Національна Асоціація Адвокатів УкраЇни - Як повернути кошти, вкрадені з кредитної картки

Найбільш поширеною формою шахрайства з банківськими картками є несанкціоновані транзакції, коли злочинець отримує доступ до інформації про банківську картку і використовує її для покупок без згоди власника. Це може статися через недобросовісний бізнес або неналежний захист інформації.

Постачальники платіжних послуг, які займаються збором, обробленням і зберіганням даних користувачів щодо банківських карток мають відповідати регуляторним вимогам ЄС та українського законодавства. У ЄС такі послуги регулюються Директивою про платіжні послуги 2 (PSD2), яка зобов’язує платіжні установи бути ліцензованими та відповідати вимогам безпеки для забезпечення захисту даних користувачів. Також установи електронних грошей можуть обробляти дані відповідно до Директиви про електронні гроші (EMD2), а кредитні установи (банки) – згідно з Директивою про вимоги до капіталу (CRD IV). Будь-який суб'єкт, що обробляє персональні дані в ЄС, повинен дотримуватися вимог Загального регламенту захисту даних (GDPR) для забезпечення конфіденційності та захисту даних.

В Україні ці відносини регулюються Законом «Про платіжні послуги», який передбачає реєстрацію та ліцензування Нацбанком постачальників платіжних послуг. Банки та фінансові установи мають право на оброблення даних банківських карток відповідно до Закону «Про банки і банківську діяльність», а платіжні процесори повинні відповідати стандартам безпеки платіжних карток (PCI DSS).

Постачальники платіжних послуг мають забезпечувати безпеку оброблення даних через впровадження технологій, таких як 3D Secure, що дає додатковий рівень захисту для онлайн-платежів і методів шифрування для захисту конфіденційної інформації під час її передачі та зберігання. Також для підвищення безпеки транзакцій застосовується багатофакторна аутентифікація (MFA).

Недотримання встановлених вимог збільшує ризики шахрайських дій. Проте високі комісії для торговців іноді можуть спонукати постачальників платіжних послуг до ігнорування деяких правил безпеки. І це створює вразливості в системі.

Для запобігання втраті коштів варто дотримуватися рекомендацій, які дають фахівці: бути обережним з електронними листами та повідомленнями від незнайомих або підозрілих відправників, не переходити за підозрілими посиланнями, використовувати двофакторну аутентифікацію, регулярно оновлювати програмне забезпечення та антивірусні програми, перевіряти URL-адреси на автентичність перед введенням конфіденційної інформації.

Крім того, Закон «Про платіжні послуги» покладає на власника картки обовʼязок не розголошувати індивідуальну облікову або іншу інформацію, яка дає змогу ініціювати платіжні операції стороннім особам (не повідомляти шахраям дані картки, не зберігати PIN-код разом з карткою або записувати його на самій картці, не дозволяти фотографувати свою картку тощо).

Якщо неприємність таки сталася, то банк має повернути вкрадені гроші за умови дотримання клієнтом певних вимог:

Банк проводить службове розслідування, яке може тривати до 30 днів для внутрішніх операцій та до 60 днів для міжнародних операцій. Якщо розслідування встановить, що компрометація даних сталася не з вини клієнта, йому мають повернути кошти.

Українське законодавство, зокрема стаття 1073 Цивільного кодексу, передбачає, що банк повинен негайно зарахувати відповідну суму на рахунок клієнта після виявлення безпідставного списання. Постанова Правління НБУ від 29.07.2022 № 164 встановлює відповідальність банків за збереження інформації та безпеку платіжних операцій. А судова практика підтверджує, що сумніви та припущення мають тлумачитися на користь клієнта, який є слабкою стороною у відносинах з банком (див. справу № 176/1445/22, у якій Верховний Суд постановив, що банк не довів, що клієнтка своїми діями сприяла втраті або незаконному використанню інформації для ініціювання платіжної операції). Втім, якщо сумнівна транзакція здійснювалася використанням автентифікації 3D-Secure (введення пароля, який приходить на номер мобільного телефону), то оскаржити таку транзакцію буде практично неможливо.

Українське законодавство зобов'язує банки повернути кошти клієнту протягом 30 днів після підтвердження шахрайської транзакції. Якщо сторони не можуть дійти згоди, справа може бути передана на арбітраж у платіжні системи Visa та MasterСard, які приймають остаточне рішення. В цьому випадку платіжні системи виконують функції позасудового вирішення суперечок між споживачем і торговцем, що загалом допомагає підтримувати довіру до електронних платежів. Адже правоохоронні органи та суди неефективно реагують на такі правопорушення з огляду на їх численність, відносно невеликі суми та недосконалість транскордонного співробітництва.

Проте це не означає, що не слід подавати заяву до кіберполіції (наприклад через систему електронних звернень громадян).

Втім статистика невтішна. За даними НБУ, у 2022 році клієнтам було відшкодовано лише 5 % від загальної суми вкрадених коштів. І це можна пояснити недотриманням умов безпеки або недостатньою наполегливістю.

Катерина Струкова

член Комітету НААУ з питань ІТ-права

	14:32 Пт 05.07.24
Як повернути кошти, вкрадені з кредитної картки
Головна цитата «Українське законодавство зобов'язує банки повернути кошти клієнту протягом 30 днів після підтвердження шахрайської транзакції» Найбільш поширеною формою шахрайства з банківськими картками є несанкціоновані транзакції, коли злочинець отримує доступ до інформації про банківську картку і використовує її для покупок без згоди власника. Це може статися через недобросовісний бізнес або неналежний захист інформації. Захист і вразливості Постачальники платіжних послуг, які займаються збором, обробленням і зберіганням даних користувачів щодо банківських карток мають відповідати регуляторним вимогам ЄС та українського законодавства. У ЄС такі послуги регулюються Директивою про платіжні послуги 2 (PSD2), яка зобов’язує платіжні установи бути ліцензованими та відповідати вимогам безпеки для забезпечення захисту даних користувачів. Також установи електронних грошей можуть обробляти дані відповідно до Директиви про електронні гроші (EMD2), а кредитні установи (банки) – згідно з Директивою про вимоги до капіталу (CRD IV). Будь-який суб'єкт, що обробляє персональні дані в ЄС, повинен дотримуватися вимог Загального регламенту захисту даних (GDPR) для забезпечення конфіденційності та захисту даних. В Україні ці відносини регулюються Законом «Про платіжні послуги», який передбачає реєстрацію та ліцензування Нацбанком постачальників платіжних послуг. Банки та фінансові установи мають право на оброблення даних банківських карток відповідно до Закону «Про банки і банківську діяльність», а платіжні процесори повинні відповідати стандартам безпеки платіжних карток (PCI DSS). Постачальники платіжних послуг мають забезпечувати безпеку оброблення даних через впровадження технологій, таких як 3D Secure, що дає додатковий рівень захисту для онлайн-платежів і методів шифрування для захисту конфіденційної інформації під час її передачі та зберігання. Також для підвищення безпеки транзакцій застосовується багатофакторна аутентифікація (MFA). Недотримання встановлених вимог збільшує ризики шахрайських дій. Проте високі комісії для торговців іноді можуть спонукати постачальників платіжних послуг до ігнорування деяких правил безпеки. І це створює вразливості в системі. Умови і процедура Для запобігання втраті коштів варто дотримуватися рекомендацій, які дають фахівці: бути обережним з електронними листами та повідомленнями від незнайомих або підозрілих відправників, не переходити за підозрілими посиланнями, використовувати двофакторну аутентифікацію, регулярно оновлювати програмне забезпечення та антивірусні програми, перевіряти URL-адреси на автентичність перед введенням конфіденційної інформації. Крім того, Закон «Про платіжні послуги» покладає на власника картки обовʼязок не розголошувати індивідуальну облікову або іншу інформацію, яка дає змогу ініціювати платіжні операції стороннім особам (не повідомляти шахраям дані картки, не зберігати PIN-код разом з карткою або записувати його на самій картці, не дозволяти фотографувати свою картку тощо). Якщо неприємність таки сталася, то банк має повернути вкрадені гроші за умови дотримання клієнтом певних вимог: негайно повідомити банку, який видав картку, про несанкціоновану транзакцію та заповнити форму для її оскарження транзакції; заблокувати банківську картку; подати через банк заявку на chargeback для відміни транзакції за банківською картою через платіжну систему та повернення коштів (chargeback - це світова процедура оскарження транзакції, яка дозволяє споживачам повернути свої гроші, не тільки якщо транзакція була несанкціонованою, але й у випадках звичайного повернення товару, відмови від послуги чи подвійного списання). Банк проводить службове розслідування, яке може тривати до 30 днів для внутрішніх операцій та до 60 днів для міжнародних операцій. Якщо розслідування встановить, що компрометація даних сталася не з вини клієнта, йому мають повернути кошти. Українське законодавство, зокрема стаття 1073 Цивільного кодексу, передбачає, що банк повинен негайно зарахувати відповідну суму на рахунок клієнта після виявлення безпідставного списання. Постанова Правління НБУ від 29.07.2022 № 164 встановлює відповідальність банків за збереження інформації та безпеку платіжних операцій. А судова практика підтверджує, що сумніви та припущення мають тлумачитися на користь клієнта, який є слабкою стороною у відносинах з банком (див. справу № 176/1445/22, у якій Верховний Суд постановив, що банк не довів, що клієнтка своїми діями сприяла втраті або незаконному використанню інформації для ініціювання платіжної операції). Втім, якщо сумнівна транзакція здійснювалася використанням автентифікації 3D-Secure (введення пароля, який приходить на номер мобільного телефону), то оскаржити таку транзакцію буде практично неможливо. Українське законодавство зобов'язує банки повернути кошти клієнту протягом 30 днів після підтвердження шахрайської транзакції. Якщо сторони не можуть дійти згоди, справа може бути передана на арбітраж у платіжні системи Visa та MasterСard, які приймають остаточне рішення. В цьому випадку платіжні системи виконують функції позасудового вирішення суперечок між споживачем і торговцем, що загалом допомагає підтримувати довіру до електронних платежів. Адже правоохоронні органи та суди неефективно реагують на такі правопорушення з огляду на їх численність, відносно невеликі суми та недосконалість транскордонного співробітництва. Проте це не означає, що не слід подавати заяву до кіберполіції (наприклад через систему електронних звернень громадян). Втім статистика невтішна. За даними НБУ, у 2022 році клієнтам було відшкодовано лише 5 % від загальної суми вкрадених коштів. І це можна пояснити недотриманням умов безпеки або недостатньою наполегливістю. Автор публікації: Катерина Струкова Катерина Струкова член Комітету НААУ з питань ІТ-права Аби першим отримувати новини адвокатури, підпишіться на канал Національної асоціації адвокатів України у Telegram.
© 2024 Unba.org.ua Всі права захищені "Національна Асоціація Адвокатів України". Передрук та інше використання матеріалів, що розміщені на даному веб-сайті дозволяється за умови посилання на джерело. Інтернет-видання та засоби масової інформації можуть використовувати матеріали сайту, розміщувати відео з офіційного веб-сайту Національної Асоціації Адвокатів України на власних веб-сторінках, за умови гіперпосилання на офіційний веб-сайт Національної Асоціації Адвокатів України. Заборонено передрук та використання матеріалів, у яких міститься посилання на інші інтернет-видання та засоби масової інформації. Матеріали позначені міткою "Реклама", публікуються на правах реклами.

Як повернути кошти, вкрадені з кредитної картки

Головна цитата