Mastercard SecureCode vs Identity Check — siirtymä ja sen vaikutus pelaajalle
Ladataan...
SecureCoden alkuperä ja Identity Checkin tulo
Pelaajat eivät yleensä mieti, mikä järjestelmä laatikossa pyörii, kun he klikkaavat ”Maksa” Mastercard-talletuksessa. Ne pyytävät jonkin koodin, vahvistuksen sovelluksessa tai salasanan, ja maksu menee läpi. Nimi vaihtuu kuitenkin näkyvästi: vanhemmilla pelaajilla on muistissa SecureCode-banneri, uudemmilla Mastercard Identity Check tai pelkkä pankin tunnistautumisnäyttö. Siirtymä näiden välillä on yksi suurimmista verkkomaksun turvaarkkitehtuurin muutoksista, ja se vaikuttaa pelaajaan suoraan.
SecureCode oli Mastercardin alkuperäinen 3D Secure -toteutus, ja se julkaistiin laajasti 2000-luvun alussa. Logiikka oli yksinkertainen: pelaaja syötti staattisen salasanan, joka oli rekisteröity pankille kortin yhteyteen. Identity Check, joka on Mastercardin nimi 3D Secure 2.x -versiolle, korvasi tämän vuosien 2017-2022 aikana useimmissa Euroopan markkinoissa. Suomessa siirtymä saatiin pääosin valmiiksi vuoteen 2022 mennessä.
Käsittelen tässä artikkelissa, mitä SecureCode tarkalleen oli, miten Identity Check toimii eri tavalla, ja mikä siirtymässä konkreettisesti muuttui pelaajalle vedonlyöntisivulla. Mukana on Mastercardin omat luvut riskipohjaisen analyysin tuloksista sekä käytännön havaintoja siitä, miten suomalaiset pankit toteuttavat Identity Checkin omilla tavoillaan.
Vanha malli — SecureCoden toimintalogiikka
SecureCode rakentui kahden askeleen periaatteelle. Pelaaja syötti korttitiedot ja CVV:n maksusivulla, ja sen jälkeen häntä pyydettiin syöttämään erillinen SecureCode-salasana, joka oli rekisteröity pankille kortin avaamisvaiheessa tai myöhemmin verkkopankissa. Salasanan tarkistus tehtiin pankin palvelimella, ja se palautti maksusivulle joko hyväksynnän tai kiellon.
Mallin etu oli yksinkertaisuus. Pankin ja pelaajan välillä oli yksi yhteinen salainen, joka piti tietää tapahtuman hyväksymiseksi. Heikkous oli sama yksinkertaisuus. Salasana oli staattinen — pelaaja syötti saman koodin joka kerta -, mikä teki siitä alttiin keylogger-haittaohjelmille, phishing-sivuille ja korttitietojen kanssa varastettavaksi. Lisäksi käyttöprosentti jäi alhaiseksi: monet pelaajat eivät rekisteröineet SecureCodea koskaan, ja kauppias joutui silloin valitsemaan, hyväksyykö se ilman lisätunnistusta vai pyytääkö asiakasta avaamaan SecureCoden kesken maksun.
Suomessa SecureCode oli käytössä vuosina 2003-2022, mutta sen kattavuus pelisivuilla oli aina osittainen. Pienet ulkomaiset operaattorit eivät vaatineet sitä, suuret eurooppalaiset vaativat. Pelaaja saattoi kohdata saman maksun kahdella sivustolla: toisella SecureCode pyydettiin, toisella ei. Tämä vaihtelu oli yksi syy siihen, että EU-tasolla tarvittiin selkeämpi ja kattavampi sääntely — siitä syntyi PSD2-direktiivi, joka pakotti kaikkiin verkkomaksuihin vahvan tunnistautumisen.
Toinen heikkous oli salasanan unohduksen kierto. Kun pelaaja unohti SecureCode-salasanansa, palautusprosessi vaihteli pankeittain. Joillakin pankeilla se vaati verkkopankkiin kirjautumisen ja erillisen lomakkeen, joillakin asiakaspalvelupuhelun. Pelaaja, joka oli juuri tehnyt vedonlyöntipäätöksen ja halusi tallettaa nopeasti, joutui katkaisemaan koko tapahtuman ja palaamaan myöhemmin — usein liian myöhään tarkoittamaansa peliin. Tämä kitka oli yksi syy siihen, että monet pelaajat siirtyivät vaihtoehtoisiin maksutapoihin kuten Trustlyyn tai Zimpleriin, jotka käyttivät pankkitunnuksia kortin sijaan.
Uusi malli — Identity Checkin riskipohjainen analyysi
Recorded Futuren Payment Fraud Intelligence -johtaja Ilya Volovik toteaa Mastercardin ja Recorded Futuren yhteisessä Annual Payment Fraud Reportissa: In 2026, the organizations that succeed in defending their customers will be those that align leadership, fuse cyber and fraud intelligence, and maximize signal detection and correlation across fragmented data sources.
Identity Check on tämän ajatuksen tekninen toteutus korttitapahtumassa: yhden staattisen salasanan sijasta järjestelmä yhdistää signaaleja monesta lähteestä ja arvioi niistä riskin reaaliaikaisesti.
Identity Check toimii niin, että maksuhetkellä Mastercard ja kortin myöntänyt pankki saavat kymmeniä tietoelementtejä: laitteen sormenjäljen, IP-osoitteen, sijainnin, aiempien tapahtumien historian, kauppiaan luokan, tapahtuman summan, kellonajan. Riskipistemäärä lasketaan reaaliajassa, ja jos pisteet ovat alhaiset, tapahtuma menee läpi ilman, että pelaajalle näytetään mitään lisätunnistusvaatimusta — kokemus on ”huomaamaton”.
Vain korkean riskin tapauksissa pelaaja ohjataan vahvaan tunnistautumiseen — esimerkiksi pankin sovellukseen biometriaa varten tai SMS:llä saapuvaan kertakoodiin. Mastercardin omien lukujen mukaan riskipohjainen Identity Check pyytää lisätunnistautumista vain noin 5 prosentissa tapahtumista, ja loput 95 prosenttia menee läpi huomaamaton-käsittelyssä, raportoi Chargebacks911 vuonna 2026. Tämä on dramaattinen ero SecureCoden malliin, jossa salasana pyydettiin kaikilta tunnistautumisvaatimuksen aktivoineilta tapahtumilta.
Pelaajan kokemus — mikä konkreettisesti muuttui
Suomalaisilla vedonlyöntisivuilla siirtymä SecureCodesta Identity Checkiin näkyy pelaajalle kolmena muutoksena. Ensimmäinen on nopeus. Kun ennen joka talletuksessa pyydettiin salasanaa, nyt useimmat menevät läpi ilman lisävaihetta. Olen havainnut tämän testaustyössäni eri pelisivuilla: tyypillinen Mastercard-talletus suomalaiselta verkkoyhteydeltä tutulla kortilla menee läpi sekunneissa ilman, että pankin sovellus avautuu ollenkaan.
Toinen muutos on luotettavuus. SecureCoden aikaan moni talletus epäonnistui väärän salasanan tai ehtiväisten istuntoaikakatkojen takia. Identity Check ei ole täysin virheetön, mutta perusvirheiden määrä on selvästi laskenut. Chargeback.io:n ja Visan vuoden 2025-2026 tietojen mukaan 3DS:n käyttöönotto on vähentänyt chargeback-petoksia jopa 70 prosenttia, ja Visa Securen on raportoitu vähentävän petostappioita 40 prosenttia. Mastercardin Identity Checkin luvut ovat samaa luokkaa.
Kolmas muutos on biometrian rooli. Suomalaiset pankit ovat kaikki siirtyneet sovelluspohjaiseen tunnistautumiseen, ja vahva tunnistautuminen tehdään yleensä sormijäljellä tai kasvojentunnistuksella. Tämä on pelaajalle nopeampaa kuin SMS-koodin odottaminen tai SecureCode-salasanan muistaminen, mutta se vaatii sovelluksen toimivuutta. Jos puhelin on huoltoa varten ja sovelluksen biometria ei toimi, varakeino voi vaatia useita lisävaiheita.
Siirtymän vaiheet Suomessa
Suomalaisilla pankeilla siirtymä eteni vaiheittain. Ensimmäiset Identity Check -toteutukset näkyivät noin vuosina 2017-2018, ja viimeiset SecureCode-toteutukset poistuivat 2022 mennessä. Aktiivinen siirtymäkausi sijoittui 2019-2021, jolloin sama pankki saattoi käyttää eri kortteihinsa eri järjestelmiä. Pelaaja, jolla oli kaksi Mastercardia samasta pankista — toinen aktiivinen, toinen vanhempi -, saattoi kokea kahta erilaista käyttäjäkokemusta.
PSD2 oli koko siirtymän taustavoima. Direktiivin mukaiset SCA-vaatimukset astuivat voimaan korttimaksuihin Suomessa lopullisesti vuonna 2021, ja tämän jälkeen SecureCoden malli ei enää täyttänyt sääntelyä. Pankkien oli pakko siirtyä Identity Checkiin (tai sen Visa-vastineeseen Visa Secureen). Käsittelen PSD2:n laajempia vaikutuksia erillisessä artikkelissa PSD2 ja vahva tunnistautuminen Mastercard-vedonlyönnissä, jossa avaan myös sitä, miksi joissain tapauksissa lisätunnistautumista ei pyydetä lainkaan.
Käytännön ohje pelaajalle: jos pelisivu pyytää sinulta SecureCode-salasanaa vuonna 2026, kyseessä on vanhentunut järjestelmä, ja kannattaa kysyä operaattorilta, onko sivu yhteensopiva nykyisten EU-vaatimusten kanssa. Vakiintuneilla operaattoreilla tällaista ei pitäisi enää tapahtua.
Useimmat kysymykset SecureCodesta ja Identity Checkistä
Lukijat kysyvät säännöllisesti, onko SecureCode enää käytössä jossain pankissa Suomessa ja mistä vanhan mallin tunnistaa. Vastaan näihin alla. Yleisesti voi sanoa, että jos talletus tuntuu ”vanhanaikaiselta” — staattinen salasana erilaisella verkkosivulla, ei sovellusohjausta -, kyseessä voi olla joko vanha tekninen toteutus tai sitten ulkomainen toimija, joka ei seuraa EU-vaatimuksia.
Yhteenveto SecureCoden ja Identity Checkin siirtymästä
Mastercard Identity Check on tehnyt vedonlyöntipelaajan korttitalletuksesta nopeampaa ja luotettavampaa kuin SecureCoden aikana. Riskipohjainen analyysi tarkoittaa, että useimmat tapahtumat menevät läpi ilman lisävaihetta, ja vahvan tunnistautumisen biometria suomalaisten pankkien sovelluksissa on käytännössä saumaton. Pelaajan kannalta tämä on yksi harvoista alueista, joilla teknologinen kehitys on tuonut sekä turvallisuutta että käyttäjäystävällisyyttä samanaikaisesti.
Onko SecureCode enää käytössä yhdessäkään pankissa Suomessa?
Käytännössä ei. Suomalaiset pankit ovat siirtyneet täysin Identity Checkiin viimeistään vuoteen 2022 mennessä, ja PSD2-vaatimusten jälkeen vanha SecureCode-malli ei enää täytä EU-sääntelyä. Jos kohtaat SecureCode-tunnisteen suomalaisella sivulla, todennäköisesti kyseessä on vanha brändäys uudelle Identity Check -järjestelmälle.
Mistä tunnistaa vanhan SecureCode-mallin vedonlyöntisivulla?
Tunnusmerkit ovat: erillinen verkkosivu, joka latautuu maksun aikana, staattisen salasanan kysyminen ilman pankin sovelluksen avaamista, ja kuvake Mastercard SecureCode tai vastaava brändäys. Jos pankki ohjaa sinut omaan sovellukseensa biometriaa varten, kyseessä on Identity Check eikä vanha malli.