Mastercard 3D Secure и сигурност при онлайн залагания: как работи защитата

Редакция «Mastercard Залагания» май 8, 2026 Време за четене: 14 мин

3D Secure е задължителен слой при хазартни плащания — ето защо

Преди три години помогнах на приятел да разбере защо депозитът му „увисва“ на екран с въртящо се колелце. Оказа се, че 3D Secure прозорецът се е отворил зад основния браузър и той не го е видял. Натиснахме „Потвърди“ и парите се появиха моментално. Толкова проста беше причината — и толкова голяма е ролята на 3D Secure в ежедневните хазартни транзакции, че без него нито един депозит с Mastercard не може да мине.

3D Secure не е препоръка. Не е „допълнителна опция“. Това е задължителен слой за автентикация при всяка онлайн хазартна транзакция с Mastercard в Европа. Причината е категорията, в която попадат хазартните плащания — те се класифицират като високорискови и изискват усилена автентикация по европейската директива за платежни услуги (PSD2). Хазартните транзакции без 3D Secure потвърждение не се обработват от банките в България и в целия ЕС.

CNP измамите — транзакции, при които картата не присъства физически — съставляват между 65% и 83% от всички загуби, свързани с кредитни карти. Онлайн хазартът е изцяло CNP среда. Именно затова 3D Secure е не просто формалност, а реална защитна стена между вашите пари и потенциални злоупотреби.

В следващите секции ще разгледам как 3D Secure еволюира от тромава система с пароли до интелигентна AI-управлявана мрежа, как протича автентикацията при хазартен депозит, какъв е реалният мащаб на измамите и какво лично вие можете да направите, за да защитите картата си. Няма да ви заливам с технически жаргон — ще обясня всичко с примери, които имат смисъл за човек, който просто иска да залага безопасно.

От 3D Secure 1.0 до EMV 3DS 2.0: какво се промени

Спомням си първата версия на 3D Secure — беше като да преминавате граничен контрол всеки път, когато пазарувахте онлайн. Отваряше се нов прозорец, зареждаше се бавно, питаше ви за парола, която трябваше да помните от регистрацията преди шест месеца, и ако я бяхте забравили — край, транзакцията пропадаше. Не е изненада, че процентът на изоставени плащания при 3D Secure 1.0 беше катастрофален.

Първата версия, пусната през 2001 г. от Visa под името „Verified by Visa“ и от Mastercard като „Mastercard SecureCode“, работеше на принципа на статична парола. Вие задавахте парола при регистрацията и я въвеждахте при всяка транзакция. Проблемите бяха очевидни: хората забравяха паролата, интерфейсът беше тромав и не работеше добре на мобилни устройства, а самата парола можеше да бъде открадната чрез фишинг точно толкова лесно, колкото и номера на картата.

EMV 3DS 2.0 — сегашната версия — е фундаментално различна. Вместо статична парола, системата използва динамична автентикация. При всяка транзакция се генерира уникален код, който се изпраща чрез push известие в банковото приложение, SMS или биометрично потвърждение (пръстов отпечатък или лицево разпознаване). Кодът е валиден само за конкретната транзакция и изтича след няколко минути.

Но по-важната разлика е невидима за потребителя: 3DS 2.0 предава десетки пъти повече данни на банката в реално време. IP адрес, тип устройство, операционна система, геолокация, история на транзакциите, час на деня — всички тези параметри се анализират мигновено. Ако профилът на транзакцията съвпада с обичайното ви поведение, банката може да я одобри без да ви безпокои с допълнително потвърждение. Това се нарича „frictionless flow“ — безпроблемен поток — и е причината, поради която някои ваши депозити преминават без SMS код, а други изискват потвърждение.

В контекста на хазарта тази разлика е критична. При live залагания, където секундите имат значение, 3DS 1.0 беше непрактичен — докато намерите паролата и я въведете, коефициентът вече се е променил. С 3DS 2.0 потвърждението е натискане на бутон в телефона или дори автоматично одобрение, ако системата ви разпознава. Zak Cutler, президент на глобалния гейминг бизнес на Paysafe, обобщи развитието добре: преди пет години е имало малко начини за плащане с огромно триене, а днес пространството е оптимизирано с разнообразие от методи.

В България преходът от 3DS 1.0 към 2.0 е практически завършен. Всички големи банки поддържат новата версия, а операторите с лиценз от НАП — а те са 26 организатора с 53 лиценза — са длъжни да интегрират 3DS 2.0 в платежната си инфраструктура. Ако все още получавате прозорец с парола вместо push известие, вероятно банковото ви приложение се нуждае от обновяване или не сте активирали push известията в настройките му. Преминаването към новата версия не изисква нова карта — достатъчно е да обновите приложението и да следвате инструкциите на банката.

Как протича 3D Secure автентикация при залагания

Нека проследим какво се случва в онези няколко секунди между натискането на „Депозирай“ и появяването на средствата в баланса ви. Процесът е далеч по-сложен, отколкото изглежда отвън, и разбирането му помага да разберете защо понякога нещо се обърка.

Натискате бутона за депозит. Операторът изпраща заявка към своя платежен процесор (payment gateway), който я препраща към мрежата на Mastercard. Mastercard идентифицира банката-издател на вашата карта и й предава данните за транзакцията заедно с десетки допълнителни параметри — устройство, локация, сума, тип търговец (в случая — хазартен оператор, MCC код 7995).

Банката получава заявката и нейната система за управление на риска прави моментална оценка. Ако транзакцията е нискорискова — малка сума, познато устройство, обичайна локация — банката може да я одобри автоматично, без допълнително потвърждение. Това е „frictionless“ сценарият, при който дори не усещате, че 3D Secure работи.

Ако транзакцията е оценена като среднорискова или високорискова — нова сума, ново устройство, необичаен час или просто защото е хазартна транзакция — банката изпраща заявка за автентикация. Тук получавате push известието или SMS кода. Въвеждате кода или потвърждавате с пръстов отпечатък. Банката получава потвърждението, одобрява транзакцията и изпраща отговор обратно по веригата: Mastercard, платежен процесор, оператор. Средствата се появяват в баланса ви.

Visa и Mastercard заедно са инвестирали 10 милиарда долара в AI системи за анализ на транзакции, които обработват над 300 милиарда транзакции годишно. Тези системи работят в реално време — решението дали да изискат допълнително потвърждение или да одобрят автоматично се взема за милисекунди. Обемът данни, който се анализира при всяка транзакция, е несравнимо по-голям от това, което вижда потребителят. Вие виждате бутон и SMS код. Системата вижда стотици параметри и ги сравнява с модели на нормално и подозрително поведение.

Един детайл, който засяга конкретно хазартните транзакции: MCC кодът 7995, под който се класифицират те, е флагиран като високорисков в системите на повечето банки. Това означава, че прагът за задействане на допълнителна автентикация е по-нисък, отколкото при обикновена онлайн покупка. Депозит от 50 лева в онлайн магазин може да мине без SMS код, но същите 50 лева към букмейкър почти сигурно ще изискат потвърждение. Това не е дискриминация — просто статистически хазартните транзакции се атакуват по-често от измамници.

Интересно е и какво се случва при неуспешна автентикация. Ако не потвърдите 3D Secure заявката в рамките на определено време (обикновено 5 минути), транзакцията се отказва автоматично и средствата не напускат сметката ви. Ако въведете грешен код, имате обикновено три опита. След третия неуспешен опит картата може да бъде временно блокирана за онлайн транзакции — мярка за сигурност, която предпазва от brute force атаки.

Card-not-present измами: мащаб и как Mastercard ги спира

Числата зад CNP измамите са стряскащи, дори за човек като мен, който работи в тази област от години. Card-not-present измамите — транзакции с откраднати картови данни, без физическото присъствие на картата — съставляват между 65% и 83% от всички загуби от кредитни карти. Онлайн хазартът попада изцяло в тази категория, защото всеки депозит е CNP транзакция по дефиниция.

Как работи CNP измамата при хазарт? Злоупотребителят получава номер на карта, дата на валидност и CVV код — чрез фишинг, чрез компрометирана база данни или чрез скимер. Използва тези данни за депозит в хазартен сайт, залага минимално и тегли средствата към друга сметка. Без 3D Secure този сценарий е тривиален — единственото, което е необходимо, са трите полета с данни. С 3D Secure злоупотребителят трябва да има достъп и до телефона на жертвата, което прави атаката многократно по-трудна.

Има и втори тип злоупотреба, по-коварен: „friendly fraud“ или измама от самия картодържател. Играчът депозира, губи парите и подава чарджбек (оспорване на транзакцията) към банката, като твърди, че транзакцията е неоторизирана. Преди 3D Secure 2.0 банките често ставаха на страната на картодържателя, защото операторът не можеше да докаже, че титулярът лично е одобрил плащането. С 3DS 2.0 доказателството за автентикация е неоспоримо — натиснали сте бутона, въвели сте кода, биометрията е потвърдена. Тази промяна дисциплинира и двете страни: операторите знаят, че одобрените транзакции са защитени, а играчите — че чарджбек без основание няма да бъде уважен.

Глобалните загуби от онлайн платежни измами се прогнозират на 362 милиарда долара до 2028 г. Мащабът е толкова голям, че Mastercard инвестира агресивно в технологии за превенция. Johan Gerber, глобален ръководител на отдела за решения за сигурност в Mastercard, е подчертал, че когато хората се чувстват по-уязвими във виртуалния свят, отколкото в собствения си дом, доверието в технологиите е застрашено. Именно затова компанията залага толкова сериозно на 3D Secure и AI-базирана защита.

В българския контекст CNP измамите при хазартни транзакции имат допълнително измерение. С над 1 милион активни онлайн играчи в страната, обемът на хазартни транзакции е значителен. Всяка една от тези транзакции минава през 3D Secure и се анализира в реално време. Ако системата засече подозрителна активност — например депозити от различни карти към един и същ акаунт или депозити от необичайна геолокация — транзакцията се блокира преди да бъде завършена.

AI системите на Mastercard за откриване на измами

3D Secure е вратата — но зад нея стои цяла армия от алгоритми, които работят невидимо и непрекъснато. AI-базираните инструменти на Mastercard за откриване на измами са предотвратили над 18 милиарда долара потенциални измами през 2025 г. Нека осмислим тази цифра: 18 милиарда — това е повече от годишния БВП на десетки страни.

Системата на Mastercard, позната като Decision Intelligence, анализира всяка транзакция в контекста на стотици променливи. Не само кой плаща, колко и на кого, но и как: от какво устройство, в кой час, от каква локация, с каква честота, по какъв модел. AI моделът сравнява тези параметри с историческите данни на картодържателя и с глобални модели на измами.

При хазартни транзакции системата е настроена по-консервативно от средното. Причината е именно високият процент на CNP измами в тази категория. Ако депозирате от ново устройство, в необичаен час, с необичайна сума — шансът за допълнителна проверка е значително по-висок, отколкото при обикновена онлайн покупка. Това не е дискриминация срещу играчите — това е статистически обоснована предпазливост.

Mastercard обработва над 175 милиарда транзакции годишно и всяка една минава през AI моделите. С времето системата „учи“ поведението ви и намалява триенето. Ако депозирате редовно при един и същ оператор, от едно и също устройство, в подобен часови диапазон, AI ще разпознава тези транзакции като нискорискови и ще ги одобрява автоматично. Но ако нещо се промени рязко — нов оператор, нова сума, нова страна — системата се „събужда“ и изисква допълнително потвърждение.

91% от потребителите биха обмислили да напуснат компания, ако преживеят измама при покупка. Тази цифра обяснява защо Mastercard инвестира толкова агресивно в AI защита — загубата на доверие е по-скъпа от всяка технологична инвестиция. За вас като играч това означава, че Mastercard има директен финансов интерес да ви защитава, не само етичен.

Как да защитите картата си при онлайн залагания

Технологията прави своето — но и вие имате роля в защитата на картата си. В девет години работа в тази сфера съм виждал достатъчно случаи, при които играчът е направил всичко правилно от техническа гледна точка, но е пропуснал елементарна предпазна мярка, която е довела до проблем. Нека бъда конкретен.

Първото и най-важно правило: никога не споделяйте SMS код или push известие за 3D Secure с никого. Нито с „оператора“, нито с „банката“, нито с когото и да е, който ви се обади по телефона. Банката и операторът никога няма да ви поискат 3D Secure код по телефон или имейл. Ако някой го направи, това е измама — без изключения.

Второ — използвайте отделна карта за хазартни транзакции. Ако имате Mastercard, по която получавате заплатата си и от която плащате наеми и сметки, не я използвайте за залагания. Издайте допълнителна дебитна карта или виртуална карта, заредете я с бюджета, който сте определили за залагания, и използвайте само нея. Така дори при най-лошия сценарий — компрометиране на данните — основната ви сметка остава защитена. Допълнителна полза: отделната карта действа и като инструмент за контрол на бюджета — когато парите по нея свършат, това е естествен стоп сигнал.

Трето — включете известия за всяка транзакция в банковото приложение. Повечето български банки предлагат моментални push известия при всяко плащане. Ако получите известие за транзакция, която не сте инициирали, блокирайте картата моментално от приложението и се обадете на банката. 70% от потребителите смятат, че е по-трудно да защитят информацията си онлайн, отколкото да заключат дома си — но с активирани известия поне ще знаете моментално, ако нещо се обърка.

Четвърто — обновявайте редовно банковото си приложение и операционната система на телефона. 3D Secure 2.0 разчита на сигурна комуникация между приложението и банковия сървър. Стари версии на приложението или на операционната система могат да имат уязвимости, които компрометират тази комуникация. Не отлагайте обновяванията — те съществуват с причина.

Пето — внимавайте за фишинг имейли, маскирани като съобщения от оператори или от Mastercard. Типичният фишинг имейл ви казва, че „акаунтът ви е блокиран“ и ви приканва да кликнете на линк, за да го „отключите“. Линкът води към фалшив сайт, който събира данните на картата ви. Проверявайте винаги адреса на изпращача и никога не въвеждайте картови данни чрез линк от имейл. Влизайте в сайта на оператора директно, като напишете адреса в браузъра, не чрез линкове от съобщения.

Шесто — ако залагате от споделен компютър или от обществен Wi-Fi, не запаметявайте картови данни в браузъра. Използвайте инкогнито режим и се уверете, че сте излезли от акаунта си след приключване. Обществените мрежи са благоприятна среда за прихващане на данни, и макар 3D Secure да защитава самата транзакция, номерът на картата може да бъде използван за опити за измама в среда без 3DS изискване. За допълнителна информация за токенизацията и нейната роля в защитата, прочетете как токенизацията защитава данните ви при залагания.

Въпроси за сигурността на Mastercard при залагания

Създадено от редакцията на „Mastercard Залагания“.