Мы уже не раз слышали о способах мошенничества с банковскими картами, об уязвимостях в бесконтактных кредитках, которые позволяют украсть с них все деньги, поэтому обеспечение информационной безопасности пользователей является немаловажным аспектом, особенно если это касается данных пластиковых карт.
Сегодня же речь пойдет о менее очевидных опасностях, на которые редко обращают внимание: о возможных рисках трансграничных платежей и изначально заложенных в архитектуру платежных систем уязвимостях.
Многие считают, что для осуществления платежа через Интернет нужно обязательно указывать размещенный на оборотной стороне карты код CVV. Однако некоторые интернет-магазины позволяют оплачивать покупки, не сообщая платежному шлюзу секретный код. Прокомментировать ситуацию мы попросили директора по исследованиям и инновациям департамента развития бизнеса компании «Диасофт» Сергея Добриднюка: «Обычно указываются следующие реквизиты: номер карты, срок действия, эмбоссируемое имя и код CVV с обратной стороны карты».
«Карты с выдавленными (эмбоссированными) буквами, которые чаще всего применяются в Интернете, как правило, высокого класса — Visa Classic, Visa Gold и так далее. Выдавший их зарубежный банк проводит проверку держателя и его платежеспособности. Поэтому при мелких покупках продавец может спросить лишь про номер карты и не проводить авторизацию, потому что уверен: перед ним солидный покупатель», — рассказал Добриднюк.
«Это называется floor limit (подлимитные операции). В некоторых банках и у некоторых продавцов такая подлимитная сумма может достигать $1000», — сообщил нам эксперт. По словам Сергея Добриднюка, на развивающихся рынках такого пиетета нет и уровней безопасности может быть больше, но общих правил приема карточных реквизитов не существует — каждая торговая площадка может устанавливать их самостоятельно.
«Почти все операции, которые вы проводите «дистанционно», без предъявления PIN-кода или сертификата 3D Secure, можно опротестовать. Если вы сомневаетесь в легальности списания со стороны магазина, напишите специальное заявление в банк (charge back), и после проведенного расследования вам вернут деньги», — заявил Сергей Добриднюк.
К сожалению, решение об использовании дополнительной защиты принимает именно торговая площадка — даже если ваша карта защищена с помощью 3D Secure, магазин может и не запросить одноразовый пароль. Использование виртуальных карт без физических носителей также повышает уровень безопасности: они отличаются относительно небольшим сроком действия и малыми суммами на счете — в случае взлома интернет-магазина реквизиты основной карты не утекут в Интернет.
Как видите, сообщать номер с лицевой стороны карты кому попало не следует, а если мошенники ухитрятся выудить у вас (например, для перечисления денег — так часто обманывают продавцов подержанных гаджетов) имя держателя карты и срок ее действия, списать деньги будет делом техники. Даже без кода CVV.
Трансграничные платежи
Из-за скачков курсов валют возникает много проблем с трансграничными платежами и снятием иностранной валюты в банкоматах. Один из основных рисков здесь — невыгодный курс конвертации. «Конвертация может происходить четырежды: и в терминале (модуле) e-commerce-магазина, и в его банке-эквайере, и в платежной системе, и в выдавшем карту банке-эмитенте», — предупреждает Сергей Добриднюк.
Комиссий здесь несколько, но держатель видит их обычно одной суммой, которая может быть включена в стоимость покупки или списана отдельно. «Честно скажу, — продолжает Сергей Добриднюк, — без детального изучения тарифов платежных систем и своего банка простому обывателю разобраться невозможно». Бывает, что фактическое списание с карты происходит позже, чем был проведен платеж, — магазин может взаимодействовать со своим банком раз в несколько дней или недель (правила платежных систем допускают отсрочку до 45 дней). Из-за этой задержки при нестабильном валютном рынке расчеты могут пройти по менее выгодному курсу.
С подобной ситуацией сейчас сталкиваются многие держатели карт, оплачивающие покупки в иностранных магазинах или снимающие валюту в банкоматах. Если речь идет об ощутимых суммах, делать этого не стоит: в результате нехватки средств открывается овердрафт. Многим это может показаться странным, но особенно плохо дело с дебетовыми картами: в этом случае открывается «технический» или «запрещенный» овердрафт, и банк будет взимать с вас очень большие штрафы — до сотен процентов годовых.
Electronic use only
Еще одно заблуждение связано с картами Visa Electron и аналогичными продуктами начального уровня других платежных систем. На них нет выдавленных (эмбоссированных) букв и присутствует надпись «ELECTRONIC USE ONLY». Многие ошибочно полагают, будто такой картой нельзя платить через Интернет; на самом деле это зависит от решения банка-эмитента. Правила платежных систем не запрещают использовать их для дистанционных платежей. Проще говоря, с карты начального уровня украсть деньги через Интернет тоже можно.
Защита от конвертации
Некоторые банки выпускают мультивалютные карты, основную валюту которых можно менять. Если едете в еврозону, устанавливаете евро, если в США — доллары, внутри России — рубли. Тогда никакой конвертации не будет. Но если карта рублевая, платежные системы Visa, MasterCard и прочие устанавливают внутренние курсы системы, опираясь на официальные курсы Банка России. Переплата там небольшая — проценты или доли процентов.
Самый грабительский процент берут банкоматы, сторонние платежные системы (например, PayPal) и платежные терминалы, предлагая осуществить операцию в вашей родной валюте вместо той, в которой указана цена. Осознать это на месте обычно довольно сложно: для этого требуется потратить некоторое время на аккуратные подсчеты, держа в голове актуальные курсы всех задействованных в операции валют, дополнительные комиссии и так далее.
Следует понимать, что изобретенные почти 50 лет назад пластиковые карты и способы расчета по ним небезупречны. Есть несколько советов, которые помогут защитить и повысить безопасность карт. Однако, предлагаемые платежными системами технические решения не всегда удобны и зачастую призваны в большей степени обеспечивать выгоду продавцу, чем безопасность покупателю. Однако при грамотном использовании риски можно свести к минимуму — будьте осторожны и не забывайте про скользкие нюансы.
