Безопасность применения пластиковых карт -законодательство и практика

Максим Эмм,
директор департамента аудита компании "Информзащита"

ПРАКТИЧЕСКИ самым универсальным платежным средством в современном мире стали банковские карты, которые в России приобретают все большую популярность. В нашей стране у платежной системы Visa, по данным ЦБ на конец 2-го квартала 2008 г., активны 29,3 млн штук, у платежной системы MasterCard - 14,5 млн штук. Однако чем чаще люди пользуются "пластиком": чем больше денежных средств хранят на счетах, тем сильнее возрастает риск мошенничества с их использованием.

Что угрожает обычному держателю пластиковой карты?

Для того чтобы украсть деньги с пластиковой карты, мошенники должны получить какой-нибудь из этих четырех компонентов:

• сама пластиковая карта;
• данные о держателе карты -номер, имя владельца, дата окончания срока действия, защитный код CVC, расположенный на обратной стороне карты;
• копию магнитной полосы карты;
• PIN-код карты.

Различные комбинации этих компонентов позволяют мошенникам осуществлять разные виды мошенничества, например:

• Если у мошенников есть сама пластиковая карта, но нет PIN-кода, тогда мошенник может выдать себя за законного держателя карты и расплатиться ею в магазине или в сети Интернет. Такая ситуация чаще всего встречается в случае утери или кражи пластиковой карты.
• Если у мошенников есть пластиковая карта и PIN-код, то они могут снять с карты всю наличность, которая там есть, через любой банкомат.
• Если у мошенников есть копия магнитной полосы карты и PIN-код, то они сами могут изготовить копию карты и действовать так же, как и в предыдущем случае.
• Если у мошенников есть только данные о держателе карты, то они могут использовать ее для оплаты товаров и услуг через Интернет или по каталогам, где это возможно.

Методы борьбы с мошенничеством

Для борьбы с мошенничеством такого рода применяются различные подходы.

Платежные системы разрабатывают стандарты безопасности, применение которых снижает риски мошенничества (такие, как PCI DSS, PA DSS, PCI PED и др.), и обязывают все компании их исполнять. Это касается торгово-сервисных организаций, непосредственно принимающих пластиковые карты к оплате, а также банков, процессинговых центров, платежных шлюзов и других организаций, через которые проходят платежи по пластиковым картам. Не забыты и разработчики программного обеспечения для обработки и проведения платежей по картам, а также разработчики устройств ввода PIN-кода, для которых недавно были приняты новые стандарты безопасности.

Банки, которые авторизуют платежи, и те банки, которые выпускают сами карты, также активно работают над снижением рисков: они внедряют системы мониторинга платежей, позволяющие выявить мошеннические транзакции, разрабатывают правила проведения платежей для торговых точек, предоставляют сервис мгновенного оповещения держателя карты о снятии у него средств по SMS и т.п.

Законодательная база

Несмотря на довольно широкий перечень применяемых методов борьбы с мошенничеством, с юридической точки зрения держатели карт защищены не так хорошо, как клиенты банков в других странах, например США. Законодательной базы, регламентирующей такого рода конфликты и разграничивающей ответственность между банком и клиентом в случае совершения мошеннических операций, в России еще нет. Все вопросы решаются в соответствии с договором между банком и клиентом. А в зависимости от того, как написан договор, к данной ситуации можно попробовать применить и Закон о защите прав потребителей и Гражданский кодекс, где описан общий подход. Судебная практика по таким конфликтам неоднозначна, хотя часто суды склоняются все же к тому, что за мошеннические транзакции должен нести ответственность именно банк.

Обычно, для того чтобы вернуть похищенные мошенниками деньги, клиенту российского банка нужно выполнить ряд условий, но в первую очередь своевременно заблокировать карту и в нужный срок написать заявление. Однако, как показывает практика, это не гарантирует возврата денег, или процесс может затянуться на долгое время.

Общие правила безопасности

• Никогда не пишите PIN-код на карте. Это все равно, что оставить открытую машину с ключами в замке зажигания.
• Никогда не храните записанный PIN-код вместе с картой. Безопаснее всего, если вы выучите код наизусть и вообще не будете его хранить в письменном виде.
• Никогда не передавайте карту другому человеку.  Во-первых, при задержании карты банкоматом он не сможет ее получить обратно. Во-вторых, нельзя гарантировать, будет ли тот, кому вы доверили свою карту, обращаться с ней так же осмотрительно, как и вы. Если вам необходимо, например, отдать ее родственникам, то можете сделать дополнительную карту, установив на нее лимит снятия денег.
• Никогда и никому не сообщайте свой PIN-код. Его не имеет права требовать у вас никто - ни работники банка, выдавшего карту, ни обслуживающий персонал банкомата, ни сотрудники магазина.
• Не оставляйте карту без присмотра.
• Никогда не сообщайте никому номер своей карты по телефону. Неизвестно, сколько человек услышат ваш разговор, и нет ли среди них того, кто может использовать услышанный номер в корыстных целях. Единственное исключение -служба поддержки карт вашего банка. Им сообщить номер придется, например для того, чтобы узнать количество денег на карте. Но звоните всегда по своему телефону по известному вам номеру.
• При утере карты немедленно сообщите об этом по телефону. Если вы потеряли пластиковую карту, немедленно звоните в банк, который ее выдал.
• Периодически проверяйте историю операций на вашем карточном счете не реже, чем раз в месяц. Особое внимание следует обратить на операции со счетом после поездок, в которых вы пользовались своей картой. Лучше всего подключить сервис информирования о транзакциях по карте через SMS.

Как только вы получили карту

• Вскройте конверт с PIN-кодом, запомните его и сохраните конверт там, где никто, кроме вас, его не сможет достать. А если у вас очень хорошая память и мало пластиковых карт, уничтожьте конверт так, чтобы восстановить код было невозможно.
• Обязательно оставьте образец своей подписи на обратной стороне карты сразу же после ее получения. Таким образом, при утере или краже карты от мошенников может потребоваться подделка вашей реальной подписи, что немного усложнит ее использование.
• Запишите номер своей карты и телефон, по которому необходимо звонить в случае ее утери или при каких-то недоразумениях, и храните этот номер отдельно от карты, например в мобильном телефоне. Это поможет вам защитить ваш счет в случае кражи и оперативно заблокировать карту.

Снятие денег в банкомате

• Самый надежный банкомат -тот, который стоит в отделении любого банка. В пустынном месте при снятии денег вы становитесь слишком уязвимым объектом для ограбления, да и банкомат может оказаться "с сюрпризом" в виде накладки, считывающей магнитную полосу вашей карты.
• Не позволяйте увидеть вводимый PIN-код посторонним людям. Вполне возможно, что после этого вы обнаружите пропажу карточки, а чуть позже и денег с вашего карточного счета.
• Не ошибайтесь при вводе PIN-кода больше двух раз. После трех ошибочных вводов кода банкомат может задержать вашу карту или в лучшем случае заблокировать дальнейшие операции по ней.
• Будьте оперативны при общении с банкоматом. На каждую операцию вам дается определенное время (около 30-45 секунд). Если в течение этого времени операция не будет завершена, то в лучшем случае банкомат вернет вам карту, в худшем - задержит ее.
• Проверьте, все ли вы забрали из банкомата. После завершения операции у вас должны остаться: карточка, деньги, выписка о произведенной операции. Если чего-то не хватает и банкомат не сообщил вам никакой дополнительной информации, то здесь что-то не так. Возможно, вы рискуете стать жертвой мошенников. Не доверяйте никому у банкомата, даже если этот человек одет в форму сотрудника службы по обслуживанию банкомата. Некоторые банкоматы не возвращают пластиковую карту автоматически и требуют нажатия для этого на специальную кнопку.
• Всегда сохраняйте выписки по итогам операции, которые выдает вам банкомат. Это позволит вести учет снятых денег и контролировать списание денег с вашего счета.
  

Оплата картой товаров и услуг в магазине

Никогда не выпускайте карту из поля зрения. Это доступ к вашим деньгам. Представьте, что вместо карты вы даете кассиру или официанту все деньги, которые у вас есть на счете, и просите его взять сколько нужно. Представили. Теперь вы чувствуете, что может произойти, пока вы не видите своей карты.

Старайтесь не расплачиваться картой в местах, не оборудованных POS-терминалами. Если вам приходится расплачиваться картой и при этом с нее снимают копию, никогда не подписывайте более трех слипов (чеков) при оплате без POS-терминала. Подпись на чеке - это ваше согласие списать с вашего карточного счета указанную сумму. Из трех подписанных вами слипов (чеков) один остается в организации, один отправляется этой организацией в банк и один остается у вас как подтверждение произведенной операции.

Оплата картой товаров и услуг сети Интернет

Не используйте для оплаты в Интернете карты, на которых у вас находятся крупные суммы денег. Лучше вообще завести для таких целей специальную отдельную карту для расчетов в Интернете и переводить туда деньги по мере необходимости.

Обращайте внимание на различные сертификаты, подтверждающие безопасность расчетов через сайт.

Старайтесь не оставлять данные о себе и своей карте на тех Web-сайтах, о которых вы ничего не знаете. Лучше поищите другой магазин, работающий через известный платежный шлюз или банк.

При появлении малейших подозрений о неправомерном списании денег со счета обращайтесь в банк. У вас есть определенный срок для того, чтобы отказаться или оспорить неправомерное списание денег с вашего карточного счета. Продолжительность этого срока следует уточнить в банке, выдавшем вам карту.