Un code CVV2 est un acronyme pour Card Verification Value 2. Situé au dos de la plupart des cartes VISA, le code CVV2 est un code de sécurité à trois chiffres. Les codes CVV2 sont utilisés pour prévenir la fraude lorsque les achats sont effectués par téléphone ou sur Internet. Lors des achats, les commerçants envoient le code CVV2 avec d’autres informations d’achat et attendent l’authentification. Les commerçants, cependant, ne sont pas autorisés à conserver les codes de sécurité dans leurs dossiers.
Les voleurs de cartes de crédit et les fraudeurs appelés cardeurs tentent souvent d’utiliser des numéros de cartes de crédit volés qu’ils ont reconstitués à partir de reçus de cartes de crédit ou qu’ils ont interceptés sur Internet. Comme ils n’ont pas la carte physique, ils peuvent tenter de faire des achats par téléphone, sur Internet, par courrier ou par télécopieur. Appelés CNP, ou achats sans carte, ils sont donc vulnérables à la fraude et difficiles à protéger pour les sociétés de cartes de crédit.
Afin d’assurer la sécurité des transactions, la plupart des principales cartes de crédit ont soit un code PIN, soit un code à trois chiffres encodé dans la bande magnétique de la carte pour garantir la propriété de la carte lors des achats en magasin. Une deuxième fonction de sécurité, appelée code CVV, ou valeur de vérification de la carte, est située au dos de la carte. Il garantit la propriété lorsque la carte de crédit est utilisée et que la carte n’est pas physiquement disponible pour vérification.
La société de carte de crédit VISA appelle le code à trois chiffres CVV2. Mastercard appelle le code CVC2, ou code de validation de la carte, et il s’agit également d’un code à trois chiffres. Les deux sont situés au dos de la carte après le numéro de compte à 16 chiffres, à côté de la signature. American Express a sa propre version appelée le CID, ou numéro d’identification de la carte, qui est un numéro à quatre chiffres situé sur le devant de la carte, à côté du numéro de compte. D’autres entreprises ont des codes de sécurité similaires.
Lorsque des achats CNP sont effectués, le commerçant envoie le montant, le nom sur la carte, le numéro de compte, la date d’expiration et le code CVV2 à la société émettrice de la carte de crédit et attend l’approbation. La société émettrice de la carte de crédit renvoie un code de réponse et un code d’explication si la transaction a été effectuée ou non. Si le code CVV2 correspond au code d’un fichier, le code de réponse est M, sinon c’est N. Les commerçants ne sont pas autorisés à stocker des codes de sécurité pour quelque raison que ce soit, bien qu’ils puissent forcer un CNP sans code.