Good Carder
Professional
- Messages
- 507
- Reaction score
- 380
- Points
- 63
Это обязательное требование европейского законодательства по платежам, введённое в рамках Второй Директивы о платёжных услугах (PSD2). Основная цель — резко снизить мошенничество с онлайн-платежами, доступом к банковским счетам и другими удалёнными финансовыми операциями в Европе.
SCA действует в Европейской экономической зоне (ЕЭЗ/EEA): все страны ЕС + Исландия, Лихтенштейн, Норвегия, а также Великобритания (даже после Brexit правила во многом сохранились) и Монако. В Японии Apple применяет похожие требования по местным законам.
Примеры реальных комбинаций SCA:
Если факторов меньше двух или они не независимы — платёж отклоняется банком-эмитентом автоматически.
Важно: SCA касается электронных транзакций, где и банк-эмитент, и эквайер (принимающая сторона) находятся в ЕЭЗ.
Apple Pay и Google Pay — это «зелёный коридор»: они уже встроенно соответствуют SCA, поэтому дополнительного шага банка обычно не требуется.
Минусы (критика 2025–2026):
Если коротко: SCA — это европейский «обязательный 2FA для платежей», который уже стал нормой в Европе и Японии, но почти не влияет на пользователей из России, Украины, Казахстана, США и большинства других стран.
Если нужно углубиться в конкретный аспект (например, exemptions для подписок, как именно выглядит процесс в Apple, или что изменится с PSD3) — скажите, разберём ещё детальнее!
SCA действует в Европейской экономической зоне (ЕЭЗ/EEA): все страны ЕС + Исландия, Лихтенштейн, Норвегия, а также Великобритания (даже после Brexit правила во многом сохранились) и Монако. В Японии Apple применяет похожие требования по местным законам.
1. Основной принцип SCA: «Два из трёх факторов»
Чтобы подтвердить операцию, нужно успешно пройти минимум два независимых фактора аутентификации из трёх категорий (они должны быть независимыми — взлом одного не должен автоматически ломать остальные):- Знание (Knowledge — «что-то, что вы знаете»): Пароль, PIN-код, ответы на секретные вопросы.
- Владение (Possession — «что-то, что у вас есть»): Мобильный телефон (SMS/ push), аппаратный токен, смарт-карта, приложение банка на устройстве.
- Принадлежность / Биометрия (Inherence — «что-то, чем вы являетесь»): Отпечаток пальца, Face ID, голосовая биометрия, сканирование лица/радужки.
Примеры реальных комбинаций SCA:
- Пароль + SMS-код (классика 3D Secure).
- Face ID на iPhone + push в банковском приложении.
- Отпечаток пальца + одноразовый код из банковского приложения.
- Биометрия устройства + подтверждение в Apple Pay / Google Pay.
Если факторов меньше двух или они не независимы — платёж отклоняется банком-эмитентом автоматически.
2. Когда именно требуется SCA (сфера применения)
Согласно PSD2 (статья 97) и Regulatory Technical Standards (RTS) SCA применяется в трёх основных случаях:- Доступ к платёжному счёту онлайн (логин в интернет-банк).
- Инициация электронной платёжной транзакции (покупка картой в интернете, подписка, перевод).
- Любое удалённое действие, которое может нести риск мошенничества (добавление карты в кошелёк, изменение лимитов, токенизация карты и т.д.).
Важно: SCA касается электронных транзакций, где и банк-эмитент, и эквайер (принимающая сторона) находятся в ЕЭЗ.
3. Исключения и освобождения от SCA (exemptions)
Не все платежи требуют полного SCA — это сделано, чтобы не создавать лишний friction (трение) для пользователей. Основные исключения (по RTS):| Тип исключения | Описание | Пример в Apple / Google Play | Кто решает (банк или платформа) |
|---|---|---|---|
| Низкая стоимость | До €30 (или £25 в UK). Есть кумулятивные лимиты (5 операций или €100–150). | Маленькие покупки в App Store | Автоматически |
| Повторяющиеся платежи | Первая транзакция — SCA, последующие — нет (если сумма и получатель не меняются). | Автопродление подписок iCloud+/Google One | Платформа + банк |
| Доверенные бенефициары | Белый список получателей (whitelisting) в банке. | Регулярные подписки на проверенных мерчантов | Банк |
| Мерчант-инициированные (MIT) | Платежи, которые инициирует магазин (не клиент). | Автоматические продления | Эквайер |
| MOTO | Заказ по телефону/почте (не онлайн). | Редко в App Store | — |
| Корпоративные платежи | B2B-платежи с высоким риском. | — | — |
| Apple Pay / Google Pay | Биометрия устройства + токен = считается полноценным SCA. | Покупки через Apple Pay / Google Pay | Автоматически (очень удобно) |
| Мобильный биллинг / баланс | Платежи через оператора или Apple Account balance. | Пополнение баланса Apple ID | Полностью вне SCA |
Apple Pay и Google Pay — это «зелёный коридор»: они уже встроенно соответствуют SCA, поэтому дополнительного шага банка обычно не требуется.
4. Как технически реализуется SCA
- 3D Secure 2.0 (3DS2)— основной протокол для карт Visa/Mastercard/American Express.
- Frictionless (без трения) — банк анализирует риск (устройство, история, сумма) и пропускает без вызова.
- Challenge (вызов) — перенаправление на страницу/приложение банка (SMS, push, биометрия).
- В Apple Store / Google Play в Европе: при добавлении карты или покупке вы можете увидеть перенаправление на сайт банка или push в банковском приложении.
- На устройствах Apple (iPhone, iPad, Mac) всё происходит в Safari/WebView или через Apple Pay.
5. Актуальность на апрель 2026 года
- PSD2 + SCA — полностью в силе с 2019–2021 годов (в некоторых странах с задержками до 2022). Эффект: мошенничество с картами в Европе упало на десятки процентов.
- PSD3 + PSR (Payment Services Regulation): предварительное политическое соглашение достигнуто в ноябре 2025 года. Ожидаемое вступление — середина 2026 — начало 2027. Что изменится:
- Уточнение и расширение SCA (включая токенизацию в цифровые кошельки).
- Адаптивная (риск-ориентированная) аутентификация.
- Более жёсткая ответственность за Authorized Push Payment (APP) fraud.
- Обязательная верификация получателя (IBAN name check).
- Но базовые принципы «два из трёх» остаются.
6. SCA в контексте Apple Store vs Google Play (как мы обсуждали раньше)
- В Европе + Японии: оба магазина обязаны применять SCA (Apple — официально перечисляет страны, Google — тоже).
- Везде остальном мире (СНГ, США, Индия, Латинская Америка и т.д.): SCA не требуется законом, поэтому:
- Apple — просто номер карты + CVV + адрес.
- Google — часто своё «мелкое списание» для верификации (независимо от SCA).
- Банк может требовать свой 3DS даже вне Европы — это уже политика банка, а не Apple/Google.
7. Плюсы и минусы SCA
Плюсы:- Снижение мошенничества (особенно unauthorized fraud).
- Повышение доверия к онлайн-платежам.
- Стимул для биометрии и токенизации (Apple Pay/Google Pay стали удобнее).
Минусы (критика 2025–2026):
- Увеличение оттока покупок (friction).
- Рост authorized fraud (scams, когда жертву обманом заставляют подтвердить платеж).
- Проблемы для пожилых людей или тех, у кого нет смартфона.
- Переход мошенников на более сложные схемы.
Если коротко: SCA — это европейский «обязательный 2FA для платежей», который уже стал нормой в Европе и Японии, но почти не влияет на пользователей из России, Украины, Казахстана, США и большинства других стран.
Если нужно углубиться в конкретный аспект (например, exemptions для подписок, как именно выглядит процесс в Apple, или что изменится с PSD3) — скажите, разберём ещё детальнее!
