In primo luogo, è importante capire che la sicurezza non è binaria. Non è un concetto "on" o "off", ma un continuo o opzioni di gestione del rischio, e ogni decisione ha un costo. O il costo aggiuntivo dei controlli o della mitigazione mentre ci si sposta verso la parte "sicura" dello spettro, o il costo dello sfruttamento quando si accetta più rischi verso la fine "insicura".
Non c'è da nessuna parte questo è più vero e più evidente che nei sistemi che si occupano di carte di credito. Quando un'entità che si occupa di carte di credito prende una decisione sul rischio, vi è un compromesso tra l'accettazione del costo delle frodi quando il sistema è meno sicuro e l'accettazione del costo delle mancate entrate quando il sistema è più sicuro, poiché gli utenti sono impediti dall'effettuare transazioni legittime, sia perché il sistema non le consente, sia perché diventa più difficile da utilizzare.
Quindi, in qualsiasi sistema come questo, quando hai una domanda sul perché qualcosa non sembra sicuro come potrebbe essere, è generalmente sicuro che la risposta sia dovuta al costo della frode dovuta alla scelta in questione è inferiore al costo delle transazioni perse per l'alternativa più sicura. È incredibilmente critico per le vendite che i sistemi siano il più semplici possibile da usare, e anche piccole modifiche all'usabilità possono avere un drastico effetto sul numero di transazioni che vengono abbandonate e mai completate.
Per l'aspetto specifico nella tua domanda, perché non mascherano i CVV? Mi sembra che l'opportunità di ulteriori frodi qui sia piuttosto bassa, in quanto il CVV è solo uno dei pezzi di dati di cui avresti bisogno per commettere frodi, e il mascheramento riguarderebbe solo il più piccolo sottoinsieme di casi in cui un l'attore malintenzionato aveva richiesto tutti i dati tranne il CVV, ma poteva solo visualizzare il CVV sullo schermo e non dalla scheda stessa, o dalla tastiera mentre veniva inserita. Sospetto che il rischio aggiuntivo per gli utenti frustranti che entrano nel CVV in modo errato e non sia in grado di dirlo mentre è ancora piccolo, è significativamente più alto.