Kredi ve banka kartların iki şekilde kullanılması mümkündür.
- Alışveriş sırasında kartın fiziki olarak ibraz edilmesi yöntemi (card present) ,
- Fiziki olarak kartın ibraz edilmesi mümkün olmayan mesafeli işlemler yöntemi(card not present).
Kart bilgilerinin kullanılması ile yapılan mesafeli işlemler, kart sahipleri için büyük bir kolaylık olarak ticari hayatı kolaylaştırmakta ve geliştirmektedir. Ancak Kartlı Ödeme Sistemleri içerisinde mesafeli işlemlerin payı azdır ve yavaş gelişmektedir. Yavaş gelişmenin en önemli sebebi mesafeli işlemlerin suistimale ve dolandırıcılığa açık ve riskli bir kullanım şekli olmasından kaynaklanmaktadır.
Mesafeli işlemlerde kullanılan “Kart Numarası” , “Kartın Son Kullanma Tarihi” ve “Güvenlik Kodu”’nun çeşitli şekillerde öğrenilmesi veya ele geçirilmesi ile bu bilgilerle mal ve hizmet satın alınabilmesi dolandırıcılığa ve suistimale açık bir kullanım şeklidir. Bu nedenle dolandırıcılığa daha fazla açık olan mesafeli işlemlerde, karthamilleri ve işyerleri arasında doğacak anlaşmazlıklarda mal veya hizmetin gerçek kart sahibine tesliminin ispat yükümlülüğü hem uluslararası kart kuruluşları kurallarında hem de kanunen işyerine bırakılmıştır.
Mesafeli işlemlerde dolandırıcılık sayısının artması ve işyerlerinin chargeback zararlarının büyümesi ile, Visa tarafından “Verified by Visa” ismiyle geliştirilen, daha sonra MasterCard’ın da “SecureCode” ile dahil olduğu ortak olarak 3D Secure ( 3 Domain (3D) Secure Protokolü) ismi verilen, internet üzerinden yapılan elektronik alışverişlerde, kart sahibinin kimliğini şifre vasıtasıyla doğrulayan ve XML mesajlarının SSL (Secure Socket Layer) üzerinden gönderilmesini sağlayan bir güvenlik protokolü ortaya çıkarıldı. En basit ve anlaşılır dille, fiziki poslarda zorunlu olarak uygulanmaya başlanan ve chip & pin olarak adlandırılan şifre sisteminin Sanal pos üzerinde kullanılan benzeridir.
Yöntemin amacı, kart sahibinin kendi oluşturduğu statik şifre veya cep telefonuna gelen dinamik şifre ile onayı alınarak işlemin doğrulanmasını sağlamaktır. Böylece şifre vasıtasıyla işlem anında kartın ve kart sahibinin aynı yerde olduğu belgelenir. Ve bu nedenle kart sahibinin fraud nedeni ile harcama itirazı veya chargeback hakkı ortadan kalkar. (Fraud nedeni dışında harcama itirazı hakkı var tabi.) Kısacası 3D Secure sistemi işyerini koruyan bir yapıdır.
3D Secure olarak doğrulama iki şekilde yapılmaktadır.
- Tam 3D Secure ( Full 3D Secure ) işlemler – Kart sahibi 3D Secure, İşyeri 3D Secure
- Yarım 3D Secure (Merchant only 3D Secure ) işlemler – sadece işyeri 3D Secure
Eğer sadece yurtiçi kartları kabul eden bir işyeri iseniz, her iki doğrulama yönteminde de fraud nedeni ile chargeback riskiniz yok. Ancak yurtdışı banka kartlarını kabul ediyorsanız, Yarım 3D Secure işlemlerde Visa US bölgesinde basılmış veya kullanılmış ticari kartlar için bir istisna var sadece. Bu kartlarla gerçekleşen yarım 3D secure işlemlerde fraud nedeni ile chargeback riski bulunmaktadır.
Ülkemizde internet üzerinden mesafeli işlem kabul eden işyerleri, genelde 3D Secure’u seçenekli olarak sunmaktadır. Kart sahipleri standart ödeme ile de işleme devam edebilmektedirler. 3D Secure zorunlu tutan işyerleri büyük bir ciro kaybına uğramaktadır. Genel olarak 3D Secure ödemelerin başarı oranı (başarılı ödeme sayısı / gelen toplam ödeme sayısı) %50-60 seviyelerindedir. İşlem süresi ve adımlarından ötürü, 3DS’a kayıtlı banka/kullanıcı olmaması, kullanıcının 3DS şifresini yanlış girmesi, SMS şifresinin geç gelmesi, kullanıcının ekranı terketmesi …. gibi problemlerden ötürü başarılı ödeme sayısı düşmekte ve işyeri önemli oranda ciro kaybetmektedir.
Bir işlemin 3D Secure olarak gerçekleşmesi, o işlemin fraud olmadığını göstermez. Ülkemizden örnek vermek gerekirse; son yılların en popüler dolandırıcılık yöntemi, sahte çağrı merkezleri aracılığıyla sosyal mühendislik ile yapılan dış aramalar sonucu veya cazip mesajlarla sahte çağrı merkezlerine yönlendirilerek 3D Secure tek kullanımlık işlem şifrelerinin ele geçirilmesi sonucu harcama yapılmasıdır. Bu şekilde ülkemizde 2 yıl içinde 10 milyon TL’den fazla dolandırıcılık yapıldığı düşünülüyor.
Kanun koyucu tarafından bütün mesafeli işlemlerde 3D Secure zorunlu tutulmadıkça, genel olarak işyerleri tarafından 3D Secure seçenekli olarak sunulacaktır. Sadece fraud riskinin yüksek olduğu nakide kolay çevirilebilen ve yüksek ücretli ürün/hizmet grupları için o da işyeri tercihi ile sadece 3D Secure zorunlu tutulmaya devam edecektir. Günümüzde 3D Secure ödemelerin başarı oranı ve 3D Secure olarak gerçekleşen fraud işlemler göz önüne alındığında; bütün mesafeli işlemler için 3D Secure’un zorunlu tutulacağı bir uygulama çok mantıklı görünmüyor.
