De ce întrebarea apare des, dar răspunsul e contraintuitiv

„Pot să depun la Betano fără să dau CVV-ul de fiecare dată?” – întrebarea asta vine de la pariori care au observat că la unele tranzacții salvate, codul de trei cifre nu mai e cerut. Răspunsul scurt e da, dar nu pentru că nu există – ci pentru că e înlocuit cu altceva tehnic mai sigur. Tokenizarea modernă, network tokens, frictionless flow 3DS2 – toate sunt mecanisme care fac CVV2 invizibil pentru utilizator fără să-l elimine din arhitectură.

În practica de zi cu zi, primul tău card depus la operator cere CVV2. Al doilea, al treilea și următoarele, dacă cardul e salvat ca card-on-file cu network token, pot trece fără CVV2 – doar cu autentificare biometrică prin app-ul băncii. Asta nu e magie, e arhitectură nouă peste fluxurile vechi de plată.

În articolul ăsta îți arăt de ce „card fără CVV” e parțial mit, ce înseamnă CVV dinamic și cine îl oferă, cum funcționează tokenizarea modernă, ce înseamnă card-on-file la operator, cum joacă frictionless 3DS2, ce riscuri apar când CVV-ul nu mai e cerut și cum folosești corect aceste mecanisme la pariuri.

De ce mit „card complet fără CVV”

În arhitectura plăților standard cu Visa, CVV2 e cerut la prima tranzacție pe orice merchant nou. Asta nu se schimbă – chiar și la cardurile premium, la conturi private banking, la VIP-uri, primul contact cu un nou merchant cere CVV2 introdus manual.

Ce se schimbă e ce se întâmplă după prima tranzacție. Dacă tu, ca utilizator, alegi să „salvezi cardul pentru tranzacții ulterioare”, merchantul nu păstrează CVV2 (PCI DSS interzice asta) – ci cere acquirer-ului un network token. Tokenul e o înlocuire criptografică a PAN-ului care funcționează exclusiv pe contextul merchant + acquirer + bancă emitentă. Pentru tranzacțiile cu network token, CVV2 nu mai e necesar.

Practic, asta înseamnă că la a doua depunere pe Betano cu cardul salvat, nu introduci CVV2. Sistemul folosește tokenul, banca îl validează, autentificarea 3DS rulează cu push notification în app-ul tău. Pentru utilizator, experiența e „card fără CVV”. Pentru sistem, CVV2 e încă acolo, doar că reprezentat de token.

Visa procesează 329 miliarde de tranzacții în anul fiscal 2025, iar o cotă tot mai mare din ele rulează pe tokens. Visa are 4,9 miliarde de credentiale de plată active la nivel global, iar fiecare credențial poate avea mai multe tokens active simultan pentru diverși merchanți.

CVV dinamic: există, dar limitat

CVV dinamic e codul care se schimbă automat după o perioadă scurtă de timp. La unele bănci europene s-au lansat carduri cu display digital pe spate care afișează CVV2 nou la fiecare 4 ore. La altele, CVV2-ul se schimbă la fiecare tranzacție. Ideea e simplă: chiar dacă cineva îți obține CVV2 în breach, e valabil scurt timp.

În România, CVV dinamic propriu pe carduri permanente nu e încă disponibil pe scale. Cardurile virtuale disposable (Revolut) sunt versiunea cea mai apropiată – fiecare card disposable e unic și CVV2-ul lui e folosit o dată, apoi devine inutilizabil.

BCR, ING, BT și celelalte bănci tradiționale nu oferă încă CVV dinamic pe carduri standard. Compensația e tokenizarea via Apple Pay și Google Pay, care la nivel funcțional oferă protecția echivalentă a unui CVV care se schimbă constant.

Tokenizarea explicată practic

Tokenizarea e procesul prin care PAN-ul real al cardului tău (16 cifre) e înlocuit cu un token unic generat de Visa Token Service. Tokenul:

Are același format ca un PAN (16 cifre, validează cu Luhn). Funcționează exclusiv pe context specific (de exemplu, doar la Betano, doar de pe iPhone-ul tău cu Apple Pay). Nu poate fi folosit în afara acestui context – dacă atacatorul îl fură, nu poate face nimic cu el la alt merchant. Are CVV separat (network token cryptogram) generat criptografic la fiecare tranzacție.

Avantajele structurale. Breach la merchant – datele tokenizate furate sunt inutile, atacatorul nu le poate folosi în altă parte. Card pierdut – nu trebuie să actualizezi datele la fiecare merchant unde aveai cardul salvat; tokenul rămâne valid pentru noul card emis ca înlocuitor. Rata fraudei de provisionare a tokenurilor Visa în primele șapte zile post-activare a scăzut cu 29% global în 2024 față de anul anterior – semn că tehnologia se maturizează.

Pentru pariuri, tokenizarea e foarte utilă pe Apple Pay și Google Pay. Adaugi cardul Visa în Apple Wallet, accepti operatorul, prima depunere folosește deja tokenul. Toate depunerile ulterioare merg cu autentificare Face ID sau Touch ID, fără CVV2 manual. Pentru detalii pe ce este exact codul CVV2 și de ce dispare în context tokenizat, articolul despre codul CVV2 și rolul său la depuneri intră în mecanică.

Card-on-file la operator: ce înseamnă pentru tine

Card-on-file e termenul pentru cardul salvat în baza de date a unui merchant pentru tranzacții ulterioare. La operatorii ONJN, asta apare ca opțiune „salvează cardul pentru depuneri viitoare” la prima depunere.

Tehnic, ce se salvează e un network token – nu PAN-ul real. Operatorul nu vede 16 cifre ale cardului tău; vede un token specific contului tău și platformei lor. Dacă același atacator obține tokenul, nu îl poate folosi în altă parte.

Pentru depunerile ulterioare cu card salvat, fluxul e simplu: alegi cardul din lista de carduri salvate, introduci suma, banca îți cere autentificare 3DS prin app cu biometrie, tranzacția e gata. CVV2 nu e cerut. Frictionless e termenul oficial.

Dezavantajul: dacă cardul tău e compromis (PIN-ul îți e furat dintr-un ATM cu skimmer, de exemplu), un atacator care are acces la contul tău Betano poate face depuneri folosind cardul salvat – fără să aibă PAN-ul real al cardului. Protecția aici vine de la 3DS-ul biometric, nu de la CVV2 lipsă.

Frictionless 3DS2: când banca decide să nu te oprească

3DS2 are două moduri principale: challenge și frictionless. La challenge, banca îți cere explicit autentificare (push în app, SMS, biometrie). La frictionless, banca decide pe baza scoring-ului că tranzacția e suficient de sigură ca să o aprobi automat fără să te întrebi pe tine.

Visa Secure (3DS) generează în medie o creștere de 4% a ratelor de autorizare și o reducere de 7 basis points a fraudei pentru clienți. Asta arată că combinația dintre frictionless și challenge e efectivă – nu fiecare tranzacție trebuie să fie verificată activ.

Factorii care fac o tranzacție frictionless: device cunoscut (același iPhone, browser cu fingerprint familiar), IP stabil (de pe rețea casă sau ISP regular), sumă în pattern obișnuit, merchant pe care l-ai mai folosit, oră tipică pentru tine. Toți acești factori contribuie la scoring-ul de risc al băncii.

Pentru utilizator: frictionless e ideal când totul merge bine. Tranzacția trece în secunde fără să fii întrerupt. Pentru tranzacții suspecte, challenge-ul e absolut necesar – păstrează contul tău în siguranță chiar dacă cineva are PAN-ul.

Riscuri reale când CVV nu mai e cerut

Comoditatea cardului fără CVV are revers. Dacă cineva are acces la contul tău Betano (parolă furată prin phishing, de exemplu), poate folosi cardul salvat fără să aibă cardul fizic. CVV2 ar fi fost o barieră suplimentară, dar nu e cerut pentru tranzacțiile cu token.

Mitigări. Una: parolă puternică pe contul de pariuri, idealmente cu 2FA activat. Doi: notificări instant pe email și SMS pentru orice depunere. Trei: limită zilnică de depunere setată la o valoare confortabilă pentru tine – chiar dacă cineva îți compromite contul, nu poate sifona mult înainte ca tu să observi.

Treii: revizuiești periodic cardurile salvate la operatori. Intri în profilul Betano sau Superbet, ștergi cardurile pe care nu le mai folosești. Cu cât mai puține tokens active, cu atât mai redus riscul.

Cum folosești corect tokenizarea la pariuri

Setup ideal pentru un parior care vrea convenabilă plus securitate.

Una: alege un operator licențiat ONJN (verifică pe lista albă). Lista neagră ONJN include peste 1.603 site-uri ilegale, deci alegerea operatorului e prima decizie de securitate.

Doi: prima depunere o faci cu cardul fizic introdus manual (PAN, expirare, CVV2). Confirmi că totul merge curat.

Trei: la a doua depunere, salvezi cardul ca card-on-file. Operatorul generează token cu acquirer-ul lui.

Patru: depunerile ulterioare le faci cu tokenul + autentificare 3DS prin app cu biometrie. Fluxul e: 5 secunde, fără CVV2 manual.

Cinci: dacă schimbi cardul (expirare, pierdere), actualizezi tokenul la următoarea depunere. Procesul standard.

Pot șterge cardul salvat la operator dacă nu mai vreau să joc cu el?
Da. Intri în profilul de pe operator, secțiunea "Metode de plată" sau "Carduri salvate", selectezi cardul și apeși "Șterge". Tokenul asociat e revocat instant. Cardul tău fizic nu e afectat – doar tokenul specific contului de operator dispare. Dacă vrei să folosești cardul din nou, salvezi din nou la următoarea depunere.
Casa de pariuri vede CVV-ul meu salvat în baza de date?
Nu. Standardul PCI DSS interzice explicit stocarea CVV2 după autorizarea tranzacției. Operatorii ONJN respectă aceste reguli. Ce se salvează e network tokenul, care nu conține CVV2. Tokenul e generat de acquirer și e specific operatorului – nu poate fi folosit în altă parte chiar dacă cineva l-ar fura din baza de date.