Як повернути кошти, вкрадені з кредитної картки
Для запобігання втраті коштів варто дотримуватися рекомендацій, які дають фахівці: бути обережним з електронними листами та повідомленнями від незнайомих або підозрілих відправників, не переходити за підозрілими посиланнями, використовувати двофакторну аутентифікацію, регулярно оновлювати програмне забезпечення та антивірусні програми, перевіряти URL-адреси на автентичність перед введенням конфіденційної інформації
Найбільш поширеною формою шахрайства з банківськими картками є несанкціоновані транзакції, коли злочинець отримує доступ до інформації про банківську картку і використовує її для покупок без згоди власника. Це може статися через недобросовісний бізнес або неналежний захист інформації, розповідає членкиня Комітету НААУ з питань ІТ-права Катерина Струкова, передає Національна асоціація адвокатів України.
Захист і вразливості
Постачальники платіжних послуг, які займаються збором, обробленням і зберіганням даних користувачів щодо банківських карток мають відповідати регуляторним вимогам ЄС та українського законодавства. У ЄС такі послуги регулюються Директивою про платіжні послуги 2 (PSD2), яка зобов’язує платіжні установи бути ліцензованими та відповідати вимогам безпеки для забезпечення захисту даних користувачів. Також установи електронних грошей можуть обробляти дані відповідно до Директиви про електронні гроші (EMD2), а кредитні установи (банки) – згідно з Директивою про вимоги до капіталу (CRD IV). Будь-який суб’єкт, що обробляє персональні дані в ЄС, повинен дотримуватися вимог Загального регламенту захисту даних (GDPR) для забезпечення конфіденційності та захисту даних.
В Україні ці відносини регулюються Законом «Про платіжні послуги», який передбачає реєстрацію та ліцензування Нацбанком постачальників платіжних послуг. Банки та фінансові установи мають право на оброблення даних банківських карток відповідно до Закону «Про банки і банківську діяльність», а платіжні процесори повинні відповідати стандартам безпеки платіжних карток (PCI DSS).
Постачальники платіжних послуг мають забезпечувати безпеку оброблення даних через впровадження технологій, таких як 3D Secure, що дає додатковий рівень захисту для онлайн-платежів і методів шифрування для захисту конфіденційної інформації під час її передачі та зберігання. Також для підвищення безпеки транзакцій застосовується багатофакторна аутентифікація (MFA).
Недотримання встановлених вимог збільшує ризики шахрайських дій. Проте високі комісії для торговців іноді можуть спонукати постачальників платіжних послуг до ігнорування деяких правил безпеки. І це створює вразливості в системі.
Умова і процедура
Для запобігання втраті коштів варто дотримуватися рекомендацій, які дають фахівці: бути обережним з електронними листами та повідомленнями від незнайомих або підозрілих відправників, не переходити за підозрілими посиланнями, використовувати двофакторну аутентифікацію, регулярно оновлювати програмне забезпечення та антивірусні програми, перевіряти URL-адреси на автентичність перед введенням конфіденційної інформації.
Крім того, Закон «Про платіжні послуги» покладає на власника картки обовʼязок не розголошувати індивідуальну облікову або іншу інформацію, яка дає змогу ініціювати платіжні операції стороннім особам (не повідомляти шахраям дані картки, не зберігати PIN-код разом з карткою або записувати його на самій картці, не дозволяти фотографувати свою картку тощо).
Якщо неприємність таки сталася, то банк має повернути вкрадені гроші за умови дотримання клієнтом певних вимог:
- негайно повідомити банку, який видав картку, про несанкціоновану транзакцію та заповнити форму для її оскарження транзакції;
- заблокувати банківську картку;
- подати через банк заявку на chargeback для скасування транзакції за банківською картою через платіжну систему та повернення коштів (chargeback – це світова процедура оскарження транзакції, яка дозволяє споживачам повернути свої гроші, не тільки якщо транзакція була несанкціонованою, але й у випадках звичайного повернення товару, відмови від послуги чи подвійного списання).
Банк проводить службове розслідування, яке може тривати до 30 днів для внутрішніх операцій та до 60 днів для міжнародних операцій. Якщо розслідування встановить, що компрометація даних сталася не з вини клієнта, йому мають повернути кошти.
Українське законодавство, зокрема стаття 1073 Цивільного кодексу, передбачає, що банк повинен негайно зарахувати відповідну суму на рахунок клієнта після виявлення безпідставного списання. Постанова Правління НБУ від 29.07.2022 № 164 встановлює відповідальність банків за збереження інформації та безпеку платіжних операцій. А судова практика підтверджує, що сумніви та припущення мають тлумачитися на користь клієнта, який є слабкою стороною у відносинах з банком (див. справу № 176/1445/22, у якій Верховний Суд постановив, що банк не довів, що клієнтка своїми діями сприяла втраті або незаконному використанню інформації для ініціювання платіжної операції). Втім, якщо сумнівна транзакція здійснювалася використанням автентифікації 3D-Secure (введення пароля, який приходить на номер мобільного телефону), то оскаржити таку транзакцію буде практично неможливо.
Українське законодавство зобов’язує банки повернути кошти клієнту протягом 30 днів після підтвердження шахрайської транзакції. Якщо сторони не можуть дійти згоди, справа може бути передана на арбітраж у платіжні системи Visa та MasterСard, які приймають остаточне рішення. В цьому випадку платіжні системи виконують функції позасудового вирішення суперечок між споживачем і торговцем, що загалом допомагає підтримувати довіру до електронних платежів. Адже правоохоронні органи та суди неефективно реагують на такі правопорушення з огляду на їх численність, відносно невеликі суми та недосконалість транскордонного співробітництва.
Проте це не означає, що не слід подавати заяву до кіберполіції (наприклад через систему електронних звернень громадян).
За даними НБУ, у 2022 році клієнтам було відшкодовано лише 5 % від загальної суми вкрадених коштів. І це можна пояснити недотриманням умов безпеки або недостатньою наполегливістю.
Раніше ми інформували, що Верховний Суд колегією суддів Першої судової палати Касаційного кримінального суду своєю постановою погодився, що дії особи, спрямовані на заволодіння чужим майном, які були розпочаті нею як шахрайські, після викриття їх потерпілою, яка усвідомлювала протиправність вчинюваних щодо неї дій та намагалась повернути свій мобільний телефон, мають кваліфікуватися саме як відкрите викрадення чужого майна.
- 28 березня набрав чинності Закон № 3342-IX «Про внесення змін до Кримінального, Кримінального процесуального кодексів України та інших законодавчих актів України щодо удосконалення видів кримінальних покарань».
- Набирає чинності Закон «Про адміністративну процедуру»: у Мін’юсті роз’яснили основні процедурні строки.
- 28 грудня 2023 року президент Володимир Зеленський підписав Закон України «Про внесення змін до Кримінального кодексу України та Кримінального процесуального кодексу України щодо криміналізації контрабанди товарів та підакцизних товарів, а також недостовірного декларування товарів» від 09.12.2023 № 3513-IX.
- Застава є одним із видів запобіжних заходів, який обирають після того, як особа офіційно отримала статус підозрюваного. Як визначив кримінальний процесуальний закон, застава може бути як самостійним видом запобіжного заходу, так і альтернативою арешту. Зазначена альтернатива в більшості випадків залежить від тяжкості вчиненого кримінального правопорушення, а також від ризиків перебування підозрюваного/обвинуваченого на свободі.