15 Apr 2008 38 Comentarii

Continuam epopeea furtului unui card, cu opinia Bancii Transilvania, la al carei POS (dispozitiv electronic pentru plata cu cardul la magazine) a fost folosit cardul furat de hot. Utilizatorul cardului a dat vina si pe Banca Transilvania pentru ca permis realizarea tranzactiei fara introducerea codului PIN, doar pe baza de semnatura pe chitanta.

Banca se apara insa, spunand ca banca emitenta a cardului, UniCredit Tiriac Bank, este cea care dicteaza modul in care poate fi utilizat cardul: cu introducerea codului PIN sau fara.

Dar cum se explica atunci faptul ca platile cu respectivul card se pot face la unii comercianti doar cu introducrea PIN-ului, pe cand la altii doar pe baza semnaturii? Inca nu am lamurit acest aspect. Singurul lucru cert e ca hotul nostru a gasit un comerciant care nu i-a solicitat codul PIN, reusind astfel sa fure toti banii de pe card.

Cu privire la despagubirile pe care banca le poate acorda in aceasta situatie, raspunsul Bancii Transilvania este transant: banca nu despagubeste utilizatorul cardului intr-o astfel de situatie, intrucat se considera ca furtul cardului este o neglijenta, ca atare utilizatorul cardului poarta intreaga raspundere pentru banii furati de pe card. (In schimb, banca isi despagubeste clientii carora li s-a clonat cardul. Asadar, copierea cardului, la bacomat, POS sau prin internet, nu este considerata o neglijenta.)

Insa chiar daca hotul poate folosi cardul fara introducerea codului PIN, el trebuie sa semneze chitanta care certifica tranzactia. Iar comerciantul, ATENTIE!, “trebuie sa verifice daca semnatura de pe card coincide cu cea de pe chitanta”, dupa cum spune banca. Pai daca e vorba de hot, cu siguranta ca semnatura nu coincide cu cea de pe card, care este a utilizatorului de drept.

Asadar, intrebarea fireasca a fost, ulterior, ce se intampla in acest caz, in care comerciantul nu a respectat procedurile?

Banca Transilvania: “In cazul in care se dovedeste nerespectarea de catre comerciant a regulilor stabilite in baza colaborarii intre parti (indiferent de modul de stabilire – intern sau prin intermendiul organelor de ancheta) responsabilitatea financiara a operatiunilor apartine integral comerciantului, posesorul de card fiind despagubit”.

Asadar, pana la urma, in acest caz, clientul ar trebui despagubit sau nu? Nu se stie exact, pentru ca apare o noua problema: e greu de dovedit ca acel comerciant nu a respectat procedura de comparare a semnaturilor. El poate spune ca le-a comparat si pareau ca seamana. Dupa cum spune si Banca Transilvania: “Cu siguranta, insa, ca personalul angajat al comerciantului nu poate expertiza grafologic semnatura, decat in cazul in care exista diferente semnificative intre semnatura de pe chitanta si cea de pe spatele cardului.”

ATENTIE insa! O semnatura poate fi imitata, dar nu si copiata. Expertiza grafologica poate demonstra ca semnatura hotului nu e aceeasi cu cea a utilizatorului de card. Degeaba, insa, intelegem din raspunsurile banii, comerciantul nu e grafolog. Asa incat se poate spune ca procedura a fost respectata, bancile s-au spalat pe maini de responsabilitate, iar hotul a iesit castigator.

Cu alte cuvinte, banca si procesatorul de carduri, MasterCard sau Visa, legifereaza hotia!

Primul set de intrebari puse de GhiseulBancar.ro si raspunsurile primite de la Robert C. Rekkers, Director General, Banca Transilvania:

GhiseulBancar.ro: Comerciantii nu sunt obligati de banca sa ceara codul PIN? Care e procedura completa pe care trebuie sa o urmeze comerciantul?

Robert C. Rekkers: Comerciantii nu sunt obligati de banca sa instituie, pentru POS-uri, obligativitatea solicitarii codului PIN, acesta fiind necesar doar la tranzactiile facute la bancomate. In cazul POS-urilor, acestea trebuie sa citesca informatia de pe card - de pe banda magnetica sau chip-ul cardului - si sa deruleze tranzactia, asa cum o solicita cardul. Mai exact, pe banda magnetica sau pe chip card fiecare card are “mentionata” informatia legata de modul de derulare a tranzactiei (cu PIN sau cu semnatura).

Cu alte cuvinte, cardul este cel care „dicteaza” POS-ului cum sa se faca tranzactia – comunicand PIN-ul sau pe baza de sematura. Regulamentele partenerilor nostri, VISA si MasterCard, chiar solicita ca POS-urile sa fie capabile sa intrepreteze corect solicitarea cardului. POS-urile Bancii Transilvania respecta solicitarile VISA / MasterCard, astfel incat orice tranzactie este derulata cu autentificare pe PIN sau semnatura, in functie de ce “dicteaza” cardul. Desigur, in cazul unor comercianti care activeaza in domenii cu risc ridicat, bancile pot discretionar sa solicite PIN la orice tranzactie, indiferent de ce va solicita cardul.

In cazul tranzactiilor pe baza de semnatura, comerciantul trebuie sa verifice cel putin urmatoarele: daca datele de pe chitanta eliberata de POS coincid cu cele inscrise pe card (numarul de card, data expirarii, numele clientului), asta pentru ca pe chitanta datele se genereaza de pe banda magnetica sau chip si orice contrafacere a unui card ar putea fi detectata; sa verifice daca semnatura de pe card coincide cu cea de pe chitanta. Dupa verificarea acestor elemente de securitate tranzactia poate fi finalizata prin livrarea bunurilor sau serviciilor platite.

GhiseulBancar.ro: Daca hotul a reusit sa fure bani de pe card, banca despagubeste utilizatorul cardului? Daca da, care este procedura si in cat timp?

Robert C. Rekkers: In cazul in care clientul a solicitat anterior blocarea cardului inaintea derularii tranzactiilor, banca poarta intreaga responsabilitate a pierderilor. In cazul in care solicitarea blocarii cardului de la client vine ulterior derularii platilor, avem urmatoarele situatii: daca rezulta ca ne aflam in situatia „clonarii” / contrafacerii unui card folosit in mod fraudulos, Banca Transilvania despagubeste clientul, in totalitate.

Durata in care banca despagubeste clientul nu este mai mare de 45 zile, dar depinde de complexitatea cazului si de asigurarea de catre client a tuturor documentelor necesare (printre care si plangerea inregistrata la Politie); daca rezulta neglijenta clientului – cum ar fi si situatia prezentata in articolul „Epopeea unui furt de card”, publicat in data de 18 februarie a.c. in cadrul siteului dvs., intreaga responsabilitate a pagubei, pana la momentul blocarii cardului, apartine clientului pagubit.

Desigur, in aceste situatii, Banca Transilvania consilieaza clientul si il indruma spre Politie, in vederea depunerii unei plangeri si il asista cu toate probele posibil a fi obtinute (detalii despre locatia platilor, indicarea bancii comerciantului pentru solicitarea de eventuale probe video).

Al doilea set de intrebari si raspunsurile primite de la Gabriela Nistor, Director Executiv, Banca Transilvania:

1. Cum explicati faptul ca POS-urile BT sunt printre foarte putinele POS-uri de banci care nu impun, indiferent de tipul de comerciant, tastarea codului PIN? Cu atat mai mult cu cat, din experienta platilor la comercianti cu cardul, stim ca acestia respecta foarte rar alte masuri de securitate, precum autentificarea cu un ID sau compararea semnaturilor de pe chitanta? Cum se explica aceasta discrepanta in aplicarea politicilor procesatorilor de carduri?

Banca Transilvania are setate POS-urile la comercianti, in confomitate cu cerintele VISA si MasterCard, cerinte care mentioneaza ca cel ce “dicteaza” modul de derulare a tranzactiei este cardul (banca emitenta, prin informatiile trecute pe banda magnetica sau pe chip, stabilind daca tranzactia se deruleaza cu PIN sau semnatura). Astfel, POS-urile Bancii Transilvania vor opera tranzactii cu PIN de fiecare data cand cardul este setat sa ceara derularea operatiunilor pe baza PIN-ului.

2. Conform informatiilor din articolul mentionat, BT considera ca un furt de card este neglijenta clientului, insa si clientul ar putea spune la fel de bine ca nu este neglijenta sa, pentru ca un furt este un furt - si nu o neglijenta. Poate ca o neglijenta ar fi o pierdere. Din raspunsul primit de banca, se poate intelege ca orice disparitie de card este o neglijenta, cu exceptia unei clonari. Asa este? Si atunci, care este sensul prevederilor legale referitoare la neglijenta? Asadar, cum interpreteaza banca, concret, termenul de neglijenta? Mai exact, cand nu este vorba de neglijenta? Si de ce se considera ca in cazul unei clonari nu este vorba de neglijenta, cand stim ca banca ne recomanda "sa nu scapam din ochi cardul", tocmai pentru a nu fi clonat?

Banca Transilvania intelege ca orice operatiune derulata cu un card furat sau pierdut si neanuntat in prealabil de catre client ca un act de imprudenta sau neglijenta, care poate genera pierderi clientului. Orice pierdere sau furt a unui card pentru care s-a solicitat blocarea lui si ulterior curg operatiuni neautorizate cad in sarcina Bancii ca si raspundere financiara.

Trebuie mentionat ca si in cazul in care un card este blocat la nivelul Bancii, cu acesta se pot derula tranzactii in mediu off-line , tranzactii reglementate de regulamentele VISA si MasteCard. Banca Transilvania nu considera o clonare a unui card o neglijenta , avand in vedere ca o clonare presupune furtul informatiilor de pe card prin dispozitive electronice care ii fac imposibila clientului detectarea lor.

Desigur in cazul clonarii unui card Banca Transilvania isi asuma raspunderea financiara daca sunt indeplinite o serie de conditii printre care, cea mai importanta reclamarea inregistrata a fraudei de catre client la Politie.

3. In cazul de fata, dupa cum s-a dovedit inclusiv de catre politie, comerciantul nu a respectat procedurile. Ce se intampla, deci, in acest caz? Mai este valabil rapunsul BT, ca nu se considera responsabila?

In cazul in care se dovedeste nerespectarea de catre comerciant a regulilor stabilite in baza colaborarii intre parti (indiferent de modul de stabilire – intern sau prin intermendiul organelor de ancheta) responsabilitatea financiara a operatiunilor apartine integral comerciantului, posesorul de card fiind despagubit.

4. Conform regulamentului BNR, utilizatorul de carduri nu este responsabil atunci cand cardul a fost utilizat fara introducerea elementelor de securitate, precum codul PIN. In acest caz, BT se considera responsabila sau nu?

Regulamentul BNR specifica derularea unei operatiuni in conditii de siguranta prin utilizarea codului de acces. Iar PIN-ul este unul din codurile de acces. In acceptiunea Bancii Transilvania, acest regulament coroborat cu regulamentele internationale in vigoare (cele la care s-a facut referire la punctul 1) ne dau dreptul sa consideram ca prezenta cardului si citirea informatiilor de pe banda magnetica sau chip, insotita de semnatura clientului, reprezinta un cod de acces in derularea operatiunii.

Regulamentul BNR nu are nici o valoare in fata MasterCard

Asadar, desi hotul a facut tranzactia cu cardul furat fara sa introduca codul PIN de securitate, banca considera ca el a facut o operatiune legala. De ce? Pentru ca banca emitenta a cardului l-a setat astfel incat sa se poata face tranzactii fara PIN, ceea ce este perfect legal din punctul de vedere al procesatorilor de carduri.

Cu alte cuvinte, regulamentul BNR nu are nici o valoare in fata conditiilor impuse de MasterCard si Visa, care permit operatiuni fara cod de securitate, fara ca bancile sa fie responsabile, in timp ce regulamentul BNR absolva clientul. O contradictie evidenta.

Conform raspunsului de la Banca Transilvania, dupa ce hotul a facut tranzactia cu PIN, perfect legala, asadar, din punctul de vedere al bancii si al MasterCard, el a semnat pe chitanta tranzactiei, ceea ce este, evident, o ilegalitate, conform codului penal. Pentru ca este vorba de utilizarea unei semnaturi false, care ar fi trebuit sa apartina detinatorului de drept al cardului.

Atentie! Conform acelorasi proceduri bancare si ale MasterCard, o tranzactie cu cardul fara semnatura nu este legala. Insa nu se pune problema legalitatii semnaturii! Cu alte cuvinte, banca si MasterCard legalizeaza o ilegalitate. Pentru ca, potrivit acelorasi proceduri, comerciantul trebuie sa verifice daca semnatura de pe chitanta este aceeasi cu cea de pe card! In concluzie, putem accepta ca un hot poate face o tranzactie fara PIN, insa nu este corect ca procesatorul de carduri si banca sa-i legalizeze semnatura. Pentru ca nu este vorba de semnatura "clientului" ci al hotului. Sau bancile si-au facut si hotii clienti?

Iata ce raspunde Banca Transilvania la aceasta intrebare:

1. Regulamentul BNR face referire la coduri de securitate, iar PIN-ul este cu titlu de exemplificare. In cazul in care doar PIN-ul ar fi fost considerat cod de acces in acceptiunea BNR, atunci s-ar fi facut referire explicita in acest sens.

2. Intr-adevar tranzactiile sunt “dictate” de card, iar daca acel card a fost emis de banca emitenta “spunandu-se” ca tranzactia trebuie derulata pe baza de semnatura, atunci , potrivit reglementarilor VISA / MasterCard in vigoare banca acceptatoare trebuie sa dea curs si sa deruleze tranzactia intocmai. Este si motivul pentru care, Banca Transilvania, pentru a nu exista un conflict intre reglementarile organizatiilor internationare si cele interne, intepreteaza regulamentul BNR ca fiind considerat cod de acces si utilizarea concomitenta a cardului (citirea benzii magnetice sau chip) si semnatura pe chitanta.

Desigur, in aceasta situatie comerciantul are obligatia, aspect prevazut in prevederile contractuale, sa verifice semnatura platitorului cu semnatura care se afla pe spatele cardului. De asemenea, in cazul unor tranzactii suspecte (ex. tranzactii de valori mari pentru specificul de activitate al comerciantului, tranzactii repetate cu acelasi card, tranzactii derulate de acelasi platitor cu carduri diferite etc) sa legitimeze clientul.

Cu siguranta, insa, ca personalul angajat al comerciantului nu poate expertiza grafologic semnatura, decat in cazul in care exista diferente semnificative intre semnatura de pe chitanta si cea de pe spatele cardului.

De ce nu schimbati procedurile?

Asadar, ideea de semnatura pe o chitanta de plata cu cardul nu are, in practica, nici un fel de utilitate. Dimpotriva, legifereaza o hotie. Ar fi mult mai simplu si sigur ca, in cazul tranzactiilor fara PIN, comerciantul sa fie obligat sa legitimeze pe cel care realizeaza tranzactia, indiferent daca tranzactia pare suspecta sau nu. In acest fel, hotul ar fi depistat automat. Mai ales ca, dupa cum am vazut, semnatura pe chitanta nu numai ca nu este de nici un ajutor, dar si legifereaza o hotie.