Mastercard Identity Check ja 3D Secure 2 vedonlyönnissä
Ladataan...
Identity Check on se vaihe, jonka pelaaja näkee yleensä vain viidellä kerralla sadasta
Suosittu väärinkäsitys on, että Mastercard Identity Check on jokin kysely, joka ilmestyy aina kun pelaaja tekee talletuksen. Käytännön todellisuus on toisenlainen: yli 19 talletusta 20:stä menee läpi kokonaan ilman lisävahvistusta, koska järjestelmä työskentelee taustalla riskipohjaisella analyysillä eikä vaadi pelaajalta mitään ylimääräistä. Vain pieni murto-osa joutuu niin sanottuun vahvistusvaiheeseen, jossa pankin sovellus tärisee taskussa ja pyytää sormenjäljen tai biometriikan.
Tämä on suunniteltu näin tahallaan. Identity Check on Mastercardin brändinimi 3D Secure 2 -protokollalle, joka on EU:n PSD2-direktiivin perimmäinen tukijalka korttipuolen verkkokaupassa. Se hyödyntää yli sata datapistettä per yritys — laitteen sormenjälki, IP-osoite, sijainti, ostohistoria, kellonaika, summa ja monta muuta — ja päättää automaattisesti, onko transaktio riittävän vähäriskinen ohjattavaksi suoraan läpi vai vaatiiko se lisävahvistusta. Mastercardin omien tilastojen mukaan noin 95 prosenttia talletuksista pääsee huomaamatonta reittiä, ja vain 5 prosenttia päätyy vahvistukseen.
Tämä on hyvin merkittävä ero edelliseen sukupolveen, vanhaan 3D Secure 1:n / Mastercard SecureCode -järjestelmään, joka pyysi vahvistusta jokaiselta verkkomaksulta riippumatta riskiprofiilista. Vanha järjestelmä oli niin hidas ja niin häiritsevä, että noin 10 prosenttia kaupoista jäi tekemättä — pelaaja tai ostaja vain luovutti puolessa välissä prosessia. Uusi 3DS 2 on suunniteltu poistamaan tämä kitka.
Käyn tässä oppaassa läpi koko Identity Check -kokonaisuuden suomalaisen vedonlyöntipelaajan näkökulmasta: miten vanha ja uusi versio eroavat, mistä tulee 95 prosentin huomaamaton-luku, milloin pankki pyytää lisävahvistuksen, miten biometriikka toimii suomalaisilla pankeilla, miten PSD2 ja SCA liittyvät kuvaan, sekä mitkä ovat yleisimmät ongelmat ja mitä Identity Check ei suojaa pelaajaa vastaan.
3DS 1 vs 3DS 2 — pelaajan kannalta yön ja päivän ero
Kun aloitin korttimaksuvälineiden tutkimisen yhdeksän vuotta sitten, jokainen verkkomaksu pyysi vahvistuksen. Pankki avasi pop-up-ikkunan, johon piti kirjoittaa SMS-koodi tai pankkitunnusten avainluku, ja jos se ei mennyt 60 sekunnissa, koko ostos peruuntui. Tämä oli 3D Secure 1, käytännössä Mastercardilla SecureCode-nimellä ja Visalla Verified by Visa -nimellä.
3DS 1 oli teknisesti kömpelö. Se perustui staattisiin salasanoihin ja ohjasi kaupan kolmen osapuolen — kortinhaltijapankin, Mastercard-verkon ja kauppiaan — välillä iframe-pohjaisilla redirectionilla, joka oli yhteensopiva selainten kanssa harvoilla mobiililaitteilla. Käytön epäonnistumisaste oli korkea: noin joka kymmenes ostos kaatui jossain vaiheessa, ja kauppiaat olivat usein häviävinä, koska konversioluvut tippuivat.
3D Secure 2, Mastercardin brändäämä Identity Checkinä, julkaistiin EMVCo:n standardina vuonna 2016 ja saavutti kriittisen massan eurooppalaisilla pankeilla 2019–2020 PSD2-velvoitteiden myötä. Käytännön ero pelaajan kannalta on kaksiosainen.
Ensimmäinen ero on riskipohjainen-analyysi. Vanha versio pyysi vahvistuksen aina; uusi versio analysoi tapahtuman riskiprofiilin reaaliajassa ja päättää, tarvitaanko vahvistusta. Pelaajan tutulta laitteelta tutusta sijainnista normaalia summaa vastaava talletus kulkee suoraan läpi. Outo laite, ulkomailta tehty maksu tai poikkeuksellisen suuri summa laukaisee vahvistuksen.
Toinen ero on vahvistustapa. Vanha versio kysyi staattista salasanaa tai SMS-koodia, joka oli hidas ja puhelimen tavoitettavissa olevuudesta riippuva. Uusi versio käyttää pankin omaa sovellusta, joka tärisee puhelimessa ja pyytää sormenjälki- tai kasvotunnistusta. Vahvistus vie 5–10 sekuntia, kun aikaisemmin kului 60–90 sekuntia.
Käytännössä tämä tarkoittaa kolmea asiaa pelaajalle. Talletukset menevät huomattavasti nopeammin läpi, koska 95 prosenttia ei näe vahvistusvaihetta lainkaan. Petosriski on samalla pienentynyt: 3DS:n käyttöönotto on laskenut chargeback-mittausten mukaan kortin kautta tehdyn petoksen jopa 70 prosentilla. Ja mobiilimaksut toimivat sujuvasti, koska järjestelmä on alusta alkaen suunniteltu mobiilipuhelimelle.
Kannattaa myös tietää, että vanha SecureCode-järjestelmä ei kadonnut yhdessä yössä. Mastercard ilmoitti vuonna 2022, että uudet integraatiot pitää tehdä 3DS 2 -pohjaisina, ja vanhojen 3DS 1 -integraatioiden tuki päättyi kokonaan vuonna 2023. Käytännössä jokainen vedonlyöntisivusto, joka hyväksyy Mastercardin, käyttää uutta versiota. Jos joskus törmäät pelitilille, joka ohjaa sinut staattisen salasanan vahvistukseen, kyseessä on hyvin todennäköisesti rikkinäinen tai päivittämätön integraatio — eikä sivusto välttämättä ole turvallinen valinta.
Huomaamaton vahvistus — miksi suurin osa talletuksista menee suoraan läpi
Olen testannut omilla korteillani Mastercard-talletuksia useilla operaattoreilla viikoittain. Yksi havainto pysyy: 19 kerrasta 20:stä pankin sovellus pysyy taskuissa. Klikkaan Talleta, katson hetkeksi näyttöä, ja saldo on jo päivittynyt. Ei lisävahvistusta, ei sormenjälkeä, ei mitään. Tämä on huomaamaton vahvistus käytännössä.
Mistä luku tulee? Mastercardin Identity Checkin riskipohjainen tunnistautuminen -moottori arvioi jokaisen tapahtuman tieteellisesti riskinä. Käytössä on yli sata datapistettä — laitteen sormenjälki (niitä eri elementtejä, joilla selain identifioidaan), IP-osoite, sijainti GPS:n tai cell tower -tiedon perusteella, ostohistorian sopivuus tähän laitteeseen ja tähän kauppiaaseen, kellonaika, summa, valuutta, kortin myöntäjäpankin oma riskimalli, kauppiaan oma maine sekä koko ekosysteemin reaaliaikainen tilannekuva. Mastercard estää AI-pohjaisilla työkaluillaan vuonna 2023 yli 20 miljardin US-dollarin arvosta petostapahtumia, joten datan kanssa työskentelevän algoritmin olosuhteet ovat hyvät.
Jos tapahtuma näyttää tutulta — pelaaja tutulta laitteelta, tutusta IP-osoitteesta, tutulla summaluokalla, tutulle operaattorille — riskiarvo on matala, ja Mastercard ohjaa sen huomaamatonta reittiä. Vahvistus tehdään silti — pankki kuitenkin allekirjoittaa transaktion sähköisesti — mutta pelaaja ei näe sitä. Vahvistuksen vastaa risk engine pelaajan puolesta.
Tämän mekaniikan käytännön merkitys on suuri. Kauppiaat (operaattorit) ovat motivoituneita rakentamaan integraationsa hyvin, koska huonosti integroitu data tarkoittaa korkeampaa vahvistuspyyntöjen osuutta ja sitä kautta enemmän hylättyjä maksuja. Mastercard tarjoaa kauppiaille ”SDK-paketteja”, joilla saadaan kerättyä mahdollisimman monta datapistettä jo selaimessa, ennen kuin maksu lähtee.
Yksi sivuvaikutus, joka on merkityksellinen pelaajalle: jos käytät VPN:ää tai säännöllisesti vaihdat laitetta, huomaamattomat osumat vähenevät ja vahvistuspyyntöjen osuus kasvaa. Mastercard ei estä VPN:n käyttöä, mutta se laskee siitä riskipisteitä, koska oikea sijainti ei ole jäljitettävissä. Itse en koskaan tee talletuksia VPN:n kautta, ei siksi että haluan jotain salata, vaan siksi että sujuvuuden kannalta on järkevämpää näyttää järjestelmälle ”tavallinen pelaaja tutulta sijainnilta”.
Huomaamattoman vahvistuksen onnistuminen vaatii myös, että kortin myöntäjäpankki on integroitu kunnolla. Suomalaiset isot pankit (Nordea, OP, Danske, S-Pankki, Aktia) tukevat kaikki sekä huomaamaton- että vahvistusvaihetta. Pienemmillä pankeilla tai tietyillä prepaid-Mastercardeilla tuki saattaa olla puutteellisempi, ja silloin vahvistuspyyntöjen osuus on korkeampi.
Suomen Pankin tilastot vahvistavat järjestelmän tehokkuuden: korttipetokset ovat suomalaisilla korteilla 0,02 prosentin tasolla kaikista korttitapahtumista, mikä on alhainen luku eurooppalaisessa vertailussa. Tämä yksittäinen luku on hyvin pitkälti seurausta vahvasta tunnistautumisesta — Identity Check ja sen ympäristö pitävät petossuojan korkealla samalla kun sujuvuus pysyy hyvänä.
Vahvistusvaihe — milloin pankki pyytää lisävahvistuksen
Pankki kysyy. Puhelin tärisee. Avaat sovelluksen ja näytät sormea. Tämä on vahvistusvaihe, ja vaikka se osuu vain noin viidellä kerralla sadasta, on hyvä ymmärtää, milloin se laukeaa ja miksi.
Riskimoottori nostaa vahvistuksen yleensä silloin, kun jokin transaktion piirteistä poikkeaa pelaajan normaalikäytöksestä. Kuusi tyypillisintä laukaisinta:
Uusi laite. Olet tehnyt aiemmat talletukset MacBookilla ja kirjaudut nyt iPhonen kautta — selaimen sormenjälki on toinen, ja Mastercard nostaa varmuuden vuoksi vahvistuslipun. Sama tapahtuu, jos vaihdat selainta (Chromen sijaan käytät Firefoxia) tai päivität käyttöjärjestelmän.
Toinen sijainti. IP-osoite on toisessa maassa kuin tavallisesti. Suomalaiselle, joka on kotimaassa, tämä tarkoittaa yleensä lomamatkan kohteena olevaa maata. Jos lähdet Espanjaan ja yrität tehdä talletuksen siellä, huomaamattomien osuus tippuu noin puoleen, ja vahvistuspyyntö tulee herkemmin.
Suuri summa. Jokaisella kortinmyöntäjällä on omat raja-arvot, mutta nyrkkisääntö on, että 250 € ja sen yli olevat talletukset menevät vahvistusportin läpi useammin kuin 50 € talletukset. Erityisesti, jos juuri tehdyt talletukset ovat olleet pieniä ja yhtäkkiä summa hyppää.
Yöaikaan tehty maksu. Klo 02–06 välillä tehdyt talletukset näyttävät riskimoottorille epätyypillisiltä, vaikka pelaaja olisi täysin selvänä. Aikataulu vaikuttaa pisteytykseen.
Useita yrityksiä lyhyessä ajassa. Jos epäonnistunut talletus seuraa toista, riskimoottori voi nostaa vahvistuksen seuraavaan yritykseen turvatoimena. Tämä on tehty siksi, että petollinen taho voi yrittää useita summia putkeen oppiakseen, mikä menee läpi.
Uusi kauppias. Jos käytät Mastercardiasi ensimmäistä kertaa tietyllä operaattorilla, riskimoottori ei tunnista kauppiasta tutuksi, ja vahvistuspyynnön todennäköisyys on korkeampi. Toistuvat tapahtumat samalle operaattorille opettavat järjestelmän, ja muutaman kerran jälkeen huomaamaton yleistyy.
Vuonna 2025 Recorded Future yhdessä Mastercardin kanssa kirjasi yli 10 500 aktiivista Magecart-petoshyökkäystä, jotka vaaransivat yli 23 miljoonaa korttitapahtumaa verkkosivujen skripteillä. Tällaisten massahyökkäysten vuoksi riskimoottorit ovat herkkiä mille tahansa anomalialle, ja varovaisuus on hyvä asia, vaikka pelaaja saattaakin kokea sen häiritseväksi.
Pelaajan käytännön ohje: kun vahvistuspyyntö tulee, vahvista normaalisti pankin sovelluksen kautta, älä pyydä SMS-koodia ellei sovellus toimi. Jos sovellus ei toimi, kannattaa selvittää syy erillisellä testimaksulla (esim. pieni 1 € verkkokauppaostos), ennen kuin yrittää uudelleen pelitilille.
Biometrinen tunnistus pankin sovelluksessa
Suomalaiset pankit ovat siirtyneet biometriikkaan jo 2018–2020 PSD2-velvoitteiden myötä, ja käytännössä kaikki nykyiset pankkisovellukset tukevat sormenjälki- ja kasvotunnistusta puhelimen omilla biometriatyökaluilla. Pankki ei säilytä biometristä dataa itse — se vain pyytää käyttöjärjestelmää (iOS:n Face ID/Touch ID tai Androidin BiometricPrompt API) varmistamaan, että puhelimen omistaja on paikalla.
Käytännössä tämä tarkoittaa, että vahvistusvaiheen vahvistus kestää sekunteja, ei minuutteja. Sovellus avautuu, näyttää tapahtuman tiedot, kysyy biometriaa, ja palauttaa vastauksen Mastercardille. Mastercard puolestaan kirjoittaa vahvistustavan transaktion mukaan ja palauttaa hyväksynnän operaattorille.
Hyväksynnän jälkeen pelitilin saldo päivittyy useimmiten heti. Jos vahvistusvaihe on hyvin integroitu, pelaaja näkee sujuvan kokonaisprosessin: kaksi sekuntia maksulomakkeella, kaksi sekuntia pankin sovelluksessa, kaksi sekuntia takaisin pelisivustolle. Yhteensä alle kymmenen sekuntia.
Joillakin pankeilla biometriikka korvaa myös PIN-koodin tai pankkitunnusten avainluvun, joten edes varmistuskoodia ei tarvitse syöttää. Tämä on PSD2-direktiivin vaatima ”vahva tunnistautuminen”, joka edellyttää kahden tekijän käyttöä: jotain mitä omistat (puhelin) ja jotain mitä olet (sormenjälki tai kasvot). Sopimus toimii ilman, että pelaajan tarvitsee muistaa lisää salasanoja.
Yksi käytännön huomio: jos olet juuri vaihtanut puhelimen, biometriikka pitää aktivoida pankin sovelluksessa uudelleen. Useimmilla suomalaisilla pankeilla aktivointi tapahtuu kirjautumalla pankkitunnuksilla ensimmäisellä kerralla. Tämän jälkeen biometriikka toimii. Jos tämä vaihe puuttuu, talletus saattaa epäonnistua keskellä vahvistusvaihetta — pelaaja saa virheilmoituksen ja joutuu tekemään uudelleen-aktivoinnin pankin sovelluksessa.
Mastercard on AI-pohjaisilla petostorjuntatyökaluillaan estänyt vuonna 2023 yli 20 miljardin US-dollarin arvosta vahinkoja, ja biometrinen tunnistus on tämän kehyksen kulmakivi. Kun jokainen vahvistettu maksu sisältää sekä laitedataa että biometristä todistetta, järjestelmä voi tunnistaa myös pelaajan poikkeavan käyttäytymisen — esimerkiksi tilanteen, jossa joku on saanut puhelimen haltuunsa ja yrittää tehdä maksua. Biometriikan epäonnistuessa transaktio hylätään.
PSD2-direktiivi ja vahva tunnistautuminen suomalaisilla pelaajilla
EU:n toinen maksupalveludirektiivi PSD2 on lainsäädäntö, joka tekee Identity Checkistä pakollisen kaikille eurooppalaisille korttitapahtumille. Direktiivi tuli voimaan 2019, ja sitä sovelletaan käytännössä kaikkiin verkossa tehtyihin maksuihin, joiden molemmat osapuolet — kortinmyöntäjäpankki ja kauppias — ovat ETA-alueella.
PSD2:n keskeinen termi on Strong Customer Authentication, lyhennettynä SCA. Se vaatii, että jokainen verkkomaksu vahvistetaan kahdella eri tekijällä kolmesta kategoriasta: jotain mitä tiedät (PIN, salasana), jotain mitä omistat (puhelin, kortti) ja jotain mitä olet (sormenjälki, kasvotunnistus). Tyypillinen yhdistelmä Suomessa: puhelin (omistus) + biometria (henkilöllisyys).
Direktiivissä on muutamia poikkeuksia, joihin on hyvä tutustua. Pienet alle 30 € maksut voivat ohittaa SCA:n, jos kortilla on ollut alle viisi peräkkäistä SCA-vapaata maksua tai yhteissumma alle 100 €. Toistuvat saman summan maksut samalle kauppiaalle (esim. tilausmaksu) ovat SCA-vapaita ensimmäisen vahvistuksen jälkeen. Whitelist-kauppiaat, joilla pelaaja on aktiivisesti merkinnyt kauppiaan luotettavaksi, eivät vaadi vahvistusta. Riskimoottorin kautta arvioidut matalan riskin tapahtumat — eli juuri ne 95 prosenttia huomaamaton-tapauksista — eivät vaadi pelaajan näkyvää vahvistusta, vaikka SCA tehdään edelleen taustalla.
Vedonlyöntimaailmassa pelaajan kannattaa tietää erityisesti viimeinen poikkeus. Huomaamaton vahvistus ei ole SCA:n ohitus — se on tapa täyttää SCA ilman, että pelaaja näkee vahvistusta. Pankin riskimoottori allekirjoittaa transaktion sähköisesti perustuen kerättyyn dataan, ja Mastercard hyväksyy tämän sähköisen vahvistuksen riittäväksi. PSD2-vaatimukset täyttyvät, vaikka pelaaja kokee maksun olevan ”ilman vahvistusta”.
PSD2 vaikuttaa myös ulkomailta tehtyihin maksuihin. Jos pelaaja on ETA-alueen ulkopuolella ja yrittää tehdä maksun ETA-alueen kauppiaalle, SCA on pakollinen ja vahvistusvaihe nousee huomattavasti todennäköisemmäksi. Tämä on syy siihen, miksi lomamatkalla Mastercard-talletukset vaativat useammin lisävahvistuksen kuin kotona.
Yksi ennustettu muutos vuoteen 2027: EU:n PSD3-direktiivi on luonnosvaiheessa, ja sen oletetaan kiristävän SCA-vaatimuksia entisestään, mutta samalla yksinkertaistavan poikkeustilanteita. Pelaajan kannalta tämä tarkoittaa todennäköisesti vielä korkeampaa huomaamaton-prosenttia ja vähemmän vahvistustilanteita. EGBA:n ennusteen mukaan eurooppalaisen rahapelimarkkinan koko nousee 127,7 miljardiin euroon vuonna 2025 ja 149,2 miljardiin euroon vuonna 2029, ja maksuturvallisuuden kehitys on välttämätön edellytys tälle kasvulle.
Suomalaiselle pelaajalle PSD2 on enemmän infrastruktuuri kuin huomattava asia. Sen vaikutus näkyy siinä, että Identity Check on saatavilla kaikilla suurilla suomalaisilla pankeilla ja toimii sujuvasti — mutta sen yksityiskohdat ovat järjestelmäpalvelu, ei pelaajan päivittäinen huoli. Jos haluat sukeltaa syvemmälle siihen, miten PSD2 ja vahva tunnistautuminen vaikuttavat suomalaisten pankkien Mastercard-vedonlyöntimaksuihin, tein erillisen oppaan, jossa käydään läpi muutostilanteet ja poikkeustapaukset yksityiskohtaisesti.
Yksi PSD2:n epäsuora vaikutus, johon pelaajat törmäävät harvoin mutta joka on hyvä tunnistaa: ”delegated authentication” -malli. Tässä mallissa kauppias (operaattori) saa luvan tehdä SCA-vahvistuksen omilla työkaluillaan ennen kuin Mastercardin verkkoon lähetetään autorisointipyyntö. Käytännössä operaattori käyttää omaa biometriatyökaluaan tai sovelluspohjaista tunnistautumista, ja Mastercard hyväksyy sen riittäväksi vahvistukseksi. Tämä on harvinaista vedonlyöntimaailmassa — sitä käyttävät lähinnä isot e-commerce-ympäristöt — mutta se voi vähitellen tulla myös rahapelialalle, kun integraatiot kehittyvät.
Yleisimmät ongelmat ja niiden ratkaisut
Olen pitänyt yhdeksän vuoden aikana epämuodollista listaa Identity Check -tilanteista, joissa pelaaja jää jumiin. Lista on lyhyt ja toistuva. Käyn ne läpi tärkeysjärjestyksessä yhdessä korjausvaiheen kanssa.
Aikakatkaisu vahvistuksen aikana. Tämä on yleisin ongelma. Pankin sovellus avautuu, mutta pelaaja ei ehdi vahvistaa 60 sekunnin sisällä — selain palaa pelisivulle, ja maksu peruuntuu. Korjaus: pidä puhelin valmiina ja sovellus sisäänkirjautuneena, kun teet talletusta. Jos sovellus pyytää PIN-koodia ennen biometriaa, ehdi syöttää se etukäteen.
Pankin sovellus ei avaudu push-ilmoituksesta. Joillakin Android-laitteilla ja huonosti integroiduilla pankkisovelluksilla push-ilmoitusta ei saavu lainkaan, tai sovellus aukeaa väärälle näkymälle. Korjaus: avaa pankin sovellus käsin ennen kuin painat Talleta. Useimmilla pankeilla odottavat tunnistautumispyynnöt näkyvät etusivulla automaattisesti.
Väärä kortti — pankki ei tunnista korttia. Tämä tapahtuu, jos olet syöttänyt väärän korttinumeron tai vanhentumispäivän. Pankki voi myös hylätä tunnistautumisen, jos kortti on lukittu (esim. ilmoittamattoman matkustuksen vuoksi). Korjaus: tarkista korttitiedot, ja jos kortti on lukittu, soita pankkiin tai avaa kortti sovelluksesta.
Ulkomainen sivusto, jonka pankki ei tunnista. Joillakin pienemmillä Curaçao-lisensoituilla operaattoreilla pankin riskimoottori ei tunnista kauppiastunnistetta, ja vahvistus epäonnistuu vaikka biometria onnistuu. Korjaus: kokeile toista kertaa, joskus toistaminen riittää järjestelmän opetukseksi. Jos toistuu, kokeile toista maksuvälinettä.
Biometriikka epäonnistuu. iOS- tai Android-laite ei tunnista sormenjälkeä tai kasvoja — esim. märkä sormi, lasit kasvoilla. Korjaus: yritä uudestaan tai vaihda PIN-koodiin, jos pankki sallii sen.
SMS-koodi tulee liian myöhään tai ei tule lainkaan. Tämä on jäänne 3DS 1 -ajalta, ja sitä käytetään vain, jos pankin sovellus ei toimi. Korjaus: varmista, että puhelinnumero on pankin järjestelmässä ajantasalla, ja että matkapuhelinverkko toimii. Jos olet ulkomailla, SMS-koodit voivat myöhästyä operaattoriverkkojen vuoksi.
Kortti raportoituna kadonneeksi tai varastetuksi. Jos kortti on lukittu, tunnistautuminen ei voi onnistua. Korjaus: avaa uusi kortti tai pyydä korotus ja palautus pankilta.
VPN-yhteys. Useimmat pankit ja Mastercard sallivat VPN:n käytön, mutta riskimoottori nostaa vahvistuspyynnön todennäköisyyttä huomattavasti. Joillakin pelisivustoilla VPN-yhteys saattaa estää maksun kokonaan. Korjaus: kytke VPN pois talletuksen ajaksi.
Vanhentunut 3DS-rekisteröinti. Joillakin pankeilla kortti pitää erikseen rekisteröidä Identity Check -järjestelmään, ja jos rekisteröinti on vanhentunut tai sitä ei ole tehty, vahvistus epäonnistuu. Tämä on harvinaista uusilla suomalaisilla korteilla, mutta saattaa osua, jos kortti on kymmenen vuoden takainen tai jos pankki on äskettäin uusinut tunnistautumisjärjestelmänsä. Korjaus: kirjaudu pankin verkkopankkiin ja etsi ”korttiasetukset” tai ”verkkomaksut”, jonka alla pitäisi olla maininta Identity Checkin tilasta.
Useita epäonnistuneita yrityksiä peräkkäin. Kun vahvistus epäonnistuu kolme kertaa lyhyessä ajassa, joillakin pankeilla kortti lukittuu varotoimena. Lukitus avataan yleensä soittamalla pankkiin tai aktivoimalla kortti uudelleen sovelluksessa. Jos olet juuri päivittänyt puhelimen tai vaihtanut numeroa, tämä on yllättävän yleinen tilanne.
Mitä Identity Check ei suojaa — pelaajan kannalta tärkeät rajat
Ilya Volovik, Recorded Futuren maksuvälineiden petostiedustelun johtaja, totesi vuoden 2026 raportissa, että ne organisaatiot, jotka onnistuvat suojaamaan asiakkaitaan, ovat niitä jotka kykenevät yhdistämään johtajuuden, sulauttamaan kyber- ja petostiedustelun ja maksimoimaan signaalien havaitsemisen ja korreloinnin pirstaleisten datalähteiden välillä. Tämä havainto on relevantti, koska se kuvaa myös sen, mitä Identity Check ei voi tehdä — se on yksi signaali muiden joukossa, ei kaiken kattava suoja.
Identity Check suojaa kortin luvattomalta käytöltä. Jos joku saa korttisi numeron tietoonsa ja yrittää tehdä maksun verkossa, vahva tunnistautuminen estää sen, koska petollinen taho ei saa pankin sovelluksesta vahvistusta. Tämä on vahva suoja, ja Suomen Pankin tilastojen 0,02 prosentin petostaso kertoo siitä, miten hyvin se toimii.
Identity Check ei kuitenkaan suojaa sinua näiltä tilanteilta:
Sinun oma päätöksesi pelata. Jos teet itse talletuksen — joko järkevän tai järjettömän — Identity Check ei kysy ”oletko varma”. Se vain tarkistaa, että kortti on sinun. Pelirajojen asettaminen, pelitiliin liittyvät rajoitukset ja itsetarkkailu ovat erillinen turva, joka pitää rakentaa erikseen.
Phishing-sivustot ja huijausoperaattorit. Jos rekisteröidyt huijausoperaattorin sivustolle ja teet talletuksen, kortti vahvistetaan vahvasti — mutta operaattori on edelleen huijari, ja rahasi ovat menneet. Identity Check ei tutki, kuka on toinen pää maksulla.
Account takeover -hyökkäykset. Jos joku saa pelitilisi käyttäjätunnukset (esim. tietovuodon kautta), hän voi nostaa rahaa pelitililtä e-lompakkoonsa tai pyytää muutoksen kotiutusmenetelmän. Identity Check ei tutki, mitä pelitilin sisällä tapahtuu — se tutkii vain talletuksia korttiin liittyen.
Magecart-tyyppiset injektiohyökkäykset, joissa petolliset skriptit kaappaavat korttitiedot maksulomakkeesta ennen niiden lähettämistä pankille. Vuonna 2025 vaarantuneita oli yli 23 miljoonaa korttitapahtumaa. Identity Check ei suojaa, koska hyökkäys tapahtuu ennen kuin tieto edes saavuttaa Mastercardin verkon. Suoja näiltä on operaattorin omilla turvatoimilla — sen takia kannattaa pysyä luotettavissa ja aktiivisesti ylläpidetyissä operaattoreissa.
Kaiken kaikkiaan Identity Check on hyvin tärkeä peruslukko, mutta se on lukko vain yhteen oveen. Pelaajan oma vastuu — sivustojen valinta, pelirajojen asettaminen, kortin ja puhelimen turvaaminen, säännölliset tilinotekontrollit — on edelleen merkittävä osa kokonaisturvaa.
Identity Check on turvallinen, mutta ei kaikkivoipa
Mastercard Identity Check on suomalaisen vedonlyöntipelaajan kannalta erinomainen turvakerros — se yhdistää sujuvuuden ja petossuojan tavalla, joka ei vielä viisi vuotta sitten ollut käytännössä mahdollista. Huomaamaton vahvistus vie noin 95 prosenttia talletuksista läpi näkymättömästi, ja jäljelle jäävä 5 prosentin vahvistuspyyntöjen osuus vahvistaa biometrian avulla muutamissa sekunneissa.
Pelaajan kannattaa silti muistaa rajat. Identity Check suojaa kortin luvattomalta käytöltä, mutta ei tee päätöksiä pelaajan puolesta, ei suojaa huijaussivustoilta eikä paljasta jo varastettujen tunnusten käyttöä. Vahva tunnistautuminen on yksi turvakerros, ei kaikki turvakerrokset.
Käytännön ohje on yksinkertainen: pidä pankin sovellus puhelimessasi ajantasalla, varmista biometrian toimivuus, ja jos joskus joudut vahvistusvaiheeseen, vahvista rauhassa. Järjestelmä toimii hyvin, kun pelaajalla on infrastruktuuri kunnossa, ja siihen kannattaa investoida pari minuuttia ennen ensimmäistä isoa talletusta.
Usein kysytyt kysymykset Identity Checkistä
Miksi pankki pyytää välillä SMS-koodin Mastercard-talletukseen, välillä ei?
Tämä johtuu riskipohjainen tunnistautuminen -moottorista, joka analysoi jokaisen tapahtuman erikseen. Tutusta laitteesta, tutusta sijainnista ja tutulla summalla tehty talletus menee yleensä huomaamatonta reittiä eikä vaadi pelaajan vahvistusta. Outo laite, ulkomaa, suuri summa tai epätavallinen kellonaika laukaisee vahvistusvaiheen, jossa pankki pyytää biometrian tai SMS-koodin. Mastercardin oma tilasto kertoo, että noin 95 prosenttia talletuksista menee huomaamatonta reittiä.
Toimiiko Identity Check, jos olen ulkomailla matkoilla?
Toimii, mutta vahvistusvaihe nousee paljon todennäköisemmäksi. Riskimoottori havaitsee, että IP-osoite on toisessa maassa ja nostaa tarkistuksen tärkeysastetta. Käytännön ohje: ilmoita pankille matkasta etukäteen, jos pankin sovellus tarjoaa siihen mahdollisuuden, ja varmista että roaming on aktiivinen SMS-koodien vastaanottoa varten. Pankin sovellus ja biometriikka toimivat WiFin yli normaalisti, joten datayhteyden saatavuus on tärkeämpi kuin SMS-yhteys.
Pitääkö Identity Check -tunnistus tehdä joka talletuksessa erikseen?
Ei pidä. Vahvistus tehdään PSD2:n vaatimalla tavalla joka talletuksessa, mutta yli 95 prosentissa tapauksista se tehdään pelaajan näkymättömissä taustalla — pankin riskimoottori allekirjoittaa transaktion sähköisesti, eikä pelaaja näe vaihetta. Vain noin viidellä prosentilla talletuksista pelaaja kohtaa vahvistusvaiheen, jossa pankin sovellus pyytää biometrian. Mitä tutummaksi laite, sijainti ja kauppias muuttuvat järjestelmälle, sitä useammin huomaamaton toimii.