Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
13

Как магазины берут в плен наши платежные данные

Согласитесь: очень неприятная история, когда твоя банковская карта оказывается в распоряжении других людей. А когда ты не можешь ее из этого распоряжения изъять, — и вовсе чувствуешь, что твои средства, кажется, в опасности. Не так ли?


И если вы думаете, что речь пойдет о «службе безопасности одного там банка» и прочих телефонных мошенниках, то вы ошибаетесь: мы хотели бы рассказать о сомнительных проделках вполне себе легального бизнеса.


Новые реалии цифровой экономики


Думаем, не надо рассказывать о развитии онлайн-платежей сегодня.

Мы. Платим. Картами. Везде.

Но отличие от виртуальной интернет-реальности в реальной жизни кассир не может схватить ваш кошелечек с денежкой, зажать его в ладошке и не отпускать, обещая самостоятельно достать из него денежку, если вы захотите что-то купить.


А вот в виртуальном пространстве подобное не только встречается, но даже не является редкостью.


Собственно, это мини-исследование выросло из рандомного опыта разных лет сотрудников iFreedomLab. В разное время мы сталкивались с тем, что чья-то банковская карта после проведения платежа в неком сервисе оставалась привязанной. Сама привязка — не редкость, галочки на предложениях привязать карту всегда рассованы по разным углам платежных сервисов.


Проблема заключалась в том, что карту было невозможно отвязать.

НИКАК.

Не было такой опции.


И такое практикует масса уважаемых и очень технологических компаний в нашей стране.


История 1. Про кино


Один из крупнейших российских онлайн-кинотеатров Premier под крылом «Газпром-Медиа» был замечен в крайне вольном обращении с платежными данными клиентов ещё при запуске в 2018 году.


В конце 2021 мы решили проверить и попробовать подписаться и отписаться.

И констатируем: увы, на сервис можно подписаться, оплатив доступ на условиях автопродления (и никак иначе), и отписаться просто по кнопке.


Своих введенных платежных данных и возможности ими управлять вы там не найдете.


Таким образом, данные вашей банковской карты с авторизацией платежей для этого сервиса хранятся где-то в недрах Premier, и вы, владелец своих денег, не имеете к этой ситуации никакого отношения, как и никакого доступа к управлению своей платежной информацией. Можете только платить.


Забавно, что сервис не считает собираемые данные клиента персональными и потому не нуждается в разрешении на какое-либо обращение с ними — так указано в пользовательском соглашении. Видимо, по мнению юристов Premier по номеру телефона и данным банковской карты решительно невозможно установить личность (последнее — ключевой момент для признания данных персональными, согласно закону «О персональных данных»).


Поддержка клиентов провалена


Ситуация нас не устраивает и мы обращаемся в службу поддержки. И, спойлер, безрезультатно.


На сайте сервиса предложен е-мейл поддержки, но ответа на наш вопрос — как происходит управление платежными данными клиента — нам добиться не удалось.


Следуем в официальный аккаунт в VК (Premier) и задаем вопрос: где в аккаунте можно найти информацию о привязанной банковской карте.

И дальше начинается дурной анекдот.

• автоответом нас благодарят и обещают обязательно ответить позже;

• через сутки ничего не происходит и мы задаем вопрос в пустоту: можно ли на что-то надеяться?

• нам довольно быстро отвечают, но странно: просят прислать логин-номер телефона, чеки по операции (???) и 4 последние цифры банковской карты;

• мы удивленно тут же задаем встречный вопрос: правда ли компании надо столько персональной информации, чтобы просто указать: где пользователь в своем Личном кабинете может найти свои же платежные данные?

• через 5 (пять!!!) дней нам присылают ответ:

В общем, понятно, что ничего не понятно и общаться с клиентом по неудобным вопросам в Premier не желают. По-видимому, желают только держать ваши деньги при себе.


История 2. Про любителей быстрой еды


Один из наиболее успешных проектов российского foodtech, в бизнес которого вошли «Сбер» и VK, — сервис быстрой доставки готовой еды и продуктов «Самокат». Единственный способ управления сервисом — мобильное приложение, в нем можно смотреть каталог, формировать заказ и осуществлять оплату.


И да — оно тоже «намертво» привязывает ваши платежные данные, если при оплате вы забыли снять галочку с опции «сохранить карту», проставленную там по умолчанию.

Первый раз с подобной ситуацией мы столкнулись год назад, в конце 2020-го. Вопрос с отвязкой карты оказалось возможно решить со службой поддержки в мессенджере WhatsApp, но не просто и не быстро.


Поддержка игнорировала вопросы по сути и сообщала типичное для таких ситуаций клише про то, что «все это сделано для вашего удобства»; а сам процесс отвязки карты занял у «Самоката» несколько суток. Ну и стоил потрепанных нервов.

В конце 2021 года, то есть год спустя, мы произвели контрольную закупку. Галочка с опции «сохранить карту» не была снята целенаправленно. 

И да, увы. В системе «Самокат» по-прежнему возникают проблемы: платежную карту до сих пор невозможно отвязать — у нас не получилось.

Пообщавшись с роботом в WhatsApp, нам таки удалось добраться до живого менеджера, который сообщил, что по указанному вопросу вся информация есть в пользовательском соглашении, которое клиент акцептует при установке приложения. И даже на голубом глазу привел пункты из этого соглашения, которое, впрочем, повторяло формулировки из 152 ФЗ «О защите персональных данных» и ссылалось на него же. И разумеется, там ни слова не сказано (как и в законе) о «насильной» привязке платежных данных клиента. На наше возмущение по поводу такой откровенной дезинформации сотрудник службы поддержки предпочел не реагировать и попросил 4 цифры карты, дабы отвязать ее.


Таким образом, в «Самокате» карта по-прежнему привязывается автоматически и, похоже, навсегда, а отвязывается через службу поддержки и со скандалом под странноватые уверения, что «все это делается для вашего удобства». В чем это удобство?


«Самокат», «насильная» привязка банковских карт — НЕ БЛАГО для клиента и НЕ УДОБСТВО! Это компрометация финансовой информации клиента, по нашему скромному мнению.


История 3. Про связь


Совсем недавно подобные «передовые» практики внедрил сам «Ростелеком» — одна из крупнейших в стране компаний связи, 50%+1 акций которой распоряжается Правительство Российской Федерации.


Теперь при оплате услуги домашнего интернета в Личном кабинете на сайте компании с помощью банковской карты возможно ТОЛЬКО через ее привязку. Окно для ввода номера банковской карты просто не активное — в него нельзя вписать данные карты.

Получается, привязал карту — оплатишь. Не привязал — разовая оплата по банковской карте по-быстрому в первом окне невозможна. А если потратить время и проявить смекалку, то с приключениями и напрягом все же и разово оплатить можно — просто из другого, совершенно неочевидного места Личного кабинета. Шах и мат тебе, клиент! Не расслабляйся!


А нас по-прежнему крайне смущает такое настойчивое желание привязать кошелек клиента.


История 5. Про банки, IT-экосистемы и альтернативный взгляд на персональные данные


С весьма неординарной ситуацией мы столкнулись в одной из самых — это без иронии — прогрессивных компаний страны. Куст сервисов под брендом «Тинькофф». Однако по части платежных данных в частности и персональных данных в целом обнаружилось поразительное.


Началось все с того, что один из наших сотрудников является обладателем не только счета в банке АО «Тинькофф Банк», но и владельцем SIM-карты от ООО «Тинькофф Мобайл». Это, как мы видим, независимые компании: у них разные юридические лица, а кроме того — у каждой свои аккаунты пользователя с абсолютно автономными системами авторизации.


Однако однажды в своем аккаунте для управления услугами связи — т. е. в ООО «Тинькофф Мобайл» — пользователь обнаружил, что для оплаты счета мобильного телефона ему по умолчанию предлагается воспользоваться его же картой банка от АО «Тинькофф Банк». И возможности управлять этим способом платежа — например, отвязать карту — попросту не существует. Карту он не привязывал, более того, на ней заблокирована возможность расчетов в интернете, так что случай «да просто когда-то платил и забыл снять галочку о привязке» исключен.

Получается, одно юридическое лицо по умолчанию воспользовалась персональными данными клиента другого юрлица. Служба поддержки сей факт и не отрицала, рассказала, конечно, уже известную историю «о вашем удобстве» и сослалась на пользовательское соглашение.

(Добавим также, что сервис привязывает и показывает в выпадающих подсказках (см. скрин выше) все банковские карты, которыми клиент когда-либо пользовался для оплаты этого сервиса, но их хотя бы можно удалить. Правда, исчезают данные только из пользовательского интерфейса, а остаются ли они в памяти IT-систем компании — неизвестно).


Изучение пользовательских соглашений сервисов под брендом «Тинькофф» оставило нас в немом изумлении: все они прямым текстом утверждают возможность компаний под зонтичным брендом «Тинькофф» передавать персональные данные пользователей их услуг не просто друг другу, но и третьим лицам по своему усмотрению. То есть не только родственные компании под брендом «Тинькофф» могут обмениваться данными клиентов (например, платежные карты к своим сервисам привязывать), но и в случае партнерства с любыми другими организациями они оставляют за собой право передавать данные своих клиентов этим возможным партнерам. И таким нехитрым образом требования закона «О персональных данных» по защите данных пользователей элегантно проигнорированы полностью, от и до.


Такого поразительного «применения» закона РФ «О персональных данных» мы, конечно, были видеть не готовы и сейчас лишь растерянно разводим руками: а что, так можно? Правда? Юристы сервисов «Тинькофф» считают, что да. Не согласны — не пользуйтесь. И в компаниях под брендом «Тинькофф» с вашими данными будут делать то, что считают нужным. Пока вот привязывают ваши банковские карты к свои родственным сервисам. И могут сделать много чего еще: перспективы с такими клиентскими соглашениями у них открываются просто феерические.


Любители чужих кошельков


Итак,

онлайн-кинотеатр с претензией на лидерские позиции и под громким именем народного достояния,

• флагман фудтеха под крылом крупнейшего госбанка и крупнейшего же онлайн-холдинга,

• крупнейший оператор связи с госучастием,

• крупнейший банк с экосистемой сервисов.



Кажется, владельцы именно этих бизнесов считают себя вправе схватить и удерживать ключ к вашему денежному счету. Бизнесы большие и вроде бы планами на дальнейшую жизнь и развитие. Но почему такое отношение к клиенту, как у деятелей из подворотни? «Покажи-ка свои деньги, отлично, дай-ка я сам подержу». Это чтобы что?


Риски такой ситуации очевидны даже на первый взгляд и даже непродвинутому пользователю: только ленивый не слышал про «сливы баз данных [условной большой организации] с платежной информацией пользователей». Вот недавняя новость о крупном сбое в Сбербанке — мало того, что это крупнейший оператор денежных транзакций в стране, так еще и упомянутый «Самокат» входит в его экосистему. Да и вообще информации о дырах в безопасности «Сбербанка» в интернете достаточно, и она, увы, встречается нередко, совсем. За подобными новостями даже ходить далеко не надо.


Сегодня в условиях взрывного развития digital-среды первое, что нам всем говорят: ваша безопасность в цифровом мире — в ваших руках. Вводите двойную авторизацию, меняйте пароли, не храните информацию в одном месте, и т. д. и т. п. — мы все слышали такое десятки раз.

А бизнес, кажется, считает нормальным держать открытый кошелек клиента у себя и всячески затруднять его возвращение в карман законного владельца.


Правовые основы онлайн-платежей


Постараемся максимально коротко.


Согласно закону, в онлайн-сделке участвуют:

• клиент-владелец счета,

• его банк (в котором находится счет),

• электронная платежная система (ЭПС), обслуживающая продающий товары/услуги интернет-сервис.


Деятельность банков и платежных систем строго лицензируется и регулируется.


Номер банковского счета и банковской карты являются персональными данными.


Исходя из описанного в законе, системы онлайн-платежей несут ответственность за безопасность информации, которую они получают. А информация, которая передается им, может рассматриваться в качестве персональных данных.


А вот вопрос автоплатежей и их авторизации никак законом не регламентируется: условия устанавливают конкретные платежные системы и ознакомиться с ними можно в пользовательских соглашениях.


Что же касается законности/незаконности привязки платежной карты без возможности ее отвязать, то здесь правоприменение довольно зыбкое: если бы сервисы отказывались удалять платежные данные клиента, то был бы повод для применения ответственности за нарушение тайны ПД, кражи данных и, возможно, обвинения их в некоторых уголовных преступлениях. Но они вроде как не отказываются и рапортуют об удалении.


А некий абьюз с тратой вашего времени и нервов, присутствующий в процессе, пока не обрел никаких правовых форм.То есть, к сожалению, за это не привлечь по закону; а если вы переживаете за свои платежные данные — то это ваши проблемы.


Но зачем так делать?


Заключение


Цифровая экономика невероятно изменила нашу жизнь. История и прогресс буквально творятся на наших глазах — так удивительно быстро жизнь человечества не менялась никогда. И изменения эти с несомненным знаком плюс.


Но почему в это рациональное, разумное, высокотехнологичное и прогрессивное движение отечественный большой бизнес — тоже, между прочим, прогрессивный и высокотехнологичный — решил внести эти странные примитивные формы своеобразного «насилия»? Этакий гоп-стоп из подворотни в цифровую эпоху. Я возьму и подержу твои деньги. Для твоего же удобства, ну.

Онлайн-бизнес, пожалуйста, программируя функцию привязки банковской карты к аккаунту, убедись в двух вещах:


1. Клиент может сам ее отвязать, и данные карты исчезнут из системы.

2. Твоя техподдержка работает и работает быстро, четко, по существу, а не занимается горе-психотерапией, объясняя клиенту, что ему должно быть удобно, а что — нет.


И не понятно главное: что это дает компаниям?

Даже в условиях размытого правового поля, полагаем, бесконтрольный доступ к клиентским деньгам и возможность как-то ими распоряжаться невозможны.


А вот вопрос безопасности встает очень остро.

Киберпреступность набирает невероятные обороты. Данных по итогам 2021 году еще нет, но за первую половину 2021 года МВД отчиталось: доля киберпреступлений в общем массиве правонарушений достигла 26%. То есть более четверти. И этот показатель стремительно растет. Цифровая экономика располагает. И главный объект таких преступлений — данные. А уж финансовые — в первую очередь. Та самая информация, которой так беспардонно считают себя вправе распоряжаться некоторые компании.


И зачем применяется своеобразная« насильственная» привязка, которая не имеет никакого бизнес-смысла?


И почему клиенты неожиданно для себя вынуждены регулярно решать проблему с «насильной» компрометацией своих финансовых данных?


В общем, остаётся лишь надеяться, что большой бизнес в России когда-нибудь будет думать о клиентах не как о кошельках — вот в буквальном смысле в контексте обсуждаемой проблемы, — и будет отказываться хотя бы от подобных бессмысленных, на наш взгляд, и небезопасных практик.


А наших читателей мы призываем: будьте внимательны и берегите доступ к своим данным.


В сегодняшнем мире тотальной цифровизации это самая большая ценность.

[моё] Безопасность Финансы Мошенничество Длиннопост Негатив
3
Все комментарии Автора