Co znamená název
„3D" v názvu označuje tři domény, které se ověřování účastní: doména banky vydavatele karty, doména banky příjemce (acquirer) a doména platební sítě (Visa, Mastercard). Tyto tři strany si vyměňují ověřovací zprávy během několika sekund, zatímco vy potvrzujete platbu v mobilu.
První verze 3DS, kterou Visa nasadila pod značkou „Verified by Visa" a Mastercard jako „SecureCode", spoléhala na statické heslo nebo SMS. Verze 3DS2 (od roku 2019, plný náběh v Evropě 2021) používá moderní autentizaci přes biometrii a kontextová data o transakci, takže klient ve většině případů jen potvrdí v aplikaci banky.
Silné ověření klienta podle PSD2
Evropská směrnice PSD2 (zákon č. 370/2017 Sb. v Česku) zavedla povinnost silného ověření klienta — zkratka SCA (Strong Customer Authentication). SCA požaduje použití nejméně dvou ze tří faktorů z nezávislých kategorií:
| Kategorie faktoru | Příklad |
|---|---|
| Znalost | PIN, heslo do mobilní aplikace, statický kód |
| Vlastnictví | mobilní telefon s aplikací banky, autentizační SMS, hardware token |
| Inherence | otisk prstu, rozpoznání obličeje, hlas |
Typická 3DS2 transakce kombinuje vlastnictví (mobilní telefon s aplikací banky) a inherenci (otisk prstu nebo Face ID). Pokud biometrii nepoužíváte, druhým faktorem je PIN do aplikace.
Kdy 3DS odpadá
PSD2 dovoluje vybrané výjimky, kdy banka nemusí druhý faktor vyžadovat:
- Nízkohodnotná transakce do 30 EUR (cca 750 Kč). Banka může vynechat, ale jen u 5 transakcí v řadě nebo do součtu 100 EUR.
- Důvěryhodný příjemce — pokud jste obchod přidali na seznam důvěryhodných v aplikaci banky, opakovaná platba ověření nevyžaduje.
- Korporátní platby B2B v dedikovaných kanálech.
- Předplatné s pevnou částkou — první platba s SCA, opakované strhávání bez něj.
- Transakce mimo EHP — banka mimo EU/EHP nemusí 3DS uplatňovat, ale české banky transakci přesto často zablokují.
Časté chyby
- Vypnuté notifikace v aplikaci banky. Bez push notifikace o ověření platba „visí" a po půl minutě se zruší. Před online nákupem si ověřte, že notifikace fungují.
- Aplikace banky odhlášená nebo neaktualizovaná. Některé starší verze 3DS2 nepodporují, banka pak naopak posílá SMS — která ale na cizím SIM nepřijde.
- Pokus o platbu na podezřelém e-shopu. Pokud se po zadání karty 3DS výzva neotevře, jde s vysokou pravděpodobností o phishing. Zavřete stránku.
- Domnělá ochrana 3DS proti všem podvodům. 3DS chrání před krádeží údajů z karty. Nechrání před tím, že podvodníkovi sami pošlete potvrzení v aplikaci banky.
3DS a reklamace transakce
Pokud 3DS proběhne a vy potvrdíte platbu v aplikaci banky, banka vás obvykle považuje za autorizujícího klienta. Reklamace pak směřuje na obchodníka (chargeback přes Visa/Mastercard) — typicky pro neodeslané zboží nebo zjevný podvod. Bez 3DS je odpovědnost banky vyšší a vrácení peněz rychlejší.
Poslední aktualizace: .