Ödeme Stratejileri ve İnovasyon Lideri Mehmet Evirgen, Fintechtime Temmuz sayısı için yazdı “Yeni Değil Ama Yeniden Anlatılmalı: EMV 3 D Secure’un Gerçek Gücü”.
“Bu ayki makalemde, EMV 3 D Secure’un sektörde hâlâ yeterince anlaşılamayan gerçek gücüne ışık tutuyorum. 2016’dan bu yana yürürlükte olan protokolün yalnızca yasal bir zorunluluk değil, aynı zamanda kullanıcı deneyimini iyileştiren, fraud riskini azaltan ve dönüşüm oranlarını artıran stratejik bir araç olduğunu anlatıyorum. Hatalı entegrasyonların doğurduğu sorunları ve yeni sürümle gelen yenilikleri detaylarıyla ele alırken, EMV 3DS’in doğru kullanıldığında iş yerleri için nasıl bir rekabet avantajına dönüşebileceğini ortaya koyuyorum.”
EMV 3‑D Secure (çoğu zaman 3‑D Secure 2.0 olarak anılır), 2016’dan bu yana hayatımızda. PSD2’nin Güçlü Müşteri Kimlik Doğrulama (Strong Customer Authentication – SCA) gereksinimlerine yanıt olarak geliştirilen bu protokol, kartlı ödemelerin internet ortamındaki güvenliğini sağlamayı hedefleyen en kapsamlı standartlardan biridir. Ancak bugüne kadar hem sektördeki hem de kullanıcı tarafındaki yanlış anlaşılmalar, bu sistemin potansiyelini gölgede bırakmıştır.
Bugün hâlâ birçok PSP, banka ve işyeri EMV 3‑D Secure’u sadece bir “yasal zorunluluk” olarak görmekte; sistemin sunduğu stratejik faydalardan habersiz ya da faydalanamamaktadır. Bu yazının amacı, EMV 3‑D Secure’un ne olduğunu değil, ne olmadığını, ne şekilde yanlış uygulandığını ve neden bugün yeniden konuşulması gerektiğini anlatmaktır.
EMV 3‑D Secure Nedir? Teknik ve Tarihsel Arka Plan
3-D Secure protokolü ilk olarak 2001 yılında Visa tarafından tanıtıldı. Mastercard, JCB, American Express gibi diğer şemalar da benzer sistemlerle kendi markaları altında aynı modeli benimsedi. Protokolün 1.0 sürümünde temel amaç, kart sahibi ile bankası arasında bir doğrulama köprüsü kurarak CNP (card-not-present) işlemlerini güvenli hâle getirmekti. Ancak ilk versiyon, kullanıcı deneyimi açısından birçok problemi beraberinde getirdi.
EMVCo tarafından 2016’da yayımlanan EMV 3‑D Secure (ya da 3DS 2.x), bu sorunlara çözüm olarak geliştirilmiştir. 3DS 2.x, eski sistemin aksine mobil cihazlara ve çoklu doğrulama yöntemlerine uyumludur, zengin veri paylaşımı ile çalışır ve kullanıcıyı sadece gerektiğinde doğrulama ekranına yönlendirir.
EMVCo’nun v2.0’dan başlayarak v2.3.1.1 sürümüne kadar uzanan spesifikasyonları, bu protokolün sadece güvenlik değil, aynı zamanda kullanıcı deneyimi ve ticari verimlilik açısından da nasıl dönüşüm geçirdiğini gösterir.
EMV 3DS ile 3DS 1.0 Arasındaki Farklar
Kullanıcı Deneyimi (UX)
3DS 1.0’da kullanıcılar yönlendirildikleri iframe sayfalarında şifre girmek zorundaydı. Sayfa güvenilirliği şüpheli görünüyordu, bu da phishing vakalarına zemin hazırlıyordu. Sepet terk oranları %10-12 seviyelerinde artıyordu.
EMV 3DS ise, bankaların mobil uygulamalarıyla entegre çalışabilen, biometrik doğrulama (parmak izi, yüz tanıma), mobil bildirim (push notification), passkey gibi yöntemleri destekleyen bir yapı sunar. Kullanıcı artık SMS beklemek yerine uygulamasında tek tıkla onay verebilir.
Teknik Altyapı
EMV 3DS, işlemler sırasında kartı veren kuruluşa 100’e yakın veri alanı ile bilgi gönderilmesine imkân tanır. Bu alanlar; cihaz bilgileri, IP adresi, işlem lokasyonu, önceki alışveriş geçmişi gibi detayları içerir. Kartı veren banka, bu bilgilerle işlem riskini analiz eder ve gerek görmezse kullanıcıyı hiçbir doğrulama ekranına yönlendirmeden işlemi tamamlar (frictionless flow).
Risk Bazlı Kimlik Doğrulama (RBA)
Risk skorlaması sistemi (RBA – Risk Based Authentication), EMV 3DS’in en güçlü taraflarından biridir. Kullanıcı alışkanlıklarına dayalı analizlerle, sistem gereksiz challenge ekranlarından kaçınabilir. Örneğin; kullanıcı sürekli alışveriş yaptığı bir siteden aynı cihazla ödeme yapıyorsa, sistem bu işlemi düşük riskli görüp otomatik onaylayabilir.
Sektördeki Yanlış Algılar
“3DS müşteri kaçırıyor” algısı
Sıklıkla duyulan bu yorum, 3DS 1.0 deneyiminden kalma bir önyargıdır. EMV 3DS doğru entegre edilirse, tam tersine işlem onay oranlarını artırır. Kullanıcı doğrulamaya zorlanmadığı sürece sepet terk oranları düşer.
OTP’ye bağımlılık
Bugün hâlâ birçok banka doğrulama için yalnızca SMS OTP kullanmaktadır. Oysa EMV 3DS’in sunduğu push notification ve biometric gibi alternatifler sayesinde doğrulama süreci hızlanır ve daha güvenli hâle gelir.
Sadece yasal zorunluluk olarak görülmesi
PSD2 ve SCA uyumunu sağlamak için minimum düzeyde entegre edilen EMV 3DS sistemleri, asıl değer yaratma potansiyelinden yoksun kalır. Oysa bu sistem doğru kullanıldığında fraud riskini azaltır, ters ibrazları engeller ve müşteri deneyimini optimize eder.
EMV 3DS Mesaj Yapısı ve Veri Paylaşımı
AReq (Authentication Request) mesajı, işlem hakkında issuer’a (kartı veren bankaya) zengin bilgi sağlamak için tasarlanmıştır.
İşlemler AReq (Authentication Request) ve ARes (Authentication Response) gibi mesaj çiftleriyle yönetilir. Ödeme hizmeti sağlayıcısı veya sanal POS, 3DS sunucusu aracılığıyla kartı veren bankaya bu mesajları gönderir. EMV 3DS AReq mesajı 150’den fazla veri elemanı içerebilir. Bu sayede sistem, risk analizini daha isabetli yapar, frictionless akışı artırır ve gereksiz “challenge” adımlarını azaltır.
Bunlar hem zorunlu hem şartlı (conditional) olarak tanımlanmıştır. İşte detaylı açıklaması:
Veri Kategorileri ve Örnek Alanlar
Bu veri seti sayesinde banka, işlemi arka planda değerlendirerek “frictionless” yani doğrulamasız bir onaya yön verebilir.
1 Demografik ve Cihaz Bilgisi
Tarayıcı/IP dili
Cihaz modeli, işletim sistemi, browser versiyonu
Device fingerprint, mobile app ID (örneğin threeDSRequestorAuthenticationMethod)
2 İşlem ve Kart Detayları
MCC (Merchant Category Code)
İşlem tutarı, döviz türü, işlem zaman bilgisi
Kartın kayıt yaşı (hesap açılış tarihi gibi)
3 Kart Sahibinin Geçmişi
Önceki successful/failure sayıları (başarısız deneme geçmişi)
Kartlı işlemlerdeki tekrar eden patternler, kartlı ya da tokensız alışveriş geçmişi
4 Merchant–Kart Sahibi Etkileşimi
Merchant’a login olup olmadığı, federatedID, FIDO kullanımı gibi bilgiler (threeDSRequestorAuthenticationMethod)
Account age, address change göstergeleri
5 Risk–Analitik Bilgiler
Tarayıcı language, DS transaction ID, requestor ID, operator ID gibi özel alanlar.
Regülasyonlar ve Liability Shift
Avrupa Birliği’nde PSD2 gereği tüm çevrimiçi işlemler SCA’ya (Strong Customer Authentication) tabidir. EMV 3DS bu zorunluluğu karşılayan en etkin çözümdür.
EMV 3DS ile yapılan işlemlerde:
Doğrulama başarılıysa, dolandırıcılık durumunda sorumluluk kartı veren kuruluşa geçer (liability shift).
Doğrulama başarısız ya da uygulanmamışsa, sorumluluk işyerinde kalır.
Bu durum işyerleri için çok kritik bir fark yaratır. Özellikle yüksek hacimli e-ticaret operasyonları için fraud nedeniyle oluşabilecek chargeback maliyetleri bu şekilde azaltılabilir.
Hatalı Entegrasyonların Yarattığı Riskler
Bugün hâlâ birçok PSP ve banka, aşağıdaki nedenlerle EMV 3DS’in sunduğu avantajlardan yeterince yararlanamıyor:
OTP’ye dayalı, tek tip challenge kullanımı
Mobil SDK entegrasyonunun eksikliği
100 veri alanından yalnızca birkaçının doldurulması
Muafiyetlerin tanımlanmaması (örn. düşük tutar, güvenilir işyeri)
Issuer tarafında eski challenge ekranlarının kullanılması
Bu tür eksikler, sepet terk oranlarını artırdığı gibi fraud riskini de azaltamaz.
EMV 3DS v2.3.1.1 ile Gelen Yenilikler
2023 yılında yayımlanan EMV 3DS v2.3.1.1 sürümüyle birlikte önemli yenilikler devreye alınmıştır:
Secure Payment Confirmation (SPC): Kullanıcı tarayıcısında cihazına özel kayıtlı güvenli bir biyometrik doğrulama ile işlem onayı verir.
Out-of-Band (OOB) doğrulama: Bankanın mobil uygulaması üzerinden bağımsız bir kanal ile onay alınması.
Passkey desteği: Şifresiz, cihaz tabanlı kimlik doğrulama desteği.
Bu özellikler sayesinde şifreye dayalı sistemlerin yarattığı zafiyetler azaltılır ve kullanıcı deneyimi optimize edilir.
Doğru Entegrasyon İçin Stratejik Öneriler
Frictionless oranı analiz edilmeli: Yüksek riskli olmayan işlemlerin challenge’a yönlendirilmediğinden emin olun.
SDK’lar entegre edilmeli: Mobil uygulamalarda native akışlar tasarlanmalı.
Veri zenginliği sağlanmalı: Mümkün olduğunca fazla bağlamsal veri 3DS sunucusuna iletilmeli.
Doğrulama çeşitlendirilmeli: OTP dışında biometrik, push ve passkey yöntemleri aktif hâle getirilmeli.
Risk skorlaması AI ile desteklenmeli: Gerçek zamanlı davranış analitiğiyle daha doğru kararlar alınmalı.
PSD2 muafiyetleri devreye alınmalı: Trusted merchant, düşük tutar ve tekrarlayan ödeme istisnaları tanımlanmal
Yeniden Tanımlanması Gereken Bir Güvenlik Standardı
EMV 3DS, sadece bir zorunluluk değil, doğru kullanıldığında bir rekabet avantajıdır. Sektör olarak bu protokolü “doğru” anlamak, entegrasyon stratejilerimizi yeniden şekillendirmek ve müşteriye gerçek anlamda güvenli ama sürtünmesiz bir deneyim sunmak zorundayız.
Unutmayalım:
“Bugün EMV 3‑D Secure’u yanlış uygulayanlar, yarının passkey tabanlı dünyasına da hazır olamayacaklardır.”
Bu nedenle; eskiyi yeniden anlamak, bugünü optimize etmek ve geleceğe bugünden yatırım yapmak gerekir. EMV 3‑D Secure, hâlâ potansiyelinin çok gerisinde. Şimdi bu farkı kapatma zamanı.
mehmet
