www.bancherul.ro
Publicatie online stiri bancare



Cum "se pescuiesc” 5.000 de euro de pe un card, printr-o frauda online, iar banca spune ca e vina clientului

Autor: Bancherul.ro
2022-11-24 18:35

„Mi-am deschis un cont la banca, cu card atasat, dar fara sa fiu atentionat cu privire la riscul fraudelor online, denumite phishing”, ne-a transmis un cititor. Iata ce a patit.


Dupa cateva zile de la deschiderea contului, a primit un e-mail care parea de la banca, avand sigla acesteia, in care este anuntat ca i-a fost suspendat contul si trebuie reactualizat, prin accesarea unui link catre asa-zisa „zona clienti” a bancii, unde trebuie completate datele cardului. (vezi mesajul nada in fotografia de sus)


Nu s-a gandit ca ar fi vorba de o tentativa de frauda, astfel ca nu a verificat adresa e-mailului, care desi afisa numele bancii, nu continea numele bancii, ci era total diferita.


Acesta este primul lucru la care trebuie sa fiti atenti cand primiti e-mailuri de la necunoscuti: mailul poate sa arate ca vine de la o banca sau de la alta firma, dar de fapt are o alta adresa. De exemplu, e-mailul afiseaza ca este de la ANAF, cand de fapt adresa emailului nu are nicio o legatura cu ANAF, ci este, de exemplu, xxxolol@xxooaaa.com.


De asemenea, nu a stiut, spune el, ca banca nu trimite clientilor emailuri cu linkuri catre site-ul bancii, unde sa introduca datele personale si pe cele ale cardului.


Asa ca a facut click pe linkul din email, care l-a dus pe site-ul hotilor, copiat dupa cel al bancii, unde a introdus datele cardului, pe care hotii le-au folosit pentru inrolarea cardului in aplicatia Google Pay, care care au facut apoi plati in diverse magazine din strainatate.


Atat inrolarea cardului in aplicatia Google Pay, cat si confirmarea platilor, se pot face doar prin autorizarea cu coduri primite prin SMS de catre detinatorul cardului. Ei bine, hotii au cerut clientului bancii sa le dea si respectivele coduri, iar acesta le-a dat.


In consecinta, hotii au putut plati la magazine cu aplicatia Google Play, iar cel pagubit spune ca a primit trei mesaje in care era instiintat ca a efectuat respectivele tranzactii, cu valorile respective si marja cursului de schimb.


In acest moment, clientul bancii s-a sesizat ca cineva i-a folosit cardul, astfel ca a sunat la banca sa reclame problema, sa blocheze cardul si respectivele plati. Moment in care a aflat ca de fapt s-au facut nu trei, ci 23 de plati cu cardul, in valoare de aproximativ 5.000 de euro, in magazine din Franta si Spania.


Banca nu vrea sa-i dea inapoi banii clientului inselat


Banca nu a acceptat, insa, solicitarile de contestare a celor 23 de tranzactii frauduloase. De ce? Banca spune ca nu este vina ei, ci a clientului, pentru ca transmis hotilor datele cardului, precum si codurile de autorizare a platilor, primite prin SMS.


Citorul se plange, insa, ca nu fost informat de banca cu privire la riscurile unei fraude: „Ar trebui sa se acorde o mai mare atentie persoanelor si sa fie consiliate astfel incat sa nu se ajunga la astfel de situatii stanjenitoare, nu doar sa vindeti produse bancare pentru realizarea tintelor sau a targhetului”, se plange cititorul.


„Daca mi se acordau zece minute de consiliere corecta nu doar de semnare a unui teanc de hartii, in care sa mi se comunice anumite informatii cu siguranta nu se ajungea aici. Fiecare angajat al bancii participa la cursuri de instruire, dar in graba realizarii targhetului si incasarii integrale a salariului evita sa-si faca treaba asa cum trebuie”, crede cititorul.


El spune ca nu a primit nici macar contractul aferent contului bancar:


„Eu de la banca am primit doar cererea de deschidere a contului. Dumneavoastra spuneti de un contract cadru. Deasemenea in aceasta cerere scrie ca am primit Conditiile Generale de afaceri pentru persoane juridice si Brosura de taxe si comisioane aplicabile persoanelor juridice sunt parte integranta din prezentul document si guverneaza relatia Clientului cu Banca. Nu am primit nimic in plus decat o foaie.„


Cititorul a facut si plangere la Politie, care a deschis un dosar pentru infractiuni informatice in acest caz.


De ce refuza banca sa-si despagubeasca clientul in cazul fraudei online?


Banca a refuzat sa-si despagubeasca clientul, desi acesta a fost inselat online si a anuntat banca despre frauda imediat dupa ce si-a dat seama de aceasta.


Banca spune ca inrolarea cardului in Google Pay s-a facut conform normelor, cu introducerea codului de securizare (cod primit de cel pagubit si transmis hotilor), motiv pentru care banca „nu a avut suspiciuni legate de o eventuală utilizare neautorizată sau frauduloasă a cardului”.


Se ridica intrebarea de ce banca a permis inrolarea cardului clientului in aplicatia Google Pay pe un alt telefon decat cel al acestuia, ceea ce nu este normal, tocmai din motive de preventie a fraudelor.


Bancile nu ar trebui sa permita Google sa inroleze cardurile clientilor pe alte telefoane decat cele pe care le utilizeaza clientii. Daca aceasta restrictie ar fi existat, frauda de fata nu ar fi putut avea loc.


Cu privire la lipsa suspiciunilor de frauca invocate de banca, aici se ridica unele intrebari legitime ale clientului, ramase fara raspuns din partea acesteia:


1. De ce clientul a primit doar 3 mesaje de confirmare a platilor, dupa cum sustine, cand de fapt au fost 23 de plati? Cum s-au facut restul platilor?


2. Cum de nu a avut banca suspiciuni, din moment ce s-au efectuat, intr-un timp scurt, atat de multe plati (23), cu o valoare atat de mare, toate in strainatate?


Are clientul dreptul legal sa fie despagubit in cazul unei fraude?


Banca spune ca desi legea o obliga sa ramburseze clientilor banii furati prin frauda, obligatia „nu subzista in cazul nerespectarii intentionate (nu este cazul) sau din neglijenta grava.


„În ceea ce privește contestarea ulterioară a acestor operațiuni de plată (prin procedura refuzului la plată), deși legea prevede în sarcina prestatorului de servicii de plată (bancii) obligația rambursării sumelor aferente operațiunilor de plată neautorizate, menționăm că o astfel de obligație nu subzistă în cazul nerespectării intenționate sau din neglijență gravă de către utilizator a prevederilor contractului-cadru referitoare la emiterea și utilizarea instrumentului de plată, după cum vom arata în cele ce urmează”, considera banca.


Banca nu mentioneaza insa despre ce lege este vorba si ce inseamna neglijenta grava.


In schimb, banca aduce drept argument contractul incheiat cu clientul:


“3.10. Utilizatorul de card are obligația de a păstra în condiții bune cardul, de a preîntâmpina deteriorarea acestuia și de a lua toate măsurile ce se impun pentru a împiedica utilizarea sa sau a datelor înscrise pe el, precum și a elementelor de securitate aferente (PIN, CVV, cod de securitate 3Dsecure, parola statică stabilită pentru plățile on-line, codul primit prin SMS în vederea înregistării cardului în aplicațiile de plată, metoda de securizare a telefonului, etc), de către persoane neautorizate să utilizeze acest card.”


Aceste prevederi sunt, insa, generale, si nu pot inculpa clientul de neglijenta, din simplul motiv ca a fost vorba de o frauda, o asa-zisa inginerie financiara tip phishing, de care clientul nu si-a dat seama. El nu a dat cuiva intentionat datele cardului, ci a fost pacalit, fiind convins ca le trimite bancii.


Ce spune legea in cazul fraudelor online


Sa vedem insa ce spune legea in astfel de situatii. Este vorba de Directiva UE 2015/2366 privind serviciile de plata, implementata in Romania prin Legea 209/2019 privind serviciile de plata.


Directiva spune urmatoarele:


„În cazul unei operațiuni de plată neautorizate, prestatorul de servicii de plată ar trebui să ramburseze plătitorului imediat valoarea operațiunii respective.”


Iar Legea 209 arata urmatoarele:


„Articolul 173
Fără a aduce atingere prevederilor art. 169 și 170, în cazul unei operațiuni de plată neautorizate, prestatorul de servicii de plată al plătitorului are următoarele obligații:


a) rambursează plătitorului suma aferentă operațiunii de plată neautorizate respective, imediat sau cel târziu la sfârșitul următoarei zile lucrătoare, după ce a constatat sau a fost notificat cu privire la operațiune, cu excepția cazului în care are motive rezonabile să suspecteze că a fost comisă o fraudă și comunică aceste motive, în scris, autorității naționale competente;


b) readuce contul de plăți debitat, în situația în care s-ar fi aflat dacă operațiunea de plată neautorizată nu s-ar fi efectuat, dacă este cazul;


c) se asigură că data valutei creditării pentru contul de plăți al plătitorului nu este ulterioară datei la care suma a fost debitată.


Secţiunea a 8-a Probe privind autentificarea și executarea operațiunilor de plată


Articolul 171


În cazul în care un utilizator al serviciilor de plată neagă faptul că a autorizat o operațiune de plată executată sau susține că operațiunea de plată nu a fost corect executată:


a) prestatorul de servicii de plată trebuie să demonstreze că operațiunea de plată a fost autentificată, înregistrată corect, introdusă în conturi și nu a fost afectată de nicio defecțiune tehnică ori de alte deficiențe ale serviciilor prestate de prestatorul de servicii de plată;


b) în cazul în care operațiunea de plată este inițiată prin intermediul unui prestator de servicii de inițiere a plății, acestuia din urmă îi revine sarcina de a face dovada că, în limitele competenței sale, operațiunea de plată a fost autentificată, înregistrată corect și nu a fost afectată de nicio defecțiune tehnică sau de alte deficiențe legate de serviciile de plată de care este responsabil;


c) folosirea în sine a unui instrument de plată care a fost înregistrat de prestatorul de servicii de plată, inclusiv, după caz, de prestatorul de servicii de inițiere a plății, nu este în mod necesar suficientă pentru a dovedi că operațiunea de plată a fost autorizată de către plătitor sau că plătitorul a acționat în mod fraudulos ori că nu a respectat, intenționat sau din neglijență gravă, una ori mai multe dintre obligațiile care îi revin în temeiul art. 166.


Articolul 179


(1) Prin excepție de la prevederile art. 173-176, plătitorul poate fi obligat, până la un cuantum de cel mult 30 euro sau echivalentul în lei, să suporte consecințele financiare legate de orice operațiune de plată neautorizată care rezultă din utilizarea unui instrument de plată pierdut sau furat sau din folosirea fără drept a acestuia, în cazul în care plătitorul nu a acționat în mod fraudulos și nici nu și-a încălcat, cu intenție, obligațiile ce îi revin în temeiul art. 166. Acest alineat nu se aplică în situațiile prevăzute la art. 177.


(2) Plătitorul suportă toate pierderile legate de orice operațiune de plată neautorizată dacă aceste pierderi au fost cauzate de plătitor în urma fraudei sau a nerespectării, intenționate sau din neglijență gravă, a uneia sau a mai multor obligații prevăzute la art. 166. În astfel de cazuri, suma de cel mult 30 euro sau echivalentul în lei al acestei sume nu se aplică.


(3) Evaluarea răspunderii plătitorului se face ținând cont, în special, de natura elementelor de securitate personalizate ale instrumentului de plată și de situațiile în care acesta a fost pierdut, furat sau folosit fără drept.”


Secţiunea a 6-a Obligațiile părților cu privire la instrumentele de plată și la elementele de securitate personalizate


Articolul 166


(1) Utilizatorul serviciilor de plată care folosește un instrument de plată are următoarele obligații:
a) să utilizeze instrumentul de plată în conformitate cu clauzele care reglementează emiterea și utilizarea acestuia;
b) să notifice prestatorul de servicii de plată sau entitatea desemnată de acesta, fără întârziere nejustificată, de îndată ce ia cunoștință de pierderea, furtul, folosirea fără drept a instrumentului său de plată sau de orice altă utilizare neautorizată a acestuia.


(2) În scopul prevăzut la alin. (1) lit. a), de îndată ce utilizatorul serviciilor de plată primește un instrument de plată, acesta ia toate măsurile rezonabile pentru a păstra în siguranță elementele de securitate personalizate.


Articolul 167


Prestatorul serviciilor de plată care emite un instrument de plată are următoarele obligații:


a) să se asigure că elementele de securitate personalizate ale instrumentului de plată nu sunt accesibile altor părți în afară de utilizatorul serviciilor de plată care are dreptul de utilizare a instrumentului de plată, fără a aduce atingere obligațiilor utilizatorului serviciilor de plată prevăzute la art. 166;
b) să nu trimită un instrument de plată nesolicitat, cu excepția cazului în care instrumentul de plată transmis deja utilizatorului serviciilor de plată trebuie înlocuit;
c) să se asigure că în orice moment sunt disponibile mijloace corespunzătoare care să permită utilizatorului serviciilor de plată să facă o notificare în temeiul art. 166 alin. (1) lit. b) sau să ceară deblocarea în temeiul art. 163 alin. (5);
d) să pună la dispoziția utilizatorului serviciilor de plată, la cerere, mijloacele de a dovedi, timp de 18 luni de la notificare, că a făcut o astfel de notificare;
e) să ofere utilizatorului serviciilor de plată o opțiune de a face o notificare în temeiul art. 166 alin. (1) lit. b), în mod gratuit, și să nu perceapă, eventual, decât costurile de înlocuire atribuite în mod direct instrumentului de plată;
f) să împiedice orice utilizare a instrumentului de plată, odată ce a fost făcută notificarea în temeiul art. 166 alin. (1) lit. b);
g) să se asigure că clauzele contractuale privind emiterea și utilizarea instrumentului de plată sunt obiective, nediscriminatorii și proporționale.


Articolul 168
Prestatorul de servicii de plată își asumă toate riscurile legate de transmiterea unui instrument de plată solicitat sau nesolicitat către un plătitor sau de transmiterea oricăror elemente de securitate personalizate ale acestuia."


Asadar, legea e clara: bancile trebuie sa ramburseze clientului, imediat, banii furati printr-o frauda online.


Mai mult, spune Directiva, daca un client a anuntat banca despre frauda, cum s-a intamplat in cazul de fata, clientul nu poate fi obligat sa suporte pierderile rezultate in urma platilor frauduloase:


„În plus, odată ce utilizatorii au notificat unui prestator de servicii de plată că există posibilitatea ca instrumentul lor de plată să fi fost utilizat în mod fraudulos, utilizatorii serviciilor de plată nu ar trebui să fie obligați să acopere nicio altă pierdere care rezultă din utilizarea neautorizată a instrumentului respectiv.”


Iata prevederile complete ale punctului 71 din Directiva:


„În cazul unei operațiuni de plată neautorizate, prestatorul de servicii de plată ar trebui să ramburseze plătitorului imediat valoarea operațiunii respective.


Cu toate acestea, în cazul în care există o suspiciune crescută cu privire la o operațiune neautorizată care rezultă din comportamentul fraudulos al utilizatorului serviciilor de plată și în cazul în care suspiciunea este întemeiată pe motive obiective care sunt comunicate autorității naționale competente, prestatorul de servicii de plată ar trebui să poată efectua, într-un termen rezonabil, o investigație înainte de rambursarea plătitorului. Pentru a proteja plătitorul de orice dezavantaj, data valutei creditării aferente rambursării ar trebui să nu fie o dată ulterioară celei la care a fost debitată suma.


Pentru a oferi utilizatorului serviciilor de plată un stimulent pentru a notifica prestatorului de servicii de plată, fără întârzieri nejustificate, orice furt sau pierdere a unui instrument de plată, reducând astfel riscul unor operațiuni de plată neautorizate, utilizatorul ar trebui să fie răspunzător doar pentru o sumă foarte limitată, cu excepția cazului în care utilizatorul serviciilor de plată a acționat fraudulos sau a dat dovadă de neglijență gravă. În acest context, suma de 50 EUR pare să fie adecvată pentru a garanta un nivel armonizat și ridicat de protecție în cadrul Uniunii. Răspunderea nu ar trebui să se aplice în cazul în care plătitorul nu este în măsură să ia cunoștință de pierderea, de furtul sau de deturnarea instrumentului de plată.


În plus, odată ce utilizatorii au notificat unui prestator de servicii de plată că există posibilitatea ca instrumentul lor de plată să fi fost utilizat în mod fraudulos, utilizatorii serviciilor de plată nu ar trebui să fie obligați să acopere nicio altă pierdere care rezultă din utilizarea neautorizată a instrumentului respectiv. Prezenta directivă nu ar trebui să aducă atingere răspunderii prestatorilor de servicii de plată pentru securitatea tehnică a propriilor produse.”


Asadar, pretextul neglijentei grave invocat de banca pentru refuzul de despagubire a clientului este aplicabil, in Directiva, doar in cazul unui stimulent banesc pentru notificarea bancii in cazul furtului cardului, nicidecum ca pretext pentru nedespagubirea clientului.


Directiva lamureste si situatia neglijentei clientului bancii, cu un exemplu: pastrarea parolei cardului la vedere, astfel incat sa o poata folosi altii. Nu e cazul nostru.


In cazul platilor online, cazul nostru, directiva spune ca banca trebuie sa dovedeasca presupusa neglijenta a clientului, intrucat „in astfel de cazuri, platitorul dispune de mijloace foarte limitate pentru a face acest lucru”.


Iata prevederile Directivei privind neglijenta:


(72)
În evaluarea posibilei neglijențe sau a neglijenței grave din partea utilizatorului serviciilor de plată ar trebui să se țină seama de toate circumstanțele. Dovezile și gradul de presupusă neglijență ar trebui evaluate, în general, în conformitate cu dreptul intern. Cu toate acestea, în timp ce noțiunea de „neglijență” presupune o încălcare a obligației de diligență, o „neglijență gravă” ar trebui să însemne mai mult decât o simplă neglijență, implicând comportamente care prezintă un grad semnificativ de imprudență, de exemplu păstrarea elementelor de securitate utilizate pentru autorizarea unei operațiuni de plată lângă instrumentul de plată, într-un format deschis și ușor de detectat pentru terți. Termenii și condițiile contractuale privind furnizarea și utilizarea unui instrument de plată care ar avea ca efect creșterea sarcinii probei pentru consumator sau reducerea sarcinii probei pentru emitent ar trebui considerate nule și neavenite. În plus, în anumite situații și în special atunci când instrumentul de plată nu este prezent în punctul de vânzare, cum ar fi în cazul plăților online, prestatorul de servicii de plată ar trebui să fie obligat să prezinte dovezi în sprijinul presupusei neglijențe, întrucât, în astfel de cazuri, plătitorul dispune de mijloace foarte limitate pentru a face acest lucru.


Si Legea 209/2019 obliga banca sa dovedeasca neglijenta grava:


„Articolul 172
Sarcina probei cu privire la frauda sau neglijența gravă din partea utilizatorului serviciilor de plată revine prestatorului de servicii de plată, inclusiv, după caz, prestatorului de servicii de inițiere a plății.”


Concluzie


In concluzie, Directiva si Legea privind serviciile de plata arata foarte clar ca in cazul unei fraude clientii bancii trebuie sa plateasca imediat clientului valoarea operatiunii respective.


In cazul nostru, clientul a raportat imediat frauda, cand si-a dat seama de ea. Ce a facut banca, in schimb? In loc sa-i dea inapoi banii aferenti platilor frauduloase, nici macar nu a putut sa blocheze acele plati.


Banca spune ca este neputincioasa in astfel de situatii, de blocare a unor tranzactii raportate ca fiind fraude, din cauza… sistemului. Mai exact a sistemului impus de duopolul procesatorilor de carduri, Visa si Mastercard.


Iata prevederile contractului bancii in privinta imposibilitatii blocarii platilor:


“Aprobarea unei tranzacții efectuate la terminalul unei alte bănci acceptante determină blocarea imediată de către Bancă a sumei aferente în contul la care este atașat cardul pentru prevenirea utilizării aceleiași sume în efectuarea altor operațiuni pe contul atașat. Tranzacțiile blocate (în curs de decontare) sunt evidențiate în extrasul de cont la rubrica „Tranzacții în așteptare”. O sumă blocată în urma aprobării tranzacției nu poate fi sub nicio formă oprită de la decontare pentru că aceasta reprezintă garanția dată băncii acceptatoare ca își va încasa banii pentru suma eliberată de către bancomatul său sau pentru serviciile / bunurile vândute de comerciantul său la data efectuării tranzacției. Inițiativa decontării unei sume o are comerciantul / banca acceptatoare a tranzacției care solicită la încasare suma, trimițând tranzacția realizată într-un fișier către Visa / Mastercard, care procedează automat la reconcilierea sumelor între băncile participante la tranzacție (banca emitentă a cardului și banca acceptatoare a plății cu cardul). Suma astfel reconciliată este debitată automat din contul de card cu care s-a efectuat plata în urma primirii de către Bancă de la Visa / Mastercard a fișierelor cu tranzacțiile efectuate de posesorii de carduri emise de aceasta. În consecintă, Banca nu poate nici opri o tranzacție de la decontare și nici să solicite decontarea acesteia la cererea posesorului de card.”


Banca da vina pe organizatiile Visa si Mastercard pentru ca ofera posibilitatea de a se face refuzul la plata doar dupa procesarea unei plati, nu inainte de a fi decontata.


„De altfel, lipsa unor mijloace de intervenție, chiar justificată, din partea prestatorilor de servicii de plată în procesul de decontare poate fi de asemenea observată și din remediile pe care aceste Organizații le pun la dispozitia utilizatorilor doar ex-post - refuzul la plată, și nu înainte de decontarea tranzacțiilor.”