Į 15min redakciją kreipėsi nusivylęs finansų technologijų bendrovės „Paysera“ klientas, kurio įmonė turi verslo sąskaitą šioje mokėjimo bendrovėje. Jis įtaria galimą duomenų nutekėjimą „Paysera“ sistemose, kas lėmė, kad iš jo atstovaujamos įmonės sąskaitos buvo atliktas mįslingas atsiskaitymas. Tuo metu bendrovė teigia, kad kortelės duomenys veikiausiai nutekėjo kliento naudotoje kokioje nors nesaugioje svetainėje arba įrenginiuose, o ne jų sistemose.
Asociatyvi „Pixabay“ nuotr.
Laišką redakcijai parašęs Mykolas (vardas pakeistas, bet redakcijai žinomas) atstovauja jaunai ir mažai įmonei, turinčiai verslo sąskaitą „Paysera“ mokėjimo bendrovėje.
Jis pasakojo, kad liepos 9 d. 16.21 val. su įmonės kortelės duomenimis, be savininko žinios, kitaip tariant, neautorizuotai ir be papildomo saugumo patvirtinimo („3D Secure“), internetinėje parduotuvėje „Quiltmania Inc“ buvo atliktas 31,99 dolerio vertės mokėjimas.
„Iškart kreipėmės į banką. Buvo paaiškinta, kad mokėjimo, netgi ką tik įvykusio, jie atšaukti kol kas negali ir liepė laukti, iki kol mokėjimas bus priimtas pardavėjo. Tada bus galima daryti pinigų atšaukimo procedūrą“, – pasakojo Mykolas, norėjęs likti anonimu.
Pasak jo, „Paysera“ taisyklėse yra numatytas 15 eurų pinigų atšaukimo procedūros mokestis, tačiau jis pabrėžia, kad mokėjimas buvo neautorizuotas, t. y. fiziniai kortelės duomenys buvo saugūs, pati kortelė nepamesta, nepavogta ir neperduota tretiesiems asmenims.
„Mokėjimas taip pat nebuvo sulaikytas, patvirtintas „3DSecure“ technologijos ar „Paysera“ saugumo algoritmų, dėl ko šis mokestis nėra teisėtas“, – tvirtino vyras.
Jo teigimu, tai patvirtina ir Lietuvos mokėjimų įstatymų 39 straipsnis, sakantis, kad „kai mokėtojo mokėjimo paslaugų teikėjas nereikalauja saugesnio autentiškumo patvirtinimo, mokėtojui dėl neautorizuotų mokėjimo operacijų atsiradę nuostoliai tenka tik tuo atveju, jeigu jis veikė nesąžiningai. Kai gavėjas arba gavėjo mokėjimo paslaugų teikėjas netaiko saugesnio autentiškumo patvirtinimo reikalavimų, jis kompensuoja mokėtojo mokėjimo paslaugų teikėjui padarytą žalą. Mokėtojas neturi patirti jokių nuostolių dėl prarastos, pavogtos ar neteisėtai pasisavintos mokėjimo priemonės po to, kai pateikia šio įstatymo 34 straipsnio 1 dalies 2 punkte nurodytą pranešimą, išskyrus atvejus, kai jis veikė nesąžiningai“.
Pasak Mykolo, susisiekus su „Paysera“, jis nesulaukęs tinkamo atsako.
„Payserai“ Lietuvos mokėjimų įstatymai nėra įdomūs. Kai buvo kreiptasi oficialiai su pretenzija, buvo dar kartą atsiųstas toks pats šabloninis atsakymas, be konkretaus atsakingo žmogaus parašo, o panorus pasitikslinti, ar tai jų galutinis atsakymas, likome išvis ignoruoti“, – teigė jis.
Įtaria galimą duomenų nutekėjimą
Vyras įtaria, kad „Payseros“ sistemose galimai buvo duomenų nutekėjimas, nes su panašiomis problemomis esą susiduria ir kiti žmonės. Tai patvirtina ir įrašai feisbuko grupėse.
Čia žmonės pasakoja pakliuvę į panašias situacijas, pavyzdžiui, pastebėję, kad pinigus rezervavo mįslingas Jungtinės Karalystės restoranas, kuriame pats žmogus nesilankė ir mokėjimų nepatvirtino programėle.
Kitas vyras feisbuke taip pat pasidalijo nemalonia patirtimi, kai jau pavogta kortele kažkas daro atsiskaitymus. Šiais atvejais „Paysera“ esą nepasiūlė nieko kito, kaip susimokėti pinigų atšaukimo procedūrai taikomą mokestį, nesigilindama į individualų atvejį.
15min rašė, kad keli finansinių technologijų bendrovėje „Paysera“ sąskaitas turintys žmonės jau buvo susidūrę su tuo, kad finansiniai nusikaltėliai iššlavė jų sąskaitas, o jie neteko tūkstančių eurų. Tuomet bendrovės klientai žėrė priekaištus įmonei ir manė, kad santaupų neteko dėl „Payseros“ sistemų saugumo spragų. Tuo metu įmonė komentavo, kad tai „fišingo“ atvejis, kai klientas užkimba ant sukčių kabliuko, gavęs žinutes neva iš banko ar kitos institucijos, nors iš tiesų jomis siekiama pasiglemžti svarbius duomenis.
„Paysera“ savo kaltės nemato
„Paysera“ Mykolo atvejį pakomentavo, tačiau perklausus apie tai, kodėl vis kartojasi panašios situacijos, o klientams pateikiami tie patys šabloniniai atsakymai, atsitvėrė tylos siena ir į užklausą neatsakė
Klientų aptarnavimo departamento vadovo Deiminto Mažuolio teigimu, Mykolo atveju atlikus patikrinimą dėl galimai paties asmens neinicijuoto mokėjimo, paaiškėjo, kad operacija patvirtinta CVV kodu.
„Tais atvejais, kai suma yra nedidelė, „3DSecure“ autentifikacija yra netaikoma. Klientui kategoriškai atmetus galimybę, kad kortele buvo pasinaudota kitų asmenų, vertinant „Paysera“ atliekamo tyrimo rezultatus, darytina prielaida, kad kortelės duomenys nutekėjo kitoje, kliento naudotoje kokioje nors nesaugioje svetainėje arba įrenginiuose, kuriuose yra kenkėjiška programa, galinti nutekinti kortelės duomenis“, – teigė D. Mažuolis.
Tokiu atveju dėl saugumo užtikrinimo, finansų technologijų bendrovė visada rekomenduoja blokuoti esamą kortelę ir užsakyti naują. Tai, pasak D. Mažuolio, klientui buvo pasiūlyta atlikti ir šįkart.
„Kliento minimas 15 eurų mokestis, taikomas už analizės atlikimą bei darbo kaštus, kortelės leidėjo „Contis“ bei „Visa“ nėra grąžinamas ir yra sumokamas prieš pradedant procedūrą. Šis mokestis jį sumokėjus beveik visais atvejais yra grąžinamas, kai atlikus tyrimą nustatoma, jog atliktas mokėjimas nebuvo inicijuotas paties kortelės savininko, mokėjimas atliktas ne iš kliento įprastinių ir pasikartojančių IP adresų bei nurodžius kitą nei kliento buvimo šalis adresą“, – komentavo jis.
Minėtas mokestis, kaip pažymėjo D. Mažuolis, yra taikomas pagal susitarimą su „Paysera“ VISA kortelės leidėju UAB „Finansinės paslaugos „Contis“ ir neprieštarauja „Visa“ taisyklėms.
„Jokių įrodymų nepateikta“
Mykolas sako, kad iš pradžių „Paysera“ minėjo, kad mokėjimą galimai atliko namiškiai ar artimieji, tačiau tai paneigus ėmė kaltinti ne ką kitą, o kortelės savininką ir jo naudojamą įrangą.
„Galime patikinti, kad kortelė yra laikoma namuose, saugiai, kompiuteriai neturi kenkėjiškų programų – su tuo pačiu kompiuteriu yra tvarkomi kiti bankai, turintys iki 200 kreditinių kortelių, skirtų mokėjimams, ir tik vienintelis, mažiausiai naudojamas, „Paysera“ tapo finansinio nusikaltimo auka“, – su 15min kalbėjo vyras.
Pasak jo, įrodymų, galinčių pagrįsti kliento kaltę, nebuvo pateikta.
Lietuvos Mokėjimo įstatymas nurodo, kad bankas ar mokėjimo įstaiga gali atsisakyti pradėti arba prašyti papildomų lėšų pinigų atšaukimo procedūrai, tik jei klientas (kortelės naudotojas) veikė nesąžiningai.
„Kitaip sakant, kai perkamas sau norimas daiktas, o tada melagingai pranešama, kad kažkas pasinaudojo kortele, siekiant pasilikti tiek įsigytą daiktą, tiek išleistus pinigus. Ar 31,99 dolerio vertės elektroninis žurnalas apie nėrinėlius yra pakankama motyvacija juridiniam asmeniui veikti nesąžiningai? Manau, debatų nereikia“, – pastebėjo Mykolas.
Šiuo atveju, jo teigimu, mokėjimas nebuvo patvirtintas papildomo saugumo priemonėmis („3D Secure“), kurią „Paysera“ turi. Jis citavo bendrovės puslapyje pateiktą informaciją, kad visi mokėjimai, kurie atliekami su „Paysera“ VISA kortele internetu, dėl saugumo turi būti papildomai patvirtinti mobiliojoje programėlėje.