PSD2 ja vahva tunnistautuminen Mastercard-vedonlyönnissä
Ladataan...
PSD2:n perusperiaate ja sen kytkös pelaamiseen
Vuoden 2018 alku oli kummallinen ajanjakso suomalaisten verkkomaksujen ekosysteemissä. EU oli juuri laittanut voimaan PSD2-direktiivin (Payment Services Directive 2), ja sen sovellutukset olivat osittain valmiina, osittain odottamassa täytäntöönpanon teknisiä määrittelyjä. Pankit kommunikoivat asiakkailleen muutoksista vähäisesti, kun taas pelaajat — jotka tekevät verkkomaksuja säännöllisesti — törmäsivät ihmettelemään, miksi sama Mastercard-talletus toimi yhdellä viikolla ja kaatui seuraavalla.
PSD2:n keskeinen idea on kahtalainen: avata pankkimarkkinaa kilpailulle ja samalla tiukentaa verkkomaksun turvallisuutta vahvalla tunnistautumisella eli SCA:lla (Strong Customer Authentication). Pelaajan kannalta jälkimmäinen on näkyvämpi. Joka kerran kun teet Mastercard-talletuksen suomalaiselle vedonlyöntisivulle, taustalla pyörii PSD2:n arkkitehtuuri, joka ratkaisee, pyydetäänkö sinulta lisätunnistus vai ei.
Käyn tässä artikkelissa läpi SCA:n kolme tekijää, niiden poikkeukset, konkreettisen vaikutuksen suomalaisilla vedonlyöntisivuilla ja tulevat muutokset PSD3- ja PSR-säädösten myötä.
SCA:n vaatimus — kolme tekijää
SCA edellyttää, että verkkomaksu on tunnistettu vähintään kahdella seuraavista kolmesta kategoriasta: jokin minkä tiedät (salasana, PIN), jokin mikä on hallussasi (mobiililaite, kortin siru) ja jokin mikä olet (sormijälki, kasvojentunnistus, ääni). Kategoriat ovat itsenäisiä — kahta saman kategorian elementtiä (kuten kahta salasanaa) ei katsota vahvaksi tunnistukseksi.
Suomalaisilla pankeilla yleisin yhdistelmä on ”hallussa” + ”olet”: pankin sovellus mobiililaitteessa (hallussa) ja sormijälki tai kasvojentunnistus sovelluksen avauksessa (olet). Vanhempi yhdistelmä — kortin numero (tieto) ja pankin lähettämä SMS-koodi (hallussa) — on käytössä erityisesti silloin, kun pelaajalla ei ole pankin sovellusta tai biometriaa käytössä. Mobiilisovellukseen siirtyminen on tehnyt SCA:sta käytännössä saumattoman, mutta perinteinen SMS-malli toimii edelleen varakeinona.
Käytännön merkitys vedonlyöntipelaajalle on selvä. Mastercardin Identity Check -järjestelmä yhdistää SCA:n nykyiseen 3DS 2.x -infrastruktuuriin niin, että riskipohjainen analyysi pyytää lisätunnistautumista vain noin 5 prosentissa tapahtumista, kun loput 95 prosenttia menee läpi huomaamaton-käsittelyssä (Chargebacks911 / Mastercard, 2026). Loput tapauksista hyödyntävät SCA:n poikkeuksia tai laskelmaa siitä, että aiemmat tunnistautumiset riittävät — esimerkiksi pankin sovellukseen kirjautuminen samana päivänä.
SCA:n poikkeukset — milloin tunnistautumista ei tarvita
PSD2:n tekninen lainsäädäntö (RTS) sisältää poikkeuslistan, jonka avulla osa tapahtumista voi mennä läpi ilman vahvaa tunnistautumista. Yleisimmät poikkeukset koskevat pieniä summia, alhaisen riskin tapahtumia ja whitelisted-toimijoita.
Pieni summa on alle 30 euron tapahtuma, jonka kortin haltija on tehnyt äskettäin vahvalla tunnistautumisella. Tällaisia voi tehdä peräkkäin viisi kappaletta tai kunnes yhteissumma ylittää 100 euroa, jonka jälkeen seuraava tapahtuma vaatii uuden vahvan tunnistautumisen. Vedonlyöntipelaajalle tämä tarkoittaa, että pienet 5-25 euron talletukset voivat mennä läpi ilman lisävaihetta, mutta yhden suuremman talletuksen tai useamman peräkkäisen pienen jälkeen pankin sovellus avautuu.
Alhaisen riskin tapahtumat ovat sellaisia, joissa kauppiaan ja kortin myöntäjän petosaste on alle määriteltyjen rajojen. Vakiintuneiden vedonlyöntialustojen petosaste on yleensä riittävän alhainen, ja niiden maksut voivat täyttää alhaisen riskin kriteerit. Whitelisted-toimijat ovat sellaisia, joita kortin haltija on hyväksynyt pankin verkkopankissa luotettaviksi — niiden tapahtumiin ei pyydetä SCA:ta uudelleen. Tämä on harvinainen mutta mahdollinen vaihtoehto, ja Suomessa harvat pelaajat käyttävät sitä aktiivisesti.
Toistuvien maksujen poikkeus koskee tilauksia ja toistuvia veloituksia, joissa pelaaja on antanut kerralla luvan toistuvaan veloitukseen. Vedonlyöntialustoissa tätä käytetään harvoin, koska pelitalletus on tyypillisesti yksittäinen toiminto, ei tilaus.
Lopulta on syytä mainita kolme tilannetta, joissa SCA-poikkeus ei missään tapauksessa sovellu. Ensimmäinen on kortin tai tilin ensimmäinen käyttökerta uudella pelisivulla — se vaatii aina vahvan tunnistautumisen, koska pelaaja, kortti ja kauppias muodostavat kolmiosaisen tunnistautumisketjun, joka ei ole vielä rakentunut. Toinen on tapahtuma, jonka pankin riskimoottori arvioi epätavalliseksi: epätavallinen IP-osoite, kellonaika tai laite triggeröi vahvan tunnistautumisen riippumatta summasta. Kolmas on tilanne, jossa pelaajalla on aktiivinen riitautus tai chargeback aiemmasta tapahtumasta — silloin pankki nostaa luokitusta automaattisesti.
Pelaajan kannalta poikkeusten ymmärtäminen on tärkeää, koska se selittää, miksi SCA-vaatimus voi yllättäen aktivoitua. Et tehnyt mitään väärin — algoritmi vain päätti, että tämä yksittäinen tapahtuma kuuluu siihen viiteen prosenttiin, joka tarvitsee lisätarkistuksen.
Konkreettinen vaikutus suomalaisilla vedonlyöntisivuilla
Kokeellisessa testaustyössäni eri suomalaisilla vedonlyöntisivuilla olen havainnut selkeät kuviot. Pienet 10-20 euron talletukset menevät tutuilta korteilta tutulta laitteelta läpi useimmiten ilman pankin sovelluksen avaamista. Kun summa nousee 50 eurossa tai sen yli, pankin sovellus avautuu lähes aina. Yli 100 euron talletukset vaativat sovelluksen avaamisen käytännössä joka kerta.
Toinen havainto on, että uudet kortit tai uudet pelisivut käynnistävät SCA:n alemmilla summilla. Jos olet juuri saanut uuden kortin tai luonut uuden tilin pelisivulle, ensimmäiset talletukset käyvät pankin sovelluksen kautta riippumatta summasta. Tämä on osa Identity Checkin riskiarviota: tuntematon yhdistelmä saa korkeammat pisteet ja vaatii vahvistuksen.
Kolmas havainto liittyy kortin tyyppiin. Mastercardin Identity Check -järjestelmän hyödyt näkyvät myös chargeback-puolella: 3DS:n käyttöönotto on vähentänyt korttipetoksia jopa 70 prosenttia, ja Visa Securen on raportoitu vähentävän petostappioita 40 prosenttia (chargeback.io / Visa, 2025-2026). Tämä on osa sitä, miksi pankit ovat sitoutuneet investoimaan riskipohjaiseen analyysiin: se vähentää petoksia ja samalla parantaa pelaajan kokemusta. Pelaaja, joka on rekisteröitynyt vedonlyöntialustalle pidempään, näkee yhä harvemmin lisätunnistautumisvaiheita.
Neljäs havainto on, että pankin sovellusten käytettävyys on noussut keskeiseksi muuttujaksi. Kun ennen 3DS:n vahva tunnistautuminen tarkoitti yleensä SMS-koodia, nykyään se merkitsee push-ilmoitusta pankin sovellukseen. Push-ilmoitus saapuu sekunneissa, ja pelaajan tarvitsee vain avata sovellus biometrisesti ja painaa hyväksyntää. Koko prosessi kestää 5-15 sekuntia. Tämän takia pankin sovelluksen toimivuus on käytännössä yhtä tärkeää kuin pelisivun toimivuus — jos sovellus ei toimi, talletus ei toimi. Suosittelen pelaajille, että puhelimen pankkisovellus on aina ajan tasalla ja että kirjautumisen biometria on testattu ennen kuin yrittää nopeaa talletusta.
Tulevat muutokset — PSD3 ja PSR
EU on valmistelemassa PSD2:n päivitystä, joka jakautuu kahteen osaan: uuteen direktiiviin (PSD3) ja sitä täydentävään asetukseen (PSR). Asetus on suoraan voimassa kaikissa jäsenmaissa ja yhtenäistää sääntöjä paremmin kuin vanha direktiivi. Ehdotusten käsittely on käynnissä, ja voimaantulon ajankohdaksi on arvioitu 2026 loppua tai 2027 alkua.
Pelaajalle olennaisimmat odotetut muutokset ovat selvempiä SCA-poikkeussääntöjä, vahvempia kuluttajansuojasäännöksiä petostapauksissa ja parempaa avoimuutta open banking -palveluissa. SCA:n perusrunko on tarkoitus pitää, mutta sen toteutusta yhtenäistetään niin, että EU:n eri pankit eivät tee asioita keskenään ristikkäisesti. Tämä auttaa erityisesti niitä pelaajia, jotka käyttävät ulkomaisia kortteja tai tekevät rajat ylittäviä talletuksia.
Tämä artikkeli on osa kokonaisuutta, jossa käsittelen Mastercard-pelaajan teknisiä yksityiskohtia. Jos haluat ymmärtää tarkemmin PSD2:n vaikutuksen vaihtoehtoisiin maksutapoihin, suosittelen lukemaan jatkoartikkelin Mastercard vs Trustly suomalaisessa vedonlyönnissä, jossa käsittelen, miten PSD2:n toinen ulottuvuus — pankkidatan avaaminen — synnytti Trustlyn kaltaisten A2A-maksujen ekosysteemin.
Useimmat kysymykset PSD2:sta ja vahvasta tunnistautumisesta
Pelaajat kysyvät jatkuvasti, miksi pieneen talletukseen ei pyydetä SCA:ta ja toimiiko PSD2 myös ulkomaisilla sivuilla. Vastaan näihin alla. Yleinen näkökulma on tärkeä: PSD2 koskee EU-pankkeja kortin myöntäjäpuolelta, joten direktiivin vaikutus näkyy kaikissa Suomesta tehdyissä Mastercard-talletuksissa, riippumatta siitä missä pelisivu sijaitsee.
Yhteenveto PSD2:sta Mastercard-vedonlyönnissä
PSD2 on tehnyt korttitalletuksesta turvallisempaa ja samalla — riskipohjaisen Identity Checkin ansiosta — useimmiten myös sujuvampaa. SCA:n kolmen tekijän logiikka, poikkeussäännöt ja Mastercardin riskianalyysi yhdessä mahdollistavat sen, että pelaaja kohtaa lisätunnistusvaatimuksen vain silloin, kun siihen on aitoa tarvetta. Tulevat PSD3- ja PSR-säädökset todennäköisesti tarkentavat ja yhtenäistävät tätä mallia, mutta pelaajan päivittäinen kokemus ei muutu radikaalisti.
Miksi PSD2 ei pyydä tunnistautumista pieneen Mastercard-talletukseen?
Pieni talletus alle 30 eurolla on yksi PSD2:n SCA-poikkeuksista, kunhan pelaaja on tehnyt äskettäin vahvan tunnistautumisen. Poikkeus toimii kunnes peräkkäisten pienten tapahtumien yhteissumma ylittää 100 euroa tai niitä on tehty viisi kappaletta, jonka jälkeen seuraavaan vaaditaan uusi vahva tunnistautuminen.
Toimiiko PSD2 myös ulkomaisella, ei-EU-sivulla?
PSD2 koskee EU-pankkeja kortin myöntäjäpuolelta. Kun talletat suomalaiselta Mastercardilta ulkomaiselle sivulle, pankki soveltaa SCA:ta riippumatta siitä, missä kauppias sijaitsee. Käytännössä SCA:n logiikka koskee kaikkia Suomesta tehtyjä korttitapahtumia, mutta ulkomainen sivu voi tehdä omia lisätarkistuksiaan.