13.12.2021
Если торгово-сервисное предприятие не поддерживает 3D Secure (подтверждение операции с помощью sms), у банка-эмитента есть право запустить процедуру возврата оспариваемых средств – чарджбэк. Для этого пользователь должен подать заявление в свой банк на оспаривание мошеннической операции, заявив, что он не распознает покупку и что он ее не совершал. Так, для снижения риска крупных потерь при попадании данных банковской карты в руки злоумышленников рекомендуется хранить основные средства на карте или банковском счете, которые не используются при онлайн-шопинге. Часть накоплений можно откладывать на сберегательный счет и выводить по мере необходимости. Эксперты рекомендуют также завести отдельную карту для покупок в сети. А если деньги были украдены при покупках в магазинах, не использующих защитную технологию 3D Secure, можно запустить процедуру возврата средств. В рамках правил, установленных платежными системами, по несанкционированным транзакциям, проведенным без использования 3D Secure, ответственность возлагается на того участника в цепочке расчетов, кто не использует данный сервис. Эксперт от международного платежного провайдера Ecommpay Артур Заремба подчеркнул, что покупатель имеет право подать заявление в банк на оспаривание мошеннической операции не позднее чем через 120 дней после покупки. Помимо этого, если преступник использовал карту на онлайн-ресурсах, не требующих двухфакторной авторизации, транзакцию можно опротестовать и вернуть деньги. Отмечается, что в некоторых случаях интернет-магазины сами возвращают средства клиенту, если заказ еще не отправили в доставку. Директор Лиги безопасного интернета Екатерина Мизулина сообщила, что только в 2021 году было получено 11 тысяч обращений по разным случаям мошенничества: от продажи поддельных документов до кражи персональных данных. По ее словам, эффективным решением при текущих обстоятельствах может стать создание единого окна для жалоб на онлайн-мошенников. Если онлайн-магазин не присылает СМС с кодом для подтверждения платежа, это упрощает для мошенников проведение операций с карт жертв. Не все онлайн-магазины в РФ защищают платежи с помощью технологии 3D Secure, которая предусматривает подтверждение операции с помощью кода из СМС, отправленного на телефонный номер, привязанный к карте покупателя. Этой уязвимостью могут воспользоваться мошенники и оплатить товары чужой картой. Однако для этого им надо найти платежные данные скомпрометированных карт. На сегодняшний день более половины онлайн-магазинов, работающих на российском рынке, не проводят платежи с использованием 3D Secure, говорит Заремба. По данным компании по безопасности BI.ZONE, порядка 74 % операций в интернет-магазинах подтверждаются с помощью 3D Secure. Для иностранных магазинов же доля операций с подтверждением через 3DS не превышает 7 %, сказал представитель компании, напомнив, что крупнейшим иностранным маркетплейсом, работающим в РФ, является AliExpress, за ним следуют eBay и Amazon. «С помощью современных технологий, построенных в том числе на базе методов машинного обучения, торговые и кредитные организации самостоятельно анализируют все транзакции и в ряде случаев не требуют подтверждения оплаты через 3DS – это практикуется практически повсеместно на Западе и уже широко распространено в России», – заявил представитель AliExpress. «Даже если с какой-то ситуацией алгоритм сталкивается впервые и пропускает потенциально рисковую операцию, покупатель защищен на других этапах: AliExpress может отменить еще не отправленный заказ и вернуть деньги самостоятельно либо, если заказ отправлен, поможет вернуть деньги по правилам платежных систем в рамках процедуры чарджбэка», – утверждает представитель AliExpress. По его словам, вся сумма все равно вернется на счет владельца карты. Отказ от 3DS объясняется желанием продавца увеличить проходимость платежей и количество успешных покупок, так как очень часто пользователь может получить ошибку в проведении платежа именно при попытке его проверки, объясняет Заремба: «У пользователя может не открыться страница ввода 3DS пароля или, банально, не оказаться под рукой телефона, чтобы подтвердить платеж». Также, по его словам, использование 3DS увеличивает для магазинов комиссию за прием карт к оплате, которую он платит банку-эквайеру. При проведении платежей без проверки магазин берет на себя более высокие риски, например, ему могут грозить штрафы от платежных систем, если он в назначенный срок не сможет показать снижение мошеннических операций и чарджбэков, говорит Заремба. «Мерчанты, особенно крупные маркетплейсы, пытаются придерживаться номинального показателя в 1 % мошеннических операций», – оценивает эксперт. Чтобы провести подобные платежи через интернет-магазины, мошенники должны получить платежные данные карты: ее номер, имя владельца, срок годности и трехзначный номер с обратной стороны. Так как интернет-магазин не проводит проверку с помощью 3DS, то номер телефона, привязанный к карте, не нужен. Получить данные карты злоумышленники могут в слитых базах из интернет-магазинов, банков и так далее либо с помощью фишинговых сайтов. Такие сайты создаются мошенниками для получения данных карт: клиент думает, что вводит их для оплаты покупки, а на самом деле они попадают в руки злоумышленников.
Если мошенники все-таки украли деньги путем проведения платежей в онлайн-магазинах без 3D Secure, то клиент сможет вернуть средства. «В рамках правил, установленных платежными системами, по несанкционированным транзакциям, проведенным без использования 3D Secure, ответственность возлагается на того участника в цепочке расчетов, кто не использует данный сервис», – объясняет представитель Промсвязьбанка. Для этого пользователь должен подать заявление в свой банк на оспаривание мошеннической операции, заявив, что он не распознает покупку и что он ее не совершал. Если вместе с картой злоумышленник получил доступ к телефону и смог подтвердить платеж с помощью двухфакторной авторизации, опротестовать такие операции и вернуть средства практически невозможно – это можно сделать только по решению суда при содействии правоохранительных органов. ЦБ ранее предложил ввести обязательную к возврату денежную сумму при кражах со счетов граждан РФ. Регулятор намерен изменить порядок списания средств по мошенническим операциям, соответствующие поправки планируется внести в 161-ФЗ «О национальной платежной системе». Сумма возврата в этом году фактически составила 7,7 % от украденного (менее 250 млн рублей), Банк России предложил увеличить эту планку. По данным группы «Тинькофф», в 2020 году злоумышленники похищали у россиян в среднем 13,9 тыс. руб. за раз. В III квартале 2021 года число банковских операций без согласия клиентов выросло в РФ в 1,4 раза в годовом выражении. ЦБ зафиксировал 256 тыс. преступлений кибермошенников. За этот период злоумышленники похитили со счетов граждан 3,2 млрд руб.