Вопрос касательно спорных операций по пластиковым картам

what_ever
От пользователя Cybervlad
А что не устраивает? Нормальное разграничение ответственности. Банк откуда должен знать, что карта скомпрометирована? Пока банк не уведомили - ответственность Ваша.
что значит нормальное разграничение ответственности? я откуда должен знать, что банкомат авторизованной банком сети компрометирует мою карту? ответственность за обеспечение банк несет хотя бы на основании того, что он является владельцем карты, системы собственных и корпоративных/чужих авторизованных! банкоматов, а также их собственной базы данных.
От пользователя Cybervlad
1) Пишите претензию в банк и указывайте срок ответа (типа, в 5-дневный срок на указанный адрес).
2) Если "тянут и тянут, и тянут" - иск на неправомерное удержание Ваших денежных средств.

1) 10 дней, согласно ст. 31 ззпп.
2) сначала заявление в прокуратуру, запрос о правомерности в банк россии. потом иск.
спасибо за комментарий.
0
what_ever
опять же, это банк выдал простую карту без защиты в виде чипа, что гарантировало бы дополнительную защиту сохранности данных карты, являющейся собственностью банка.
0
AquA
выдержка из нового закона о ЦП:
""ключ электронной подписи - уникальная последовательность символов", а пин-код из 4-х(!) цифр уникальным, по определению, быть не может. (К примеру, на суде можно показать, что он совпадает с пин-кодом на сотовом ;-) )

От пользователя Cybervlad
Причем тут ЭЦП?
Читайте п.2 ст 160 ГК РФ.
ЭЦП - один из (но не единственный) вид аналога собственноручной подписи.


Статья 160. Письменная форма сделки

п.2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

т.е. вы поддерживаете моё мнение, что пин-код никоим образом не является ЭЦП, а утверждаете, что он является АСП - аналогом собственноручной подписи?
Полагаю, что это ещё нужно доказать в суде. Предлагаю профильным специалистам дать комментарии, по теме.
0
От пользователя what_ever
что значит нормальное разграничение ответственности? я откуда должен знать, что банкомат авторизованной банком сети компрометирует мою карту? ответственность за обеспечение банк несет хотя бы на основании того, что он является владельцем карты, системы собственных и корпоративных/чужих авторизованных! банкоматов, а также их собственной базы данных.


А если карта была скомпрометирована в банкомате, принадлежащему другому банку, банк тоже должен за это ответственность нести?
0
what_ever
От пользователя Lex486
А если карта была скомпрометирована в банкомате, принадлежащему другому банку, банк тоже должен за это ответственность нести?

имхо, я подчеркиваю, имхо, да, должен. я основываюсь не на законной норме, внутреннем регламенте или директиве цб, а на логике. если банк авторизовал корпоративный или чужой банкомат посредством вступления в какие либо ассоциации или посредством прямых соглашений, то взимать он как владелец карты должен не с картодержателя, а с владельца бакномата, скомпрометировавшего карту и взявшего за это комиссию!
0 / 1
От пользователя what_ever
имхо, я подчеркиваю, имхо, да, должен. я основываюсь не на законной норме, внутреннем регламенте или директиве цб, а на логике. если банк авторизовал корпоративный или чужой банкомат посредством вступления в какие либо ассоциации или посредством прямых соглашений, то взимать он как владелец карты должен не с картодержателя, а с владельца бакномата, скомпрометировавшего карту и взявшего за это комиссию!


Согласен, но наполовину....
Есть логика в том, что если банк предоставляет услугу клиенту, то он берёт на себя ответственность за безопасность пользования данной услугой....НО, я уверен, что будь оно так, то нашлось бы большое кол-во людей, пытающиеся нажиться на этом...

Представьте, что в случаи, если был совершён платёж по скомпрометированной карте, то банк должен вернуть клиенту деньги...приходит мужик в банк, говорит что с карты были сняты все деньги и это не он....что делать банку...верить наслово? или проверять все операции клиента по пину с момента выпуска карты...их может быть не одна тысяча...а и как проверить была ли карта скомпрометирована при этой операции? обращаться в банк где была выдача...дык он тоже не причём, если была точная копия карты, как он должен различать?
а такой клиент у банка тоже не 1, а времени нет.

Так что, опять таки ИМХО, всё правильно что ответственность за безопасность лежит всё таки на клиенте.
0
AquA
От пользователя what_ever
А если карта была скомпрометирована в банкомате, принадлежащему другому банку, банк тоже должен за это ответственность нести?


Ответственность за это лежит на платёжной системе и банках. Они, в соответствии с правилами МПС разбираются кто виноват и наказывают деньгами. В любом случае, держатель карты за это нести ответственность не должен. Если технология несовершенна и допускает утечку информации вот пусть сами и разбираются. Если банк при спорных ситуациях с держателем карты ссылается на правила платёжных систем, то надо понимать, что в них может быть написано что угодно, в спорных ситуациях всё опирается на законодательство РФ, а не на то, что удобно и принято в MC или VISA. Все спорные моменты в этом случае решаются в суде.
0
AquA
От пользователя Lex486
Представьте, что в случаи, если был совершён платёж по скомпрометированной карте, то банк должен вернуть клиенту деньги...приходит мужик в банк, говорит что с карты были сняты все деньги и это не он....

Такие случаи бывают. Вполне заурядная ситуация, когда кто-то неразличимый на камере наблюдения снимает деньги с банкомата, далее следует заявление о том, что держатель карты этой операции не совершал, карту банк блокирует, держатель карты это обжалует с претензиями, мол "это мои деньги на моём счету, а вы тут мне доступ к ним запрещаете!!" :ultra: банк вынужден карту разблокировать, процедура снятия наличных "анонимусом" повторяется и так в несколько заходов..
Знаю случай, когда один из банков таким образом стал беднее на 100тыс. $ при разборе полётов в МПС выяснилось что операции шли по магнитной полосе, а у держателя карты карта была с чипом. Всё - дальше никто не разбирался, деньги взыскали с банка, а МПС ещё и банк оштрафовала на несоответствие стандартам безопасности. Занавес.
p.s. Внимание, для желающих проверить на прочность банк и профессионализм СБ напоминаю, что за мошенничество существует уголовная ответственность. :vis:
0
what_ever
21 Сен 2011 14:20 зачот
0
what_ever
в общем, бабос в целости и сохранности вернули на счет. стоило начать собирать документы для претензии, как нач. отдела взял все в свои руки. всем спасибо.
0
what_ever
особенное спасибо AquA :hi:
0
AquA
Вот и отлично! В банках тоже нормальные и вменяемые люди работают. Если они видят, что клиент в сложившейся ситуации не виноват - всегда идут навстречу. Вежливость и настойчивость с обеих сторон приводят к разрешению проблемы.
Знаю историю, когда у человека внезапно начинают падать смс о списаниях денег с карточного счёта, он в панике несётся к ближайшему банкомату и снимает последние деньги - 400 руб. (а на счету было 10тыс. $ :-D )
При дальнейших разбирательствах с банком-эмитентом выяснилось, что деньги снимали в Испании с использованием пин-кода. Тот факт, что держатель карты оказался в этот момент в России и засветился в местном банкомате, положительным образом повлияло на решение банка, деньги человеку вернули, справедливо решив что он не мошенник. Банк поступил благородно.

p.s. меня всё же мучает вопрос, можно ли приравнять пин-код к АСП? :write:
0
what_ever
От пользователя AquA
В банках тоже нормальные и вменяемые люди работают.
да все в порядке я нормально и адекватно разговаривал с вежливыми людьми, от которых, может быть, ничего и не зависело. в итоге позвонил поблагодарил - почему нет, люди принимали участие в возврате кровно заработанных. но в целом, по своей системе я понял гпб не ориентирован на клиента.
0
Cybervlad
От пользователя AquA
выдержка из нового закона о ЦП:

Зачем? Я же Вам русским языком объясняю, что ЭЦП и ЦП являются часными случаями, подмножеством (если выражатсья языком математики) АСП.
А Вы продолжаете цитировать документ, не имеющий никакого отношения к предмету обсуждения (АСП в виде ПИН-кода).

От пользователя AquA
ключ электронной подписи - уникальная последовательность символов", а пин-код из 4-х(!) цифр уникальным, по определению, быть не может.

Вы хотите "повъедничать" техническими деталями? :-)
Во-первых, ПИН-код не является "ключом электронной подписи". По определению. Во-вторых, открою страшный секрет: пространство ключей в любом криптографическом алгоритме математически тоже ограничено, так что об абсолютной уникальности говорить не приходится.

От пользователя AquA
т.е. вы поддерживаете моё мнение, что пин-код никоим образом не является ЭЦП, а утверждаете, что он является АСП - аналогом собственноручной подписи?

Это не Ваше мнение, а объективная реальность, давно известная :-)

От пользователя AquA
Полагаю, что это ещё нужно доказать в суде.

Не нужно!
Прочитайте, в конце концов, определения в законе.
ЭЦП - результат математического проеобразования, функция, вычисленная из защищаемых данных и секретного ключа. А ПИН-код - это ПИН-код. Как он может быть ЭЦП?

От пользователя AquA
Предлагаю профильным специалистам дать комментарии, по теме.

Да,конечно, я тут чисто чаю попить забежал, а в теме совсем не разбираюсь :-)
1 / 0
AquA
для Cybervlad
Очень хорошо, что разъясняете. Если я что-то недопонимаю, то меня не напрягает спросить у тех кто в этом разбирается лучше меня.

Что касается того, чего я хочу - хочу разобраться в том, насколько ввод или отсутствие ввода пин-кода при операциям по пластиковой карте влияет на дальнейшую процедуру оспаривания транзакции.
На сколько я вижу из нового закона, такого понятия как АСП там вообще не предусмотрено. Есть только т.н. "электронная подпись" (ЭП)
Если пин-код никоим образом не является электронной подписью, то соответственно и перекладывание банком ответственности при операциях с использованием пин-кода на пользователя банковской карты некорректно и как аргумент в судебных разбирательствах использоваться не может.
Если же пин-код всё же является ЭП, как я понял из вашего сообщения, то следовательно ответственность действительно полностью лежит на пользователе банковской карты и суд будет обязан это учесть.
Я вас правильно понимаю?
0
AquA
До чего же мутный вопрос на счёт подписи. Cybervlad ссылается на ст. 160 ГК, где указано
ГК Статья 160. Письменная форма сделки
2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Получается, что ЭП разновидность АСП, таким образом выходит, что все операции с пин-кодом заверены подписью держателя карты. Выглядит вполне логично.
1 / 0
Cybervlad
От пользователя AquA
На сколько я вижу из нового закона, такого понятия как АСП там вообще не предусмотрено.

(Устало) Почему в законе должно предусматриваться то, что уже предусмотрено Кодексом (ГК)?
Право - штука комплексная, она не ограничивается каким-то одним законом, надо смотреть все в комплексе, включая Кодексы, а иногда и Конституцию ;-)
Уж молчу про всякие отраслевые нормативки, типа положения ЦБ РФ "о безналичных расчетах" и иже с ними.

От пользователя AquA
Если пин-код никоим образом не является электронной подписью, то соответственно и перекладывание банком ответственности при операциях с использованием пин-кода на пользователя банковской карты некорректно

Вывод неправильный.
Исходя из чего Вы считаете, что только электронная (цифровая) подпись является аналогом собственноручной?

От пользователя AquA
Я вас правильно понимаю?

Нет.
Давайте начнем с азов.
Прочтите, пожалуйста, пару популярных публикаций:
http://cybervlad.net/crypto_pay/index.html
http://cybervlad.net/ecp/index.html
Просто чтобы мы говорили на одном языке и вкладывали в термины одинаковый смысл.

От пользователя AquA
хочу разобраться в том, насколько ввод или отсутствие ввода пин-кода при операциям по пластиковой карте влияет на дальнейшую процедуру оспаривания транзакции.

Ввод ПИН-кода (не сам ПИН-код, а факт его ввода!) является аналогом собственноручной подписи.
Подпись на чеке является собственноручной подписью.
Т.е. в любом случае Вы подтверждаете транзакцию либо собственноручной подписью, либо ее аналогом.
1 / 0
Andrey111111
От пользователя AquA
деньги человеку вернули, справедливо решив что он не мошенник. Банк поступил благородно.

т.е. банк потерял свои деньги? ;-) расстались с частью своей прибыли и мошенники далее могут снимать деньги?
0
what_ever
От пользователя Andrey8
т.е. банк потерял свои деньги?
да, банк потерял свои деньги в результате некомпетентности своей службы безопасности или несовершенства платежной системы.
0
AquA
От пользователя Andrey8
т.е. банк потерял свои деньги? ;-) расстались с частью своей прибыли и мошенники далее могут снимать деньги?

а кто вам сказал что человек мошенник? В большинстве случаев у человека крадут данные, а потом в банке делают "морду кирпичом" и начинают ему тыкать договором в лицо; хотя в ряде случаев понимают, что человек живущий в Екб не мог практически одновременно снимать деньги в Барселоне и покупать 10 плазменных панелей в торговой сети Таиланда. Это всё действия из той же серии когда у моей коллеги по работе украли паспорт в марте, заявление она написала сразу же, а в СЕНТЯБРЕ(!) на украденный ранее паспорт оформили кредит. Это не помешало службе безопасности банка под новый год названивать ей с требованиями погасить кредит и решить всё "по-хорошему" довели девушку до состояния нервного срыва и только совет послать их подальше и угроза подать заявление в прокуратуру помогла отвязаться.
Что касается карточек, недавний скандал с онлайн сервисом SONY, когда украли несколько миллионов данных по банковским картам лишнее подтверждение того хаоса и бардака который царит в сфере безопасности операций по пластиковым картам. Думаете вас всё это не касается? Другой пример приведу: сейчас владелец процессинговой компании "Хронопэй" Паша Врублевский сидит в СИЗО и за ним там мошенничества на несколько уголовных дел. А теперь посмотрите, кто обрабатывает операции покупки авиабилетов в таких авиакомпаниях как "Скайэкспресс", "Вим-авиа"? Вот-вот.. :ultra: А компания "Хронопэй" кстати говоря, продолжает работать. :redcard:
Так что вы когда картой платите - помните о том, что деньги с неё крадут весьма и весьма часто.

[Сообщение изменено пользователем 22.09.2011 15:15]
0
fb_sterh
От пользователя Cybervlad
(Устало) Почему в законе должно предусматриваться то, что уже предусмотрено Кодексом (ГК)


Вот за что я люблю этот форум, так это за креатив :-) раз в полгода открывается тема по неправомочным списанием с карточных счетов :-)

Влад, позволь тебе напомнить ГК не определяет АСП, он их называет. Определение АСП содержит ЦБ инструкция 1998 года (до сих пор действующая), 17-П. Дык вот PIN не АСП так как под определение не подходит (не обладает необходимыми функциями). Это первое, второе (все мы математики в душе :-) ) Опять же зная алгоритм формирования PIN кода, мы можем доказать, что функция положенная в основу алгоритма имеет два решения, т.е. в один момент времени к одной карточке существуют два валидных PIN кода :-) Влад, как тебе такое АСП :-).

:-D :-D
1 / 0
Andrey111111
От пользователя AquA
владелец процессинговой компании
"Хронопэй" Паша Врублевский сидит в СИЗО

туда же бы левые "vkontakte" и "rbkmoney"
0
Cybervlad
От пользователя fb_sterh
Определение АСП содержит ЦБ инструкция 1998 года (до сих пор действующая), 17-П.

Федор, она содержит не определение, а бред:
От пользователя 17-П
АСП - персональный идентификатор кредитной организации либо клиента
кредитной организации, являющийся контрольным параметром правильности составления
всех обязательных реквизитов платежного документа и неизменности их содержания.


Тем не менее...
От пользователя fb_sterh
Дык вот PIN не АСП так как под определение не подходит (не обладает необходимыми функциями).

Обоснуй.
Конечно, при большом желании, я обосную, что и ЭЦП не подходит под данное определение АСП, т.к. если толковать это определение буквально, то такая сущность вообще невозможна.

От пользователя fb_sterh
Опять же зная алгоритм формирования PIN кода, мы можем доказать, что функция положенная в основу алгоритма имеет два решения, т.е. в один момент времени к одной карточке существуют два валидных PIN кода :-) Влад, как тебе такое АСП

Не вижу проблем.
Ибо ровно тоже самое могу сказать про любой ПИН/ключ/код/пароль, который:
1) Имеет размерность меньше защищаемых данных.
2) Используется больше одного раза.
0
fb_sterh
Влад, Определение ты привел из него следует, что PIN будучи признан АСП обязан обеспечить неизменность параметров платежного поручения (держатель и формирует платежное поручение в месте совершения операции с картой спорить не будем?), PIN обеспечивает требуемый параметр? нет, PIN идёт лесом в направлении неопределённых действующим законодательством цифровых комбинаций.

По второй теме, признаюсь некоректность определения дало непонимание, ещё раз - в один момент времени существуют два разных значения PIN валидные при использовании с одной картой.
0
Cybervlad
От пользователя fb_sterh
PIN обеспечивает требуемый параметр? нет,

Ты хочешь сказать, что ПИН не участвует в расчете HMAC наряду с данными транзакции?
В таком случае МПС упали ниже плинтуса в моих глазах :-)

Да, кстати. 17-П к обсуждаемым правоотношениям вообще никак не относится, ибо читаем в нем:
"Участник документооборота - юридическое лицо (кредитная организация либо клиент кредитной организации), составляющее платежные документы"
Т.е. все это касается только "безбумажки" с юрлицами.

В отношениях "физлицо - банк" действуют нормы ГК и порядок, прописанный в договоре между ними.
1 / 0
Авторизуйтесь, чтобы принять участие в дискуссии.