image


Фрод — язва электронной коммерции. Любая компания, которая принимает платежи на своем сайте, рано или поздно сталкивается с проблемой фрода и несет от него убытки. Чтобы оградить себя от фрода нужно постоянно держать наготове защитные механизмы и процедуры, а также регулярно проверять их эффективность. Предлагаю разобраться что к чему.


По-простому, фрод (с англ. fraud, «обман») — это когда нехороший человек оплачивает услуги ворованным платежным средством. Обычно это — кредитная карта, но иногда Фрод бывает и с PayPal.


Фрод на практике


Рассмотрим практический пример Фрода:


  1. Степан — обычный человек. Доверчивый, немного наивный. Предложения увеличить доход на 10 сантиметров в месяц задевают Степана за больное место, и он оплачивает курс по увеличению дохода. Но он не учел, что сайт, на котором он производил оплату, — небезопасный, и данные его банковской карты перехватываются мошенником.


  2. Мошенник ищет способы «слить» полученные деньги, находит продавца и покупает у него продукт за $100 с украденной карты. Совет 1: всегда хорошо иметь anti-fraud систему, которая определит Мошенника и не позволит ему даже совершить оплату на сайте.


  3. Продавец — еще зеленый новичок, поэтому любая продажа для него — шампанское и овации. Он еще не верит во Фрод, поэтому идет к своему поставщику и покупает продукт за $80, который позже продает мошеннику, не имея ни малейшего понятия о том, что он на самом деле мошенник, а деньги ворованные. На первый взгляд, продавец заработал $20 и всё хорошо. Увы, ненадолго. Совет 2: без тщательной проверки платежа нельзя рассчитываться с партнерами.


  4. Прошел месяц и Степану что-то невесело — доход не увеличился, а даже наоборот — деньги с банковской карты активно пропадают. Степан нервно смотрит выписку по счету и пытается понять, куда же деваются его кровно заработанные: «Так, это $100 за курс по увеличению дохода, это $20 за ужин в ресторане… А это еще что за $100? В это время я спал, я не мог совершить этот платеж, да и не заказывал я кроссовки на Амазоне!»


  5. Степан в панике бежит в свой банк и слезно просит вернуть деньги.


  6. Банк удовлетворяет заявку — налицо несанкционированная активность с банковской карты их клиента. Банк запрашивает принудительный возврат средств (чарджбэк) со счета продавца ($100), а также взимает комиссию $20 за то, что произошел чарджбэк. Совет 3: в обязанность продавца входит проверка платежа на мошенничество, а если будет факт мошенничества — банк взимает штраф. Банк почти всегда удовлетворяет заявку клиента (чарджбэк).

Итоги истории:


  • Степан счастлив, потому что получил свои деньги назад и может найти новый курс для увеличения дохода.
  • Банк выполнил заявку клиента, повысил свою репутацию в его глазах и выполнил требования AML/KYC/CIF политик (см. ниже).
  • Платежный процессинг сделал себе пометку о том, что продавец, которого он обслуживает, допускает мошеннические платежи и может быть сам замешан в мошенничестве. Через N подобных случаев платежный процессинг просто откажется предоставлять услуги этому продавцу.
  • Поставщик заработал денег на заказе продавца, он не обязан делать возврат.Защита от мошенничества — проблема продавца.
  • Мошенник получил возможность получить продукт бесплатно (то есть, за чужие деньги).
  • Ну а продавец несет $200 убытка ($80 поставщику, $100 вернулись Степану и $20 — штраф банка). В целом, продавец в этой истории выглядит примерно так:image

Откуда берется фрод?


Если бы саму карточку украли — всё было бы понятно. Но как можно украсть данные карточки, которую Степан постоянно носит в кошельке?


Вот основные способы:


  1. Степан вводит данные своей карты на сайте с низким уровнем защиты (например, без SSL-сертификата) и их перехватывает мошенник.


  2. Степан переходит по ссылке и логинится в свой кошелек PayPal, но не замечает, что адрес домена — pavpai.com. Благодаря фальшивой странице, мошенник получает доступ к кошельку Степана и может им распоряжаться по своему усмотрению. Такие подставные сайты называют фишинг.


  3. Степан вставил свою карту в банкомат, который оборудован скимминговым устройством. Устройство считало данные его карты и теперь у мошенника полный доступ.


  4. Степан не позаботился о безопасности своего кошелька и в качестве пароля от интернет-банкинга установил дату своего рождения. Так как Степан — человек публичный и информация о дате его рождения общедоступна, мошеннику было несложно подобрать пароль.


  5. В интернете абсолютно свободно продаются десятки тысяч данных ворованных карт и PayPal аккаунтов. И это — в открытой сети. В Dark Net этот бизнес уже давно поставлен на поток.

Международные способы борьбы с фродом


Мы не единственная компания в мире, которая страдает от Фрода и от мошенников. Это настолько большая проблема, что ей занимаются целые государственные департаменты.
В самой основе современной финансовой индустрии лежат политики противодействия мошенничеству, отмыванию денег и финансированию терроризма.


AML


AML расшифровывается как anti-money-laundering. По-русски — противодействие отмыванию денег. Это набор процедур, законов и правил, которые нужны для того, чтобы граждане не получали доход нелегальным путем. Политики AML рекомендуют внедрять бизнесам во всем мире, как в личных интересах, так и в интересах международной борьбы с экономической преступностью.


Очень понятный и актуальный список рекомендаций придумали на съезде саммита G7 в 1989 году. Сделаю небольшую выдержку из пункта 5, которым руководствуемся мы:
image


В двух словах по-русски:


  • Всех новых клиентов (а в идеале еще и старых) нужно идентифицировать на подлинность.
  • В проверку входят документы, подтверждающие личность, фото кредитных карт, описание бизнеса и, в самых крайних случаях, источник доходов.
  • В международной терминологии эту процедуру принято называть Customer Due Diligence (CDD).
  • Это чтобы отпал вопрос о том, насколько законны наши действия и насколько корректно просить клиентов предоставить свои документы.

KYC


KYC (Know Your Customer), по-русски — знай своего клиента. Это часть процедуры CDD, которую должны выполнять финансовые учреждения и другие регулируемые компании. Она помогает -защититься от отмывания денег. Ее основные цели и функции:


  • сбор и анализ базовой идентификационной информации (в законодательстве США это даже названо отдельным термином «Customer Identification Program» (CIP);
  • проверка имени физического лица или бенефициаров юридического лица в базах «Politically exposed persons» (PEP);
  • определение рисков в контексте склонности клиента к отмыванию денег, финансированию терроризма или краже личных данных;
  • формирование представления о транзакционном поведении клиента;
  • мониторинг транзакций клиента на соответствие с его идентификационными данными.

В разных странах есть законодательно принятые KYC процедуры. То есть мы не просто имеем право требовать документы, а просто обязаны это делать для соблюдения закона и снижения своих финансовых рисков.


CTF


CTF (Counter-terrorist financing), по-русски — борьба с финансированием терроризма. Что это такое, думаю, и так понятно. Так как понятие терроризма в России и Украине в последнее время очень размытое и не имеет границ, жалоба может прийти буквально на любой сайт, который даже косвенно связан со терроризмом и т.п.


В случае с подобными проектами жалобы приходят сразу официальные и от правоохранительных органов нашей юрисдикции, на которые мы реагируем в соответствии с действующим законодательством.


На самом деле, в мире существует много политик и стандартов по борьбе с Фродом. В следующем разделе, я расскажу, как мы справляемся с Фродом в Unihost и какие правила мы из этой практики вывели.


Риски, связанные с фродом


Как вы уже поняли, фрод — это плохо. Давайте теперь конкретизируем это «плохо» и выделим перечень рисков, которые он несет для любой компании, а также Unihost, как для хостинг-провайдера.


Прямые потери на комиссиях за чарджбэки


Все финансовые риски за транзакцию несёт продавец, как получатель средств. А значит, ему и принимать меры для противодействия мошенничеству. И если эти меры недостаточны и продавец допустил неправомерную оплату средств, то при возврате средств банк накажет продавца штрафом в $20.


Советую ввести процедуру Customer Due Diligence для всех заказов.


Абузы


На клиентов, которые используют услуги для неправомерных целей (продажа краденых кредитных карт, фишинг, DDoS-атаки и т.д.) приходят абузы. Абузы — это официальные запросы с требованием прекратить неправомерную деятельность.


Естественно, таких ненадежных клиентов нужно блокировать и возвращать им уплаченные средства. Естественно, это негативно влияет на нашу репутацию у платежного процессинга.


Репутация у платежного процессинга


Наличие чарджбэков и возвратов средств плохо отражается на репутации у платежного процессинга. Кроме того, у любого процессинга существуют ограничения на объем рефандов в процентном показателе от месячного оборота и частоту рефандов. Превышение ограничений может привести к штрафным санкциям от платежного процессинга, вплоть до полного отказа сотрудничать. Советую лишний раз проверить клиента, чем потерять партнера — платежного процессера.


Правовые риски


Правовые риски связаны с политикой противодействия отмыванию денег (AML) и несоответствия какому-либо закону или указу. Может включать в себя что угодно: начиная от штрафов, заканчивая уголовными делами.


В современном правовом поле СНГ, этот риск минимален. Но учитывать его всё равно стоит.
Чтобы минимизировать риски, внедряйте систему верификации клиента по CDD.


Система верификации в Unihost


При обращении к нам мошенника, есть два варианта развития событий:


  • Приятный вариант. Запрашиваем документы у мошенника и определяем, что его карта ворованная (либо человек просто отказывается проходить верификацию или не отвечает на наше письмо). Делаем возврат средств как можно быстрее — это избавляет нас от потенциальной жалобы со стороны банка, а соответственно и от чарджбэков.


  • Приятный и недопустимый вариант. Запрашиваем документы у мошенника, неправильно определяем их подлинность и предоставляем услугу (нашу или партнеров). Банк присылает запрос на возврат средств, мы его делаем и теряем средства. Иногда теряем еще $20, если банк не стал тратить время на официальный запрос и сделал чарджбэк. Ситуация разыгрывается по сценарию со Степаном в начале статьи — у продавца остаются одни убытки.

Чтобы максимально снизить риски, мы верифицируем сначала транзакцию, потом клиента, а потом его заказ. Первое защищает нас от уже известных мошенников, второе — от новоявленных, а третье — от абуз.


Верификация транзакции


При новом заказе от неверифицированного клиента, мы:


  1. Проверяем его по модулю FraudRecord. Это международная база ненадежных клиентов, мошенников и прочих нехороших.


  2. Проверяем количество неудачных попыток оплаты. Если их менее двух — всё ОК. Если их больше — переходим к верификации клиента и ставим метку «подозрительный».


  3. Проверяем, уникален ли IP клиента. Часто уже заблокированные из-за фрода клиенты создают новые аккаунты на другие имена.


  4. Проверяем соответствие гео-IP со страной биллинга. Очень многие мошенники платят картами из Европы и США, но сами находятся в СНГ или Китае.

image


При повторных заказах и продлениях, клиенту нужно пройти только пункт 2.


Верификация клиента


Верификация личности нужна для того, чтобы убедиться, что клиент является живым человеком и удостовериться, что платежный метод действительно принадлежит ему. Для этого мы запрашиваем у клиента документы, подтверждающие его личность.


Принимаются только документы государственного образца из следующего списка:


  • Паспорт (Passport);
  • Идентификационная карточка (Identity Card, он же ID) — аналог паспорта во многих странах;
  • Водительское удостоверение (Driving Licence) с фотографией;
  • Свидетельство о временном гражданстве (Temporary Resident Card)
  • Свидетельство о временном/постоянном виде на жительство (Residence permit)

Мы тщательно проверяем все документы на соответствие госстандартам. Хотя зачастую подделка определяется с первого взгляда. Так, один из клиентов прислал паспорт с датой рождения «30 декабря 1792 года».


Для проверки платежного метода, мы требуем фото банковской карты (с видимой лицевой стороной, но закрытым CVV) или скриншот оплаты из PayPal, где видно, что оплата была совершена на нашем сайте. Этот пункт уже привычен многим.


Верификация проекта


Мы просим описать проект при заказе сервера или VPS. Причем простые «сайт для компании» или «сайт для клиента» мы отправляем обратно с просьбой рассказать подробнее: чем занимается клиент/компания, что будет размещено на сайте. Ведь клиентом может быть сайт детского порно, а это уже проблема.


Если проект планирует рассылать письма, мы требуем доказательства того, что база данных получателей была собрана самим клиентом, а сами получатели прошли double opt-in проверку.


Список проектов, которые мы не принимаем:


  • DDoS-атаки других ресурсов;
  • сканеры портов;
  • сайты, призывающие к террористической деятельности, жестокости, насилию и т.п.;
  • детское порно, зоофилия и прочая чернуха;
  • исходящий спам;
  • фишинговые сайты.

Заключение


Нельзя сказать, что эти меры на 100% спасают от чарджбэков или абуз. Но они значительно снижают число мошенников, которые получают доступ к услугам. Поэтому, если ваша компани еще только на пути внедрения системы верификации клиентов и заказов, советую не экономить. Известно, что жадный платит всегда.


Я надеюсь, что однажды мы будем жить в мире, где можно будет принимать всё на веру. Но до тех пор, пока этот мир еще не наступил — верификация — единственный выход. Пускай это не самый красочный или популярный аспект деятельности сферы e-commerce, но это просто необходимо. Жаль, что честные клиенты также должны проходить проверку.

Поделиться с друзьями
-->

Комментарии (40)


  1. Dageron
    30.07.2017 13:30
    +5

    Хорошая цитата:

    Степан в панике бежит в свой банк и слезно просит вернуть деньги. Банк удовлетворяет заявку — налицо несанкционированная активность с банковской карты их клиента. Банк запрашивает принудительный возврат средств (чарджбэк) со счета продавца ($100), а также взимает комиссию $20 за то, что произошел чарджбэк.

    У кого-нибудь есть опыт подобного взаимодействия с российскими банками? Практически во всем мире чарджбэк делается через сайт Visa/Mastercard, и только в России для этого нужно писать рукописное заявление в банке. Было бы любопытно узнать, сталкивался ли с этим кто-то из хабравчан.


    1. farcaller
      30.07.2017 15:00
      +2

      Практически во всем мире чарджбэк делается через сайт Visa/Mastercard,

      В первый раз слышу. В нашем селе (Ирландия) банки хотят бумажное письмо или факс с деталями и обоснованием чарджбека — по вине продавца. Если чарджбек вызван фродом то банк обычно звонит и сообщает о прошедшей операции, удостоверяется что клиент ее не выполнял и разруливает дальше сам.


    1. keenx
      30.07.2017 18:02
      +1

      Есть опыт возврата 3000 рублей по платежу интернет магазину Enter. Райффайзенбанк запросил скан заявления, всю переписку (электронные письма и скан заявления в магазин на возврат). Несколько раз в течение трех недель созванивались со мной и сделали чарджбэк.


      1. keenx
        30.07.2017 18:04

        Осознание того, что магазин дополнительно заплатил штраф, доставляет удовольствие.


      1. kirillaristov
        31.07.2017 06:29
        +1

        Если покупка в Enter по реквизитам вашей карты была фродом (то есть реквизиты вашей карты были украдены), то о какой переписке с магазином может идти речь?


        1. x67
          31.07.2017 16:34

          Тут чарджбек скорее обоснован был другими причинами — возврат товара, отказ от услуг, разрыв договора и тп. Только Энтер вроде не маленький магазин и должен уже сам заниматься экономическими вопросами без участия своих клиентов.


  1. Zolg
    30.07.2017 16:48
    +14

    Ну а продавец несет $200 убытка ($80 поставщику, $100 вернулись Степану и $20 — штраф банка). В целом, продавец в этой истории выглядит примерно так:
    100$ убытка.


    1. TimsTims
      31.07.2017 14:24

      Смотря с какой временной точки смотреть :) Если ДО продажи — то $100 убытка, если после — то убыток $200. И размер компаний тоже считают «по выручке», например компанию считают крупной (оборот 500млн в год), и не важно, если компания имеет всего 0.1% (500тыс.руб.) от неё…


      1. Zolg
        31.07.2017 16:04
        -1

        т.е. если Вася даст Пете на пять минут подержать 100$, у Петра от этого образуется убыток?


        1. TimsTims
          31.07.2017 16:27

          Нет, если Петя продал Васе конфету за $100, то у Пети это будет доход +$100, и фактически его деньги(фиксация прибыли). Если через какое-то время, Петя обращается в «полицию», и говорит, что его надули, и «полиция» (в лице роспотребназдзора/банка/мпс/фас/суда/фссп итд) выставляет требование вернуть деньги, то у Васи это будет фактически убыток.
          Так и здесь везде в статье — сначала у тебя покупают товар, ты его отгружаешь, и через несколько дней, когда ты уже радуешься продаже тебе прилетает чержбек.

          И да, возврат заработанных денег — это убыток. Представьте, что вы миллионер, который всю жизнь продавал машины(автодиллер). И вы счастливо богато живёте в особняке. Но в один прекрасные день, ВСЕ, кому вы продавли машины потребовали у вас деньги, и вы обязаны их вернуть(по требованию МПС). И вы их, допустим, возвращаете… Ну никак, кроме как убытком, это назвать нельзя, ведь вы больше не миллионер.


          1. x67
            31.07.2017 17:02

            То есть если Петя продал Васе конфету за $100, а потом Вася прокрался ночью и забрал $100, то убыток будет конфета и $100? Таким образом можно считать показатели, только что они дадут?


          1. DistortNeo
            31.07.2017 17:14
            +1

            Нет, если Петя продал Васе конфету за $100, то у Пети это будет доход +$100, и фактически его деньги(фиксация прибыли).

            Доход $100 и расход в виде стоимости конфеты. Прибыль — разница между доходом и расходом.
            После возврата денег будет $100 доход и расход в виде $100 + штраф $20 + стоимость конфеты.


            Итого убыток $20 + стоимость конфеты.


            1. TimsTims
              31.07.2017 19:02
              +1

              > После возврата денег будет $100 доход и расход в виде $100 + штраф $20 + стоимость конфеты.
              Повторюсь, как я и писал в самом начале — смотря с какой временнОй точки вести систему отсчета. Со стороны бухгалтерского учёта — с самого начала, чтобы дебет совпадал с кредитом с момента открытия компании, и возвраты прошлых транзакций — это лишь сведение дебета с кредитом.

              Но со стороны управленческой отчётности всё проще и активнее: Кассовый разрыв: главная причина закрытия магазинов у новичков. Если коротко, то вам будет очень больно «всего лишь вернуть» 1 млн рублей за неточно исполненный прошлогодний контракт, когда вы все эти деньги уже вложили в что-то(например в развитие магазина). По бухгалтерии получается всё ок (если смотреть с самого начала, как вы предлагаете), ведь вы возвращаете чужие деньги, некогда переданные вам, а по управленке — у вас сейчас нет таких денег на возврата, а если и есть, то это может очень навредить вашему бизнесу.


  1. Chikey
    30.07.2017 18:24
    +5

    Пожалуй единственная причина фрода это сама система карт в виде bearer token. 16 и еще пара цифр = доступ к счету, а должно быть карта = приватный ключ, транзакция = подпись(сумма, получатель). Что собственно и сделано в криптовалютах. Тогда и Verified by visa будут не нужны.


    1. dmitry_ch
      30.07.2017 20:04

      Юзеры 16 цифр не могут сохранить (хотя их даже наизусть можно запомнить, и вообще никому карту не показывать), а вы про ключи…

      Но перехват чаще имеет место там, где юзер вводит данные (или «приложит» ключ) в уверенности, что все ок — на поддельном сайте pavpal.com, скажем, в поле, которое выглядит как поле на paypal.com.


      1. Chikey
        31.07.2017 12:47

        есть куча способов получать ключи из понятных нам вещей. Даже из тех же 16 цифр дерайвить или пароля.


    1. DistortNeo
      30.07.2017 21:22

      Представьте себе, на родине банковских карт — США — только недавно начали повсеместный переход на электронную обработку платежей.


      Всего 5 лет назад все кредитные (не дебетовые!) карты представляли собой набор цифр и магинтную полосу, на которой этот же набор цифр был записан. Дико небезопасно, зато удобно: картой можно было расплатиться в любой дыре, где был импринтер — механическая штука для создания оттиска карты.


      1. DmitryKoterov
        31.07.2017 09:33
        +1

        Вот именно. Просто уязвимая система оплаты выгодна для Visa и MasterCard. Если сделать не надежной (да хоть требовать при каждом платеже обязательного подтверждение при помощи sms-кода), то люди станут меньше платить, больше ошибаться. В итоге эти компании начнут терпеть убытки. Им выгоднее сделать платеж небезопасным архитектурно и потом пудрить всем мозги, как у них «все безопасно», чем сделать по-настоящему систему с 2-факторным подтверждением платежа.


        1. Chikey
          31.07.2017 12:48
          +1

          Так не нужно никакое 2 факторное подтверждение и портить юзабилити, просто первый фактор надо сделать и перевести на него пользователей, без ухудшений экспириенса. Что им делать лень


    1. Labunsky
      31.07.2017 13:05

      Она не то, чтобы уязвимая, просто ее оценивают не с того конца. Изначально карта — средство аутентификации пользователя банковского счета, в ее задачи не входит никакая защита транзацкий

      Сейчас вот пихают в чипы как раз приватные ключи и всячески защищают обмен данными между картой и тем, куда ее суют. Но от старой роли отказываться не хотят из-за юзабилити — трудно представить, как тогда платить ими в этих наших интернетах платить, каждому иметь с собой сертифицированный платежный терминал? Ну и плюс поддержка есть не везде, даже электричество есть не везде, сложно все это


      1. x67
        31.07.2017 16:53

        А мне нравится, когда для подтверждения платежа в интернете надо вводить пароль из смс или генератора. Даже простейшая реализация такого генератора (матрица рандомных знаков 3*3 на обратной стороне карты и паттерн/фигура, по которой надо прочитать эти знаки при оплате покупки) сильно усложнит жизнь мошенникам. Дополнительные устройства не нужны, по ворованным из интернета данным совершить покупку не получится, попытка угадать код или выйти на известный шаблон легко детектится, скиммеры нужны будут большие и заметные image


        1. Labunsky
          31.07.2017 19:13

          Строго говоря, это не выход, это просто дополнительные факторы аутентификации. Сейчас уже все привыкли, а по сути это выглядит как «вот тебе пароль, но, чтобы его использовать, тебе нужен другой пароль из смс». А потом скажут, что и смс небезопасны, начнуть слать OTP для OTP… Все ради нашей защиты :)


          1. x67
            01.08.2017 19:06

            А что поделать, мир усложняется, угрозы становятся более разнообразными. Тут два варианта — терять время или деньги


            1. Labunsky
              01.08.2017 19:10

              Да ну ничего, в целом, сейчас все работает без особых проблем в абсолютно любых ситуациях. Не знаю, зачем нужна дополнительная защита, и банки со мной пока солидарны


      1. vikarti
        31.07.2017 18:08

        как тогда платить ими в этих наших интернетах платить, каждому иметь с собой сертифицированный платежный терминал?


        Не обязательно.
        Apple Pay, в том числе и с компьютера. Правда есть несколько недостатков — должен использоваться Safari, на маке и нужен айфон/applewatch или это мак с touch ID должен быть. Stripe и Braintree например это поддерживают.

        Samsung Pay туда тоже движется (но пока только для оплаты в их собственном браузере на телефоне).

        Только вот — это ж Apple. На https://developer.apple.com/apple-pay/acceptable-use-guidelines-for-websites/ немалый список Prohibites Uses (и некоторые вещи из этого списка покупать — приходилось, с карты напрямую или через Paypal, и если такой возможности НЕ будет — то это плохо).


        1. Labunsky
          31.07.2017 19:07

          Все эти Pay — эмулируют работу смарт-карты при работе с терминалом. То есть они заменяют не терминал, а карту, и никак не помогут в этом вопросе с точки зрения безопасности — функционал, за исключением дополнительной аутентификации пользователя по графическим ключам/биометрике и пр., совпадает


  1. dmitry_ch
    30.07.2017 19:11
    +1

    Банк удовлетворяет заявку — налицо несанкционированная активность с банковской карты их клиента.

    Иные банки говорят — «мы предупреждали никому данные карты не сообщать, так что это ваша проблема». Вот с этим что сделать можно? Репутация банк особо не волнует, насколько понятно из контекста.


  1. skoder
    30.07.2017 19:34
    -1

    Сбербанк просит 150р в месяц, за то чтобы такие операции можно было откатывать, доп. услуга у них такая.


    1. dmitry_ch
      30.07.2017 20:01
      +2

      Что по сути означает, что они не делают свою прямую работу «за просто так»?


    1. Liker_ok
      31.07.2017 09:28
      +1

      Сбербанк просто наживается на доверчивых гражданах, как всегда. Они обязаны и без всяких доп. услуг возвращать украденные со счета деньги. Если намекнуть консультанту, что вы в курсе обязанностей банка перед вами, пойдут стандартные отговорки «Ну так же быстрее, удобнее» и пр.


      1. skoder
        31.07.2017 12:08

        А я спросил: а это разве не ваша обязанность защищать мои деньги? они ответили именно так, как вы и написали


  1. super-guest
    30.07.2017 20:59
    +2

    А меня раздражает, когда спрашивают о целях или роде занятий. Сразу подозревают каждого клиента в незаконной деятельности, а ведь никаких законов требовать такой персональной информации не существует. А даже если и существуют, так как быть с теми законами, которые разрешают мне персональную информацию не сообщать? Не окажете услугу из-за коллизии законов? Тогда нарушите третьи законы…

    Я понимаю, что все свалили все шишки на магазины, но это их проблемы. На клиента я магазину не позволю это сваливать. Как помочь магазину — не знаю, но и себя в обиду не дам.


    1. mickvav
      31.07.2017 13:42

      Тут вопрос в том, как составлена оферта. Если вы приняли оферту, в которой прописано право хостера отказать вам в услуге в случае непредоставления достоверных необходимых сведений — вы уже вступили в договрные отношения.


    1. TimsTims
      31.07.2017 15:22

      > а ведь никаких законов требовать такой персональной информации не существует
      Как это не существует? 146-ФЗ обязывает банки контролировать риски, и самостоятельно проводить процедуры AMK/KYC, осуществлять финансовый мониторинг, и запрашивать все необходимые документы с клиентов(не только 146-ФЗ, но и другие).
      В случае сомнений банк может односторонне отказать в обслуживании от слова «совсем». Если банк этого делать не будет, то каждые N месяцев к нему в дверь стучат сотрудники ЦБ и присылают огромные штрафы (до 300 000р. на ответственное лицо за фин.мониторинг — на ФИЗ.ЛИЦО (т.е. на директора этого мониторинга!), а не только на банк!). Должность такая почти «расстрельная» — ведь нужно не пускать «плохих» клиентов, и «не душить» хороших, поэтому нельзя просто поставить непробиваемый заслон «всех шмонаем до последней ниточки»(иначе клиентов не будет), а нужно соблюдать тонкий баланс.
      И это я только про вершину айсберга тут рассказал…


  1. DistortNeo
    30.07.2017 21:29

    Удивило, что продавец оказывается крайним. Разве не сама платёжная система или банк должна вернуть деньги? Ведь, казалось бы, платёжные системы берут значительную комиссию за операции с картами. И размер комиссии зависит от способа совершённой операции (с использованием бесконтактной оплаты, с вводом пин-кода, без пин-кода), менее безопасные операции облагаются более высокой комиссией.


    1. Pavel1114
      31.07.2017 09:28

      тоже всегда думал, что процессинговые системы за то и берут не малые комиссии с продавца, чтобы разруливать подобные ситуации. Мне казалось это более логичным. Контролировать и разруливать подобные ситуации централизованно было бы гораздо удобнее и надёжнее, а издержки бы покрывались из комиссии.


  1. Cobolorum
    30.07.2017 22:14
    +5

    Почему про основную систему защиты от фрода в ecom — 3DS скромно промолчали?


    1. vasis123
      31.07.2017 09:28
      -1

      Слишком просто тогда получается — есть 3DS — нет фрода.


  1. Setu
    31.07.2017 09:28
    +1

    Ох, и попили крови мне и моей жене со своей антифрод системой товарищи с Амазона. Пытались купить товар, а они сразу в блокировку аккаунт ставят, хоть он и старый и раньше продавали и не мучали. Вышли им кучу документов, которые в России не предоставляют банки (сканы карточки, паспорта и договора с банком их не удовлетворяют), то факсы прочитать не могут, разговоры по телефону (звонили на древний номер телефона, который был когда-то давно привязан к аккаунту) не спасали ситуацию в итого. Так и остался без покупок и с заблокированным аккаунтом. Ибей в итоге помог лишь......


  1. nikanik
    31.07.2017 09:28

    «Спасение утопающих, дело рук самих утопающих».
    Зная наш менталитет и наши банки, я считаю, что Вас заставят найти IP, с кот. был сделан заказ, с подтверждением от продавца, а потом еще доказать что это не прокси и не Ваш IP.
    Итог: чарджбек — не верю, не в нашей стране, не в наше время ((