Чтобы выполнить требование о заявлении ущерба, рассмотрим ситуацию с мошенническим использованием платежной карты в эквайринговой сети несколько под другим углом, а именно с точки зрения российского гражданского законодательства.
Нормативный документ ЦБ РФ № 266-П «Положение об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» не рассматривает все гражданско-правовые вопросы функционирования платежных карт. Более того, комплексное законодательное регулирование по данному вопросу в России отсутствует. Поэтому технология функционирования платежных карт регулируется отдельными договорами. В нашем случае обратим внимание на договор между эквайрером и торгово-сервисными предприятиями (договор об эквайринге).
Предметом данного договора со стороны предприятия является составление документов на бумажном носителе и (или) в электронной форме с использованием платежных карт или их реквизитов при совершении держателями покупок; а со стороны эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт (см. п. 1.9 Положения ЦБ РФ № 266-П). Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных карт за вычетом своей комиссии (торговой уступки). Согласно условиям данного договора эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила расчетный документ с использованием платежной карты или ее реквизитов и представила данный документ в банк-эквайрер для оплаты, то у банка возникает обязательство перечислить предприятию денежные средства по документу. Это обязательство не зависит от исполнения другими участниками платежной системы своих обязательств перед эквайрером. Например, если банк-эмитент по каким-либо причинам не перечислил денежные средства эквайреру (например, ввиду переноса ответственности), последний все равно обязан рассчитаться с организацией торговли (услуг). Это позволяет рассматривать договор на эквайринговое обслуживание между банком и предприятием в отрыве от всей остальной платежной системы. Тогда представленная выше классическая мошенническая ситуация будет выглядеть следующим образом.
В организации торговли мошенник, выдавая себя за законного держателя банковской карты, составляет расчетный документ. Данный расчетный документ направляется в банк, который перечисляет по нему денежные средства со своего счета на счет предприятия. Умысел злоумышленника направлен на обман банка-эквайрера с тем, чтобы тот за счет своих собственных средств (согласно договору на эквайринговое обслуживание) оплатил товар (услуги) и перечислил денежные средства на счет организации торговли. Таким образом, путем обмана (мошенник не является законным держателем карты) совершается хищение безналичных денежных средств банка-эквайрера, который несет определенные расходы, связанные с оплатой представленного документа, поэтому на основании ст. 15 ГК РФ ему наносится ущерб. Документом, подтверждающим ущерб, будет платеж банка-эквайрера организации торговли (услуг) по операции с платежной картой.
Момент окончания преступления — зачисление денежных средств со счета банка-эквайрера на счет торгово-сервисного предприятия: «…преступление следует считать оконченным с момента зачисления этих средств… на счета других лиц, на которые похищенные средства поступили в результате преступных действий виновного»[65].
Еще одной сложной задачей доказывания использования поддельной банковской карты, в случае если сама карта отсутствует, является необходимость получения подтверждающих документов ее несанкционированного использования. Со стороны эмитента банковской карты таким документом обычно является заявление держателя карты. Банку-эквайреру такое заявление получить невозможно, поэтому необходимо использовать для доказательства другие документы, предусмотренные в рамках правил международных платежных систем. Такими документами могут являться чек безопасности (security check), отчет о мошенничестве (fraud report) или возврат платежа (chargeback).
1. Security Check, который формируется из «Запроса в банк-эмитент» и «Ответа из банка-эмитента» о легитимности указанной операции по банковской карте. В связи с тем что документооборот в международных платежных системах осуществляется на английском языке, то прилагаемые документы необходимо перевести на русский язык. Перевод может осуществить сотрудник эквайрера.
Пример сопроводительного письма с переводом ответа от банка-эмитента2. Fraud report (отчет о мошенничестве) платежных систем.
В случае необходимости, если этого требуют правоохранительные органы, данный отчет может заверить представитель платежной системы.
Примеры 12
3) Chargeback — возврат платежа, отказ эмитента от платежа по операции.
Пример* * *
Итак, в данной главе мы проанализировали действующее законодательство РФ на предмет его актуальности в контексте борьбы с преступлениями в сфере платежных карт и наглядно показали его несовершенство. Вместе с тем даже в таком правовом поле у следственных органов есть возможность заводить дела по карточным преступлениям и доводить их до суда. С российской правоприменительной практикой на примере конкретных уголовных дел читатель может ознакомиться в конце книги (см. Приложение 1).
Глава 2
Международные стандарты безопасности
Стандарты международных платежных систем: PCI DSS и смежные стандарты
В данном разделе описаны стандарты платежных систем, определяющие требования к информационной безопасности, а также политика платежных систем VISA и MasterCard в части контроля и применения. Подробнее всего будет рассмотрен основной стандарт — Payment Card Industry Data Security Standard (PCI DSS), также будут затронуты вопросы смежных стандартов, таких как PA DSS и PCI PED.
Стандарт PCI DSS
История стандартаВ последние годы по всему миру участились случаи взлома банковских информационных систем, а также факты мошенничества и кражи данных держателей карт. Подобная нездоровая тенденция послужила одной из главных причин, побудившей международные платежные системы объединить свои усилия и принять дополнительные меры для защиты своих клиентов. С 2001 г. платежные системы начали разрабатывать собственные программы обеспечения информационной безопасности для снижения рисков мошенничества — в VISA это были программы Cardholder Information Security Program (CISP) и Account Information Security (AIS), в MasterCard была разработана программа Site Data Protection (SDP). В 2004 г. был разработан единый набор требований к безопасности данных — Payment Card Industry Data Security Standard 1.0, объединивший в себе требования ряда программ по безопасности платежных систем VISA Int., MasterCard, American Express, Discover Card и JCB.