Trei cifre care valorează cât tot cardul

Cea mai dezarmantă întrebare pe care mi-a pus-o un parior începător sună așa: „De ce, dacă am introdus deja numărul cardului și data expirării, mai trebuie să-i dau și CVV-ul? Doar le-am dat pe toate.” Asta e exact paradoxul pe care CVV2 îl rezolvă. Numărul cardului și data expirării sunt date care apar pe extrase, în PDF-uri, în chitanțe – informații cu cale lungă de scurgere. CVV2 nu apare nicăieri în afară de cardul fizic. Dacă cineva îl are, înseamnă că a văzut spatele cardului tău în ultimele zile.

Pentru un parior care depune săptămânal pe Betano, Superbet sau Netbet, CVV2 e bariera ultimă între cardul tău și o tranzacție frauduloasă. În articolul ăsta îți arăt ce e exact codul, unde e poziționat pe diferite tipuri de card Visa, ce rol are tehnic la tranzacția online, cum interacționează cu 3DS, când absolut nu trebuie să-l furnizezi, ce faci dacă a fost compromis și cum funcționează tokenizarea modernă care, pe noi card-on-file la operator, te scapă de a-l mai introduce vreodată.

Ce este CVV2 și de ce există

CVV2 – Card Verification Value 2 – e codul de trei cifre tipărit pe spatele cardului Visa, lângă semnătură. Mastercard îl numește CVC2, American Express îl pune pe față cu patru cifre și îl numește CID. Funcția e identică pentru toate: dovadă că persoana care plasează tranzacția online deține fizic cardul.

Codul a fost introdus în era e-commerce-ului matur, după 2000, ca răspuns la creșterea fraudei card-not-present. Logica simplă: numerele cardului se scurg ușor (POS-uri compromise, breach-uri de baze de date, foi de carbon din anii vechi), dar CVV2-ul nu se stochează niciodată după autorizare. Reguli PCI DSS interzic explicit storarea CVV2 după ce tranzacția e procesată.

În practică, fiecare comerciant online care vrea să accepte Visa primește datele tale de card pentru autorizare, dar trebuie să șteargă CVV2 din baza de date imediat după aprobarea tranzacției. Asta e regula. Singura excepție e tokenizarea, în care CVV2 e înlocuit cu un network token care nu mai are valoare în afara contextului tokenizat.

Unde apare CVV2 pe diverse tipuri de card

Pe cardurile Visa fizice standard, CVV2 e tipărit pe spate, în zona dreaptă lângă banda magnetică. Trei cifre. La Visa Premium și Platinum, poziția e identică.

Pe cardurile virtuale (Revolut Disposable, carduri virtuale BCR sau ING), CVV2 nu e tipărit pe ceva fizic – îl vezi doar în aplicația băncii. La Revolut Disposable, CVV2 se schimbă după fiecare tranzacție folosită; e parte din mecanismul de unică folosință.

Pe cardurile Visa contactless cu cip embedded, CVV2 nu se schimbă – rămâne fix pe durata cardului. Pentru tranzacțiile contactless POS, CVV2 nu se folosește deloc; sistemul folosește dynamic CVV (cVV3) care se schimbă la fiecare atingere. Dar la online, e tot CVV2 standard.

O notă importantă: dacă cardul tău primește o reînnoire automată, vine cu CVV2 nou. Cardurile salvate la operatori (card-on-file) trebuie actualizate cu noul CVV. Altfel tranzacțiile picată cu eroare 14 („invalid card”) sau 54 („expired card”).

Rolul CVV2 la tranzacția online

Când depui pe operator de pariuri, datele cardului trec prin gateway-ul acquirer-ului spre VisaNet și ajung la banca ta emitentă. Mesajul ISO 8583 conține PAN-ul, suma, MCC-ul, plus CVV2. Banca rulează verificarea CVV2 împotriva valorii sale stocate (calculată algoritmic din PAN + data expirării + cheie secretă).

Dacă CVV2 introdus de tine corespunde, banca îl acceptă. Dacă nu corespunde, mesajul revine cu cod refuz N7 („CVV2 mismatch”). Pentru tine, asta apare ca „tranzacție respinsă” în interfața operatorului – fără explicație că de fapt CVV-ul a fost greșit. De aceea, când o tranzacție pică, prima verificare e CVV-ul: ai introdus exact cele trei cifre? Le-ai inversat? Ai cardul corect?

Rata fraudei pentru tranzacțiile card-not-present e de 7,5 ori mai mare decât cea pentru tranzacțiile cu prezența cardului și reprezintă aproape 89% din toată frauda de plată. Asta explică de ce CVV2 e atât de important – e mecanismul care încearcă să refacă „prezența” cardului în tranzacția online prin proba că ai văzut fizic spatele cardului.

CVV2 versus 3D Secure

Sunt două straturi separate de protecție care funcționează simultan, nu alternativ. CVV2 verifică dacă persoana cunoaște trei cifre invizibile online. 3DS verifică dacă persoana are acces la device-ul autentificat de bancă (telefon cu app, număr SMS).

De ce ambele. Pentru că un atacator poate avea CVV2 prin breach (foarte rar, dar posibil) și ar trece de prima protecție. La 3DS, fie nu primește SMS-ul (e pe un telefon care nu e al lui), fie nu poate trece de biometric (nu are amprenta sau Face ID-ul tău). Cele două straturi împreună reduc frauda online cu până la 70% conform datelor din industrie.

În fluxul tipic de depunere la operator: primul pas verifică CVV2 (la nivel issuer), al doilea pas activează 3DS challenge dacă e necesar. La frictionless flow, banca decide să nu cheme 3DS pentru că contextul e safe (device cunoscut, sumă obișnuită, IP stabil) – atunci numai CVV2 a fost verificat. La challenge flow, ambele se verifică.

O confuzie frecventă: nu, 3DS nu înlocuiește CVV2. Multe bănci și operatori au eliminat câmpul CVV doar pentru tranzacții tokenizate (card salvat). Pentru introducere manuală a cardului, CVV2 rămâne obligatoriu peste tot.

Când absolut NU trebuie să furnizezi CVV2

Cinci situații în care orice cerere de CVV2 e potențial fraudă.

Una. Apel telefonic de la „banca ta” sau de la „Visa”. Băncile și Visa nu sună niciodată să-ți ceară CVV2. Niciodată. Dacă primești un apel cu cerere de CVV, închide telefonul și sună înapoi pe numărul oficial de pe spatele cardului.

Doi. Email cu link spre formular care îți cere date card complete plus CVV. Gateway-urile reale de plată funcționează prin redirect securizat sau iframe la pagini cu HTTPS validat. Email-uri cu formulare inline sunt phishing.

Trei. SMS cu cerere de „actualizare date card”. Nicio bancă nu cere date sensibile prin SMS-uri cu link.

Patru. Operatorul de pariuri îți cere CVV după ce ai depus deja. Operatorii salvează tokenul, nu CVV-ul în clar. Dacă reapare cererea fără context (depunere nouă, modificare card), e suspect.

Cinci. Site care îți cere CVV pentru „verificare cont” sau „validare bancă” în afara unei tranzacții de plată. CVV2 se folosește doar la tranzacții cu sume reale. Niciun proces de verificare cont legitimă nu cere CVV.

Pentru detalii pe semnele de fraudă pe card, articolul despre card Visa fără CVV la pariuri intră în mecanica tokenizării.

Ce faci dacă CVV2 a fost compromis

Compromiterea CVV2 e tipic concomitentă cu compromiterea numărului cardului. Atacatorul are nevoie de PAN + data expirării + CVV2 ca să facă tranzacții. Detectarea vine de obicei prin notificări – vezi pe app o tranzacție pe care nu ai făcut-o.

Pașii imediat. Blochezi cardul instant din app sau prin call center. Toate băncile mari au toggle de blocare temporară accesibil în 30 de secunde. Suni call center și raportezi cardul ca compromis. Banca îl blochează permanent și emite unul nou cu PAN și CVV2 diferite.

Pentru tranzacția frauduloasă deja procesată, deschizi dispute la bancă sau chargeback prin Visa. Reason code 10.4 („Other Fraud – Card Absent”) se aplică. Procesul ia 30-90 de zile. Dacă banca recunoaște fraudă, recuperezi banii.

Visa PERC a detectat 357 milioane USD în fraudă asociată cu schemele de scam pe parcursul a 12 luni, semn că ecosistemul de protecție anti-fraudă lucrează intens. Tokenurile, autentificarea 3DS și algoritmii de scoring sunt straturile care reduc impactul cazurilor în care CVV-ul a fost compromis.

Lecția practică pentru pariori: nu introduci CVV2 pe site-uri care nu sunt operatori ONJN licențiați. Site-urile dubioase de „îmbogățire rapidă cu pariuri” sunt vector clasic pentru breach-uri masive. Verifică licența ONJN înainte de a introduce date de card.

Tokenizarea care elimină nevoia de CVV2

La a doua-a treia depunere pe același operator, observai că nu mai introduci CVV2. Asta e tokenizarea în acțiune. Operatorul a salvat la prima tranzacție un network token (un PAN virtual generat de Visa Token Service), iar la tranzacții ulterioare folosește tokenul în locul datelor reale.

Avantajul de securitate. Dacă breach-ul lovește operatorul, atacatorul obține tokenuri care nu au valoare în afara relației operator-acquirer. Nu poate folosi tokenul pe alt site, nu poate face fraudă cross-merchant. Rata fraudei de provisionare a tokenurilor Visa în primele șapte zile post-activare a scăzut cu 29% global în 2024 față de anul anterior – datele arată că tokenizarea reduce semnificativ exact tipul de fraudă pe care CVV2 încearcă să-l prevină.

Pentru tine ca jucător, beneficiul e dual: securitate mai mare (datele reale ale cardului nu sunt stocate la operator) plus convenience (nu mai introduci CVV la fiecare depunere). Tokenizarea funcționează în spate transparent – vezi doar că depunerea merge mai rapid.

Excepție: la prima depunere, sau dacă ștergi cardul din contul de operator și îl readaugi, CVV2 e necesar. Tokenul se generează din datele reale plus CVV-ul tău confirmat o singură dată.

Casa de pariuri îmi salvează codul CVV2 pentru depuneri ulterioare?
Nu. Reguli PCI DSS interzic stocarea CVV2 după autorizarea tranzacției. Operatorul șterge CVV2 imediat ce tranzacția e aprobată. La depuneri ulterioare cu cardul salvat, ce se folosește e un network token generat de Visa Token Service, nu CVV-ul tău. Singurele cazuri în care reintroduci CVV: prima depunere, recardare, expirare card.
Pot avea CVV2 dinamic pe cardul meu Visa în România?
Da, pe carduri virtuale specifice. Revolut Disposable schimbă CVV2 după fiecare utilizare ca parte din mecanismul de unică folosință. Pe cardurile fizice standard din România, CVV2 e static pe durata cardului. Pentru securitate adițională, multe bănci oferă carduri virtuale generate în app cu numere și CVV separate de cardul fizic principal.