Что такое 3D Secure и почему без него не проходят подписки

Вы пытаетесь оплатить подписку на зарубежный сервис, вводите данные карты — и платеж отклонен. На карте деньги есть, интернет работает, все заполнено правильно. Пробуете еще раз — тот же результат. Знакомая ситуация для миллионов российских пользователей: по данным платежных сервисов, с 2022 года карты российских банков не проходят на большинстве зарубежных площадок. Часто в этих отказах винят 3D Secure — мол, «аутентификация не прошла». Но в действительности 3DS тут обычно ни при чем: карту блокируют еще до того, как протокол успевает сработать.

Ниже разберем, что такое 3D Secure на самом деле, как он связан с подписками и что делать, когда оплата не проходит.

Коротко: что такое 3D Secure

Вы покупаете что-то в интернете, вводите номер карты, срок действия, CVV — и тут вас перебрасывает на страницу банка с просьбой ввести код из СМС. Это и есть 3D Secure.

3D Secure (3DS) — протокол, который проверяет, что картой платит именно ее владелец, а не кто-то посторонний. Без него оплата в интернете работала бы в одно действие: ввел реквизиты деньги списались. Любой, кто сфотографировал вашу карту, мог бы платить от вашего имени. 3DS добавляет второй шаг — подтверждение через код или приложение банка.

Название расшифровывается как Three Domain Secure — «безопасность трех доменов». Три домена — это три участника каждой онлайн-транзакции: банк покупателя (эмитент), банк продавца (эквайер) и платежная система между ними.

Если вам нужен только общий смысл — этого достаточно. Дальше разберем, как именно протокол работает изнутри.

Как проходит платеж с 3D Secure

Допустим, вы оплачиваете годовую подписку на облачное хранилище.

Шаг 1. Вы вводите реквизиты карты на сайте сервиса — номер, срок действия, CVV.

Шаг 2. Сайт передает данные своему банку-эквайеру. Тот отправляет запрос в платежную систему (Visa, Mastercard, «Мир»).

Шаг 3. Платежная система проверяет, поддерживает ли карта 3D Secure. Если да — запрос уходит в ваш банк-эмитент.

Шаг 4. Банк решает, нужно ли дополнительное подтверждение. Если нужно — вас перенаправляют на страницу банка, где вы вводите одноразовый код из СМС или подтверждаете платеж в мобильном приложении.

Шаг 5. Код верный банк одобряет транзакцию деньги списываются вы получаете доступ к подписке.

Весь процесс занимает секунды. Но если на любом из шагов что-то идет не так — код не пришел, страница не загрузилась, банк отклонил запрос — платеж не проходит.

Версия 1.0 и версия 2.0: в чем разница

Описанный выше сценарий — с СМС-кодом при каждой покупке — это 3D Secure 1.0. Технологию разработала платежная система Visa в 1999 году. Работала она надежно, но раздражала: страница банка грузилась медленно, на мобильных отображалась криво, СМС задерживались, код успевал протухнуть. По некоторым оценкам, до 20–30% покупателей бросали корзину именно на этапе подтверждения.

В 2016 году консорциум EMVCo (объединяет шесть крупнейших платежных систем мира) выпустил спецификацию 3D Secure 2.0. Принципиальное отличие — проверка на основе анализа рисков.

Вместо того чтобы каждый раз просить код, система собирает контекст: с какого устройства вы платите, из какого города, в какое время, какую сумму тратите, как часто покупаете у этого продавца. Если все выглядит привычно — платеж проходит без дополнительного подтверждения. Вы даже не замечаете, что 3DS сработал.

Код или пуш-уведомление запрашиваются, только когда система видит что-то необычное: новое устройство, крупная сумма, незнакомый продавец, платеж из другой страны. Причем подтверждение теперь может быть не только через СМС — банки все чаще используют биометрию (отпечаток пальца, распознавание лица) или кнопку «Подтвердить» в своем приложении.

Для покупателя — меньше действий при обычных покупках. Для интернет-магазинов — меньше брошенных корзин. Российская платежная система «Мир» работает по аналогичному принципу через собственную разработку MirAccept 2.0.

Как это работает с подписками

С разовыми покупками все понятно. Но подписки устроены иначе, и именно здесь 3D Secure вызывает больше всего вопросов.

Когда вы оформляете подписку — скажем, на стриминг или рабочий SaaS-инструмент — 3DS-проверка проходит только при первом платеже. Дальше сервис списывает деньги автоматически, без повторного подтверждения. Это рекуррентные платежи: при первой транзакции банк и платежная система «запоминают», что вы разрешили регулярные списания с этой карты в пользу конкретного продавца.

Отсюда жесткое правило: если первый платеж не прошел 3DS-проверку — подписка не активируется. Повторные попытки с той же картой часто заканчиваются тем же отказом, потому что причина никуда не делась.

А не пройти проверку может по нескольким причинам: банк не прислал СМС-код вовремя, страница подтверждения не загрузилась, или зарубежный сервис отклонил карту еще до того, как дело дошло до 3DS.

Почему российские карты не проходят на зарубежных сервисах

С 2022 года Visa и Mastercard прекратили обслуживание российских банков в своих международных сетях. Карты этих систем, выпущенные в России, по-прежнему работают внутри страны (через Национальную систему платежных карт), но при оплате на зарубежных сайтах транзакция блокируется автоматически — на уровне BIN-кода, еще до этапа 3DS.

Дело не в 3D Secure. Протокол работает. Но зарубежный процессинг видит, что карта выпущена российским банком, — и отказывает. Пользователь получает «платеж отклонен», хотя на карте достаточно денег, 3DS подключен и код из СМС готов прийти.

Даже если удается обойти этот барьер — например, через карту банка из другой страны — могут сработать дополнительные фильтры. Зарубежные сервисы сверяют страну карты, IP-адрес, регион аккаунта и биллинговый адрес. Несовпадение данных система трактует как риск и блокирует транзакцию. 3DS в этой цепочке — лишь один из элементов проверки, и часто не решающий.

Что делать, если подписка не проходит

Раз проблема не в 3D Secure, а в том, что карту отклоняют до него, — нужно, чтобы платеж шел с реквизитов, которые не попадают под ограничения.

Карта иностранного банка. Самый надежный способ — выпустить карту в банке другой страны: Казахстан, Армения, Грузия, Турция, ОАЭ. BIN-коды этих стран не попадают под ограничения, 3DS-подтверждение проходит штатно. Минус — для открытия счета чаще всего нужно лично приехать в страну.

Виртуальная карта. Финтех-сервисы выпускают виртуальные карты с иностранными BIN-кодами онлайн, без визита в банк. Карта получает номер, срок действия, CVV и поддержку 3D Secure. Пополняется в рублях, оплата проходит в валюте сервиса. Подходит для разовых платежей, но с автопродлением подписок бывают сбои — условия провайдеров меняются.

Платежные сервисы-посредники. Пользователь платит в рублях, а сервис проводит оплату на зарубежной площадке со своих реквизитов. Проверка региона и 3DS проходит на стороне посредника, поэтому конфликта данных не возникает. Для юридических лиц предусмотрена работа по договору с закрывающими документами — это позволяет проводить расходы по бухгалтерии.

От чего 3D Secure защищает, а от чего нет

3DS хорошо справляется с одним сценарием: кто-то узнал реквизиты вашей карты и пытается заплатить ею в интернете. Без доступа к вашему телефону или банковскому приложению подтвердить платеж не получится.

Но от фишинга 3DS не спасает. Если вы сами вводите данные на поддельном сайте и сами подтверждаете платеж кодом — протокол считает, что все в порядке. Он проверяет, что код введен верно, но не определяет, кто именно его вводит. Не поможет 3DS и в случае, если мошенник получил доступ к вашему телефону или выпустил дубликат сим-карты.

Поэтому банки не ограничиваются одним 3DS: антифрод-системы анализируют поведение пользователя, лимиты ограничивают максимальные суммы, а уведомления о каждом списании дают возможность быстро заблокировать карту.

Можно ли отключить 3D Secure

Нет. Российские банки подключают 3DS ко всем картам по умолчанию, и отключить его нельзя. Это требование платежных систем и Банка России.

Если код из СМС при покупке не приходит, это означает одно из двух. Либо магазин использует версию 2.0 и система решила, что дополнительное подтверждение не нужно — транзакция выглядит безопасной. Либо магазин вообще не поддерживает 3DS и платеж прошел без проверки. Во втором случае при мошенничестве риски несет продавец, а не покупатель.

Самое важное про 3D Secure

3D Secure — протокол, который при онлайн-оплате проверяет, что картой платит ее владелец. Версия 1.0 просила СМС-код при каждой покупке. Версия 2.0 анализирует риски и запрашивает подтверждение только при подозрительных транзакциях.

При оформлении подписки 3DS-проверка нужна один раз — при первом платеже. Не прошла — подписка не активируется. У российских пользователей платежи за зарубежные сервисы отклоняются обычно не из-за 3DS, а из-за блокировки карт на уровне платежных систем.

Рабочие варианты — карта иностранного банка, виртуальная карта с зарубежным BIN-кодом или платежный посредник, который проводит оплату со своих реквизитов.