Problem jest dla nas trudny, ponieważ zawsze zachęcaliśmy czytelników do posiadania kart. Obecnie jednak działania banków powodują, że te twierdzenia przestają być aktualne. Karta może w obecnej sytuacji przysporzyć nam sporo kłopotów, a to ryzyko w żaden sposób nie jest rekompensowane przez korzyści wynikające z jej posiadania. Wydaje się, że nawet same banki nie zdają sobie do końca sprawy z konsekwencji własnego działania w zaistniałej sytuacji.
Czarny Internet
Oto jak wygląda scenariusz sytuacji w której posiadacz karty może zostać pokrzywdzony: nieświadomy niczego klient banku otrzymuje comiesięczny wyciąg ze swojej karty, na którym widnieje wysoka suma transakcji dokonanej w Internecie. Udaje się do banku, by wyjaśnić sprawę. Składa reklamację, reklamacja zostaje niestety rozpatrzona negatywnie. Próbuje dalej i składa skargę do Arbitra Bankowego, ten jednak także oddala pretensję klienta. Ostatnią deską ratunku pozostaje tylko sąd, jednak j jego orzeczenia w takiej sprawie można czekać nawet do 2 lat.
Aby dokonać internetowej transakcji wystarczy znać numer karty oraz inne dane które na karcie się znajdują (m.in. kod CVV2 lub CVC2, który znajduje się z tyłu karty). Wszystkie dane potrzebne do przeprowadzenia transakcji znajdują się na samej karcie, dlatego mogą zostać spisane przez dowolną osobę w której rękach (choćby na kilkanaście sekund) znajdzie się karta. Na szczęście dotyczy to tylko tzw. „kart wypukłych”, bowiem kartami elektronicznymi typu Visa Electron lub MasterCard Electronic nie można (na razie) płacić w sieci.
Jak drzewiej bywało
Z problemem oszukańczych transakcji w Internecie polskie banki zmagają się już od ponad 10 lat. Jeszcze dłużej ten problem jest znany w Europie Zachodniej i w USA. Banki i organizacje płatnicze wypracowały specjalny model postępowania z transakcjami bez fizycznego użycia karty, tak by w razie oszustwa klienci nie ponosili jego finansowych skutków. Banki już dawno przekonały się, że dużo korzystniej jest przyjąć na siebie straty powstałe w wyniku nielicznych oszustw, niż podważać wiarę wszystkich swoich klientów w bezpieczeństwo kart.
Tak było dotychczas także w Polsce, banki (choć czasem z oporami) przyjmowały reklamacje i zwracały pieniądze klientom których oszukano w Internecie. Jednak takie działania banków były wspierane przez system organizacji płatniczych. Polskie banki bowiem same bardzo rzadko ponosiły odpowiedzialność za takie transakcje, w większości przypadków straty były udziałem sklepu który przyjął płatność lub centrum akceptacji, które taką oszukańczą transakcję rozliczyło. Łatwość odzyskiwania pieniędzy wynikała więc ze sprawności systemu organizacji płatniczej, a nie z dobroduszności polskich baków. Niestety funkcjonowanie systemu uległo zmianie, i już nie jest tak łatwo przerzucić koszty na kogoś innego. To dlatego polskie banki nie chcąc dopłacać samemu, sięgnęły do kieszenie swoich klientów.
Wszędzie postęp, tylko nie u nas
Visa i MasterCard już kilka lat temu rozpoczęły wprowadzanie systemów zabezpieczeń transakcji dokonywanych kartami bez ich fizycznego przedstawienia. Systemy tego rodzaju noszą ogólna nazwę 3D Secure i wprowadzają dodatkową weryfikację klienta podczas płatności kartą w Internecie. Najprostszym i najczęściej spotykanym rozwianiem jest wprowadzanie dodatkowego hasła, które trzeba podać by potwierdzić transakcję.
Rozwianie 3D Secure wprowadzone przez Visa nosi nazwę Verified by Visa, natomiast MasterCard wprowadził technologię Mastercard SecureCode.
Organizacje płatnicze założyły, że pełne wdrożenie tych technologii zajmie co najmniej klika lat. Dodatkowo postanowiły, że żadnego banku nie zmuszą do wprowadzenia nowych rozwiązań. Wprowadziły tylko mechanizm motywacyjny, który nosi nazwę „przeniesienia odpowiedzialności”. Funkcjonuje on w ten sposób, że odpowiedzialność za transakcję oszukańczą przyjmuje na siebie ten podmiot w łańcuchu płatności który nie wprowadził technologii 3D Secure. W ten sposób każdy bank może oszacować czy bardziej opłaca mu się wdrożyć kosztowną technologię 3D Secure czy ponosić koszty transakcji.
Jednak organizacje płatnicze nie przewidziały niestety sytuacji, że banki, które nie wdrożą 3D Secure zaczną kosztami takich transakcji obciążać swoich klientów. A tak właśnie dzieje się w Polsce. Od kliku lat wiele podmiotów na świecie wdrożyło 3D Secure. Z technologii tej korzysta już większość agentów rozliczeniowych na świecie, dlatego banki nie są już w stanie przerzucać strat wynikających z oszustw na nich. Bankom wprowadzanie 3D Secure idzie najwolniej, wymaga to bowiem sporych inwestycji oraz wielkiej akcji informacyjnej wśród klientów.
W Polsce jedynie BRE BANK wdrożył niewielkie rozwianie oparte o 3D Secure z którego korzystają jedynie posiadacze kart wydawanych przez bankowość prywatną. Pozostałe banki w większości nie pracują nad wprowadzeniem tej technologii. Tłumaczą to niewielkimi kosztami które ponoszą w związku z oszustwami w Internecie. Niestety nikt nie wspomina o tym, że duża część tych strat jest po cichu przerzucana na klientów.
Nieważna ustawa
Niestety takie postępowanie jest zgodne (a raczej nie jest sprzeczne) z regulującą problematykę kart płatniczych ustawą o elektronicznych instrumentach płatniczych. Ta ogranicza odpowiedzialność klienta za transakcje oszukańcze kartą do kwoty 150 Euro, jednak tylko w sytuacji gdy karta fizycznie zostanie skradziona lub zagubiona.
Artykuł 28 pkt 5 wspomnianej wyżej ustawy co prawda wyłącza odpowiedzialność klienta za transakcje „jeżeli karta płatnicza została wykorzystana bez fizycznego przedstawienia i elektronicznej identyfikacji posiadacza lub bez złożenia przez niego własnoręcznego podpisu na dokumencie obciążeniowym”. Niestety w artykule 28 znajduje się jeszcze pkt.6, który pozwala w umowie o kartę płatniczą wprowadzić pełną odpowiedzialność klienta za transakcje dokonywane „na odległość, mimo iż karta płatnicza została wykorzystana bez fizycznego przedstawienia”.
Z dobrodziejstwa punktu 6 skorzystała większość banków i wprowadziła pełna odpowiedzialność swoich klientów za transakcje w Internecie. Tego rodzaju regulacje znajdują się bowiem w regulaminach większości kart dostępnych na naszym rynku. Jednak przed wejściem w życie ustawy oraz w pierwszych latach jej obowiązywania banki rzadko, ze wskazanych wyżej powodów, stosowały ta klauzule wobec klientów. Teraz sytuacja uległa zmianie. Dzięki wykorzystaniu punktu 6 i odpowiednich regulaminów klientom odmawia się uznania reklamacji transakcji. Dodatkowo na te same przepisy powołuje się Arbiter Bankowy (przy Związku Banków Polskich) także podejmując rozstrzygnięcia na niekorzyść klientów. Wydaje się, że także przed sądem szansa by klient odzyskał pieniądze jest niewielka.
Co dalej?
Jak wiec radzić sobie w powstałej sytuacji? Szczególną opieką trzeba otoczyć wszystkie podsiane karty. Do płatności powinniśmy wykorzystywać je tylko w sprawdzonych sklepach i punktach usługowych, najlepiej w miejscach gdzie już wcześniej dokonywaliśmy transakcji. Szczególnie należy unikać sytuacji, gdy nasza karta znika wraz z pracownikiem na zapleczu. Musimy pamiętać, że jeśli dane o naszej karcie wpadną w ręce przestępców to możemy stracić nawet kilka tysięcy złotych, a nasz bank nam w takiej sytuacji nie pomoże.
Innym (dość prymitywnym) sposobem jest zdrapanie lub zamazanie 3 cyfr kodu CVC2 lub CVV2 na karcie (i zapisanie go w bezpiecznym miejscu w domu). W tym przypadku znacznie zmniejszmy szansę przeprowadzenia oszukańczej transakcji w internecie przez przestępców.
Czy należy rezygnować z kart? Jeśli posiadacie Państwo kilka kart, to z tych które nie są używane warto zrezygnować. Nie polecam jednak rezygnowania już teraz ze wszystkich kart.
Najbliższe miesiące muszą przynieść rozstrzygniecie tej sytuacji. Wydaje się, co będziemy postulować, że najlepszym rozwianiem jest wykreślenie z ustawy o elektronicznych instrumentach płatniczych punktu 6 z artykułu 28. W najbliższym czasie przygotujemy odpowiednią nowelizację wraz z uzasadnieniem i spróbujemy zainteresować nią posłów. Wydaje się, że parlament powinien szybko zając się tą sprawą, która dotyczy milionów posiadaczy kart w naszym kraju.
Czekamy tez na dobrowolne deklaracje banków o wykreśleniu z regulaminów punktów powołujących się na art. 28 pkt 6 ustawy o elektronicznych instrumentach płatniczych. W ten sposób banki mają szansę pokazania, że zależy im na bezpieczeństwie pieniędzy klientów. Jeśli nie zrobią tego dobrowolnie, zostaną zapewne do tego zmuszone masową akcję rezygnacji z kart.
Organizacje płatnicze planują, że w najbliższej przyszłości także kartami debetowymi będzie można płacić w Internecie. Taka operacja przy obecnym stanie prawa i praktyki może zakończyć się katastrofą oraz całkowitą utratą zaufania klientów do kart.
