Що таке CVV- та CVC-коди банківської картки і для чого вони потрібні?

Оплачуючи покупки в Інтернеті — замовлення їжі, бронювання готелю чи квитків на концерт — ви, мабуть, помічали, що у формі оплати просять ввести три цифри зі зворотного боку картки — той самий захисний код. Багато хто вводить їх механічно, не замислюючись.

А даремно. Саме навколо цих трьох цифр обертається левова частка інтернет-шахрайства. Давайте розберемося, що таке CVV- та CVC-коди, чим вони відрізняються, де їх шукати і — найголовніше — кому їх не можна розголошувати.

CVV і CVC — що це, простими словами?

Якщо пояснити простими словами — це код безпеки, який підтверджує, що картка саме зараз знаходиться у вас в руках. Уявіть звичайну оплату в супермаркеті: ви прикладаєте картку до терміналу, і пристрій зчитує чіп. Картка фізично поруч, питань немає. В інтернеті ситуація інша. Там є лише набір цифр, який легко списати з чужої картки. Для відсіювання шахраїв і підтвердження, що оплату здійснює справжній власник, і придумали короткий код.

Абревіатури розшифровуються так:

• Card Verification Value, або «код перевірки картки». Цей термін використовується в платіжній системі Visa;
• Card Verification Code — це вже не «значення», а одразу «код» Mastercard.

До речі, іноді зустрічається написання CVV2 або CVC2. Цифра «2» тут означає просто «друге покоління» — версію коду, розроблену саме для платежів без фізичної картки. Для звичайного користувача між CVV і CVV2 немає жодної різниці.

Запам’ятайте одне: не можна плутати CVC/CVV з PIN-кодом. Останній ви вводите в банкоматі або касі, здійснюючи оплату карткою на місці, його не можна ніде записувати чи зберігати. А захисний код, навпаки, надрукований безпосередньо на пластиковій картці й використовується для онлайн-оплати.

Навіщо потрібен CVV-код і код безпеки на картці?

Головне завдання — верифікація. Логіка проста: номер картки та термін дії підглянути досить легко (адже ви диктуєте номер, просячи переказати гроші, або показуєте картку на касі). А три цифри на зворотному боці просто так не запам’ятати й не підглянути мимохідь.

CVV-код створює додатковий захист під час онлайн-платежів та переказів. Без цих цифр більшість інтернет-магазинів просто не дозволять завершити оплату.

Давайте розглянемо приклад. Припустимо, ви розрахувалися карткою в кафе, а офіціант запам’ятав номер і термін дії (теоретично — встиг сфотографувати). Цих даних недостатньо для здійснення покупки в звичайному магазині: система під час оформлення замовлення все одно вимагатиме захисний код.

Код бере участь у процесі, який називається підтвердженням транзакції. Магазин надсилає введені Вами дані до банку, банк звіряє код із записами, і якщо все збігається — операція переходить на наступний етап перевірки.

Чим відрізняється CVV-код від CVC-коду?

Це питання виникає частіше за інші. Відповідаємо без зайвих слів: практично нічим. Хіба що назвою та прив’язкою до різних платіжних систем.

По суті — це два близнюки. Якщо це картка Visa — шукайте CVV. Якщо Mastercard — CVC. У різних систем свої правила: наприклад, у американської Amex код складається з чотирьох цифр і захований на лицьовій стороні картки. Але в Україні Ви майже завжди матимете справу з Visa та Mastercard. У повсякденному житті цих двох позначень Вам з головою вистачить.

Де можна знайти CVC-код?

А тепер перейдемо до практичної частини. Візьміть картку й переверніть її. На звороті одразу впадає в око магнітна смуга — та сама чорна лінія вздовж верхнього краю. А трохи нижче розташована смуга для підпису, зазвичай світлого кольору. Саме на ній (або поруч із нею) надруковано тризначний код.

Іноді поруч друкують ще й чотири цифри — останній блок номера картки, і його краще не плутати із захисним кодом. Вам потрібні три окремі цифри.

Увага: на нових картах номер і код дедалі рідше видавлюють рельєфом — їх просто друкують, іноді досить дрібним шрифтом.

Окремий випадок — віртуальна картка. У неї просто немає пластикової частини, і перевертати, як Ви розумієте, нічого. Всі її реквізити, включаючи захисний код, знаходяться у Вашому особистому кабінеті. Там же, до речі, можна переглянути і реквізити звичайної пластикової картки — номер, термін дії — якщо цифри на ній з часом стерлися.

Як код впливає на оплату?

Доведеться копнути трохи глибше. Багато хто щиро вірить, що захисний код — це єдине, що стоїть між їхніми грошима та шахраями. Насправді ж рівнів захисту безліч, і вони працюють у комплексі.

Старі картки працювали за допомогою магнітної смуги та чіпа. Смуга зберігає дані у відкритому, незашифрованому вигляді — її, на жаль, можна легко скопіювати за допомогою скімера. Це пристрій, який шахраї непомітно кріплять до банкомату. А ось чіп для кожної операції генерує унікальний код, і підробити його неможливо. Платити чіпом надійніше, ніж смугою.

Але це стосується офлайн-платежів. В інтернеті чіп не враховується — тут до справи вступає система під назвою 3-D Secure. Ви вже стикалися з цією технологією додаткової перевірки, просто, можливо, не знали її назви.

На практиці все відбувається так:

1. Ви вводите на сайті магазину номер картки, термін дії та захисний код.
2. Магазин надсилає дані до банку, а банк перевіряє, чи правильно введено код.
3. Тут задіюється 3-D Secure — банк надсилає SMS з одноразовим кодом або push-повідомлення безпосередньо в додаток.
4. Ви вводите код, і гроші списуються з рахунку.

Виходить, захисний код — це лише перший рубіж оборони. А справжній замок — одноразовий пароль із SMS або підтвердження в додатку. Запам’ятайте це. Ця інформація ще знадобиться трохи пізніше, коли ми поговоримо про шахраїв.

Чи можна здійснити покупку без CVV-коду картки?

Чесно кажучи — так. І це та сама неприємна правда, про яку краще знати заздалегідь.

Деякі закордонні сервіси взагалі не запитують захисний код під час оплати. Типовий приклад — великі міжнародні майданчики, де для покупки достатньо номера картки, імені власника та терміну дії. На окремих сайтах оплата проходить, якщо Ви знаєте номер картки, термін дії та ПІБ — ні SMS, ні CVV ніхто не запитає. Так історично склалися платіжні процеси у низки західних продавців.

Щодо питання «чи можна здійснити покупку без CVV-коду картки», скажемо чесно: у більшості магазинів — ні, код є обов’язковим. Але в деяких сервісах платіж без нього технічно проходить. Не варто розголошувати номер картки та термін її дії де попало.

Чи можна повідомляти CVV-код картки комусь?

Ні. Ніколи. Нікому.

Це, мабуть, найважливіше правило у всій статті — і воно діє без винятків. Давайте розберемося, чому на запитання «чи можна повідомляти CVV-код картки» є лише одна-єдина відповідь.

Захисний код — це підтвердження того, що картка саме у вас. Варто лише повідомити його сторонній особі — і ця людина зможе розраховуватися вашими грошима в Інтернеті так, ніби картка лежить у неї в кишені. Тому цей код слід зберігати так само, як і ПІН-код: це конфіденційні дані, і знати їх не повинен ніхто, крім вас.

Кому не потрібно називати код безпеки (нікому, але цим — особливо):

• Співробітникам банку. Банку ніколи не потрібен ваш захисний код — у нього й без того є всі необхідні дані. Якщо «служба безпеки» по телефону раптом випитує три цифри з зворотного боку картки — перед вами шахрай. Покладіть слухавку;
• Покупцям та «службам доставки». Ви продаєте щось на OLX чи іншому майданчику, а покупець просить код картки для «переказу грошей»? Це шахрайство. Щоб надіслати вам переказ, достатньо одного номера картки — і нічого більше;
• Кур’єрам, касирам, різним «помічникам». Ніхто, хто опинився поруч із Вашою карткою, не повинен знати цей код;
• Сайтам, щодо яких у вас є сумніви. Вводьте код лише на перевірених ресурсах із захищеним з’єднанням.

Порада: деякі люди взагалі затирають або заклеюють код на пластику — але лише попередньо запам’ятавши його. Радикально, не заперечую. Зате це має сенс, особливо якщо картка часто потрапляє до чужих рук — скажімо, коли Ви віддаєте її офіціантові.

Чи можуть шахраї зняти гроші, знаючи CVV-код?

Питання «чи можуть шахраї зняти гроші, знаючи CVV-код» турбує, мабуть, кожного. І тут важливо не впадати в крайнощі.

З одного боку, одного захисного коду для крадіжки замало. Припустимо, у шахрая є номер картки, термін дії та код — але при цьому у вас підключено 3-D Secure. Тоді на останньому етапі банк все одно попросить підтвердження через SMS. А без цього одноразового коду операція, як правило, просто не відбудеться.

З іншого боку — і тут будьте уважні — злочинці це чудово знають. Тому вони полюють не стільки на сам захисний код, скільки на код із SMS. Схема майже завжди одна: до справи беруться фішинг і соціальна інженерія, тобто розмовами вас підштовхують добровільно надати всі дані.

Небезпечна помилка: «Без CVV у мене нічого не вкрадуть». Насправді, якщо шахрай отримав і реквізити картки, і одноразовий код із SMS, який Ви самі йому продиктували, — транзакція відбудеться. А банк, найімовірніше, відмовить у поверненні коштів: адже Ви особисто підтвердили операцію.

Типова історія виглядає так. Дзвонить «співробітник банку» — на екрані може навіть відображатися справжній номер. Повідомляє, що зафіксовано підозрілу операцію, і для її скасування потрібно «підтвердити особу». Просить назвати номер картки, захисний код, а наостанок — код із SMS. Жертва, перелякавшись за гроші, слухняно все диктує. І своїми ж руками підтверджує переказ коштів шахраєві.

Отже, правильна відповідь така: зняти гроші, знаючи лише захисний код, у більшості випадків неможливо. Але у поєднанні з іншими даними та кодом із SMS можна втратити все до копійки. Захист тримається не на одному бар’єрі — він тримається на вашій пильності.

Що робити, якщо хтось дізнався CVV-код моєї картки?

У житті трапляються різні ситуації. Можливо, Ви в запалі продиктували ці дані «по телефону», а за хвилину згадали про це. Або раптом зрозуміли, що ввели реквізити на якомусь сумнівному сайті. Якщо код Вашої картки дізналися сторонні особи — головне не зволікати.

Покроковий план на випадок, якщо код міг витекти:

1. Негайно заблокуйте картку. Це можна зробити за лічені секунди — через мобільний додаток банку або зателефонувавши на гарячу лінію. Заблокованою карткою ніхто не зможе розрахуватися, навіть знаючи про неї абсолютно все;
2. Переоформіть картку. Після блокування замовте нову — вона матиме інший номер і новий захисний код, а старі реквізити перетворяться на марний набір цифр;
3. Перевірте історію операцій. Перегляньте списання — чи немає серед них таких, яких Ви не здійснювали. Якщо такі знайшлися — зафіксуйте їх;
4. Якщо гроші вже знято — подайте заяву до банку. Шанси повернути кошти вищі, якщо ви НЕ повідомляли код із SMS. Якщо повідомляли — буде складніше, але заяву все одно подавайте, гірше не стане;
5. Про всяк випадок не тримайте великі суми на картці, прив’язаній до онлайн-оплати. Для покупок в інтернеті зручніше оформити окрему віртуальну картку й поповнювати її саме на суму замовлення.

Порада. Якщо ви регулярно робите покупки в Інтернеті, виробіть у себе звичку: основні кошти — на одній картці (її дані нікому не показуйте), а оплату здійснюйте з окремої або віртуальної картки. Тоді навіть у разі витоку реквізитів втрачати, по суті, нічого не буде — на «платіжній» картці лежать лише копійки. Скажімо, 200–300 грн. на конкретну покупку.

До речі, дрібниця, але важлива. Розраховуючись у будь-якому інтернет-магазині, звертайте увагу на адресу сайту. Немає замка в рядку браузера (тобто захищеного з’єднання), або сама адреса виглядає підозріло — зайві літери, незрозумілий домен? Тоді краще не вводити реквізити взагалі. Більшість витоків починається саме з неуважності на цьому етапі.