Когда банк откажет в возврате денег? Пояснения от Нацбанка |
Белорусские банки решили уточнить у Нацбанка несколько вопросов, связанных с информированием клиентов и отказом в возврате средств клиентам.
Если с первым вопросом все более или менее понятно, Нацбанк дает вот такие рекомендации по информированию клиента об изменениях:
"...Национальный банк полагает целесообразным наличие в соответствующем договоре нескольких способов уведомления клиента разных видов, что, по нашему мнению, будет способствовать улучшению качества обслуживания держателей карточек и повышению уровня лояльности клиентов по отношению к банку..."
Вот эти способы: "...С точки зрения Национального банка к способам уведомления клиента об изменении перечня и (или) размеров вознаграждений (плат) могут относиться:
Полагаем, что действия банка по обеспечению уведомления об изменении перечня и (или) размеров вознаграждений (плат) будут выполнены надлежащим образом в случае уведомления клиента способом (способами), указанным в договоре об использовании карточки (кредитном договоре, предусматривающем использование карточки)..."
То есть каким образом будет указано уведомление клиента в договоре, такой способ и будет считаться надлежащим информированием.
Второй вопрос более интересный. Банки спрашивают у регулятора:
" ... Согласно части восьмой пункта 7 Инструкции № 34 банк-эмитент может отказать в возврате денежных средств по операциям, совершенным посредством использования глобальной компьютерной сети Интернет с проведением банком-эмитентом многофакторной аутентификации держателя карточки по технологии, предусмотренной правилами платежной системы, в рамках которой карточка выпущена в обращение.
Так, по операции, совершенной с использованием карточки в сети Интернет, банком установлено, что она подтверждена c помощью технологии 3D-Secure. При этом клиентом был введен только полный номер карточки, CVV2/CVC2 код не запрашивался банком-эквайером и соответственно не проверялся банком-эмитентом.
Согласно правилам платежных систем, операция, проведенная с использованием 3D-Secure, не подлежит опротестованию, у банка-эмитента нет права на перенос ответственности за операцию на банк-эквайер, так как держатель карточки прошел аутентификацию.
Можно ли считать полный номер карточки в указанном примере операции одним из факторов аутентификации в значении, закрепленном в Инструкции об использовании программно-аппаратных средств и технологий, проведении процедур удаленной идентификации, удаленного обновления (актуализации), утвержденной постановлением Правления Национального банка Республики Беларусь от 19.09.2019 № 379 (далее — Инструкция № 379), и отказать клиенту в возврате денежных средств по операциям, заявленным как не санкционированные?..."
Интерес банков к отказу возврата средств понятен, сейчас, когда много мошеннических схем, банки не хотят нести дополнительные затраты на компенсацию денег клиентов.
Еще банки уточняют, можно ли отказать клиентам, если они проводили оплату с помощью мобильного приложения, Samsung Pay, Apple Pay и иных:
"... частью восьмой пункта 7 Инструкции № 34 предусмотрено, что банк-эмитент может не возвращать денежные средства по операциям, совершенным посредством системы ДБО, включая мобильные приложения, с проведением многофакторной аутентификации держателя карточки в целях предоставления ему права (полномочия) на совершение операций и (или) вход в систему ДБО, посредством которой совершались операции.
При регистрации карточки в мобильном платежном приложении (Apple Pay, Samsung Pay) аутентификация осуществляется посредством ввода номера карточки, CVV2/CVC2 кода, одноразового пароля, который направляется банком-эмитентом на телефонный номер клиента в виде SMS-сообщения.
В дальнейшем при инициировании платежа по добавленной в приложение карточке осуществляется его подтверждение с помощью ввода пароля/биометрических данных.
Является ли в данном случае регистрация карточки в мобильном платежном приложении (Apple Pay, Samsung Pay) фактором аутентификации в значении, изложенном в Инструкции № 379, достаточным для отказа клиенту в возврате денежных средств по операциям, заявленным как не санкционированные, при наличии второго фактора аутентификации?..."
Логика банков понятна, если клиент раз зарегистрировался в мобильном приложении и прошел все проверки, то все его дальнейшие действия в этом приложении — это его личные проблемы.
Что ответил Нацбанк?
Регулятор сослался на Инструкцию № 379 и объяснил:
"...При совершении операций при использовании карточек посредством глобальной компьютерной сети Интернет клиент вводит полный номер карточки, что является одним из факторов аутентификации. Вторым фактором аутентификации является использование технологии 3D-Secure (ввод клиентом одноразового пароля, полученного путем направления клиенту SMS-сообщения на номер мобильного телефона, указанный при регистрации).
Таким образом, операция при использовании карточки, сопровождаемая вводом номера карточки и использованием технологии 3D-Secure, является операцией с проведением многофакторной аутентификации держателя карточки..."
То есть банки могут в таких случаях отказывать клиентам в возврате средств, сославшись на то, что был введен номер карточки и подтвержден пароль 3D-Secure.
По поводу мобильных приложений Нацбанк так же поддержал банки и признал, что использование мобильного приложения, — это уже многофакторная аутентификация:
"... под многофакторной аутентификацией подразумевается использование не менее двух видов аутентификационных факторов.
Регистрация реквизитов карточки в мобильном приложении производится с целью их дальнейшего использования при осуществлении платежей.
Таким образом, при инициировании платежа с использованием мобильного приложения (Apple Pay, Samsung Pay и т.п.) первым аутентификационным фактором является информация о реквизитах карточки, формируемая в виде токена, включаемого впоследствии в состав динамической криптограммы, вторым аутентификационным фактором является пароль (ПИН-код и т.п ) или биометрические данные клиента..."
Теперь у банков есть четкие критерии, по которым они будут отказывать клиентам, которые обращаются для опротестования мошеннических действий.
Источник: www.infobank.by
Если с первым вопросом все более или менее понятно, Нацбанк дает вот такие рекомендации по информированию клиента об изменениях:
"...Национальный банк полагает целесообразным наличие в соответствующем договоре нескольких способов уведомления клиента разных видов, что, по нашему мнению, будет способствовать улучшению качества обслуживания держателей карточек и повышению уровня лояльности клиентов по отношению к банку..."
Вот эти способы: "...С точки зрения Национального банка к способам уведомления клиента об изменении перечня и (или) размеров вознаграждений (плат) могут относиться:
- уведомление клиента на бумажном носителе;
- уведомление клиента с использованием электронных каналов информирования (одного или нескольких);
- одновременное уведомление клиента на бумажном носителе и с использованием электронных каналов информирования (одного или нескольких).
Полагаем, что действия банка по обеспечению уведомления об изменении перечня и (или) размеров вознаграждений (плат) будут выполнены надлежащим образом в случае уведомления клиента способом (способами), указанным в договоре об использовании карточки (кредитном договоре, предусматривающем использование карточки)..."
То есть каким образом будет указано уведомление клиента в договоре, такой способ и будет считаться надлежащим информированием.
Второй вопрос более интересный. Банки спрашивают у регулятора:
" ... Согласно части восьмой пункта 7 Инструкции № 34 банк-эмитент может отказать в возврате денежных средств по операциям, совершенным посредством использования глобальной компьютерной сети Интернет с проведением банком-эмитентом многофакторной аутентификации держателя карточки по технологии, предусмотренной правилами платежной системы, в рамках которой карточка выпущена в обращение.
Так, по операции, совершенной с использованием карточки в сети Интернет, банком установлено, что она подтверждена c помощью технологии 3D-Secure. При этом клиентом был введен только полный номер карточки, CVV2/CVC2 код не запрашивался банком-эквайером и соответственно не проверялся банком-эмитентом.
Согласно правилам платежных систем, операция, проведенная с использованием 3D-Secure, не подлежит опротестованию, у банка-эмитента нет права на перенос ответственности за операцию на банк-эквайер, так как держатель карточки прошел аутентификацию.
Можно ли считать полный номер карточки в указанном примере операции одним из факторов аутентификации в значении, закрепленном в Инструкции об использовании программно-аппаратных средств и технологий, проведении процедур удаленной идентификации, удаленного обновления (актуализации), утвержденной постановлением Правления Национального банка Республики Беларусь от 19.09.2019 № 379 (далее — Инструкция № 379), и отказать клиенту в возврате денежных средств по операциям, заявленным как не санкционированные?..."
Интерес банков к отказу возврата средств понятен, сейчас, когда много мошеннических схем, банки не хотят нести дополнительные затраты на компенсацию денег клиентов.
Еще банки уточняют, можно ли отказать клиентам, если они проводили оплату с помощью мобильного приложения, Samsung Pay, Apple Pay и иных:
"... частью восьмой пункта 7 Инструкции № 34 предусмотрено, что банк-эмитент может не возвращать денежные средства по операциям, совершенным посредством системы ДБО, включая мобильные приложения, с проведением многофакторной аутентификации держателя карточки в целях предоставления ему права (полномочия) на совершение операций и (или) вход в систему ДБО, посредством которой совершались операции.
При регистрации карточки в мобильном платежном приложении (Apple Pay, Samsung Pay) аутентификация осуществляется посредством ввода номера карточки, CVV2/CVC2 кода, одноразового пароля, который направляется банком-эмитентом на телефонный номер клиента в виде SMS-сообщения.
В дальнейшем при инициировании платежа по добавленной в приложение карточке осуществляется его подтверждение с помощью ввода пароля/биометрических данных.
Является ли в данном случае регистрация карточки в мобильном платежном приложении (Apple Pay, Samsung Pay) фактором аутентификации в значении, изложенном в Инструкции № 379, достаточным для отказа клиенту в возврате денежных средств по операциям, заявленным как не санкционированные, при наличии второго фактора аутентификации?..."
Логика банков понятна, если клиент раз зарегистрировался в мобильном приложении и прошел все проверки, то все его дальнейшие действия в этом приложении — это его личные проблемы.
Что ответил Нацбанк?
Регулятор сослался на Инструкцию № 379 и объяснил:
"...При совершении операций при использовании карточек посредством глобальной компьютерной сети Интернет клиент вводит полный номер карточки, что является одним из факторов аутентификации. Вторым фактором аутентификации является использование технологии 3D-Secure (ввод клиентом одноразового пароля, полученного путем направления клиенту SMS-сообщения на номер мобильного телефона, указанный при регистрации).
Таким образом, операция при использовании карточки, сопровождаемая вводом номера карточки и использованием технологии 3D-Secure, является операцией с проведением многофакторной аутентификации держателя карточки..."
То есть банки могут в таких случаях отказывать клиентам в возврате средств, сославшись на то, что был введен номер карточки и подтвержден пароль 3D-Secure.
По поводу мобильных приложений Нацбанк так же поддержал банки и признал, что использование мобильного приложения, — это уже многофакторная аутентификация:
"... под многофакторной аутентификацией подразумевается использование не менее двух видов аутентификационных факторов.
Регистрация реквизитов карточки в мобильном приложении производится с целью их дальнейшего использования при осуществлении платежей.
Таким образом, при инициировании платежа с использованием мобильного приложения (Apple Pay, Samsung Pay и т.п.) первым аутентификационным фактором является информация о реквизитах карточки, формируемая в виде токена, включаемого впоследствии в состав динамической криптограммы, вторым аутентификационным фактором является пароль (ПИН-код и т.п ) или биометрические данные клиента..."
Теперь у банков есть четкие критерии, по которым они будут отказывать клиентам, которые обращаются для опротестования мошеннических действий.
Источник: www.infobank.by
Поделиться в соцсетях:
Читайте нас в Телеграм 
