Верховний Суд підтвердив1, що банк не відповідає за переказ коштів через платіжні системи у мережі Iнтернет з використанням банківської картки, у т. ч. із зазначенням CVV-коду.
Фізособам, які користуються платіжними картками, добре відомі умови та правила надання банківських послуг. Зокрема, вони зобов'язуються не повідомляти іншим особам:
— ПIН-код;
— постійний пароль;
— одноразові паролі;
— контрольну інформацію.
1 Постанова Верховного Суду від 10.07.2019 р. у справі №522/22780/15-ц.
При цьому той, на кого емітовано картку, не повинен передавати її або її реквізити для здійснення операцій іншими особами й зобов'язаний вживати необхідних заходів з метою запобігання втрати, пошкодження, крадіжки картки. Адже якщо ці умови порушуються, то саме порушник, а не банк несе повну відповідальність за несанкціоноване отримання коштів з карткового рахунку третіми особами.
Проте, навіть знаючи ці правила, фізособи доволі часто їх порушують і таких порушень не визнають. Тоді справа доходить до суду.
Суди переважно стають на бік фізосіб, позаяк вважають, що лише наявність обставин, які безспірно доводять, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПIН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, говорить про наявність його вини. Тобто якщо фізособа не говорить прямо, що передала картку та/або іншу інформацію, яка допомогла злодіям, довести її вину вкрай важко.
Розрахунки в інтернет-магазинах та збереження даних картки
Одна із ситуацій, коли користувач платіжної картки сам надає третім особам зайву інформацію, — це купівля товарів/послуг в Iнтернеті.
Доволі часто оплата на веб-сайтах відбувається з обов'язковим підтвердженням операції через смс-коди за номером телефону, закріпленим за платіжною карткою, або з використанням даних самої карти, у т. ч. CVV-коду.
Код CVV є тризначним цифровим кодом, який зазначається на зворотному боці картки.
Під час видачі платіжної картки банк завжди наголошує, що за будь-яких обставин не можна повідомляти CVV-код стороннім особам! Так само, як і ПIН-код цієї картки.
Але купувати на інтернет-сайтах так зручно, продавець цей код вимагає і навіть гарантує, що інформація ця потрібна лише разово, для проведення саме цієї операції з купівлі-продажу. Проте навіть якщо власники карток обережні та мають справу лише з тими інтернет-магазинами, які використовують технологію HTTPS для введення даних платника та оплати за допомогою даних платіжної картки, жоден з них не застрахований від шахрайських дій щодо них та їхніх карток (фейкові веб-сторінки, некоректна робота платіжної системи, інше).
А деякі інтернет-магазини, в яких власник картки хоча би один раз оплатив товар, запитують згоди відвідувача на збереження даних платіжної картки.
Погоджуючись на це, власник картки має розуміти ризик використання комп'ютера (ноутбука, планшета чи мобільного телефону) зі збереженими даними картки третіми особами (вдома, в офісі або злодіями, якщо вони цю оргтехніку вкрадуть).
Так сталось і у коментованій нами справі.
9 січня 2015 року з карткового рахунку фізособи через систему Visa Transfer Portmone було несанкціоновано знято 9600 грн. На телефон власника картки надійшло смс-повідомлення про здійснення операції з переказу коштів з платіжної картки на зазначену суму. Дізнавшись про несанкціоновану операцію, фізособа одразу ж звернулася до банку зі заявою про блокування та видачу нової картки, а також подала заяву про незгоду з транзакцією і просила забезпечити повернення їй коштів. Проте дотепер банком кошти не повернуто та на рахунок власника картки не зараховано.
У цій справі суд першої інстанції1 та апеляційна інстанція2 стягнули кошти з банку, позаяк виходили з позиції, наведеної нами вище: банк не надав доказів на підтвердження вчинення фізособою будь-яких дій щодо списання коштів з його банківського рахунку. А той факт, що лише власнику картки був відомий ПIН-код належної йому банківської платіжної карти та непричетність установи банку до списання коштів з рахунку фізособи, судами не беруться до уваги.
1 Рішення Приморського районного суду м. Одеси від 31.10.2016 р. у справі №522/22780/15ц.
2 Ухвала Апеляційного суду Одеської області від 25.05.2017 р. у справі №522/22780/15-ц.
Але Верховний Суд вирішив інакше. Враховуючи, що операцію з переказу коштів у сумі 9600 грн було здійснено 9 січня 2015 року в мережі Iнтернет з використанням реквізитів платіжної картки, у тому числі CVV-коду, які відомі лише власникові картки, банк не повинен нести відповідальність за цю операцію. Тож списані кошти власнику не повернули.
Як захистити свої права? Поради користувачам платіжних карток
Наведений вище висновок Верховного Суду цілком відповідає приписам ч. 9 розділу VI Положення №705. Користувач (держатель платіжної картки. — Авт.) не несе відповідальності за здійснення платіжних операцій, якщо електронний платіжний засіб було використано без фізичного пред'явлення користувачем та/або електронної ідентифікації самого електронного платіжного засобу і його користувача, крім випадків, якщо доведено, що дії чи бездіяльність користувача призвели до втрати, незаконного використання ПIН або іншої інформації, яка дає змогу ініціювати платіжні операції.
Тобто перш ніж покладати всю відповідальність на користувача платіжної картки, банк має довести такі дії або бездіяльність.
Крім того, особа, що має платіжну картку, має право вимагати від банку повернення коштів у разі дотримання правил, встановлених емітентом платіжної картки. А саме:
— у разі здійснення помилкового або неналежного переказу власник картки повідомив банк у строк, передбачений у договорі або у Правилах користування платіжними картками банку;
— здійснював оплату лише на веб-сайтах з технологією HTTPS та не давав згоди зберігати дані платіжної картки;
— не передавав свою картку третім особам для здійснення розрахунків та не повідомляв дані картки за допомогою смс, інших мобільних застосунків, чатів тощо.
Увага!
В окремих мобільних застосунках банки повідомляють, що небажаний чи помилковий платіж можна скасувати протягом, скажімо, 10 секунд. Тому варто ознайомитись із запитаннями-відповідями, що містяться у такому застосунку, або запитати окремо.
Банк зобов'язаний розглядати заяви (повідомлення) користувача щодо використання електронного платіжного засобу або незавершеного переказу, ініційованого з його допомогою, надавати користувачу можливість одержувати інформацію про хід розгляду заяви (повідомлення) і повідомляти в письмовій формі про результати розгляду заяви (повідомлення) у строк, установлений договором, але не більше строку, передбаченого Законом про звернення громадян (ч. 10 р. VI Положення №705). Ці строки становлять від 15 календарних днів до одного місяця, крім скасування, здійснення помилкового або неналежного платежу — як правило, це скорочені строки, які встановлюються у договорі або додатках до нього, мобільних застосунках.
Нормативна база
- Закон про звернення громадян — Закон України від 02.10.96 р. №393/96-ВР «Про звернення громадян».
- Положення №705 — Положення про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, затверджене постановою НБУ від 05.11.2014 р. №705.
Наталія КАНАРЬОВА, «Дебет-Кредит»