Код безопасности CVC/CVV на карте: что это такое и как он защищает деньги на счете

Банковские карты имеют несколько степеней защиты, одна из которых — код проверки подлинности карты. Его также называют CVV-код или CVC-код. Объясняем, что это за код, зачем он нужен и как его узнать.

Что такое CVC и CVV-коды и чем они отличаются от CVC2 и CVV2

За безопасное использование карты в банкоматах и офлайн-магазинах отвечает ПИН-код — цифровой пароль, который нужно вручную вводить на клавиатуре банкомата или на терминале в магазине. В Интернете безопасность платежей обеспечивает security code — трехзначный код проверки подлинности карты, нанесенный на ее внутренней стороне.

У разных платежных систем этот код называется по-разному:

● CVV2 (card verification value 2, англ.) — трехзначный код проверки подлинности карты платежной системы Visa.

● CVC2 (card validation code 2, англ.) — защитный код для карт Mastercard.

● CVP2 (card verification parameter 2, англ.) — код подлинности карт платежной системы «Мир».

Цифра 2 в названии кода означает, что есть и первый защитный код — CVV/CVC-код. Он записывается непосредственно на магнитную полосу карты и служит для проверки подлинности пластиковой карты при оплате через терминалы. Этот код считывается терминалами автоматически и на карте не указывается, поэтому в обиходе CVV2/CVC2-коды для простоты называют CVV/CVC-кодами.

Зачем нужен код безопасности

Для защиты от мошенничества. Как и ПИН-код, CVV2/CVC2-коды являются конфиденциальной информацией, которая доступна только владельцу карты. Если же эти данные попадут к постороннему человеку, карта будет считаться скомпрометированной — в случае хищения средств банк откажет в компенсации. 

ПИН-код используется в электронных устройствах (банкоматах, платежных терминалах) и служит для идентификации клиента. В целях безопасности ПИН-код не указывается на карте и известен только держателю карты. Операция, подтвержденная ПИН-кодом, считается проведенной именно владельцем карточки.

Код подлинности карты является обязательным реквизитом карты (как номер и срок действия) и используется для проверки подлинности карты при покупках в Интернете. «Трехзначный код вводится при онлайн-оплате для дополнительной безопасности: с помощью него подтверждается, что оплату картой действительно совершает ее держатель», — говорит аналитик-эксперт Банки.ру Эряния Бочкина.

Как код безопасности защищает от мошенничества

Чтобы оплатить покупку в Интернете, обычно требуется заполнить на сайте интернет-магазина форму с реквизитами и указать номер карты, срок действия, имя и фамилию держателя и трехзначный код безопасности. Если код не указан или указан неверно, банк отклонит платеж и деньги не спишутся. Таким образом, код безопасности — это еще один барьер для защиты от мошенников. 

Вместе с тем CVC-код указывается на самой карте, поэтому обеспечить его конфиденциальность сложнее. Операцию с вводом CVV2/CVC2-кода может совершить любой человек, получивший доступ к карточке.

Чтобы повысить безопасность онлайн-платежей, многие компании применяют двухфакторную идентификацию покупателей (технология 3D-Secure). Помимо данных самой карты, включая код безопасности, для подтверждения операции требуется вводить одноразовый пароль из СМС, который направляется на привязанный к карте номер телефона. 

У платежной системы «Мир» есть собственная технология — MirAccept (на основе 3D-Secure). Ее принципиальной особенностью является то, что в дополнение к традиционному механизму аутентификации пользователей с помощью кодов из СМС-сообщений и push-уведомлений добавляется принцип анализа совокупности факторов, помогающих идентифицировать пользователя (платежное поведение, параметры устройств, геолокация и пр.). В отличие от двухфакторной аутентификации с использованием СМС-кода, такой способ проверки подлинности плательщика является более надежным, позволяет ускорить процесс оплаты и увеличить количество успешных платежей.

Как без кода безопасности мошенники могут получить доступ к карте

К сожалению, даже если хранить код безопасности в тайне, это не гарантирует, что мошенники не смогут использовать карту для покупок.

Получить данные карты злоумышленники могут в слитых базах из интернет-магазинов, банков и так далее либо с помощью фишинговых сайтов. Такие сайты создаются мошенниками для получения данных карт и часто маскируются под сайты банков, госорганов и других организаций. Если не заметить подмены и ввести на таком сайте реквизиты карты, они станут известны мошенникам.

Например, есть мошенническая практика с применением QR-кода. В некоторых банках работает сервис снятия наличных с карты с помощью QR-кода. Вот как это работает: в мобильном приложении клиент может самостоятельно сгенерировать такой код на нужную сумму, передать его родственнику или коллеге, а тот поднесет изображение к сканеру в банкомате и снимет деньги. Этим пользуются злоумышленники. Они звонят клиентам банков под видом сотрудников кредитной организации, сообщают, что в банк поступил несанкционированный запрос на снятие денег со счета, и просят прислать QR-код, чтобы отменить операцию. Расчет на то, что потенциальная жертва не в курсе особенностей QR-кода и легкомысленно относится к изображению с черно-белыми квадратиками, поэтому легко может им поделиться. Заполучив код, мошенники просто снимают деньги со счета обманутого человека.

Меры безопасности

CVC на банковской карте — информация, доступная только ее владельцу. Чтобы код не попал в руки мошенников, нужно соблюдать правила безопасности:

● не передавать карту другим людям, в том числе кассирам, официантам и даже сотрудникам банка;

● не сообщать код безопасности карты по телефону, даже если звонящий представляется работником банка или правоохранительных органов;

● не расплачиваться картой в сомнительных интернет-магазинах, на игровых или лотерейных сайтах — такие сервисы часто являются мошенническими;

● сразу блокировать карту при ее утере или краже;

● не выкладывать фотографию карты в Интернете;

● расплачиваться картой только с проверенного устройства, на котором установлен антивирус;

● не пользоваться бесплатным Wi-Fi для денежных операций в Интернете.

«Если не хочется "светить" реквизиты своей основной карты, можно  выпустить виртуальную — специально для использования в Интернете, и пополнять на сумму покупки перед ее оплатой. Тогда, даже если окажется, что сайт был ненадежным и данные были скомпрометированы, нет риска потерять большую сумму, а виртуальную карту можно закрыть так же легко, как и выпустить», — подсказывает Бочкина. 

Как узнать свой CVC и CVV на карте

На картах любых платежных систем (Visa, Mastercard, «Мир») код подлинности указан на оборотной стороне. Обычно код размещается под магнитной лентой на поле для подписи справа. Если там больше трех цифр, код безопасности — последние три цифры, отделенные пробелом.

Что делать, если CVC2, CVV2 нет на карте

Если на карте нет кода безопасности, значит, она не предназначена для покупок в Интернете (карты начального уровня Visa Electron, Mastercard Electronic и др.). При этом сам код все равно формируется при выпуске карты, но не указывается на пластике.

Виртуальные и цифровые карты, ориентированные именно на онлайн-платежи, не имеют физического носителя, но коды подлинности у них есть. Реквизиты карты, в том числе код подлинности, можно посмотреть в личном кабинете в разделе «Информация о карте».

Как не стать жертвой мошенников: общие рекомендации

• Никому не сообщайте паспортные данные и финансовые сведения. Сотрудники банков и государственных структур никогда не запрашивают такую информацию.
  Не публикуйте изображение карты в социальных сетях и на других сайтах в Интернете, а также не храните ПИН-коды рядом с картами и данные карт на компьютере или в смартфоне.
• Если с неизвестного номера звонит человек, представившийся сотрудником банка, правоохранительных органов или государственной организации, и сообщает о чьей-то попытке оформления кредита или подозрительной операции от вашего имени, запугивает и требует быстрых действий с финансами, положите трубку. Самостоятельно позвоните в банк по номеру телефона, указанному на обратной стороне карты или на его сайте, или в контакт-центр ведомства, сотрудником которого представлялся звонящий.
• Не совершайте каких-либо действий по счету, если вам звонят с просьбой или требованием о переводе денег, в том числе на «защищенный» или «специальный» счет Центробанка, или с предложением об оформлении кредита. Банк России не открывает счета и не работает с гражданами.
• Если вы потеряли карту или подозреваете, что ее данные попали в чужие руки, заблокируйте ее как можно скорее. Это можно сделать через личный кабинет на компьютере или в телефоне, с помощью СМС или по звонку в контактный центр банка. После блокировки карты мошенники не смогут ею воспользоваться.
• Никогда не вводите личные и финансовые данные на сомнительных сайтах и не переходите по ссылкам из подозрительных писем, которые предлагают, например, пройти опрос, получить какую-либо выплату и тому подобное. Официальные сайты финансовых организаций в поисковых системах («Яндекс», Mail) помечены цветным кружком с галочкой.
• Не устанавливайте на свой смартфон приложение удаленного доступа. Мошенники часто предлагают установить такие приложения якобы для защиты устройства и в результате получают контроль над вашими банковскими или финансовыми приложениями.
• Если вы стали жертвой мошенников, как можно скорее заблокируйте карту и напишите в банк заявление о несогласии с операцией. Также обратитесь с заявлением о хищении денег в отделение полиции.