Právní články

Zneužití platební karty

Článek se dotkne skimmingu (kopírování údajů karty). Zejména se ale věnuje zneužití platební karty na internetu, popisu mechanismu placení na internetu, clearingu internetových karetních transakcí, souvisejících pravidel včetně odpovědnosti bank za škodu z neautorizovaných transakcích a z toho vyplývajícím doporučením pro případ zneužití karty na internetu.

1. Neautorizované transakce a skimming

Když vám skimmer v USA vybere hotovost, zatímco vy jste v Mexiku, jako se to stalo mé kamarádce bez odcizení karty (plná náhrada) či známé při výběru ve Španělsku při odcizení karty (150 euro spoluúčast), máte dle § 115,116[1] zákona č. 284/2009 Sb. o platebním styku při dodržení náležité opatrnosti zpravidla upřesněné v obchodních podmínkách karty nárok na náhrady škody bankou. Stejně tak pokud by internetový server požadoval zúčtování za členství 100USD s úmyslem vybrat a zdrhnout, avšak při autorizaci transakce zákazníkovi na monitoru zobrazil pouze 55 USD (banka odpovídá v rozsahu přesahujícím autorizaci).

Je spravedlivé, aby to za troubu klienta odnesla banka? Důsledky

Podobně jako když si zaměstnanec na rovné dlažbě v práci zlomí nohu… Zákonodárce si prostě někdy spočítá, že ve výsledku je efektivnější určitá nespravedlnost, než aby mu pak davy naštvaných ořezávátek-demonstrantů neustále klepaly na dveře. Banky mají motivaci peníze klienta hlídat, mohou např. spolupracovat při detekci podvodných eshopů či skimmovacích zařízení (tj. minizařízení pro zkopírování elektronických údajů karty v kombinaci s minikamerou-má smysl zakrývat ruku – či překryv klávesnice, co zaznamená pin -zakrytí ruky nepomůže) a následně na rozdíl od jednotlivce z konce světa iniciovat vyšetřování, soudní řízení či vyloučení skimmer terminálu z platebního systému, což může být pro obchody povinně umožňující platbu kartou (např. US restaurace) likvidační. Co víc, dle wikipedie je v USA a GB standardem, že banka má právo požadovat na eschopu vrácení částky a penále v případě podvodné platby. Stinná stránka jsou podvody ze strany spotřebitelů (nechám si poslat zboží a nahlásím podvodnou transakci) a to, že některé regulérní transakce eschopy raději klasifikují jako rizikové a transakci nerealizují. Více viz odkazovaný zdroj. Proto mnoho USshopu např. neumožňuje transakce mino USA a Kanadu. Nemyslím, že by to byl až tak závažný problém, neboť takového klienta lze snadno identifikovat bez ohledu na zemi (jeho banka bude spolupracovat s bankou poškozeného). Často se též neumožňuje zaslání na adresu odlišnou od adresy držitele karty, což asi není až tak velké omezení byznysu v poměru ke značnému snížení rizika zneužití platební karty.

2. Autorizované transakce

Internetový server nabízel 2 dny členství za 0,- USD. Pro „ověření věku“ si vyžádal číslo karty a 3místný CVV kód. Po autorizaci transakce mechanismem příslušné asociace platebních karet se na účtu blokuje dotčená částka pro pozdější vypořádání. Jinými slovy transakce v podstatě proběhne hned při autorizaci, ale dokončí se až za avizované 2nebo3 dny, kdy je mezitím možné členství bezplatně zrušit. Nešlo tedy o ověření věku, ale o platbu. To mě netrápilo, jelikož jsem si po 15 letech hledání free obsahu chtěl jednou dopřát něco placeného. S úplnou absencí reklamovaného obsahu (konkrétněji popsáno zde) jsem již tak o.k. nebyl …

Po ověření blokace serverem požadované částky kartou na mém účtu následovalo lehce zmatené vystřízlivění a vyhledání hodnocení stránky přes google. Potvrdilo se, že jde o podvodnou stránku. Prověřit jsem měl před zaplacením. Pro redaktora Magazínu spotřebitele ostuda :). Ale po tolika bezproblémových transakcích v eschopech, ebay apod. člověk celkem snadno propadne falešnému pocitu bezpečí: Proč by chtěl krást někdo, komu ty peníze stejně zaplatím?

Server s omluvou mé členství zrušil a ujistil o absenci účtování jakékoli částky. Jednak jsem jim nevěřil (proč by peníze nebrali, když takto podvádějí-vysvětlení později), za druhé uživatelé v internetových diskuzích upozorňovali na problémy s ukončením každý měsíc neustále obnovovaného členství, kdy k dalším platbám již není nutná autorizace transakce. Na telefonním čísle pro blokaci karty jsem oznámil podvodnou transakci a dle doporučení souhlasil s blokací karty. Ohledně dotazu na možnost záchrany peněz byla bankou poskytnuta instrukce k jednoduché reklamaci – zkopírovat řádek transakce s žádostí zrušit platbu. To zde stačilo, ač reklamační řád vyžaduje popis okolností.

Co se vlastně stalo

Disponzibilní zůstatek byl na účtu další den navrácen do stavu před transakcí a z nezaúčtovaných transakcí to zmizlo po týdnu. Nabyl jsem podezření, že pro banku možná bylo levnější to zatáhnout ze svého než řešit reklamaci. Tuto praxi potvrdila wikipedie.

Odpověď pracovníka banky:

„Při autorizacích plateb platební kartou dochází nejprve k blokaci dané částky na účet a tím dojde tedy i ke snížení disponibilního zůstatku na účtu. V případě, kdy dojde k zaúčtování této platby obchodníkem (tj. zde serverem nabízející členství – pozn. red.), daná blokace je odvolána a částka zúčtováním z účtu stržena. Jestliže však dojde k odvolání autorizace platby, může se stát, že obchodník neodvolá blokaci částky na účtu a tato částka zůstane na účtu sice nezúčtována, ale stále snižuje disponibilní zůstatek na účtu. V takovém případě banka přehodnotí blokaci na účtu a jestliže je prokázáno zrušení transakce – autorizace platby, pak sama takovou blokaci z účtu zruší. Za prokazatelný způsob zrušení autorizace platby a nerealizace transakce lze například považovat delší časovou prodlevu nezúčtování platby platební kartou, vyjádření či potvrzení zrušení autorizace platby obchodníkem, čestné prohlášení či doklad o zrušení transakce držitelem platební karty, prokázání jiného způsoby úhrady platební kartou atd.“

Server tedy nepodal pokyn k zúčtování (clearingu) jinými k dokončení transakce a peníze nebyly strženy. Bez informací z wikipedie jsem výše uvedené příliš nechápal, neboť mi nebylo jasné, proč by si to server nestrhl hned – zvlášť, když jsou o něm reference, že jde o podvodný server. Klíčem je právo bank v zemi serveru (USA) požadovat platbu zpět (viz odkaz wikipedie výše), navíc spolu s pokutou pro obchodníka.

Byla k něčemu blokace karty a aktivita mé banky?

Možná byla celá akce zbytečná a server by splnil svůj slib, ale vzhledem k podovodu jsem rád, že jsem to nenechal až tak úplně na něm. Všimněte si,že operátor Fio uvádí – opětovně cituji vytučněný text výše „dojde k odvolání autorizace platby“ – To mj. znamená, že Fio bankou byl na základě mého oznámení podvodu vyslán signál bance internetového serveru, že je minimálně něco špatně, možná i interně mezi bankami, že existuje podezření na podvodnou transakci a bude problém, pokud transakci dokončí.

Jaké jsou nároky zákazníka na pomoc banky v případě úmyslu dokončit transakci?

Představme si, že server požaduje dokončení transakce. Co může a musí banka dělat.

Vzhledem k autorizaci platby nelze uvažovat o odpovědnosti banky dle § 115,116 zákona č. 284/2009 Sb. o platebním styku. Dále k podvodu došlo mimo sféru platebních karet, v zásadě mimo režim placení (podvodný je obsah, nikoli transakce). Avšak lze předpokládát, prosím omluvte mé nedostetečné znalosti (Fio, mi promptně odpovědělo v rámci možností PR oddělení, za což děkuji, mastercard poslal po 2 týdench do háje viz dále), že existuje určitý mechanismus, jak se banky chrání proti zneužití karty, za něž odpovídají (více dále).

Fio uvádí, že nesmí jednostranně pozastavit či zrušit clearing. Jaké by banka mohla mít možnosti postupu. Výše je popsán varovný signál protistraně, že s transakcí budou v případě dokončení problémy. Při přesvědčivých důkazech podvodu by teoreticky bylo možné uvažovat o dočasné blokaci odpovídající částky na účtu podvodníka bankou v USA (za podpory místních zákonů, soudu, policie apod., banka ČR takové oprávnění nemá, nelze na to napasovat ani zákon o „praní špinavých peněz“, bylo by možné uvažovat o předběžném opatření v souvislosti s žalobou, ale to je pro tento případ příliš krkolomné) či dokonce v některých zemích právo banky požadovat po obchodníkovi vrácení platby (více dále). Proto reklamační řády našich bank vyžadují bezodkladnou reklamaci, ale umožňují v obchodních podmínkách  i reklamaci až v řádu několika měsíců.

Zákon č. 21/1992 Sb. o bankách, smlouva o běžném účtu (§708 OBZ) ani analogicky použitelná smlouva o úschově (§ 747/1 OZ „Smlouvou o úschově vznikne složiteli právo, aby schovatel movitou věc od něj do úschovy převzatou řádně opatroval“) nestanoví žádnou povinnost chránit zájmy či majetek klienta, případně poskytnout součinnost, umožňují-li to existující bankovní mechanismy (např. pravděpodobný závazek součinnosti členů asociace platebních karet v boji proti podvodům). Pod povinnost obezřetného postupu dle § 12 z. o bankách to napasovat nepůjde a bylo by vhodné to v zákoně upravit. Poslední záchranou by mohla být obecná povinnost počínat si tak, aby nedošlo ke vzniku škody (§415 OZ „Každý je povinen počínat si tak, aby nedocházelo ke škodám na zdraví, na majetku, na přírodě a životním prostředí“). Pokud tedy bance předložíte důkazy o podvodu a ona by měla mechanismy, jak mu zabránit, tj. jak zachránit Vaše peníze, měla by to případně za určitý poplatek učinit.

Byl to ze strany banky nadstandard?

Banka to za mě vyřešila a na nic se mě neptala. Nevím, jak to řeší jinde. Přinejmenším to je služba, jež by mohla být férově zpoplatněna a byla poskytnuta zdarma.

Co z toho plyne – vždy zkusit situaci s bankou řešit

1. Reklamaci platby podejte, i když nemáte nárok na náhradu dle § 115,116 z. o platebním styku. Čím dřív, tím lépe. Banka může mít dobré páky na protistranu a pro posílení svého dobrého jména bude třeba ochotná je využít i nad rámec své odpovědnosti. Krom toho taková informace minimálně najde využití v analytickém systému bankovních institucí vyhodnocujících podezřelá místa a další lup bude pro skimmera či podvodný server zas o něco těžší.

2. Banka v souvislosti s dotazy níže připomenula možnost nastavení limitů. Mě by to v tomto případě nepomohlo, ale ochrání to před stržením částky opakovaně či ve větším riziku. Takže tuto praktickou radu určitě posílám dál …

Proč nepodvádět?

Cílem článku není naznačit, jak přijít ke zboží bez placení. 1. šlo by o přestupek a nad 5000,- trestný čin podvodu s poměrně snadnou identifikací pachatele.  2. budete mít dlouhodobý záznam v příslušném analytickém systému bank. Až Vás pak někdo skutečně obere a budete potřebovat zrušit platbu férově, budou se na Vás asi dívat přinejmenším podezřele. To mj. Též vysvětluje, co z toho tento podvodný server v USA má, když musí platbu vrátit (připomínám, platí pro USA a GB, nevím, zda jinde). Průměrný Američan nebude pro 55 USD akceptovat možná doživotní záznam v bankovním systému jako jouda, který se nechal nachytat pochybným serverem …

Mohlo by Vás zajímat

(17.10.2017) Nedávat z ruky

Při platbě v obchodě kartu nebo třeba i v hoteku či restauraci v rozvojové zemi kartu nedávejte z ruky. Mají mít terminál a mohou si ji ofotit včetně Vašeho CVV a nakupovat na ní internetu … Nestyďte se se krýt druhou dlaní klávesni při zadávání PIN zvláště v cizích zemích.

Personalizovaný bezpečnostní prvek

Personalizovaným bezpečnostním prvkem může být v našich podmínkách patrně pouze PIN, neboť vše ostatní číslo karty a CVV, CVC kód pro internetové transakce je snadno viditelný při platbě v obchodě a disponují jím všechny internetové obchody, kde zaplatíte. Proto také ve všeobecných obchodních podmínkách bank nemůže být CVV, CVC kód definován jako personalizovaný bezpečnostní prvek ve smyslu § 116 zák. o plat. styku.

Ochrana dat u Mastercard

Na stránce http://www.mastercard.com/cz/osobni-karty/cz/mastercard-securecode.html uvádí: “Klientovy privátní údaje totiž nejsou k dispozici internetovým obchodníkům, a proto nehrozí jejich odcizení ani zneužití.“

Jak je možné, že obchodník říká, že za členství na serveru si bude měsíčně strhávat poplatek již bez jakékoli mé součinnosti, dokud členství nevypovím? Může si tedy technicky jakoukoli další platbu – i vyšší než odpovídá periodickému poplatku – nelegálně nadále autorizovat sám?

Odpověď Mastercard po 2 týdnech: „Obraťte se na svou banku.“ Asi sem šlápl na kuří očíčko :).

Doplňující dotazy: odpovídá paní Vendula Žaloudíková z Fio Banka, a.s.

1. Jaká je běžná prodleva mezi autorizací transakce kartou a zahájení clearingu?

Záleží na nastavení exportu autorizovaných plateb na straně obchodníka, u kterého držitel karty autorizoval transakce kartou, tedy režimu, v jakém zasílá požadavky na vyúčtování autorizovaných transakcí. Obvykle v řádu několika dní.

2. Informace od operátora FIO hovoří o následném (po blokaci) zúčtování transakce obchodníkem (serverem). Nezúčtováním rozumí, že protistrana aktivně vstoupí do automatizovaného procesu clearingu a zablokuje ho (tj. že i server zavolal do své banky a požádal o storno)?

Nezúčtování pro banku v tomto případě znamená, že ze strany obchodníka nebylo přes schéma karetní asociace vygenerováno clearingové zúčtování na stržení prostředků z účtu, resp. nedošlo k reálnému vypořádání autorizované transakce.

3. Má banka podvedeného v některých výjimečných jasně definovaných případech možnost clearing podvodně autorizované transakce jednostranně zablokovat? Předpokládám, že takový velký zásah do systému clearingu bude asi vzhledem k odpovědnosti bank za škodu přesto mezi bankami domluven.

Je třeba rozlišovat mezi zrušením nezaúčtované autorizované transakce a zabráněním zaúčtování autorizované transakce.

V době, kdy klient platbu autorizuje a banka se tak o zadání platby dozví, zablokuje na účtu příslušnou částku (nezaúčtovaná transakce). Poté, co přijde od obchodníka požadavek na zúčtování přes clearing karetní asociace, je částka reálně stržena z účtu.

Pokud klient doloží, že např. došlo k domluvě s provozovatelem na zrušení transakce, může požádat o storno nezaúčtované transakce a banka mu vyhoví (prostředky již na účtu nebudou blokovány). Banka však nemá právo nepovolit zaúčtování transakce – tím, že ji klient autorizoval (ve Vašem případě zadáním čísla karty, expirace karty a CVC kódu), získává obchodník právo na její zúčtování. V takovém případě (pokud byly prostředky strženy neoprávněně) musí klient situaci řešit prostřednictvím reklamace.

4. Jak dlouho lze uchovat záznam mé příhody v analytickém systému pro zneužívání karet?

Bližší informace o softwaru pro monitoring podezřelých karetních transakcí nezveřejňujeme.

5. Zákazníkovi naskimmují kartu při pobytu v Mexiku kartu a vyberou 10 000 CZK v Houstnu USA, zatímco on byl stále prokazatelně s originálem své karty v Mexiku. Banka má za to, že splnil veškeré povinnosti k náhradě škody.

V jaké části nese ztrátu Fio a v jaké případně další subjekty ( kreditní asociace, Houstonská banka)?

Vztahy mezi členskými bankami a karetními asociacemi nechceme nijak komentovat.


[1]              Odpovědnost poskytovatele za neautorizovanou platební transakce

§ 115

(1) Jestliže byla provedena neautorizovaná platební transakce, poskytovatel plátce neprodleně po té, co mu plátce neautorizovanou platební transakci oznámil,

a) uvede platební účet, z něhož byla částka platební transakce odepsána, do stavu, v němž by byl, kdyby k tomuto odepsání nedošlo,

b) vrátí částku platební transakce, včetně zaplacené úplaty a ušlých úroků, plátci, jestliže postup podle písmene a) nepřipadá v úvahu.

(2) Odstavec 1 se nepoužije, jestliže ztrátu z neautorizované platební transakce nese plátce.

§ 116

(1) Plátce nese ztrátu z neautorizovaných platebních transakcí

a) do částky odpovídající 150 eurům, pokud tato ztráta byla způsobena

1. použitím ztraceného nebo odcizeného platebního prostředku, nebo

2. zneužitím platebního prostředku v případě, že plátce nezajistil ochranu jeho personalizovaných bezpečnostních prvků,

b) v plném rozsahu, pokud tuto ztrátu způsobil svým podvodným jednáním nebo tím, že úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v § 101.

(2) Odstavec 1 se nepoužije, pokud plátce nejednal podvodně a

a) ztráta vznikla po té, co plátce oznámil ztrátu, odcizení nebo zneužití platebního prostředku, nebo

b) poskytovatel nezajistil, aby uživateli byly k dispozici vhodné prostředky umožňující kdykoliv oznámit ztrátu, odcizení, zneužití nebo neautorizované použití platebního prostředku.

(3) Plátce nese ztrátu z neautorizované platební transakce s elektronickými penězi, jejichž povaha poskytovateli neumožňuje zabránit jejich jakémukoli užití.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *