Chirkov.net: блог

Друг написал в FB, что ему удалось в реальной жизни использовать на пиво, когда-то полученные, 500 проморублей с помощью платежного приложения PayQR. Сейчас в России (и не только) множество стартапов предлагают без всяких новомодных ApplePay зарегистрировать в их приложении карту и использовать её реквизиты, оплачивая покупки в смартфоне. Идея очень интересная, хотя и не бесспорна с точки зрения безопасности и во многих  случаях удобства/простоты совершения операции, по сравнению с использованием самой карты. Друг сказал, что в приложении карта привязывается путём авторизации на случайную сумму и потом покупка проходит уже просто через ввод пароля в приложение – никаких CVV2 и новомодных 3DSecure! Мне стало интересно, как они предполагают разбираться с массовым фордом, который в этом случае неизбежен при масштабном использовании сервиса и я решил скачать приложение и посмотреть оферту, ссылок на которую на самом сайте не найти.

Надо сказать, что заметить оферту в приложении без специальной подготовки очень не просто, но меня на мякине не проведёшь и я погрузился в увлекательное с первых же пунктов чтиво, осилить которое в силу объёма сможет не каждый:). Признаюсь, что дочитав до пункта 5.1.3, в котором я заверяю компанию ФИТ, что не страдаю заболеваниями, которые мешают мне правильно понять всю суть  соглашения, с которым соглашаюсь путём регистрации, я регистрироваться передумал и приложение PayQR удалил, но записи, демонстрирующие безграничный юридический цинизм компании, ФИТ сделал:
Читать полностью »

Дошёл и мой ход попробовать популярное приложение для заказа такси Uber. Критиковать юзабилити самого приложения не стану, меня заинтересовала некорректная работа с карточными авторизациями приложения, которое заточено на оплату поездки только с привязанной в приложение картой. Итак, что не так:

1. Приложение требует зарегистрировать как минимум одну карту с вводом cvv2. При регистрации делается проверка карты. Если вы уже зарегистрировали карту, то удалить её не получится – приложение требует, чтобы оставалась как минимум одна зарегистрированная карта, а после новостей о “фродовых поездках” (аналогичные случаи уже были и в России) как-то страшно оставлять там карты.
2. А карты оставлять страшно,  потому что при авторизации Uber использует обычную MO/TO транзакцию без признака recurrent и без cvv2, которую присылает от имени британского эквайера, с терминала, зарегистрированного в Нидерландах, и вменяемые эмитенты, заботящиеся о своих клиентах такие транзакции отбивают. Соответственно воспользоваться картой эмитента с развитым риск-контролем в Uber вы не сможете и регистрировать придётся методом перебора карту банка, который авторизует MO/TO покупки без cvv2.

Клиринг, как ни странно, приходит честный – в рублях, хотя нарушение в виде cross-boarding эквайринга на лицо

Став клиентом еще нескольких банков обратил внимание, что они производят подтверждение операций в приложении мобильного банка путем доставки SMS и даже push-сообщений непосредственно телефон, в котором и запускается это мобильное приложение. Клиентам таких банков стоит много раз подумать стоит ли им использовать такие мобильные банки, а банкирам подумать зачем они бессмысленно тратят деньги на рассылку OTP (one time password) в мобильном банке. По хорошему, банк должен уведомлять клиента о том, что мобильное устройство, с которого он осуществляет операции и на которое получает одноразовые пароли, должны быть разными или придумывать для мобильного банка другой способ аутентификации (таблица кодиков, например или аутентификация по DPA/CAP ридеру) и устанавливать более жесткие лимиты на операции, совершаемые в мобильном банке.

Зарубежные авиакомпании, летающие в Россию, предлагают пассажиру оплатить билету в рублях, однако в реальности зачастую производят списание в долларах. Большинство клиентов этого не замечает потому что авторизационный запрос прилетает в рублях и лишь с клирингом эмитент получает валютную транзакцию и сконвертировав ее в рубли отражает по счету не ту сумму, которую оплачивал клиент в момент покупки.

Разобрался как это происходит. Оказывается у МПСов есть специальная программа обслуживания международных авиакомпаний (а под это определение попадает любая авиакомпания, которая осуществляет полеты или продает билеты более чем в одной стране), которая позволяет осуществлять кросс-бординг эквайринг авиакомпании (и в интернете и в офисах продаж). При этом данная программа оговаривает право, но не обязанность эквайера подключаться к системам клиринга в национальной валюте стран присутствия продаж. Поэтому эквайер авторизует операцию в рублях, но в виду отсутствия у него рублевых расчетов представляет эмитенту клиринг в долларах или евро. Конечно, по дефолту, эмитент списывает с клиента сумму с конвертацией, что нарушает российское законодательство:

• инструкция Банка России 266-П п.31.:При совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения.
• инструкция Банка России 266-П п.33.: Документ по операциям с использованием платежной карты должен содержать следующие обязательные реквизиты:
  — идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт;
  — вид операции;
  — дата совершения операции;
  — сумма операции;
  — валюта операции;
  — сумма комиссии (если имеет место);
  — код авторизации;
  — реквизиты платежной карты.
• статья 854 ГК РФ: Основания списания денежных средств со счета
  1. Списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
  2. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.
• статья 5 пункт 12 подпункт 2 Закона о Национальной Платежной Системе: Оператор по переводу денежных средств до осуществления перевода денежных средств обязан предоставлять клиентам возможность ознакомления в доступной для них форме с условиями осуществления перевода денежных средств в рамках применяемой формы безналичных расчетов, в том числе:… со способом определения обменного курса, применяемого при осуществлении перевода денежных средств в иностранной валюте (при различии валюты денежных средств, предоставленных плательщиком, и валюты переводимых денежных средств)

При желании, клиент со ссылкой на эти пункты может довольно легко оспорить списание “неправильной” суммы и курсовая разница ляжет на банк. Обжегшись на этом, некоторые не особо клиентоориентированные банки вставили в свои договора специальную оговорку, допускающую конвертацию и по рублевым транзакциям, в т.ч. совершенным на территории РФ. Тем не менее, я почти уверен, что грамотный клиент выиграет суд со ссылкой на Статья 16 Закона о Защите Прав Потребителей: 1. Условия договора, ущемляющие права потребителя по сравнению с правилами, установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей, признаются недействительными. Если в результате исполнения договора, ущемляющего права потребителя, у него возникли убытки, они подлежат возмещению изготовителем (исполнителем, продавцом) в полном объеме.

Имейте это в виду и проверяйте суммы списания при покупке дорогостоящих билетов