SimplePay 3D Secure: mit kell tudnod a fogadási befizetésnél

Az a 30 másodperc, amikor minden eldől

Az első nagy befizetésem, amit nyilvánosan dokumentáltam, 35 000 forint volt egy szombat délután, két perccel a meccs előtt. Bedobtam a kártyaadatokat, megnyomtam a fizetést, és vártam a push-üzenetre. Ami nem jött. Tizenöt másodperc, harminc, negyven — közben a szelvényt időzítettem. Aztán SMS, kód, beírás, és a pénz fent volt. A meccs persze nem várt rám.

Pontosan ez a 30-60 másodperces ablak az, ahol a 3D Secure 2 a fogadói befizetést vagy fenntartja, vagy szétkapja. A 3DS2 minden 30 EUR fölötti SimplePay-tranzakciónál kötelező — és kilenc évnyi tapasztalattal mondom: a fogadási problémák jó harmada itt keletkezik, nem a kártyán, nem a fogadóirodán, hanem ebben a megerősítési rétegben.

Hadd vezesselek végig azon, mit kell pontosan tudnod, hogy ez a 30 másodperc a te oldaladon játsszon, ne ellened. A SimplePay 110 milliós éves tranzakciószámmal a magyar online fizetési piac gerince — és ez a volumen nagyrészt 3D Secure-ön fut át, így minden szabálya gyakorlati következménnyel jár.

Mit nyert a 3DS2 a 3DS1-hez képest, és miért érdekel ez engem fogadóként

Az első verzió, a 3D Secure 1, lényegében egy átirányítási képernyő volt: kapsz egy SMS-t, beírod, kész. Egyszerű, de utálatos — sok bank felületén kilépett a kosárból, mobilon szétesett, és a kártyatársaságok statisztikái szerint a soft decline-ok aránya brutális volt.

A 3DS2 ezt teljesen átalakította. Ma a tranzakció hátterében több mint 100 adatpontot küld a banknak: eszközazonosító, IP-cím, viselkedési mintázat, a kereskedő MCC-kódja, az összeg, az időpont. Ha mindez egyezik a szokásosaddal, a bank „frictionless flow”-ba enged — vagyis nem kérdez vissza, te észre sem veszed, és a fizetés egy pillanat alatt fent van. Ezt nevezi a szakzsargon kockázatalapú hitelesítésnek.

Itt jön a fogadói specifikum. Az MCC 7995 — a „Betting/Casino Gambling” kód — minden bankkártyás fogadási tranzakcióra automatikusan rákerül, és a bankok ezt magas kockázatú besorolásnak veszik. Ez azt jelenti, hogy a frictionless flow-d esélye drasztikusan csökken: szinte minden befizetésnél megerősítést fog kérni a bank, függetlenül attól, hogy százszor csináltad már ugyanazt.

A SimplePay magas kockázatú MCC-kategóriába tartozó kereskedők kártyatársasági regisztrációs díja évente 500 USD, a fizető oldali hozzájárulás egyes MCC-knél pedig 12 forintban van maximalizálva — ezek a háttérszámok azt jelzik, hogy a Visa és Mastercard a fogadási tranzakciókra eleve szigorúbb keretrendszert alakított ki. Te ezt nem látod a kivonaton, de minden 3D Secure megerősítés mögött ez a logika dolgozik.

A 30 EUR-os küszöb az európai PSD2-szabályozás öröksége: e fölött minden tranzakcióhoz erős ügyfél-hitelesítés (SCA) kell. Mivel egy átlagos fogadói befizetés 5000-50 000 forint között mozog, a 30 EUR (kb. 12 000 forint) határon mindig fent vagy. Vagyis fogadásnál a 3D Secure megerősítés gyakorlatilag mindig bekapcsol.

Hogyan néz ki a SimplePay 3D Secure folyamata a saját szememmel

Minden alkalommal pontosan ugyanaz a koreográfia, akármelyik magyar SZTFH-engedélyes oldalon vagy. A TippmixPro vagy Vegas felületén kiválasztod az összeget, megnyomod a „Befizetés” gombot. A rendszer átdob a SimplePay fizetési felületére — ez a bal oldalon a tranzakció részletei, jobbra a kártyaadatok mezője. Itt írod be a kártyaszámot, lejárati dátumot, CVC-t.

Megnyomod a „Fizet” gombot, és innen lép be a 3DS2. Két út van. Ha OTP-ügyfél vagy és aktív az OTP Internetbank+ alkalmazásod, push-üzenetet kapsz: nyitsd meg az appot, ott fogadd el. Általában 3-8 másodperc, és az appban egy gomb. Ha nincs aktív appod vagy más bank ügyfele vagy, SMS-en érkezik egy 6 számjegyű kód, amit vissza kell írnod a SimplePay felületén megjelenő mezőbe.

A jóváhagyás után a SimplePay automatikusan visszadob a fogadóiroda oldalára. Ez a redirect általában 2-3 másodperc — közben egy üres fehér oldalt látsz, ami megijesztheti az embert, de ez normális. Az egyenleg az átirányítás után frissül, és a befizetés „Sikeres” státuszt kap.

Az egész flow ideális esetben 15-25 másodperc. Az én rekordom 11 másodperc volt mentett kártyával, OTP push-pal, 5G mobilhálón. A leglassabb 4 perc 12 másodperc volt — Erste, SMS, gyenge térerő, kétszer újraírt kód.

Amikor a SimplePay megáll: a soft decline és négy oka

A „soft decline” az a helyzet, amikor a tranzakció nem hibára fut, de a bank visszadobja megerősítésért, és a folyamat valahol megakad. A felhasználó szempontjából ez a legidegesítőbb állapot — nem tudod, mi történt, a pénz nincs sehol.

Az első leggyakoribb ok az időtúllépés. A 3DS2 ablaknak van egy időkorlátja — általában 5-10 perc. Ha közben a telefonoddal valami történt, lemerült, kimentél a házból, gyenge a térerő, és a kódot nem tudtad időben beírni, a SimplePay lezárja a tranzakciót. A pénz a kártyán „függő” státuszba kerül, és 1-3 munkanap alatt feloldódik.

A második ok a banki kockázati flag. Ha a bank algoritmusa szokatlannak ítéli a tranzakciót — például szombat hajnal háromkor, új IP-címről, új eszközről, MCC 7995-tel —, automatikusan elutasíthatja. Erre nincs jelzés, csak egy „Sikertelen tranzakció” üzenet a SimplePay-felületen.

A harmadik a kártyára vonatkozó saját limit. Sok bank automatikus napi internetes vásárlási limitet állít a kártyára (gyakran 50 000-200 000 forint között). Ha ezt egy korábbi vásárlással már részben kihasználtad, a 3DS2 megerősítés még megérkezik, de a tranzakció akkor is elutasításra kerül. Az utánkérés érdemi: a bankod netbankjában vagy alkalmazásában át tudod állítani a limitet.

A negyedik a háttér-azonosítási ütközés. Ha a kártyához tartozó számla nem a saját nevedre szól, vagy ha a SimplePay-en keresztül nemrég volt egy nagyobb visszáru, a rendszer szigorúbban néz a tranzakcióra, és ez 3D Secure szinten is jelentkezhet. Ilyenkor érdemes megnézni az elutasítás okát részletesen, mert a 3DS-szintű elakadás csak a felszín, az alatta levő ok lehet KYC, MCC vagy számlatulajdonos-kérdés.

Ha az SMS vagy push nem érkezik: konkrét lépések

Egyszer egy szerb kórházban várakozva próbáltam fizetni — roaming, OTP push nem jött, SMS sem. Próbálkoztam háromszor, megszakítottam, vártam, és csak akkor működött, amikor visszakapcsoltam a magyar SIM-et adatkapcsolatra is. Ez tanulságos leszünt: az OTP push-üzenet nem szabványos SMS, hanem HTTP-csatornán fut, és internetkapcsolatra van szüksége.

Ha SMS-t vársz és nem jön, először nézd meg, hogy a bankodnál a kártyádhoz milyen megerősítési csatorna van beállítva. Az OTP ügyfeleknek alapból push az elsődleges, de ha az appot törölted vagy újrainstalláltad, automatikusan visszavált SMS-re. Az átállás 1-24 óra is lehet a banki rendszerben.

Ha sem push, sem SMS nem érkezik 30 másodpercen belül, ne nyomj újrakérést többször egymás után — sok bank ezt kockázati jelnek veszi és letiltja a kártyát. Egy újrakérés rendben van. Két felett kezd a riasztás bekapcsolni.

Roaming alatt sok banknál a megerősítő SMS késik 1-3 percet. Ezzel számolni kell. Aki külföldről fogad, jellemzően megtanulja, hogy elindít egy kis tesztösszeget (1500 forint a TippmixPro minimum), és csak akkor megy nagyobb tétre, ha az is átment.

Ha minden csatornád látszólag rendben van, de a kód mégsem jön, az utolsó lépés a banki ügyfélszolgálat hívása. Az OTP-nél ez a 06 1 366 6666 szám. A többi banknak hasonló 24/7-es ügyfélszolgálati elérése van. Az operátornak elmondod, hogy 3D Secure megerősítést vársz, de nem kapsz, és kéred a megerősítési csatorna ellenőrzését. Ezt általában 5 percen belül megoldják.