Е-измамниците вече вадят дубликати на СИМ-картите
Визитка
Камелия Касабова е лекар по право, професор по комерсиално право в СУ „ Св. Климент Охридски “. Работила е като шеф на направление „ Правно “ на Минералбанк и основен секретар на Асоциацията на банките в България. Камелия Касабова е била заместител ръководител на 39 и 40 Народно заседание. Тя е ръководител на Помирителната комисия за платежни разногласия и ръководител на Помирителната комисия за финансови услуги. Автор е на десетки студии и монографии в региона на комерсиалното и банково право.
Г-жо Касабова, банковата карта ли продължава да бъде най-опасното оръжие, с което можем да се самонараним?
- Банковите карти не престават да бъдат елементарно наличен и преобладаващ платежен инструмент за всеобщия консуматор. Затова ми е мъчно да ги дефинира като рисково устройство. Но, че можем да се самонараним посредством повърхностно държание е несъмнено. Не имам предвид класическите случаи на непозволено осъществени интервенции с платежни карти на АТМ устройства – било в резултат на фамилна машинация, било на кражба на платежния инструмент, съхраняван дружно с неговите персонализирани средства за сигурност. Съвременната версия на самонараняването е доброволното въвеждане на персонализираните защитни характерности на банковата карта в зловредна интернет страница, която образно наподобява на формалната интернет страница на банката или на търговец. Потребителят вкарва там и динамичния код, който получава от банката посредством SMS известие, само че не обръща внимание на сумата и търговеца, към които подрежда заплащането. Резултатът е зареждане на излъган портфейл. Ако си е направил труда да прочете наличието на известието и да прояви грижа за личните си каузи, потребителят нямаше да подреди интервенцията.
Има ли съответно законодателство, с което жителите да се употребяват при положение на потребност?
- Рисковете от измами в интернет са адресирани в законодателство и за тяхното попречване беше положен извънредно доста труд в цяла Европа през последните 2 години. През юни Европейският банков орган разгласява отчет за миграцията към двуфакторна идентификация при заплащанията с карти в интернет. Докладът регистрира доста увеличение на потреблението на двуфакторна идентификация, което води и до мощно понижаване както на броя, по този начин и на цената на измамите.
Зачестяват ли сигналите за обири през Интернет?
- Случаите на иницииране на неразрешени платежни интервенции по електронен път с достъпване на платежна сметка онлайн зачестяват. Но би трябвало да отбележим, че те към момента са относително малцина. За 2020 година в Комисията са постъпили 62 заявки, свързани с оспорени заплащания към интернет търговци или посредством интернет банкиране. На фона на десетките милиони заплащания в интернет, осъществявани от българите всяка година тези случаи не са доста. Те се разграничават измежду останалите, заради усложнените лъжливи схеми, мъчно разбираемата за непрофесионалния консуматор технологичност на интервенциите, както и немалката стойност на непозволено усвоените средства.
Сред тях се открояват случаите на инсталиране на мобилно приложение за отдалечено разплащане. Потребителите стават обект на фишинг офанзиви, получавайки имейл с линк към подправен уебсайт. Там те вкарват потребителско име и ключова дума за достъп и номер на мобилен телефон. За удостоверение на настоящите данни получават SMS с код, който вкарват във подправения уебсайт. Междувременно, трети недобросъвестни лица се снабдяват с потребителското име и ключова дума и конфигурират платежния инструмент на лично устройство посредством кода, изпратен с SMS до мобилния телефон на потребителя. Въз основа на това те предизвикват платежна интервенция, било посредством достъпване на профила на ползвателя в онлайн банкирането и сканиранe на QR код за потвърждаване на трансакцията през приложението за мобилно банкиране или непосредствено посредством приложението за мобилно банкиране, конфигурирана на съответното мобилно устройство.
За кого е рисков фишингът?
- Фишингът е рисков за небрежния, неинформиран консуматор на платежни принадлежности. Измамните схеми, които описах, са необятно обсъждани в средствата за всеобща информация и са предмет на осведомителни акции от страна на банките.
Банките осведомят своите клиенти за вероятните закани в интернет пространството при потребление на платежни принадлежности – карти, електронно банкиране, мобилно приложение. Регулативните условия по повод сигурността на заплащанията в интернет са доста високи по отношение на банките, които през последните години вкараха голям брой процедури и механически начини за засвидетелствуване идентичността на клиента. Клиентите следва да познават ограниченията за сигурност и да покачват своята финансова просвета.
Въпросът е залегнал и в тактиката на Европейския съюз за заплащанията на дребно, като в идната проверка на директивата за платежните услуги може да бъдат включени спомагателни механически условия, които да създадат този тип измами по-трудни.
SMS-известието ли е най-сигурната отбрана?
SMS-ът като средство, посредством което банката дава еднократния динамичен код за разпореждане на заплащане е по-често употребен. Но зачестяват случаите на издаване на препис на СИМ карта на мобилен телефон посредством машинация. Отново потребителят става обект на „ фишинг “ офанзива, като е измамен да даде на трети недобросъвестни лица персоналните защитни характерности за онлайн банкирането си, както и номера на мобилния си телефон. Въз основа на това става допустимо да бъде публикуван препис на СИМ карта.
Когато се подрежда лъжливата интервенция, истинската СИМ картата на мобилния телефон стопира да работи и динамичният код се получава на дубликата. Изследването демонстрира, че в тези случаи банката е приложила законовите условия за задълбочено определяне на идентичността на платеца. Но издаването на препис на СИМ картата „ компрометира “ процеса по определяне на тази еднаквост. Смятам за неотложно да се изяснят и регламентират връзките сред банките и мобилните оператори, посредством посредничеството на АББ, за попречване на измами и гарантиране на издаването на дубликати на СИМ карти в сигурна среда.
Свидетели сме на все по-широко потребление на мобилни приложения, които употребяват биометрия, най-често пръстов отпечатък, за идентификация на клиента. Тези решения са както доста комфортни за прилагане, по този начин и обезпечават високо равнище на сигурност.
Какво би трябвало да направи жителят, когато откри източване от сметка? До каква сума банката покрива вредите и при какви условия?
- След узнаването, потребителят би трябвало неотложно да уведоми банката за неразрешените платежни интервенции. И в случай че не реализира непринудено споразумяване на разногласието, има право да сезира ПКПС. Всеки случай се преглежда самичък за себе си, само че водещото е дали банката ползва двуфакторна идентификация при активиране на платежен инструмент, разпореждане на отдалечена интервенция по електронен път или посредством банкова карта. И по-конкретно дали предлага детайла познание – потребителско име и парола; и детайла владеене – устройство (SIM карта, софтуерен токън), чието владеене е удостоверено с еднократен код, изпратен на записания в банката номер на мобилен телефон на клиента. Ако банката е изпълнила правилно тези условия и те не страдат от софтуерни дефекти, рискът от неразрешените платежни интервенции е напълно за потребителя. И противоположното, в случай че банката не ползва двуфакторна идентификация, респ. процедурите официално покриват регулаторните условия за задълбочено определяне на идентичността на клиента, само че в това време не подсигуряват напълно неговата положителна идентификация, банката следва да възвърне цената на неразрешените платежни интервенции без значение от размера им.
Кои са най-честите видове платежни разногласия, поради които жителите се обръщат към комисията?
- През миналите години се открояват разногласия от интернет измами. Срещат се, въпреки и нетолкова постоянно, „ класическите “ случаи на неоторизирани интервенции в резултат на непозволено заграбване на данните от лица от най-близкия персонален или професионален кръг на ползвателя на платежния инструмент (family fraud).
Както поставяме грижа за запазване на портфейлите си, по този начин би трябвало да сме внимателни, когато ни изискват номера на карти, банкови сметки, пароли за достъп в интернет. Има и случаи на нераздадени суми от АТМ, както и неточности при отчитането на внасяне на депозит на АТМ. Обикновено тези случаи са писмено потвърдени от банката и мъчно може да се отсъди в интерес на клиента.
Какъв е оптималният паричен предел на разногласията, които се преглеждат от комисията?
- До края на 2015 година диапазонът на сумите, които се претендираха за възобновяване беше пределно необятен – от един лев до половин милион лв.. Българска народна банка одобри нов Правилник за активността на комисията и в този момент оптималният размер на сумите, с които комисията може да бъде сезирана е 25 000 лв.. В това е и европейският законодателен план - да се обезпечи елементарен и безвъзмезден достъп до правна помощ на жители и търговци, ощетени с дребни суми, с цел да не водят правосъдни каузи.
Колко приблизително трае разглеждането на спор пред комисията?
- Комисията е длъжна да се произнесе по разногласието в период до два месеца откакто е събрала нужните документи, експертизи и мнения на двете спорещи страни. Средно цялата процедурата от подаване на заявката до правене на помирително предложение трае към пет-шест месеца.
В какъв брой % от случаите успявате да постигнете задоволително и за двете страни съглашение?
- Тенденция през последните години е почти половината от случаите да завършат с реализиране на съглашение сред страните и възобновяване на сумите от страна на банките.
Но е добре да се знае, че до комисията стигат най-спорните и недоказани случаи. Останалите, банките ги вземат решение сами. Има възражения, които са просто „ голи “ изказвания на клиенти. Няма по какъв начин да ги решим, като прилагаме обща правна рецепта. Тогава влизаме в ролята на посредник, за да намерим рационален компромис сред ползите и на двете страни. Това от време на време допуска овакантяване на територията на правните правила и посредством компромиси се търси решение на казуса.
Разкажете за някой интересен случай от Вашата процедура.
- Представям ви случая не тъй като е доста забавен, а още веднъж с превантивна, възпитателна цел.
Клиент дава публикация в уебсайт OLX за продажба на артикул и още същия ден е измамен от лице, с което протича връзка през Viber и което „ желае “ да купи неговия артикул. Било му обяснено, че заплащането ще се реализира на уеб страницата OLХ и че с него ще се свърже пощальон. Получил подвеждащ линк, който откакто отворил, имало логото на OLХ и било изписано, че продуктът е заплатен, а в долния завършек на екрана било изписано получи сумата. След като натиснал, се желало да вкара номера на картата, по-късно статичния код. След това жалбоподателят получил SMS с код за удостоверение, на който не обърнал внимание, че става въпрос за превеждане на огромна сума. Клиентът схванал че е измамен, само че е поискал Банката да му възвърне парите, което е несъстоятелно.
Абсурдни са и жалбите на лица, които търгуват с криптовалута да насочват претенцията си по-късно към банката, защото не са получили предстоящата облага от съответната платформа за търговия.
Камелия Касабова е лекар по право, професор по комерсиално право в СУ „ Св. Климент Охридски “. Работила е като шеф на направление „ Правно “ на Минералбанк и основен секретар на Асоциацията на банките в България. Камелия Касабова е била заместител ръководител на 39 и 40 Народно заседание. Тя е ръководител на Помирителната комисия за платежни разногласия и ръководител на Помирителната комисия за финансови услуги. Автор е на десетки студии и монографии в региона на комерсиалното и банково право.
Г-жо Касабова, банковата карта ли продължава да бъде най-опасното оръжие, с което можем да се самонараним?
- Банковите карти не престават да бъдат елементарно наличен и преобладаващ платежен инструмент за всеобщия консуматор. Затова ми е мъчно да ги дефинира като рисково устройство. Но, че можем да се самонараним посредством повърхностно държание е несъмнено. Не имам предвид класическите случаи на непозволено осъществени интервенции с платежни карти на АТМ устройства – било в резултат на фамилна машинация, било на кражба на платежния инструмент, съхраняван дружно с неговите персонализирани средства за сигурност. Съвременната версия на самонараняването е доброволното въвеждане на персонализираните защитни характерности на банковата карта в зловредна интернет страница, която образно наподобява на формалната интернет страница на банката или на търговец. Потребителят вкарва там и динамичния код, който получава от банката посредством SMS известие, само че не обръща внимание на сумата и търговеца, към които подрежда заплащането. Резултатът е зареждане на излъган портфейл. Ако си е направил труда да прочете наличието на известието и да прояви грижа за личните си каузи, потребителят нямаше да подреди интервенцията.
Има ли съответно законодателство, с което жителите да се употребяват при положение на потребност?
- Рисковете от измами в интернет са адресирани в законодателство и за тяхното попречване беше положен извънредно доста труд в цяла Европа през последните 2 години. През юни Европейският банков орган разгласява отчет за миграцията към двуфакторна идентификация при заплащанията с карти в интернет. Докладът регистрира доста увеличение на потреблението на двуфакторна идентификация, което води и до мощно понижаване както на броя, по този начин и на цената на измамите.
Зачестяват ли сигналите за обири през Интернет?
- Случаите на иницииране на неразрешени платежни интервенции по електронен път с достъпване на платежна сметка онлайн зачестяват. Но би трябвало да отбележим, че те към момента са относително малцина. За 2020 година в Комисията са постъпили 62 заявки, свързани с оспорени заплащания към интернет търговци или посредством интернет банкиране. На фона на десетките милиони заплащания в интернет, осъществявани от българите всяка година тези случаи не са доста. Те се разграничават измежду останалите, заради усложнените лъжливи схеми, мъчно разбираемата за непрофесионалния консуматор технологичност на интервенциите, както и немалката стойност на непозволено усвоените средства.
Сред тях се открояват случаите на инсталиране на мобилно приложение за отдалечено разплащане. Потребителите стават обект на фишинг офанзиви, получавайки имейл с линк към подправен уебсайт. Там те вкарват потребителско име и ключова дума за достъп и номер на мобилен телефон. За удостоверение на настоящите данни получават SMS с код, който вкарват във подправения уебсайт. Междувременно, трети недобросъвестни лица се снабдяват с потребителското име и ключова дума и конфигурират платежния инструмент на лично устройство посредством кода, изпратен с SMS до мобилния телефон на потребителя. Въз основа на това те предизвикват платежна интервенция, било посредством достъпване на профила на ползвателя в онлайн банкирането и сканиранe на QR код за потвърждаване на трансакцията през приложението за мобилно банкиране или непосредствено посредством приложението за мобилно банкиране, конфигурирана на съответното мобилно устройство.
За кого е рисков фишингът?
- Фишингът е рисков за небрежния, неинформиран консуматор на платежни принадлежности. Измамните схеми, които описах, са необятно обсъждани в средствата за всеобща информация и са предмет на осведомителни акции от страна на банките.
Банките осведомят своите клиенти за вероятните закани в интернет пространството при потребление на платежни принадлежности – карти, електронно банкиране, мобилно приложение. Регулативните условия по повод сигурността на заплащанията в интернет са доста високи по отношение на банките, които през последните години вкараха голям брой процедури и механически начини за засвидетелствуване идентичността на клиента. Клиентите следва да познават ограниченията за сигурност и да покачват своята финансова просвета.
Въпросът е залегнал и в тактиката на Европейския съюз за заплащанията на дребно, като в идната проверка на директивата за платежните услуги може да бъдат включени спомагателни механически условия, които да създадат този тип измами по-трудни.
SMS-известието ли е най-сигурната отбрана?
SMS-ът като средство, посредством което банката дава еднократния динамичен код за разпореждане на заплащане е по-често употребен. Но зачестяват случаите на издаване на препис на СИМ карта на мобилен телефон посредством машинация. Отново потребителят става обект на „ фишинг “ офанзива, като е измамен да даде на трети недобросъвестни лица персоналните защитни характерности за онлайн банкирането си, както и номера на мобилния си телефон. Въз основа на това става допустимо да бъде публикуван препис на СИМ карта.
Когато се подрежда лъжливата интервенция, истинската СИМ картата на мобилния телефон стопира да работи и динамичният код се получава на дубликата. Изследването демонстрира, че в тези случаи банката е приложила законовите условия за задълбочено определяне на идентичността на платеца. Но издаването на препис на СИМ картата „ компрометира “ процеса по определяне на тази еднаквост. Смятам за неотложно да се изяснят и регламентират връзките сред банките и мобилните оператори, посредством посредничеството на АББ, за попречване на измами и гарантиране на издаването на дубликати на СИМ карти в сигурна среда.
Свидетели сме на все по-широко потребление на мобилни приложения, които употребяват биометрия, най-често пръстов отпечатък, за идентификация на клиента. Тези решения са както доста комфортни за прилагане, по този начин и обезпечават високо равнище на сигурност.
Какво би трябвало да направи жителят, когато откри източване от сметка? До каква сума банката покрива вредите и при какви условия?
- След узнаването, потребителят би трябвало неотложно да уведоми банката за неразрешените платежни интервенции. И в случай че не реализира непринудено споразумяване на разногласието, има право да сезира ПКПС. Всеки случай се преглежда самичък за себе си, само че водещото е дали банката ползва двуфакторна идентификация при активиране на платежен инструмент, разпореждане на отдалечена интервенция по електронен път или посредством банкова карта. И по-конкретно дали предлага детайла познание – потребителско име и парола; и детайла владеене – устройство (SIM карта, софтуерен токън), чието владеене е удостоверено с еднократен код, изпратен на записания в банката номер на мобилен телефон на клиента. Ако банката е изпълнила правилно тези условия и те не страдат от софтуерни дефекти, рискът от неразрешените платежни интервенции е напълно за потребителя. И противоположното, в случай че банката не ползва двуфакторна идентификация, респ. процедурите официално покриват регулаторните условия за задълбочено определяне на идентичността на клиента, само че в това време не подсигуряват напълно неговата положителна идентификация, банката следва да възвърне цената на неразрешените платежни интервенции без значение от размера им.
Кои са най-честите видове платежни разногласия, поради които жителите се обръщат към комисията?
- През миналите години се открояват разногласия от интернет измами. Срещат се, въпреки и нетолкова постоянно, „ класическите “ случаи на неоторизирани интервенции в резултат на непозволено заграбване на данните от лица от най-близкия персонален или професионален кръг на ползвателя на платежния инструмент (family fraud).
Както поставяме грижа за запазване на портфейлите си, по този начин би трябвало да сме внимателни, когато ни изискват номера на карти, банкови сметки, пароли за достъп в интернет. Има и случаи на нераздадени суми от АТМ, както и неточности при отчитането на внасяне на депозит на АТМ. Обикновено тези случаи са писмено потвърдени от банката и мъчно може да се отсъди в интерес на клиента.
Какъв е оптималният паричен предел на разногласията, които се преглеждат от комисията?
- До края на 2015 година диапазонът на сумите, които се претендираха за възобновяване беше пределно необятен – от един лев до половин милион лв.. Българска народна банка одобри нов Правилник за активността на комисията и в този момент оптималният размер на сумите, с които комисията може да бъде сезирана е 25 000 лв.. В това е и европейският законодателен план - да се обезпечи елементарен и безвъзмезден достъп до правна помощ на жители и търговци, ощетени с дребни суми, с цел да не водят правосъдни каузи.
Колко приблизително трае разглеждането на спор пред комисията?
- Комисията е длъжна да се произнесе по разногласието в период до два месеца откакто е събрала нужните документи, експертизи и мнения на двете спорещи страни. Средно цялата процедурата от подаване на заявката до правене на помирително предложение трае към пет-шест месеца.
В какъв брой % от случаите успявате да постигнете задоволително и за двете страни съглашение?
- Тенденция през последните години е почти половината от случаите да завършат с реализиране на съглашение сред страните и възобновяване на сумите от страна на банките.
Но е добре да се знае, че до комисията стигат най-спорните и недоказани случаи. Останалите, банките ги вземат решение сами. Има възражения, които са просто „ голи “ изказвания на клиенти. Няма по какъв начин да ги решим, като прилагаме обща правна рецепта. Тогава влизаме в ролята на посредник, за да намерим рационален компромис сред ползите и на двете страни. Това от време на време допуска овакантяване на територията на правните правила и посредством компромиси се търси решение на казуса.
Разкажете за някой интересен случай от Вашата процедура.
- Представям ви случая не тъй като е доста забавен, а още веднъж с превантивна, възпитателна цел.
Клиент дава публикация в уебсайт OLX за продажба на артикул и още същия ден е измамен от лице, с което протича връзка през Viber и което „ желае “ да купи неговия артикул. Било му обяснено, че заплащането ще се реализира на уеб страницата OLХ и че с него ще се свърже пощальон. Получил подвеждащ линк, който откакто отворил, имало логото на OLХ и било изписано, че продуктът е заплатен, а в долния завършек на екрана било изписано получи сумата. След като натиснал, се желало да вкара номера на картата, по-късно статичния код. След това жалбоподателят получил SMS с код за удостоверение, на който не обърнал внимание, че става въпрос за превеждане на огромна сума. Клиентът схванал че е измамен, само че е поискал Банката да му възвърне парите, което е несъстоятелно.
Абсурдни са и жалбите на лица, които търгуват с криптовалута да насочват претенцията си по-късно към банката, защото не са получили предстоящата облага от съответната платформа за търговия.
Източник: banker.bg
КОМЕНТАРИ