Вопрос касательно спорных операций по пластиковым картам

что значит нормальное разграничение ответственности? я откуда должен знать, что банкомат авторизованной банком сети компрометирует мою карту? ответственность за обеспечение банк несет хотя бы на основании того, что он является владельцем карты, системы собственных и корпоративных/чужих авторизованных! банкоматов, а также их собственной базы данных.

1) 10 дней, согласно ст. 31 ззпп.
2) сначала заявление в прокуратуру, запрос о правомерности в банк россии. потом иск.
спасибо за комментарий.

опять же, это банк выдал простую карту без защиты в виде чипа, что гарантировало бы дополнительную защиту сохранности данных карты, являющейся собственностью банка.

выдержка из нового закона о ЦП:
""ключ электронной подписи - уникальная последовательность символов", а пин-код из 4-х(!) цифр уникальным, по определению, быть не может. (К примеру, на суде можно показать, что он совпадает с пин-кодом на сотовом ;-) )



Статья 160. Письменная форма сделки

п.2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

т.е. вы поддерживаете моё мнение, что пин-код никоим образом не является ЭЦП, а утверждаете, что он является АСП - аналогом собственноручной подписи?
Полагаю, что это ещё нужно доказать в суде. Предлагаю профильным специалистам дать комментарии, по теме.

А если карта была скомпрометирована в банкомате, принадлежащему другому банку, банк тоже должен за это ответственность нести?

имхо, я подчеркиваю, имхо, да, должен. я основываюсь не на законной норме, внутреннем регламенте или директиве цб, а на логике. если банк авторизовал корпоративный или чужой банкомат посредством вступления в какие либо ассоциации или посредством прямых соглашений, то взимать он как владелец карты должен не с картодержателя, а с владельца бакномата, скомпрометировавшего карту и взявшего за это комиссию!

Согласен, но наполовину....
Есть логика в том, что если банк предоставляет услугу клиенту, то он берёт на себя ответственность за безопасность пользования данной услугой....НО, я уверен, что будь оно так, то нашлось бы большое кол-во людей, пытающиеся нажиться на этом...

Представьте, что в случаи, если был совершён платёж по скомпрометированной карте, то банк должен вернуть клиенту деньги...приходит мужик в банк, говорит что с карты были сняты все деньги и это не он....что делать банку...верить наслово? или проверять все операции клиента по пину с момента выпуска карты...их может быть не одна тысяча...а и как проверить была ли карта скомпрометирована при этой операции? обращаться в банк где была выдача...дык он тоже не причём, если была точная копия карты, как он должен различать?
а такой клиент у банка тоже не 1, а времени нет.

Так что, опять таки ИМХО, всё правильно что ответственность за безопасность лежит всё таки на клиенте.

Ответственность за это лежит на платёжной системе и банках. Они, в соответствии с правилами МПС разбираются кто виноват и наказывают деньгами. В любом случае, держатель карты за это нести ответственность не должен. Если технология несовершенна и допускает утечку информации вот пусть сами и разбираются. Если банк при спорных ситуациях с держателем карты ссылается на правила платёжных систем, то надо понимать, что в них может быть написано что угодно, в спорных ситуациях всё опирается на законодательство РФ, а не на то, что удобно и принято в MC или VISA. Все спорные моменты в этом случае решаются в суде.

Такие случаи бывают. Вполне заурядная ситуация, когда кто-то неразличимый на камере наблюдения снимает деньги с банкомата, далее следует заявление о том, что держатель карты этой операции не совершал, карту банк блокирует, держатель карты это обжалует с претензиями, мол "это мои деньги на моём счету, а вы тут мне доступ к ним запрещаете!!" :ultra: банк вынужден карту разблокировать, процедура снятия наличных "анонимусом" повторяется и так в несколько заходов..
Знаю случай, когда один из банков таким образом стал беднее на 100тыс. $ при разборе полётов в МПС выяснилось что операции шли по магнитной полосе, а у держателя карты карта была с чипом. Всё - дальше никто не разбирался, деньги взыскали с банка, а МПС ещё и банк оштрафовала на несоответствие стандартам безопасности. Занавес.
p.s. Внимание, для желающих проверить на прочность банк и профессионализм СБ напоминаю, что за мошенничество существует уголовная ответственность. :vis:

21 Сен 2011 14:20 зачот

в общем, бабос в целости и сохранности вернули на счет. стоило начать собирать документы для претензии, как нач. отдела взял все в свои руки. всем спасибо.

особенное спасибо AquA :hi:

Вот и отлично! В банках тоже нормальные и вменяемые люди работают. Если они видят, что клиент в сложившейся ситуации не виноват - всегда идут навстречу. Вежливость и настойчивость с обеих сторон приводят к разрешению проблемы.
Знаю историю, когда у человека внезапно начинают падать смс о списаниях денег с карточного счёта, он в панике несётся к ближайшему банкомату и снимает последние деньги - 400 руб. (а на счету было 10тыс. $ :-D )
При дальнейших разбирательствах с банком-эмитентом выяснилось, что деньги снимали в Испании с использованием пин-кода. Тот факт, что держатель карты оказался в этот момент в России и засветился в местном банкомате, положительным образом повлияло на решение банка, деньги человеку вернули, справедливо решив что он не мошенник. Банк поступил благородно.

p.s. меня всё же мучает вопрос, можно ли приравнять пин-код к АСП? :write:

да все в порядке я нормально и адекватно разговаривал с вежливыми людьми, от которых, может быть, ничего и не зависело. в итоге позвонил поблагодарил - почему нет, люди принимали участие в возврате кровно заработанных. но в целом, по своей системе я понял гпб не ориентирован на клиента.

Зачем? Я же Вам русским языком объясняю, что ЭЦП и ЦП являются часными случаями, подмножеством (если выражатсья языком математики) АСП.
А Вы продолжаете цитировать документ, не имеющий никакого отношения к предмету обсуждения (АСП в виде ПИН-кода).


Вы хотите "повъедничать" техническими деталями? :-)
Во-первых, ПИН-код не является "ключом электронной подписи". По определению. Во-вторых, открою страшный секрет: пространство ключей в любом криптографическом алгоритме математически тоже ограничено, так что об абсолютной уникальности говорить не приходится.


Это не Ваше мнение, а объективная реальность, давно известная :-)


Не нужно!
Прочитайте, в конце концов, определения в законе.
ЭЦП - результат математического проеобразования, функция, вычисленная из защищаемых данных и секретного ключа. А ПИН-код - это ПИН-код. Как он может быть ЭЦП?


Да,конечно, я тут чисто чаю попить забежал, а в теме совсем не разбираюсь :-)

для Cybervlad
Очень хорошо, что разъясняете. Если я что-то недопонимаю, то меня не напрягает спросить у тех кто в этом разбирается лучше меня.

Что касается того, чего я хочу - хочу разобраться в том, насколько ввод или отсутствие ввода пин-кода при операциям по пластиковой карте влияет на дальнейшую процедуру оспаривания транзакции.
На сколько я вижу из нового закона, такого понятия как АСП там вообще не предусмотрено. Есть только т.н. "электронная подпись" (ЭП)
Если пин-код никоим образом не является электронной подписью, то соответственно и перекладывание банком ответственности при операциях с использованием пин-кода на пользователя банковской карты некорректно и как аргумент в судебных разбирательствах использоваться не может.
Если же пин-код всё же является ЭП, как я понял из вашего сообщения, то следовательно ответственность действительно полностью лежит на пользователе банковской карты и суд будет обязан это учесть.
Я вас правильно понимаю?

До чего же мутный вопрос на счёт подписи. Cybervlad ссылается на ст. 160 ГК, где указано
ГК Статья 160. Письменная форма сделки
2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Получается, что ЭП разновидность АСП, таким образом выходит, что все операции с пин-кодом заверены подписью держателя карты. Выглядит вполне логично.

(Устало) Почему в законе должно предусматриваться то, что уже предусмотрено Кодексом (ГК)?
Право - штука комплексная, она не ограничивается каким-то одним законом, надо смотреть все в комплексе, включая Кодексы, а иногда и Конституцию ;-)
Уж молчу про всякие отраслевые нормативки, типа положения ЦБ РФ "о безналичных расчетах" и иже с ними.


Вывод неправильный.
Исходя из чего Вы считаете, что только электронная (цифровая) подпись является аналогом собственноручной?


Нет.
Давайте начнем с азов.
Прочтите, пожалуйста, пару популярных публикаций:
http://cybervlad.net/crypto_pay/index.html
http://cybervlad.net/ecp/index.html
Просто чтобы мы говорили на одном языке и вкладывали в термины одинаковый смысл.


Ввод ПИН-кода (не сам ПИН-код, а факт его ввода!) является аналогом собственноручной подписи.
Подпись на чеке является собственноручной подписью.
Т.е. в любом случае Вы подтверждаете транзакцию либо собственноручной подписью, либо ее аналогом.

т.е. банк потерял свои деньги? ;-) расстались с частью своей прибыли и мошенники далее могут снимать деньги?

да, банк потерял свои деньги в результате некомпетентности своей службы безопасности или несовершенства платежной системы.

а кто вам сказал что человек мошенник? В большинстве случаев у человека крадут данные, а потом в банке делают "морду кирпичом" и начинают ему тыкать договором в лицо; хотя в ряде случаев понимают, что человек живущий в Екб не мог практически одновременно снимать деньги в Барселоне и покупать 10 плазменных панелей в торговой сети Таиланда. Это всё действия из той же серии когда у моей коллеги по работе украли паспорт в марте, заявление она написала сразу же, а в СЕНТЯБРЕ(!) на украденный ранее паспорт оформили кредит. Это не помешало службе безопасности банка под новый год названивать ей с требованиями погасить кредит и решить всё "по-хорошему" довели девушку до состояния нервного срыва и только совет послать их подальше и угроза подать заявление в прокуратуру помогла отвязаться.
Что касается карточек, недавний скандал с онлайн сервисом SONY, когда украли несколько миллионов данных по банковским картам лишнее подтверждение того хаоса и бардака который царит в сфере безопасности операций по пластиковым картам. Думаете вас всё это не касается? Другой пример приведу: сейчас владелец процессинговой компании "Хронопэй" Паша Врублевский сидит в СИЗО и за ним там мошенничества на несколько уголовных дел. А теперь посмотрите, кто обрабатывает операции покупки авиабилетов в таких авиакомпаниях как "Скайэкспресс", "Вим-авиа"? Вот-вот.. :ultra: А компания "Хронопэй" кстати говоря, продолжает работать. :redcard:
Так что вы когда картой платите - помните о том, что деньги с неё крадут весьма и весьма часто.

[Сообщение изменено пользователем 22.09.2011 15:15]

Вот за что я люблю этот форум, так это за креатив :-) раз в полгода открывается тема по неправомочным списанием с карточных счетов :-)

Влад, позволь тебе напомнить ГК не определяет АСП, он их называет. Определение АСП содержит ЦБ инструкция 1998 года (до сих пор действующая), 17-П. Дык вот PIN не АСП так как под определение не подходит (не обладает необходимыми функциями). Это первое, второе (все мы математики в душе :-) ) Опять же зная алгоритм формирования PIN кода, мы можем доказать, что функция положенная в основу алгоритма имеет два решения, т.е. в один момент времени к одной карточке существуют два валидных PIN кода :-) Влад, как тебе такое АСП :-).

:-D :-D

туда же бы левые "vkontakte" и "rbkmoney"

Федор, она содержит не определение, а бред:


Тем не менее...

Обоснуй.
Конечно, при большом желании, я обосную, что и ЭЦП не подходит под данное определение АСП, т.к. если толковать это определение буквально, то такая сущность вообще невозможна.


Не вижу проблем.
Ибо ровно тоже самое могу сказать про любой ПИН/ключ/код/пароль, который:
1) Имеет размерность меньше защищаемых данных.
2) Используется больше одного раза.

Влад, Определение ты привел из него следует, что PIN будучи признан АСП обязан обеспечить неизменность параметров платежного поручения (держатель и формирует платежное поручение в месте совершения операции с картой спорить не будем?), PIN обеспечивает требуемый параметр? нет, PIN идёт лесом в направлении неопределённых действующим законодательством цифровых комбинаций.

По второй теме, признаюсь некоректность определения дало непонимание, ещё раз - в один момент времени существуют два разных значения PIN валидные при использовании с одной картой.

Ты хочешь сказать, что ПИН не участвует в расчете HMAC наряду с данными транзакции?
В таком случае МПС упали ниже плинтуса в моих глазах :-)

Да, кстати. 17-П к обсуждаемым правоотношениям вообще никак не относится, ибо читаем в нем:
"Участник документооборота - юридическое лицо (кредитная организация либо клиент кредитной организации), составляющее платежные документы"
Т.е. все это касается только "безбумажки" с юрлицами.

В отношениях "физлицо - банк" действуют нормы ГК и порядок, прописанный в договоре между ними.