Пластиковая карточка это удобный инструмент современного мира, ниже несколько полезных рекомендаций о том как пользоваться этим инструментом. Эти рекомендации собраны из моих ответов на вопросы друзей и знакомых, так что если какие-то вопросы остались не охваченными - задавайте.

Базовые понятия:

Карточка может быть кредитной или дебетовой. Как следует из названия - кредитная карточка это деньги банка, которые вы можете ему и не отдать. Дебетовая карточка - это ваши деньги, которые вы можете с банка и не получить. Отдельно стоит выделить зарплатную карточку, ее главное отличие от обычной дебетовой карточки в том, что деньги на нее попадают в случайный для вас момент, и контролировать это вы не можете.

 В любой транзакции участвуют трое: мерчант - магазин/ресторан и так далее; эквайер - тот банк который обслуживает мерчант; эмитент - тот банк который дал вам карточку.  У каждого мерчанта есть код (merchant category code), так же в транзакции выставляется security code. На основании этих двух параметров, эмитент принимает решение разрешить транзакцию или нет.

    Если у вас установлен повышенный cashback на определенную категорию товаров, именно MCC определяет будут у вас начисления за покупку в этом магазине или нет. Возможна ситуация когда два соседних магазина торгующих одинаковым товаром или даже разные кассы одного магазина  имеют разный MCC. Это приводит к тому что купив, например, ботинки в одном магазине вы получите cashback за категорию "спорттовары" а в другом - нет. И если вам это важно, уточняйте MCC у кассиров перед покупкой.

Транзакции часто (но не всегда) проводятся в два этапа авторизация (холд) и депозит. Т.е. деньги сначала блокируются, потом (не позднее 45 дней спустя) реально списываются. Проценты по кредитке начинают считаться с момента списания денег. Транзакция может быть on-line, когда у мерчанта есть связь с банком-эквайером или off-line, когда такой связи нет.
Off-line транзакции возникают в самолете, на корабле или в мелком американском магазине.

Для правильного и безопасного использования пластика у вас должна быть - кредитная карточка с небольшим лимитом, большим grace (без процентным) периодом и другими вкусностями вроде cache back (зачисления части потраченной суммы обратно) или антенны для бесконтактной оплаты;  кредитная карточка крупного банка с большим лимитом и хорошим процентом; зарплатная карточка.
   Первая карточка является безналичным продолжением вашего кошелька. Вы ей смело платите везде и всегда, не забывая погашать задолженность в grace период. Второй карточкой вы пользуетесь при совершении крупных покупок или если вдруг возникли проблемы с другими карточками сохраняя на карточке разумную задолженность - в половину вашего месячного дохода или в половину кредитного лимита (что меньше). Зарплатную карточку вы используете только в банкоматах, и желательно только в безопасных банкоматах своего банка. Почему так - см ниже.

Внимание! Кредит - это не источник денег когда их нет, а инструмент для более удобного расходования денег, когда они есть.

Часто задаваемые вопросы:

У меня украли телефон:

Сегодня телефон содержит всю вашу жизнь и беречь его надо как зеницу ока. В тех случаях, когда у вас нет возможности следить за своим телефоном (например в больнице) не поленитесь завести отдельный телефон и отдельную сим-карту, не привязанную ни к каким карточкам. Переадресация звонков сделает поддержку двух телефонов менее болезненной.

Хотя теоретически, разблокировка телефона хакером требует заметных усилий, баги производителей и человеческая психология приводят к тому, что украденные телефоны регулярно взламывают. Поэтому если у вас украли телефон - немедленно звоните в банк и блокируйте все операции. Так же имейте ввиду, что многие банки готовы вернуть украденные деньги, но в силу банковской бюрократии, не могут этого сделать без решения суда, так что не стесняйтесь идти в суд.

- отсутствие пинкода на сим-карте позволяет переставить сим-карту в другой телефон и с помощью нехитрых манипуляций добраться до ваших денег.

- если содержимое уведомлений отображается на экране блокировки - то это ползволяет прочитать код из СМС даже на заблокированном телефоне.

- Google/Apple Pay (и аналоги) позволяют совершать транзакции даже на заблокированном телефоне и вообще спроектированы с приоритетом заработка посредника, а не безопасности. Не привязывайте зарплатную или предназначенную для хранения денег карту ни к каким платежным инструментам.

Про антенки и бесконтактные платежи:

  -  почему в одних случаях у меня спрашивают пин-код, а в других - нет? На вашей карте есть профиль (EMV profile), который залит банком-эмитентом и определяет что разрешено именно вашей карточке (например, БЕЗ ПИН до 1 тыс. р, ПИН до 10 тыс. р.); в терминале есть аналогичный профиль залитый банком эквайером который определяет что разрешено данному мерчанту (например, БЕЗ ПИН до 5 тыс р., ПИН до 100 тыс. р.) Эти профили для антенка/не антенка разные. Когда вы прикладываете карточку к терминалу программа ищет варинт который разрешен и вам и мерчанту. В большинстве случаев в России до 1000р ПИН не спрашивают, дальше спрашивают.

- можно ли подкрасться в метро и украсть все деньги? Бесконтактные карты работаю аналогично просто чипу. Это означает, что и в терминал и в вашу карточку записаны ключи банка, перед началом обмена они создают одноразовый ключ которым и шифруются все данные.  Если даже злоумышленнику удалось подобрать ключи, то ему надо куда-то ваши деньги перевести, т. е. завести банковский счет и мерчанта, что легко прослеживается. Т. е. на сегодняшний день опубликовано несколько лабораторных работ посвященных взлому бесконтактных карт, но ни одного случая реальной кражи денег таким образом мне лично не известно.

- Samsung Pay, Android Pay, Apple Pay etc. глобально, эти сервисы использую ту же бесконтактная оплату и приложение похоже на то, которое работает на чипе карточки но, т.к. телефон не является доверенной (trusted) средой, эти приложения предпринимают дополнительные меры, для того чтобы защитить ключи. От приложения к приложению подходы различаются, например Samsung Pay использует специфическое для самсунга дополнение к Андройду trusted execution context, а Google Pay использует для шифрования мощности серверов. На практике это означает, что в одной и той же ситуации одно приложение может отработать корректно а другое нет. Так что рекомендуется иметь их на телефоне несколько, например Google Pay для общего случая и Tinkoff Pay как запасной вариант. 
     Безопасность такого приложения несколько хуже безопасности карточки, кроме того известны истории когда человек, читая книжку в автобусе случайно заплатил за проезд несколько раз. Поэтому зарплатную карточку лучше к телефону не привязывать.

 Про СМС информирование - правильно работающее СМС информирование как и все, что связано с безопасностью - важно, косяки в виде опечаток в номере телефона случаются у всех банков, это надо отслеживать и не бояться писать в банк жалобы. Если вам приходят чужие СМС - это нарушение банком 152-ФЗ, если вам не приходят СМС, а в договоре с банком они указаны, это нарушение банком 161-ФЗ.
  Но надо помнить, что во многих странах, особенно в США, терминалы в принципе не имеют связи с банком - терминал накапливает данные, раз в месяц мерчант привозит его в банк, и в этот момент и происходят все транзакции, теми числами которыми были совершены покупки (т.е. электронный эквивалент того, что раньше было с импринтерами и слипами). Для пользователя это выглядит как покупку он совершил сегодня а СМС о ней пришла через месяц.
 
PIN/не PIN. В дочиповые времена, эта проблема была острой потому что PIN коды хоть и в зашифрованном виде хранились на серверах крупного ретейла и их утечки происходили с завидной регулярностью. Сегодня чиповая карточка проверяет ваш PIN самостоятельно поэтому такой проблемы нет. Общее правило: с чипом смело вводите PIN, если транзакция по магнитной полосе - PIN не вводите, если в этом нет крайней нужды.

О возврате денег. Возврат денег по транзакции, которая чем-то вас не устроила (chargeback) - это нормальный рабочий момент, которого не надо бояться. Есть несколько различных ситуаций, в которых вам может потребоваться вернуть деньги:

- технический сбой банка, например банкомат списал выданную сумму со счета дважды. В этом случае вы идете в банк и пишете заявление на возврат денег. С большой вероятностью через какое-то время у вас в выписке появится транзакция-STORNO.

- несогласие с оказанной услугой, например вы бронировали гостиницу на booking.com, и в условиях было написано free cancelation, а деньги после отмены брони вам не вернули. В этом случае первое что нужно сделать - это связаться с мерчантом и предъявить ему требование о возврате денег. Если мерчант не вернул вам деньги сам - вы должны идти в банк-эмитент и писать заявление на возврат денег. Этот случай проще чем мошенничество, потому что деньги в конечном итоге все равно будут списаны со счета мерчанта. Обратите внимание, что за курсовую разницу мерчант не отвечает, это ваши риски. Так же если мерчант прекратил свое сущестование, то деньги вам будет вернуть практически невозможно, иногда это удается, но по факту это тоже ваши риски.

- мошенничество, тут надо быть готовым к долгой борьбе, иногда до суда. Во-первых, вы пишите заявление в банк, к которому прилагаете копии документов, подтверждающих что вас не было там, откуда списали деньги (например загран-паспорта) если они есть. На чипованной карте могут хранится суммы 10 последних транзакций, так что стоит уточнить в банке, могут ли они их считать. Во-вторых, идете в милицию и пишите заявление там. Если это все не помогает, смело обращайтесь в суд.

Можно ли списать с карточки деньги, зная только ее номер. Теоретически нет. На практике все не так замечательно. Существуют сервисы автоматического пополнения разнообразных балансов, которые для проведения транзакции не требуют CVV2 и 3D Secure. Для того чтобы привязать карточку к такому сервису, пользователь вводить номер, дату и какую-либо информацию от тестовой транзакции на небольшую сумму (точную сумму, RRN и тп).
   По номеру карточки достаточно легко предположить год ее первого выпуска и банк эмитент, а соответственно подобрать год окончания действия. Проверку же данных тестовой транзакции осуществляет не банковский процессинг, а программное обеспечение мерчанта, которое далеко не всегда написано с должным вниманием к безопасности.
  Важно помнить, что за все подобные транзакции всегда отвечает мерчант и ваш банк-эмитент, т. е. если деньги списали без вашего ведома, надо обязательно писать заявление на chargeback, а при необходимости - идти в суд.

Ситуации

Ситуация 1: Вы пожили неделю в Хилтоне и в момент окончательного расчета девочка в отеле не отменила холд, а просто провела новую транзакцию.

В случае дебетовой карточки - вы потеряли возможность пользоваться суммой 1000 евро на 45 дней и возможно вам придется доехать до офиса банка с чеком из отеля и написать заявление. В случае кредитной карточки не произошло ровно ничего, кроме уменьшения вашего кредитного лимита.

Ситуация 2: Вы пообедали в американском ресторане, и как вежливый человек дописали в конце чека чаевые. И девочка списала всю сумму счета еще раз. Списание прошло пока вы были в самолете и никаких СМС вы не получили,

Вы видите несовпадение остатка на счете с ожидаемым. Отправляетесь в банк и пишете заявление на charge back через какое-то время деньги снова ваши.

Ситуация 3: Четыре утра, вы с красными глазами сидите за компьютером и тут приходит СМС, о том что у вас списали $5 вы с матом выключаете звук у телефона и идете спать, собираясь утром разобраться с дурацким банком. Утром вы выясняете что все деньги с вашей карточки списаны.

Если это произошло с зарплатной картой, то как на зло, именно в этот момент вам перечислили премию за год, ну и вы попали на жизнь без денег до следующей зарплаты, а кроме того, многодневное а иногда и многолетнее разбирательство в попытках вернуть ваши деньги.

Если это произошло с кредитной картой, вы ее блокируете без перевыпуска, проделываете шаги описанные выше в разделе мошенничество, экстренно гасите ту часть задолженности с которой вы не спорите и кладете карточку на полку предоставляя банку взыскивать с вас задолженность по суду.

Ситуация 4: Вы купили пару джинсов во Old Navy, довольные летите домой и решили купить бутылку Ballantines в дютике. Потом приехали домой, отоспались и стали читать СМС от банка.

Если вы платили дебетовой картой, возможно что в дютике вы потратили последние деньги, и в тот момент когда пришла транзакция из Old Navy, по вашей карте возник overdraft (техническая задолженность) - как минимум, это 40% годовых, а иногда еще и штрафы.

Details

Published: 20 June 2016

Hits: 2839