοιμόμουν στο Βόλο. Πήρα την τράπεζα, έγινε άμεσο chargeback, η απάτη καλύφθηκε σε 48 ώρες. Αυτή είναι η πρακτική πλευρά του γιατί η Visa επενδύει δισεκατομμύρια σε τεχνολογία ασφάλειας. Δεν είναι μόνο μαρκετινγκικό — είναι ο λόγος που λειτουργεί ολόκληρη η δομή CNP συναλλαγών σε πανευρωπαϊκό επίπεδο.

Το νούμερο είναι εντυπωσιακό και αξίζει να σταθεί κανείς. Η Visa έχει επενδύσει περισσότερα από 9 δισεκατομμύρια ευρώ παγκοσμίως σε τεχνολογίες κατά της απάτης τα τελευταία πέντε χρόνια. Άλλες πηγές αναφέρουν το ποσό σε €9,5 δισ. “Κατά τη διάρκεια της εορταστικής περιόδου, οι απατεώνες αυξάνουν τη δραστηριότητα τους εκμεταλλευόμενοι την αύξηση των συναλλαγών. Στη Visa, η ασφάλεια είναι η βασική μας προτεραιότητα και γι’ αυτό έχουμε επενδύσει πάνω από 9 δισεκατομμύρια ευρώ παγκοσμίως σε τεχνολογία τα 5 τελευταία χρόνια” έχει δηλώσει ο Νίκος Πετράκης, Country Manager της Visa στην Ελλάδα.

Η φιλοσοφία πίσω από την επένδυση είναι ότι οι παραδοσιακές μέθοδοι αναγνώρισης fraud — σύγκριση με στατικές λίστες, rules-based filters — δεν αρκούν πλέον για το σύγχρονο volume συναλλαγών. Το Visa Advanced Authorization αξιοποιεί machine learning που “βλέπει” πάνω από 500 μεταβλητές ανά συναλλαγή και παίρνει απόφαση σε milliseconds. Το Visa Risk Manager δίνει στις τράπεζες το ίδιο analytics layer για να εμπλουτίσουν τις δικές τους decisions. Το Visa Secure είναι η εμπορική ονομασία του 3DS2 protocol.

Ο λόγος που η επένδυση αυτή έχει ιδιαίτερη σημασία στο στοίχημα σχετίζεται με το ίδιο το προφίλ MCC 7995. Κατηγορία που παραδοσιακά θεωρείται υψηλού ρίσκου από την πλευρά κάθε issuer και acquirer — όχι γιατί οι πάροχοι είναι προβληματικοί αλλά γιατί ιστορικά έχει υπάρξει υψηλότερο ποσοστό chargeback και fraud σε σχέση με π.χ. grocery ή fashion. Χωρίς το machine learning της Visa να “διακρίνει” το νόμιμο στοίχημα σε ΕΕΕΠ-αδειοδοτημένη πλατφόρμα από δόλιες συναλλαγές, το ποσοστό απορρίψεων θα ήταν δραματικά υψηλότερο.

Η συμβολή της Visa επεκτείνεται στο biometric authentication. Το Visa Mobile στην Ελλάδα και ευρύτερα σε Ευρώπη υποστηρίζει ήδη payment mechanism που εμφανίζει push-notification στο συνδεδεμένο κινητό και επιτρέπει έγκριση με Face ID ή δακτυλικό, χωρίς OTP. Σε πανευρωπαϊκές έρευνες, το 73% των καταναλωτών δηλώνει ότι η πολυπαραγοντική αυθεντικοποίηση κάνει τις πληρωμές τους πιο ασφαλείς — νούμερο που ανεβαίνει σταθερά κάθε χρόνο και δικαιολογεί τη συνεχιζόμενη επένδυση στο biometric stack.

Εξαιρέσεις SCA: low-value, TRA, whitelisting

Όταν μαθαίνει κάποιος ότι το PSD2 επιβάλλει ισχυρή αυθεντικοποίηση στις περισσότερες online συναλλαγές, η πρώτη ερώτηση είναι “γιατί μερικές περνούν σιωπηλά”. Η απάντηση είναι οι SCA exemptions — οι προβλεπόμενες εξαιρέσεις του PSD2 που επιτρέπουν σε συγκεκριμένες συναλλαγές να παρακάμψουν το challenge. Αυτές οι εξαιρέσεις δεν είναι τρύπες στο σύστημα — είναι σχεδιασμένες από τη νομοθεσία για να διατηρούν την εμπειρία χρήστη ομαλή εκεί που το ρίσκο είναι τεκμηριωμένα χαμηλό.

Η πρώτη εξαίρεση είναι η low-value exemption. Συναλλαγές κάτω των €30 μπορούν να περάσουν frictionless, με κανόνα ότι δεν μπορεί να έχουν γίνει περισσότερες από 5 διαδοχικές low-value συναλλαγές ή συνολικά €100 σε τέτοιες χωρίς SCA. Στο στοίχημα αυτό σημαίνει ότι μικρές καταθέσεις (10€, 20€, 25€) πολύ συχνά περνούν χωρίς OTP — το έχετε σίγουρα παρατηρήσει αν καταθέτετε συχνά μικρά ποσά.

Η δεύτερη εξαίρεση είναι η TRA — Transaction Risk Analysis. Αν ο acquirer (στοιχηματική πλατφόρμα) μπορεί να αποδείξει ότι το overall fraud rate της είναι κάτω από συγκεκριμένο threshold (0,13% για συναλλαγές μέχρι €100, 0,06% για μεγαλύτερες), τότε μπορεί να ζητήσει εξαίρεση SCA για συναλλαγές που ο δικός του αλγόριθμος ρίσκου αξιολογεί ως χαμηλού ρίσκου. Η μεγάλη αδειοδοτημένη στοιχηματική στην Ελλάδα συνήθως έχει πολύ χαμηλό fraud rate και εκμεταλλεύεται την TRA εξαίρεση για το μεγαλύτερο μέρος των τακτικών συναλλαγών. Αυτός είναι ο κύριος λόγος που η “ίδια” συναλλαγή μπορεί να περάσει σε ένα πάροχο frictionless και να σας ζητήσει OTP σε άλλο.

Η τρίτη εξαίρεση είναι η whitelisting. Μπορείτε να ορίσετε στην τράπεζά σας ότι ένας συγκεκριμένος πάροχος είναι “εμπιστευμένος έμπορος”. Από τη στιγμή που μπει στη δική σας whitelist — μέσω της τραπεζικής εφαρμογής, συνήθως — οι συναλλαγές προς τον συγκεκριμένο πάροχο περνούν με μειωμένο βαθμό challenge. Δεν εξαφανίζεται εντελώς το 3DS (η τράπεζα διατηρεί το δικαίωμα step-up για λόγους ρίσκου), αλλά τα frictionless approvals γίνονται η κανονικότητα. Στην Ελλάδα αυτή η δυνατότητα δεν υποστηρίζεται ακόμη από όλες τις τράπεζες — ελέγξτε την εφαρμογή σας για όρους όπως “trusted merchant” ή “whitelist payment”.

Μια τέταρτη τεχνική εξαίρεση αφορά τις subscription και recurring πληρωμές — δεν εφαρμόζεται άμεσα στο στοίχημα γιατί κάθε κατάθεση είναι μεμονωμένη συναλλαγή, όχι repeating.

Τι κάνετε όταν η τράπεζα μπλοκάρει τη συναλλαγή

Το περιστατικό που διηγούμαι στο intro είχε λύση σε 48 ώρες. Αλλά δεν είναι πάντα τόσο απλό. Αφού έχω καθοδηγήσει δεκάδες περιπτώσεις μπλοκαρισμένης συναλλαγής προς ΕΕΕΠ-παρόχους, έχω συγκροτήσει μια συγκεκριμένη ιεραρχία ενεργειών που λύνει το πρόβλημα στο 90% των περιπτώσεων.

Πρώτη ενέργεια: ελέγξτε αν ο πάροχος βρίσκεται στη λίστα αδειοδοτημένων εταιρειών της ΕΕΕΠ. Αν δεν είναι, σταματήστε εδώ — η τράπεζα έκανε τη δουλειά της προστατεύοντάς σας. Ο πάροχος ΕΕΕΠ είναι εύκολα επαληθεύσιμος στη δημόσια λίστα του ρυθμιστή.

Δεύτερη ενέργεια: ελέγξτε αν η κάρτα σας έχει ενεργοποιημένη SCA/3DS. Όλες οι ευρωπαϊκές κάρτες μετά τον Σεπτέμβριο του 2019 πρέπει να έχουν, αλλά μερικές παλιότερες κάρτες ή κάρτες από συγκεκριμένες τράπεζες μπορεί να χρειάζονται manual activation μέσω της τραπεζικής εφαρμογής.

Τρίτη ενέργεια: δείτε αν υπάρχει ενεργός MCC-περιορισμός. Πολλές ελληνικές τράπεζες επιβάλλουν default block σε MCC 7995. Αν ναι, χρειάζεται τηλεφωνική αίτηση να αρθεί ή να τροποποιηθεί. Κάποιες τράπεζες επιτρέπουν το unblock μόνο για white-listed ΕΕΕΠ-παρόχους — η διάκριση αυτή είναι ουσιαστική.

Τέταρτη ενέργεια: δοκιμάστε μικρότερο ποσό. Αν μεγάλο ποσό αποτυγχάνει και μικρό περνά, πρόκειται για TRA-based decision. Μπορείτε να περάσετε τη μεγάλη κατάθεση σε δύο μικρότερα βήματα — σε ορισμένους παρόχους όμως αυτό είναι αντίθετο με τους όρους και μπορεί να πυροδοτήσει anti-structuring alerts. Δοκιμαστικό βήμα, όχι συστηματική πρακτική.

Πέμπτη ενέργεια: αν τίποτα δεν δουλεύει, χρησιμοποιήστε εναλλακτική μέθοδο (Apple Pay με ίδια Visa, ή σε ακραίες περιπτώσεις διαφορετική κάρτα). Σημειώστε ότι ο κανόνας AML “ίδιο μέσο κατάθεσης και ανάληψης” απαιτεί συνέπεια — αν ξεκινήσετε με Visa-X, η ανάληψη θα γίνει στην ίδια Visa-X. Αν αλλάξετε μέθοδο για την κατάθεση, η ανάληψη θα ακολουθήσει τη νέα μέθοδο.

Δημιουργήθηκε από τη συντακτική ομάδα του «Visa Στοίχημα».