Visa Στοίχημα

CVV, OTP και τα στρώματα ασφαλείας μιας κατάθεσης Visa σε στοίχημα

Χρόνος ανάγνωσης: 7 λεπτά

Κάρτα Visa με εστίαση στον CVV κωδικό και παράλληλη οθόνη OTP επαλήθευσης

Φόρτωση...

Πίνακας περιεχομένων
  1. Τα τρία στρώματα ασφάλειας που δεν βλέπετε
  2. Τι είναι ο CVV/CVC και γιατί δεν αποθηκεύεται
  3. OTP: πού γεννιέται, πώς επαληθεύεται
  4. Δυναμικός CVV: η επόμενη γενιά
  5. Λάθη που κάνουν οι παίκτες

Τα τρία στρώματα ασφάλειας που δεν βλέπετε

Μια ερώτηση που κυκλοφορεί συχνά σε forum παικτών: “Γιατί μου ζητάει η τράπεζα OTP ενώ έχω ήδη βάλει CVV;”. Η απάντηση κρύβει μια αλήθεια που λίγοι γνωρίζουν: κάθε κατάθεση με Visa σε στοιχηματική περνά τρία διαφορετικά στρώματα ασφαλείας — και τα τρία σχεδιάστηκαν για διαφορετικό τύπο απάτης. Η επίγνωση του πώς λειτουργεί κάθε στρώμα βοηθά να καταλάβετε γιατί καμιά φορά η συναλλαγή σας μπλοκάρει και άλλοτε όχι.

Τα τρία στρώματα είναι: ο κωδικός CVV/CVC στο πίσω μέρος της κάρτας, ο κωδικός OTP (one-time password) που στέλνει η τράπεζα, και το σύστημα 3-D Secure v2 που τρέχει στο παρασκήνιο. Κάθε ένα έχει διαφορετικό ρόλο και κανένα δεν είναι πλεονασμός. Μαζί σχηματίζουν το δίχτυ που αποτρέπει τον μέσο φρauτ, σε μια αγορά όπου η απάτη σε συναλλαγές χωρίς φυσική παρουσία κάρτας είναι 7,5 φορές υψηλότερη από τις offline συναλλαγές.

Τι είναι ο CVV/CVC και γιατί δεν αποθηκεύεται

Ο CVV (Card Verification Value) ή CVC (Card Validation Code) είναι ο τριψήφιος κωδικός στην πίσω όψη της Visa. Σχεδιάστηκε στη δεκαετία του 1990 ως απάντηση σε συγκεκριμένο πρόβλημα: οι πρώτες online συναλλαγές επέτρεπαν απάτη με τα στοιχεία κάρτας που μπορούσες να διαβάσεις από παραστατικό σε σκουπίδια ή από κλεμμένη φωτογραφία στο πορτοφόλι. Ο CVV υπάρχει μόνο στην ίδια την κάρτα και δεν αποτυπώνεται σε κανένα παραστατικό.

Ο κανόνας που ισχύει σε όλους τους merchant που λειτουργούν με PCI-DSS (Payment Card Industry Data Security Standard): ο CVV μπορεί να ζητηθεί στη στιγμή της συναλλαγής, αλλά απαγορεύεται ρητά να αποθηκευτεί. Ακόμα και οι merchant που αποθηκεύουν τα δεκαέξι ψηφία για επόμενες συναλλαγές (με token), δεν αποθηκεύουν ποτέ τον CVV. Αν ένας πάροχος σας ζητάει τον CVV κάθε φορά που καταθέτετε — ακόμα και αν έχετε την κάρτα αποθηκευμένη — είναι σωστή συμπεριφορά.

Μια λεπτομέρεια που αξίζει προσοχή: ορισμένοι πάροχοι χρησιμοποιούν ροή “saved card” όπου ο CVV δεν ζητείται σε επόμενες συναλλαγές — κι αυτό γιατί το 3-D Secure θεωρείται αρκετό authentication. Είναι ασφαλές όσο η διεπαφή είναι πιστοποιημένη και η αποθήκευση της κάρτας γίνεται με σωστή tokenization. Αν σας παραξενέψει ότι μια στοιχηματική δεν σας ζητά CVV, δεν είναι ανάγκη να ανησυχήσετε — είναι απλώς διαφορετική τεχνική επιλογή.

Ένα τεχνικό σημείο που σπάνια εξηγείται: ο CVV έχει δύο μορφές, CVV1 και CVV2. Το CVV1 είναι κωδικοποιημένο στο μαγνητικό τμήμα ή στο chip της κάρτας και χρησιμοποιείται σε φυσικές συναλλαγές· δεν εμφανίζεται γραπτά. Το CVV2 είναι ο τριψήφιος αριθμός που βλέπετε στην πίσω όψη και χρησιμοποιείται σε online συναλλαγές. Όταν ο μέσος άνθρωπος λέει “CVV”, συνήθως εννοεί CVV2. Η διάκριση αυτή έχει νόημα γιατί εξηγεί γιατί κλεμμένα στοιχεία μαγνητικού (skimming) δεν μπορούν να χρησιμοποιηθούν για online αγορές χωρίς επιπλέον πληροφορίες.

OTP: πού γεννιέται, πώς επαληθεύεται

Ο κωδικός OTP (One-Time Password) είναι το στρώμα που γνώρισε η ελληνική αγορά μετά την εφαρμογή της PSD2 και του SCA (Strong Customer Authentication). Σε αντίθεση με τον CVV που είναι στατικός και ίδιος για κάθε συναλλαγή, ο OTP δημιουργείται δυναμικά από την τράπεζα και ισχύει για μία μόνο χρήση, συνήθως με λήξη σε 5-10 λεπτά.

Η γέννηση του OTP γίνεται στα κεντρικά συστήματα της τράπεζας-εκδότρια της κάρτας. Η τράπεζα αποφασίζει και πότε χρειάζεται OTP και πώς θα τον παραδώσει. Οι τρεις τρόποι παράδοσης είναι: SMS στο δηλωμένο κινητό, push notification στην εφαρμογή mobile banking, ή voice call για ηλικιωμένους και χρήστες χωρίς smartphone. Το SMS κυριαρχεί σε παλιότερες υλοποιήσεις, η εφαρμογή σε νεώτερες.

Η αξιοπιστία διαφέρει. Το SMS έχει αστοχίες: μπορεί να καθυστερήσει 30 δευτερόλεπτα ή και λεπτά σε φορτωμένα δίκτυα, μπορεί να φτάσει εκτός σειράς, μπορεί να χαθεί πλήρως αν είστε σε περιοχή με ασθενές σήμα. Η εφαρμογή είναι πιο γρήγορη και αξιόπιστη — ο κωδικός φτάνει σε δευτερόλεπτα ή ακόμα και αυτοματοποιείται με biometric χωρίς κωδικό. Οι μεγάλες ελληνικές τράπεζες έχουν σταδιακά μεταβεί από SMS σε εφαρμογή για όλες τις στοιχηματικές συναλλαγές.

Δυναμικός CVV: η επόμενη γενιά

Η επόμενη εξέλιξη μετά τον στατικό CVV και τον OTP είναι ο δυναμικός CVV — κωδικός που αλλάζει περιοδικά αντί να παραμένει σταθερός. Κάποιες τράπεζες έχουν ήδη εκδώσει κάρτες με μικρή οθόνη e-ink στο πίσω μέρος που εμφανίζει νέο CVV κάθε ώρα ή κάθε λίγα λεπτά. Αυτή η τεχνολογία έχει υιοθετηθεί από ελάχιστες ελληνικές τράπεζες.

Πιο διαδεδομένη είναι η “virtual card” λύση: η τράπεζα δημιουργεί εικονικές κάρτες μίας χρήσης μέσα από την εφαρμογή. Δημιουργείτε εικονική Visa με αριθμό, ημερομηνία λήξης και CVV ειδικά για μία συναλλαγή, και μετά η κάρτα ακυρώνεται. Η Viva Wallet και η Revolut υποστηρίζουν αυτή τη λειτουργία· ορισμένες παραδοσιακές ελληνικές τράπεζες την έχουν προσθέσει για online αγορές υψηλού ρίσκου.

Για τη στοιχηματική, η εικονική κάρτα είναι εξαιρετικό εργαλείο για μερική ανωνυμία. Αν δεν θέλετε η κύρια Visa σας να καταγραφεί σε στοιχηματικό merchant, μπορείτε να χρησιμοποιήσετε εικονική. Το περιορισμός είναι στην ανάληψη — η εικονική μπορεί να μην υποστηρίζει εισερχόμενες μεταφορές, οπότε τα κέρδη θα χρειαστούν εναλλακτική διαδρομή. Οι επενδύσεις ασφαλείας του δικτύου Visa είναι σημαντικές: πάνω από 9 δισ. ευρώ παγκοσμίως τα τελευταία πέντε χρόνια, και οι δυναμικές μέθοδοι ανήκουν σε αυτή την πιο πρόσφατη γενιά προϊόντων.

Λάθη που κάνουν οι παίκτες

Τρία λάθη κυριαρχούν στα περιστατικά που βλέπω. Πρώτο: αποθήκευση CVV σε password manager ή note-taking εφαρμογή. Αυτό παραβιάζει την αρχή μη αποθήκευσης CVV, κάνει το CVV εύκολα ανακτήσιμο από κακόβουλο, και καταστρέφει τον λόγο ύπαρξης του κωδικού.

Δεύτερο: ανακοίνωση CVV σε τηλεφωνική επικοινωνία. Καμία νόμιμη τράπεζα ή πάροχος δεν θα σας ζητήσει ποτέ CVV τηλεφωνικά. Αν σας καλέσει κάποιος που ζητάει CVV, είναι απάτη. Ο CVV χρησιμοποιείται μόνο κατά την online συναλλαγή όπου εσείς εισάγετε τα στοιχεία.

Τρίτο: κοινή χρήση κινητού με άλλα άτομα. Αν το κινητό σας φτάνουν OTP από την τράπεζα και έχει πρόσβαση σύντροφος, συγκάτοικος ή οικογενειακό μέλος, η ασφάλεια της κάρτας σας είναι ουσιαστικά διασπασμένη. Η λύση είναι είτε app-lock στην εφαρμογή τράπεζας με biometric, είτε αποκλειστική χρήση κινητού. Για συναφή διαχείριση πραγματικών περιστατικών αποτυχίας συναλλαγής, ο οδηγός γιατί η τράπεζα απορρίπτει κατάθεση σε στοιχηματική καλύπτει τις αιτίες με περισσότερη τεχνική λεπτομέρεια.

Πρέπει ποτέ η στοιχηματική να μου ζητήσει τον CVV εκτός πλαισίου 3DS;

Όχι. Ο CVV ζητείται μόνο στη στιγμή της συναλλαγής ή κατά την αρχική αποθήκευση της κάρτας. Αν τμήμα υποστήριξης ή αυτοματοποιημένο email σας ζητάει CVV για ‘επαλήθευση λογαριασμού’ ή ‘τεχνικό έλεγχο’, είναι απάτη. Κανείς νόμιμος πάροχος δεν αποθηκεύει CVV και κανείς δεν χρειάζεται να τον ζητήσει εκτός της τυπικής ροής πληρωμής.

Γιατί μερικές τράπεζες δεν στέλνουν OTP με SMS αλλά μέσω app;

Η εφαρμογή είναι πιο αξιόπιστη, γρήγορη και ασφαλής. Τα SMS μπορούν να υποκλαπούν σε επιθέσεις SIM swap όπου απατεώνες μεταφέρουν τον αριθμό σας σε δική τους SIM. Το push notification στην εφαρμογή δεν μπορεί να υποκλαπεί με αυτό τον τρόπο γιατί προϋποθέτει πρόσβαση στη συσκευή σας. Οι τράπεζες που έχουν μεταβεί σε εφαρμογή έχουν κατά κανόνα σημαντικά χαμηλότερο ποσοστό απάτης σε OTP-protected συναλλαγές.

Δημιουργήθηκε από τη συντακτική ομάδα του «Visa Στοίχημα».