Открытка компании: Почему «Сбербанк» отменил подтверждение операций по кредитным картам?

Граждане, будьте внимательны и бдительны.

Сбербанк в своей отеческой заботе об удобстве клиентов пошел дальше и недавно отменил во многих случаях подтверждение операций по кредитной карте (ввод пинкода, двух факторная смс-авторизация, требование подписи или предъявления удостоверения личности).
С удивлением обнаружил, что в супермаркетах (Магнит, Окей) золотая кредитная виза Сбербанка проводит оплату без каких либо требований подтверждений. На слип-чеке обнаруживается запись, что подпись клиента не требуется.
Конечно же, это упрощает жизнь любителям шопится, но мошенникам и карманным воришкам это облегчает жизнь еще больше.
Сколько времени вам нужно, чтобы обнаружить пропажу карты и заблокировать ее по телефону? Минимум 10 минут. Поздравляю, за это время можно успеть дважды затарится продуктами или бытовой техникой в близлежащем магазине. На практике вы обнаружите пропажу карты через полчаса, да и смски (постфактум сообщающие о покупках) тоже не сразу прочитаете.
Профориентация от HH — пример, когда двухфакторная авторизация внезапно оказывается ненужной для платежей в интернете.
Засветили данные, написанные на кредитке, — пиши пропало.
В техподдержке «Сбербанка» любезно сообщили, что решение использовать или не использовать такую авторизацию на совести сайта. Но извините! Платежи обрабатывает банк, защищает клиента тоже банк, а я не отправлял запроса на отключение двухфакторной авторизации платежей.
А ведь у многих не то, что двухфакторная авторизация не сработает — SMS-банк вообще не подключен и уведомления о проведенных транзакциях на телефон не приходят.

Комментарий представителя компании

  • Контекст комментария

    Иван Тютюнджи HeadHunter

    Я прям вижу мошенников, которые одну профориентацию за другой проходят в надежде найти себя и перестать заниматься этим грязным делом. Если серьезно, то напишите нам в техподдержку, они быстро помогут вернуть деньги, если вы сервисом не пользовались: http://hh.ru/feedback.mvc По существу темы: На текущий день к товарно-сервисным предприятиям (ТСП) в электронной коммерции не предъявляется требований об уведомлении плательщика о том, будет ли платеж проводиться с 3D Secure или нет. Наличие/отсутствие 3D Secure авторизации говорит лишь о том, на кого будет перенесена ответственность в случае чарджбэка (т.е. если платеж будет опротестован). При полной 3D Secure авторизации ответственность ложится на банк-эмитент, при ее отсутствии — на ТСП (если оспаривание операции правомерно). Тут, как я понял, никакого мошенничества, просто случайно оплатили услугу. Нет проблем, поможем. Не звери, не леопарды. Только так больше никогда не делайте (с)

Добавить 40 комментариев

  • Ответить
    Платон Ноталов http://ni.kprf.ru/n/3050/ - мы против налога на интернет!

    И такое не только в Сбербанке, Альфа банк тоже самое практикует! А возможно и вообще все банки и возможно это какое то новшество VisaMastercard. НО, без пин-кода можно проводить покупку не более чем на 1000р. Тем не менее, несколько раз можно сходить в магазин по чужой карте, пока владелец заметит пропажу.если вообще заметит, т.к. смс уведомление — это доп. услуга и не все к ней могут быть подключены!

  • Ответить

    Во-первых, при операциях с присутствием карты похоже просто всем установили приоритет подписи вместо пин. Что лучше и безопаснее — один из популярных банковских срачей. Но тут все от банка зависит. Приоритет подписи сейчас используется в Авангарде и ТКС, оба адекватные, заботятся о безопасности и имеют хорошую репутацию. Но сбер даже в клиентском соглашении прописал что ответственность за безопасность платежей лежит только на клиентах. Ну вы поняли :) Во-вторых, при операциях без присутствия карты использование 3Ds зависит действительно от точки оплаты. Если 3Ds не используется, то ответственность за мошенничество перекладывается на принимающего платеж. Если по украденной карте расплатились без вашего ведома, полисмэны будут месяца два копаться. Или можно в судах попотеть. Но тут может выясниться, что ООО «Рога и копыта», принявшие платеж на 100500 денег с краденной карты имеют уставной капитал 10 000 рублей (минималка) и даже в случае страшного суда больше этой суммы вам не светит. Занавес.

  • Ответить

    Дело и в Сбербанке тоже. Они упрощают себе доступ к деньгам и снимают ответственность с себя, перекладывая головную боль на клиента. У меня они списали деньги по отмененной операции. В ответ на заявление об отмене списания написали, что я должен сам собрать десяток документов, подтверждающих неправомерность списания и переписку с организацией, которая пыталась списать деньги и отменила списание (пришла смс от Сбербанка, что всё отменено). И в конце милая приписка: «непредоставление документов до даты такой-то будет означать ваше согласие с неправомерным списанием». Молодцы.

  • Ответить
    Платон Ноталов http://ni.kprf.ru/n/3050/ - мы против налога на интернет!

    Александр Зуров, я тут не соглашусь — подписи никакой не требуется. Поэтому про безопасность вообще не понятно. Похоже, что банки создают для себя лазейки, чтобы не платить клиентам за свои косяки — а именно недостаточное обеспечение безопасности по операциям с картами. Также банки на сколько я знаю скрывают реальный масштаб краж по картам! И тем не менее это не мешает им проводить кампании по продвижению пластика. Буквально вчера на личном примере — мама пошла за пенсией, счет оформлен со сберегательной книжкой (а мы помним статью 1 ГК 841, что счета в принципе должны оформляться с использованием сбер.книжек, правда если не указано иного, а иного обычно не указано! и банки в большинстве своем оформляют без этой книжки, без которой затруднительно вообще доказать движение средств по счету). Так вот — в Сбербанке ей дали подписать уже распечатанное заявление, причем с неправильными данными и безо всяких объяснений сунули карту со словами, типа — это ваша электронная подпись (с каких пор Сбер уполномочен выдавать электронные подписи?), будете ей подписываться когда будете снимать с книжки деньги. Никаких доп. договоров оформлено не было и никакой информации по карте тоже не предоставили — сколько стоит обслуживание, что за карта, кредитная ли, дебетовая и пр. Случай родственников — пошли в тот же Сбер, сунули им карту вместо сберкнижки + дали кредитную карту. Типа хотите пользуйтесь, хотите не пользуйтесь. Кредиткой они не пользовались, она им просто не нужна в принципе, но типа дали и дали — пускай лежит. Спустя полгода приходит долг по кредитной карте 35 000р + пени и угрозы. Те конечно в шоке — начали выяснять. Карта оформлена на симку, которой не пользовались. Через некоторое время симку деактивировал оператор. В банке говорят — мы вам звонили, но не дозвонились, но деньги все равно сняли вы. Дальше начали разбиратья — заявление в полицию, прокуратура, суд и прочие прелести. ВЫИГРАЛИ! Виновный среди сотрудников банка…. Вот так дурят нас и наших пенсионеров!!! Будьте внимательны!

  • Ответить

    Кстати сейчас давно не требуют подписи в большинстве магазинов при использовании карты. И не сверяют ее с оригиналом. Даже в большинестве случаев на фамилию не смотрят — мне несколько раз удалось расплатится картой своей жены.

  • Ответить

    > Это только VISA, у Визы теперь до 1000 рублей без подтверждений проходит автоматически (если терминал позволяет). Нет, у Мастера тоже такое есть, но только для PayPass; если вставлять в считыватель чипов — просит пин независимо от суммы. По крайней мере моя карта от Райфа так работает.

  • Ответить

    Значит рассказываю, как у меня украли деньги именно из-за отсутствия авторизации. Я забыл свою карту Я.Деньги (реальный оператор карты — ТКС) в ресторане, когда ей расплачивался, и обнаружил пропажу только на следующий день. За это время у меня успели стырить около 8тыс.р. — путем покупки виртуальной валюты на Одноклассниках. То есть, я увидел список болше 15 транзакций «Odnoklassniki» по 500−999р каждая, с разницей во времени от 1 минуты до нескольких часов. Тогда я специально проверил на ОК, можно ли купить там валюту на сумму до 1000р, имея только данные карточки — да, можно, никакой дополнительной авторизации не нужно! Обычно, нормальные сайты перенаправляют на страницу подтверждения банка (Сбер, ТКС), но Одноклассникам ведь позарез нужно «повышать конверсию» в платежи, чтобы теткам было проще платить в виртуальные фермы. В итоге, после написания заявления, ТКС все вернул, молодцы! ИМ — респект. ОК — позор.

  • Ответить

    Кстати странно, да. Некоторые покупки идут без подтверждения — оплачивал игруху — 1к спокойно ушли деньги, а вчера в магните на 300р закупился и вводил пин-код. Пару дней назад кинул 100р на ЯД — через сбер онлайн — попросил подтвердить платеж по смс. Странная система в общем.

  • Ответить

    Все для развода лохов и повышения конверсии! Сбер и Хедхантер, если Вы не устраните свои косяки, я буду повышать ваш репутационный ущерб, распространяя данный текст.

  • Ответить

    vladon, Хрена с два! Я был в офисе Сбера через час после платежа на hh.ru. Мне они отказали и сказали, ничего не знаем, мы-немы и корова не наша, сайт якобы сам решает активировать или не активировать 3D Secure. Ничего возвращать не будем, обращайтесь на сайт.

  • Ответить

    Alex, не надо ходить по офисам, вы прям как маленький. https://ok.sberbank.ru Сбер — не знаю, ТКС вон выше вернул деньги слёту. Только если вы сами заплатили, то с какой стати вам возвращать нужно?

  • Ответить

    vladon, у меня это получилось отнюдь не в кратчайшие сроки, месяц-два. Вот и нахрен оно нам надо, ведь ввод кодов подтверждения при покупке отнимает крошечное время в сравнении с тем временем, что потеряешь потом на волоките.

  • Ответить

    С того, что я не собирался платить, заполнил форму, пока заполнял — раздумывал, хотел отказаться, кошка прыгнула на клавиатуру и нажала отправку. А деньги хлоп и списались, без всякого подтверждения.

  • Ответить

    Если мерчант не использовал всю возможную защиту карты, то любые потери по фроду на его счету. В таких случаях нормальные банки сразу возвращают деньги.

  • Ответить

    А вообще, тема интересная еще тем, что, например, в Штатах я вообще не встречал ни разу допавторизации по СМС-кодам, да и вообще смс-оповещения там никто не предлагают и никто ими не пользуется. Есть данные карты с лицевой и оборотной стороны — всё, больше тебе ничего не надо для покупки онлайн. Это в России я как раз настолько «избалован» замороченной секюрностью, что готов жестко критиковать ОК за отсутствие двухуровневой авторизации.:) А там — было бы пофиг, ведь ее в принципе там ни у кого нет)

  • Ответить
    Платон Ноталов http://ni.kprf.ru/n/3050/ - мы против налога на интернет!

    Alex, да там и менталитет другой. А у нас и 10-ти уровней защиты будет мало… И не понятно от кого вообще защищаться — банки похлеще воров обирают. Мне также не понятны доводы про конверсию — 10 секунд не решают для покупателя. Просто получается, что банки с молчаливого согласия неграмотных покупателей и магазинов поддерживают этот процесс необязательностью исполнения. В то время как сами банки на месте магазинов вряд ли бы стали рисковать и отменять дополнительные меры безопасности?! Я, например, радуюсь, когда мне при оплате картой приходит смс с кодом подтверждения!

  • Ответить
    Платон Ноталов http://ni.kprf.ru/n/3050/ - мы против налога на интернет!

    Vladon, а вам не кажется, что доля успешных платежей могла вырасти за счет фрода, отсеивающегося при 3D Secure? Еще бы статистику по возвратам посмотреть и сравнить графики. К тому же интересует кто несет ответственность за неиспользуемый 3D Secure, вероятно магазин? Который хочет «повысить» конверсию. Но давайте здраво — это проблема банка и если возложить ответственность на него (а именно банк обязан в большей степени заботиться о безопасности счетов своих клиентов), то будет все по правильному! А пока банку удобно перекладывать ответственность на магазины и клиентов — он так и будет продолжать попустительство.

  • Ответить

    @Платон Ноталов > Vladon, а вам не кажется, что доля успешных платежей могла вырасти за счет фрода, отсеивающегося при 3D Secure? Еще бы статистику по возвратам посмотреть и сравнить графики. Какой смысл во фроде в пользу Badoo? Их вывести оттуда уже нельзя. Раньше был фрод в пользу оплаты ЖКХ на госуслугах Татарстана — вот там была схема. А банк ни в каком случае не несет ответственности. Если есть 3d — ответственность на клиенте. Если нет — на магазине. Банк нигде не участвует.

  • Ответить

    Я прям вижу мошенников, которые одну профориентацию за другой проходят в надежде найти себя и перестать заниматься этим грязным делом. Если серьезно, то напишите нам в техподдержку, они быстро помогут вернуть деньги, если вы сервисом не пользовались: http://hh.ru/feedback.mvc По существу темы: На текущий день к товарно-сервисным предприятиям (ТСП) в электронной коммерции не предъявляется требований об уведомлении плательщика о том, будет ли платеж проводиться с 3D Secure или нет. Наличие/отсутствие 3D Secure авторизации говорит лишь о том, на кого будет перенесена ответственность в случае чарджбэка (т.е. если платеж будет опротестован). При полной 3D Secure авторизации ответственность ложится на банк-эмитент, при ее отсутствии — на ТСП (если оспаривание операции правомерно). Тут, как я понял, никакого мошенничества, просто случайно оплатили услугу. Нет проблем, поможем. Не звери, не леопарды. Только так больше никогда не делайте (с)

  • Ответить
    Платон Ноталов http://ni.kprf.ru/n/3050/ - мы против налога на интернет!

    Vladon, так это и покупают по большей части на ворованные номера — доступы к сайтам, скайп, софт и пр. Потом выводят, переводят, заводят — это уже целая индустрия. Так что удивляться тут нечему, просто мы не понимаем всей схемы работы — поэтому кажется, что это никому не нужно.

  • Ответить

    @Платон Ноталов У вас есть какая-то конкретная статистика по фроду, или это лишь ваши предположения, не подкреплённые ничем? Я привёл данные дейтинга, которые увеличили продажи на 20%. А вы что приведёте в ответ?

  • Ответить
    Платон Ноталов http://ni.kprf.ru/n/3050/ - мы против налога на интернет!

    Vladon, я тоже могу нарисовать графики, но опыт badoo не о многом говорит. К тому же нет графиков по чарджу, а как мы знаем — статистика вещь лукавая :) Без обид, просто скептическое отношение в силу профессиональной деформации.

  • Ответить

    > На слип-чеке обнаруживается запись, что подпись клиента не требуется. К сведению автора — в реальных магазинах виноваты настройщики терминалов, а скорее даже руководство, которое даёт им такие тех.задания. В Магните терминалы под опёкой ВТБ24, кстати, тот в своём официальном твиттере делает круглые глаза на сообщения про то, что покупатели сталкиваются с таким поведением. Делается это, естественно, для увеличения пропускной способности касс. Официальное название этой технологии — «Быстрая покупка» (Quick Payment Service или Small Ticket). Максимальная сумма «быстрой покупки» в России 1000 рублей. С настройками терминалов у нас в стране бардак. Кто во что горазд. Нет никаких правил для чёткого исполнения, нет ответственности. Так что на эмитента в данном случае катить бочку бесполезно. PS: любителям страшилок — подумайте ещё про оплату найденной (и даже уже заблокированной владельцем) картой с бесконтактной оплатой на терминале, находящемся в оффлайн-режиме работы (то есть не шлющему запрос к процессингам)

  • Ответить
    jet

    С картой ТКС за 5 лет ни разу нигде не вводил ПИН. Подпись требуют в 10−20% случаев, не зависимо от суммы чека, меньше 1000 руб редко покупки. В онлайне иногда есть 3Ds, чаще нету. >А вообще, тема интересная еще тем, что, например, в Штатах я вообще не встречал ни разу допавторизации по СМС-кодам зато в Штатах есть проверка карты по адресу жительства и имени, в других странах эта проверка не работает у нас имя в форме оплаты по карте можно вводить любое Насчет возврата, где-то читал, что кроме банков еще можно писать в Визу и Мастеркард, должны возвращать в случаях мошенничества или если не получили покупку, это при операциях без присутствия карты. Там вроде срок до 6 месяцев, когда можно жалобу подавать, подробностей не помню.

  • Ответить

    Alex, получил ваше письмо. Как я и говорил, в случае случайной оплаты, мы сразу же вернули бы вам деньги. Однако вы публично вводите читателей Роема в заблуждение, потому что вы не просто случайно оплатили «из-за прыгнувшей на клавиатуру кошки», а воспользовались сервисом и прошли тест. Так что в реальности вы просите вернуть деньги на основании того, что тест вам не понравился. Почему-то об этом вы решили тут не писать. Думаю, вам и всем читателям должно быть очевидно, что это уже совсем другая история. К сожалению, вынуждены вам отказать, так как услуга использована, а результаты профориентации вами получены. Все наши обязательства перед вами выполнены. Более того, ровно об этом же вам и сообщали мои коллеги в личной переписке, но вас не устроил их ответ лично вам, вы исказили ситуацию и сделали ее публичной. Вынужден вас разочаровать: фокус не прошел. Кроме того, ваши жалобы на отсутствие 3D Secure при оплате совершенно не имеют отношения к вашему случаю. И зачем только вы подталкиваете людей к обсуждению технологии оплаты на основе недостоверной информации… Если у вас есть пожелания по улучшению сервиса, чтобы он вас больше удовлетворял — присылайте, мы внимательно их изучим. Всего вам доброго. В следующий раз при внезапном появлении кошки на клавиатуре рекомендую сразу же обращаться к продавцу или провайдеру услуг.

  • Ответить

    Иван Тютюнджи, Во-первых, услугой я не воспользовался до конца, я не прикрепил результаты теста к своему резюме, а это рекламируется как одна из основных функций данного теста. Во-вторых, Почему Вы под видом профориентации продаете банальный IQ-тест? Который анализируется примитивным алгоритмом (нет затрат людских ресурсов) и стоит у Вас 450 рублей, а на куче других сайтов доступен бесплатно? Почему у Вас одна услуга продается под видом другой? В третьих, у меня были технические проблемы во время теста, некоторые вопросы не отобразились своевременно, Вы это проигнорировали. На всякий случай, вот скрин http://habrastorage.org/files/8c7/931/4a8/8c79314a81c540a0b3a39f3b690692a4.png, чтобы задним числом Вы описание услуги не поменяли. Нет ни одного упоминания или подробного объяснения, что вторая и наиболее длинная часть теста — это не «Определение особенностей мышления», а банальный IQ-тест во всем его убожестве. Нет никакой возможности ознакомится хотя бы с парой-другой вопросов теста заранее, до принятия решения об оплате. Вы вводите пользователей в заблуждение и продаете им кота в мешке, одну услугу под видом другой. Все профессиональные поставщики тестов перед покупкой исследования предоставляют возможность пройти ознакомительный тест (5%-10% вопросов от основной массы). Отсюда можно сделать вывод, что у HH подход непрофессиональный. И деньги Вы стараетесь как можно скорей списать, чтоб побольше конверсия была. Назад то их уже не заберешь. Как отказаться от кота ненадлежащего качества? Правильно, нужно открыть мешок, чтоб это сначала увидеть! «А вернуть кота уже нельзя, любезнейший, вы ж мешок уже открыли, услугой нашей воспользовались, ай-ай-ай. Не хорошо, фокус у вас не прошел.»

  • Ответить

    Посмотрел профиль автора: Alex — вот же удивительно, он тот самый неадекватный разработчик эректоса! А я смотрю, какой-то стиль жалобы знакомо жёлтый, в комментариях показательно паника и путаница, а потом выясняется, что и просто враньё. http://roem.ru/2014/05/02/addednews98248/ http://roem.ru/2014/06/03/addednews100640/ Линукс.орг.ру всё-таки способен причинить непоправимые травмы мировосприятию.