Cum legifereaza hotia bancile si procesatorii de carduri (MasterCard si Visa)

Continuam epopeea furtului unui card, cu opinia Bancii Transilvania, la a carei POS (dispozitiv electronic pentru plata cu cardul la magazine) a fost folosit cardul furat de hot. Utilizatorul cardului a dat vina si pe Banca Transilvania pentru ca permis realizarea tranzactiei fara introducerea codului PIN, doar pe baza de semnatura pe chitanta.

Banca se apara insa, spunand ca banca emitenta a cardului, UniCredit Tiriac Bank, este cea care dicteaza modul in care poate fi utilizat cardul: cu introducerea codului PIN sau fara. Dar cum se explica atunci faptul ca platile cu respectivul card se pot face la unii comercianti doar cu introducrea PIN-ului, pe cand la altii doar pe baza semnaturii? Inca nu am lamurit acest aspect. Singurul lucru cert e ca hotul nostru a gasit un comerciant care nu i-a solicitat codul PIN, reusind astfel sa fure toti banii de pe card.

Cu privire la despagubirile pe care banca le poate acorda in aceasta situatie, raspunsul Bancii Transilvania este transant: banca nu despagubeste utilizatorul cardului intr-o astfel de situatie, intrucat se considera ca furtul cardului este o neglijenta, ca atare utilizatorul cardului poarta intreaga raspundere pentru banii furati de pe card.

(In schimb, banca isi despagubeste clientii carora li s-a clonat cardul. Asadar, copierea cardului, la bacomat, POS sau prin internet, nu este considerata o neglijenta.)

Insa chiar daca hotul poate folosi cardul fara introducerea codului PIN, el trebuie sa semneze chitanta care certifica tranzactia. Iar comerciantul, ATENTIE!, “trebuie sã verifice dacã semnatura de pe card coincide cu cea de pe chitanþã”, dupa cum spune banca. Pai daca e vorba de hot, cu siguranta ca semnatura nu coincide cu cea de pe card, care este a utilizatorului de drept. Asadar, intrebarea fireasca a fost, ulterior, ce se intampla in acest caz, in care comerciantul nu a respectat procedurile?

Banca Transilvania: “In cazul în care se dovedeºte nerespectarea de cãtre comerciant a regulilor stabilite în baza colaborãrii între pãrþi (indiferent de modul de stabilire – intern sau prin intermendiul organelor de anchetã) responsabilitatea financiarã a operaþiunilor aparþine integral comerciantului, posesorul de card fiind despagubit”. Asadar, pana la urma, in acest caz, clientul ar trebui despagubit sau nu?

Nu se stie exact, pentru ca apare o noua problema: e greu de dovedit ca acel comerciant nu a respectat procedura de comparare a semnaturilor. El poate spune ca le-a comparat si pareau ca seamana. Dupa cum spune si Banca Transilvania: “Cu siguranta, insa, ca personalul angajat al comerciantului nu poate expertiza grafologic semnatura, decat in cazul in care exista diferente semnificative intre semnatura de pe chitanta si cea de pe spatele cardului.”

ATENTIE insa! O semnatura poate fi imitata, dar nu si copiata. Expertiza grafologica poate demonstra ca semnatura hotului nu e aceeasi cu cea a utilizatorului de card. Degeaba, insa, intelegem din raspunsurile banii, comerciantul nu e grafolog. Asa incat se poate spune ca procedura a fost respectata, bancile s-au spalat pe maini de responsabilitate, iar hotul a iesit castigator. Cu alte cuvinte, banca si procesatorul de carduri, MasterCard sau Visa, legifereaza hotia!

Primul set de intrebari puse de GhiseulBancar.ro si raspunsurile primite de la Robert C. Rekkers, Director General, Banca Transilvania:

GhiseulBancar.ro: Comercianþii nu sunt obligaþi de banca sã cearã codul PIN? Care e procedura completã pe care trebuie sã o urmeze comerciantul?

Robert C. Rekkers: Comercianþii nu sunt obligaþi de bancã sã instituie, pentru POS-uri, obligativitatea solicitãrii codului PIN, acesta fiind necesar doar la tranzacþiile fãcute la bancomate.

In cazul POS-urilor, acestea trebuie sã citescã informaþia de pe card - de pe banda magneticã sau chip-ul cardului - ºi sã deruleze tranzacþia, aºa cum o solicitã cardul. Mai exact, pe banda magneticã sau pe chip card fiecare card are “menþionatã” informaþia legatã de modul de derulare a tranzacþiei (cu PIN sau cu semnãturã). Cu alte cuvinte, cardul este cel care „dicteazã” POS-ului cum sã se facã tranzacþia – comunicând PIN-ul sau pe bazã de semãturã.

Regulamentele partenerilor noºtri, VISA ºi MasterCard, chiar solicitã ca POS-urile sã fie capabile sã intrepreteze corect solicitarea cardului. POS-urile Bãncii Transilvania respectã solicitãrile VISA / MasterCard, astfel încât orice tranzacþie este derulatã cu autentificare pe PIN sau semnaturã, în funcþie de ce “dicteazã” cardul. Desigur, în cazul unor comercianþi care activeazã în domenii cu risc ridicat, bãncile pot discretionar sã solicite PIN la orice tranzacþie, indiferent de ce va solicita cardul.

In cazul tranzacþiilor pe bazã de semnaturã, comerciantul trebuie sã verifice cel puþin urmãtoarele:
dacã datele de pe chitanþa eliberatã de POS coincid cu cele înscrise pe card (numãrul de card, data expirãrii, numele clientului), asta pentru cã pe chitanþã datele se genereazã de pe banda magneticã sau chip ºi orice contrafacere a unui card ar putea fi detectatã;
sã verifice dacã semnaturã de pe card coincide cu cea de pe chitanþã.
Dupã verificarea acestor elemente de securitate tranzacþia poate fi finalizatã prin livrarea bunurilor sau serviciilor plãtite.
 
GhiseulBancar.ro: Dacã hoþul a reuºit sã fure bani de pe card, banca despagubeºte utilizatorul cardului? Dacã da, care este procedura ºi în cât timp?

Robert C. Rekkers: In cazul în care clientul a solicitat anterior blocarea cardului înaintea derulãrii tranzacþiilor, banca poartã întreaga responsabilitate a pierderilor.

In cazul în care solicitarea blocãrii cardului de la client vine ulterior derulãrii plãþilor, avem urmãtoarele situaþii:
dacã rezultã cã ne aflãm în situaþia „clonãrii” / contrafacerii unui card folosit în mod fraudulos, Banca Transilvania despãgubeºte clientul, în totalitate. Durata in care banca despãgubeºte clientul nu este mai mare de 45 zile, dar depinde de complexitatea cazului ºi de asigurarea de cãtre client a tuturor documentelor necesare (printre care ºi plangerea înregistratã la Poliþie);
dacã rezultã neglijenþa clientului – cum ar fi ºi situaþia prezentatã în articolul „Epopeea unui furt de card”, publicat în data de 18 februarie a.c. în cadrul siteului dvs., întreaga responsabilitate a pagubei, pânã la momentul blocãrii cardului, aparþine clientului pãgubit. Desigur, în aceste situaþii, Banca Transilvania consilieazã clientul ºi îl îndrumã spre Poliþie, în vederea depunerii unei plângeri ºi îl asistã cu toate probele posibil a fi obþinute (detalii despre locaþia plãþilor, indicarea bãncii comerciantului pentru solicitarea de eventuale probe video).

Al doilea set de intrebari si raspunsurile primite de la Gabriela Nistor, Director Executiv, Banca Transilvania:

1. Cum explicaþi faptul cã POS-urile BT sunt printre foarte puþinele POS-uri de bãnci care nu impun, indiferent de tipul de comerciant, tastarea codului PIN? Cu atât mai mult cu cât, din experienþa plãþilor la comercianþi cu cardul, ºtim cã aceºtia respectã foarte rar alte mãsuri de securitate, precum autentificarea cu un ID sau compararea semnãturilor de pe chitanþã? Cum se explicã aceastã discrepanþã în aplicarea politicilor procesatorilor de carduri?

Banca Transilvania are setate POS-urile la comercianþi, în confomitate cu cerinþele VISA ºi MasterCard, cerinte care menþioneazã cã cel ce “dicteazã” modul de derulare a tranzacþiei este cardul (banca emitentã, prin informaþiile trecute pe banda magneticã sau pe chip, stabilind dacã tranzacþia se deruleazã cu PIN sau semnaturã). Astfel, POS-urile Bãncii Transilvania vor opera tranzacþii cu PIN de fiecare datã când cardul este setat sã cearã derularea operaþiunilor pe bazã PIN-ului.
 
2. Conform informaþiilor din articolul menþionat, BT considerã cã un furt de card este neglijenþa clientului, însã ºi clientul ar putea spune la fel de bine cã nu este neglijenþa sa, pentru cã un furt este un furt - ºi nu o neglijenþã. Poate cã o neglijenþã ar fi o pierdere. Din rãspunsul primit de bancã, se poate înþelege cã orice dispariþie de card este o neglijenþã, cu excepþia unei clonãri. Aºa este? Si atunci, care este sensul prevederilor legale referitoare la neglijenþã? Aºadar, cum interpreteazã banca, concret, termenul de neglijenþã? Mai exact, când nu este vorba de neglijenþã? Si de ce se considerã cã în cazul unei clonãri nu este vorba de neglijenþã, când ºtim cã banca ne recomandã "sã nu scãpãm din ochi cardul", tocmai pentru a nu fi clonat?

Banca Transilvania înþelege cã orice operaþiune derulatã cu un card furat sau pierdut ºi neanunþat în prealabil de cãtre client ca un act de imprudenþã sau neglijenþã, care poate genera pierderi clientului. Orice pierdere sau furt a unui card pentru care s-a solicitat blocarea lui si ulterior curg operatiuni neautorizate cad in sarcina Bancii ca si raspundere financiara. Trebuie mentionat ca si in cazul in care un card este blocat la nivelul Bancii, cu acesta se pot derula tranzactii in mediu off-line , tranzactii reglementate de regulamentele VISA si MasteCard.

Banca Transilvania nu considera o clonare a unui card o neglijenta , avand in vedere ca o clonare presupune furtul informatiilor de pe card prin dispozitive electronice care ii fac imposibila clientului detectarea lor. Desigur in cazul clonarii unui card Banca Transilvania isi asuma raspunderea financiara daca sunt indeplinite o serie de conditii printre care, cea mai importanta reclamarea inregistrata a fraudei de catre client la Politie.
 
3. In cazul de faþã, dupa cum s-a dovedit inclusiv de cãtre poliþie, comerciantul nu a respectat procedurile. Ce se întamplã, deci, în acest caz? Mai este valabil rãpunsul BT, cã nu se considerã responsabilã?
In cazul în care se dovedeºte nerespectarea de cãtre comerciant a regulilor stabilite în baza colaborãrii între pãrþi (indiferent de modul de stabilire – intern sau prin intermendiul organelor de anchetã) responsabilitatea financiarã a operaþiunilor aparþine integral comerciantului, posesorul de card fiind despagubit.
 
Conform regulamentului BNR, utilizatorul de carduri nu este responsabil atunci cand cardul a fost utilizat fara introducerea elementelor de securitate, precum codul PIN. In acest caz, BT se considera responsabila sau nu?
Regulamentul BNR specificã derularea unei operaþiuni în condiþii de siguranþã prin utilizarea codului de acces. Iar PIN-ul este unul din codurile de acces. In accepþiunea Bãncii Transilvania, acest regulament coroborat cu regulamentele internaþionale în vigoare (cele la care s-a fãcut referire la punctul 1) ne dau dreptul sã considerãm cã prezenþa cardului ºi citirea informaþiilor de pe banda magneticã sau chip, însoþitã de semnaturã clientului, reprezintã un cod de acces în derularea operaþiunii. “

Regulamentul BNR nu are nici o valoare in fata MasterCard

Asadar, desi hotul a facut tranzactia cu cardul furat fara sa introduca codul PIN de securitate, banca considera ca el a facut o operatiune legala. De ce? Pentru ca banca emitenta a cardului l-a setat astfel incat
sa se poata face tranzactii fara PIN, ceea ce este perfect legal din punctul de vedere al procesatorilor de carduri.

Cu alte cuvinte, regulamentul BNR nu are nici o valoare in fata conditiilor impuse de MasterCard si Visa, care permit operatiuni fara cod de securitate, fara ca bancile sa fie responsabile, in timp ce regulamentul BNR absolva clientul. O contradictie evidenta.

Conform raspunsului de la Banca Transilvania, dupa ce hotul a facut tranzactia cu PIN, perfect legala, asadar, din punctul de vedere al bancii si al MasterCard, el a semnat pe chitanta tranzactiei, ceea ce este,
evident, o ilegalitate, conform codului penal.

Pentru ca este vorba de utilizarea unei semnaturi false, care ar fi trebuit sa apartina
detinatorului de drept al cardului.

Atentie! Conform acelorasi proceduri bancare si ale MasterCard, o tranzactie cu cardul fara semnatura nu este legala. Insa nu se pune
problema legalitatii semnaturii! Cu alte cuvinte, banca si MasterCard legalizeaza o ilegalitate. Pentru ca, potrivit acelorasi proceduri, comerciantul trebuie sa verifice daca semnatura de pe chitanta este
aceeasi cu cea de pe card!

In concluzie, putem accepta ca un hot poate face o tranzactie fara PIN, insa nu este corect ca procesatorul de carduri si banca sa-i legalizeze semnatura. Pentru ca nu este vorba de semnatura "clientului" ci al
hotului. Sau bancile si-au facut si hotii clienti?

Iata ce raspunde Banca Transilvania la aceasta intrebare:

1. Regulamentul BNR face referire la coduri de securitate, iar PIN-ul este cu titlu de exemplificare. In cazul in care doar PIN-ul ar fi fost considerat cod de acces in acceptiunea BNR, atunci s-ar fi facut referire explicita in acest sens.

2. Intr-adevar tranzactiile sunt “dictate” de card, iar daca acel card a fost emis de banca emitenta “spunandu-se” ca tranzactia trebuie derulata pe baza de semnatura, atunci , potrivit reglementarilor VISA / MasterCard in vigoare banca acceptatoare trebuie sa dea curs si sa deruleze tranzactia intocmai. Este si motivul pentru care, Banca Transilvania, pentru a nu exista un conflict intre reglementarile organizatiilor internationare si cele interne, intepreteaza regulamentul BNR ca fiind considerat cod de acces si utilizarea concomitenta a cardului (citirea benzii magnetice sau chip) si semnatura pe chitanta.

Desigur, in aceasta situatie comerciantul are obligatia, aspect prevazut in prevederile contractuale, sa verifice semnatura platitorului cu semnatura care se afla pe spatele cardului. De asemenea, in cazul unor tranzactii suspecte (ex. tranzactii de valori mari pentru specificul de activitate al comerciantului, tranzactii repetate cu acelasi card, tranzactii derulate de acelasi platitor cu carduri diferite etc)  sa legitimeze clientul. Cu siguranta, insa, ca personalul angajat al comerciantului nu poate expertiza grafologic semnatura, decat in cazul in care exista diferente semnificative intre semnatura de pe chitanta si cea de pe spatele cardului.”

De ce nu schimbati procedurile?

Asadar, ideea de semnatura pe o chitanta de plata cu cardul nu are, in practica, nici un fel de utilitate. Dimpotriva, legifereaza o hotie.

Ar fi mult mai simplu si sigur ca, in cazul tranzactiilor fara PIN, comerciantul sa fie obligat sa legitimeze pe cel care realizeaza tranzactia, indiferent daca tranzactia pare suspecta sau nu. In acest fel, hotul ar fi depistat automat. Mai ales ca, dupa cum am vazut, semnatura pe chitanta nu numai ca nu este de nici un ajutor, dar si legifereaza o hotie.

3 comentarii

Marian Toader
2011-10-07

Inainte de autorizarea tranzactiei, comerciantul este obligat conform contractului de acceptare carduri cu banca, sa legitimeze orice client care solicita plata cu cardul. Acest lucru se practica frecvent in afara, unde autorizarea pe baza PIN-ului aproape ca nu exista. DIn pacate comerciantul nu da importanta acestui aspect. Este stric interesat sa vanda marfa. Atata timp cat terminalul POS ii confirma tranzactia (sold disponibil) pe comerciant nu-l intereseaza cine se prezinta la casa. In fapt, comerciantul este cel care ar trebui dat in judecata.

Eduard
2010-12-31

Foarte interesanta tema de discutie -plina de invataturi. Insa nu trebuie sa ajungem la concluzia ca autorizarea tranzactiei prin semnatura este ilegala, deoarece acest mod de lucru este propriu cardurilor de credit. Solutia este legitimarea cumparatorului de ficare daca cand nu se cere PIN

liviu
2010-10-27

cf?

Posteaza un comentariu