Gotfryd Smolik news <s...@s...com.pl> writes:

> Nie każde dane, ale "kompletne", czyli takie które pozwalają
> przeprowadzić transakcję, już tak.

Mam delikatne wrażenie że nawet sam numer karty, bez daty, pozwala na
dokonanie transakcji (włączając autoryzację). Ale może już tego nie ma.
Kiedyś była taka możliwość, tyle że wymagała jakichś chyba ręcznych
działań acquirera.

>> Dla mnie to jest
>> upoważnienie. Co więcej, z charakteru kodu CVV2 (czy tam
>> odpowiednika) wynika, że jest to upoważnienie jednorazowe.
>
> Jednorazowe działające na dowolną liczbę transakcji?

CVV2 może być pobierany od klienta tylko w przypadku jednorazowych
transakcji zdalnych. To jest tylko weryfikator, żadne upoważnienie.

> W USA "od zawsze" był mechanizm cofnięcia zapłaty (chargeback),
> w Polsce jej *NIE BYŁO*. Gdzieś tak do 2002, ledwo 10 lat wstecz.

Bajki. Akurat te zasady są jednolite, bez chargebacków nie dałoby się
w ogóle rozpatrywać większości reklamacji fraudów. Żaden bank by nie
wydał karty w takich warunkach.
To że banki inaczej rozpatrywały reklamacje to sprawa niezwiązana.

> Do momentu wprowadzenia tej regulacji do prawa wręcz pisałem,
> że w .pl zwyczajnie nie wolno (w znaczeniu rozsądku, nie
> niemożliwości lub prawa) płacić kartą i basta.

Ta regulacja nie dotyczyła nijak chargebacków, to są sprawy między
innymi podmiotami.

> W tej chwili w .pl nadal powszechne jest wprowadzanie danych
> poprzez "wypuszczenie karty z rąk" (a nie samodzielne przeprowadzenie
> przez czytnik) - i wcale mnie owa "nieufność" *NIE DZIWI*.

Podawanie karty sprzedawcy jest normalne na całym świecie i jest zgodne
z regulacjami organizacji - sprzedawca powinien być w stanie wykryć
niektóre próby fraudów. To, że w niektórych miejscach klient nie podaje
karty sprzedawcy, to tylko wyjątek (nawet jeśli jest masowy).

Nie dotyczy to transakcji EMV, przy których sprzedawca nie musi
interesować się takimi rzeczami jak cechy fizyczne karty. Stąd
bardzo często wystawione "dla klienta" czytniki EMV - transakcje
nie-EMV wciąż przeprowadza sprzedawca.

To nie jest żadna polska specyfika.
--
Krzysztof Halasa

do góry

Gotfryd Smolik news <s...@s...com.pl> writes:

> W każdym razie - tak, aby "na zewnątrz" nie dawało się
> zebrać kompletu danych potrzebnych do fraudu, niezależnie
> czy ktoś usiłuje mi wyrwać kartę z ręki czy wystarczy
> aby podsłuchał tramsmisję.

Tak jeszcze długo nie będzie. Zasady obowiązujące wewnątrz organizacji
(które przy odrobinie szczęścia przechodzą także na klienta) pozwalają
jedynie na "anulowanie" fraudów po ich wykryciu.

No chyba że ktoś zablokuje sobie wszystkie transakcje poza EMV (jeśli
bank to umożliwia) - wtedy da się to tak zrobić (teoretycznie wciąż
istnieje szansa na fraud nieautoryzowany, ale specjalnie bym się tego
nie obawiał).

Drugi problem, podsłuchanie (wcześniej) PINu i "wyrwanie karty z ręki".
To raczej także nie jest dominująca postać fraudu.
--
Krzysztof Halasa

do góry

On Mon, 13 Feb 2012 22:20:25 +0100, Krzysztof Halasa wrote:

>> Do niedawna na gruncie polskiego prawa było to możliwe wyłącznie za
>> pisemną dyspozycją.
>
> Tzn. co dokładnie? Zlecić obciążanie? Falsz, można to było zrobić np.
> telefonicznie od wielu lat, np. przynajmniej od ~ 1997 r. można było
> płacić za telefon w taki sposób (jeśli ktoś chciał np. telefon GSM z
> roamingiem, to była to jedna z szybszych opcji).

Zlecenie stałego obciążenia (i nie tylko) możliwe było wyłącznie na
podstawie pisemnej dyspozycji, zaś jednorazowego w sieci po podaniu za
każdym razem danych karty. Dlatego PayU zmieniło się na wzór PayPala
dopiero jesienią.

--
pozdrawiam, Olgierd
http://olgierd.rudak.org

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote on 2012-02-13_22:48
> Gotfryd Smolik news <s...@s...com.pl> writes:
>
>> Nie każde dane, ale "kompletne", czyli takie które pozwalają
>> przeprowadzić transakcję, już tak.
>
> Mam delikatne wrażenie że nawet sam numer karty, bez daty, pozwala na
> dokonanie transakcji (włączając autoryzację). Ale może już tego nie ma.
> Kiedyś była taka możliwość, tyle że wymagała jakichś chyba ręcznych
> działań acquirera.
>
>>> Dla mnie to jest
>>> upoważnienie. Co więcej, z charakteru kodu CVV2 (czy tam
>>> odpowiednika) wynika, że jest to upoważnienie jednorazowe.
>>
>> Jednorazowe działające na dowolną liczbę transakcji?
>
> CVV2 może być pobierany od klienta tylko w przypadku jednorazowych
> transakcji zdalnych. To jest tylko weryfikator, żadne upoważnienie.
>
>> W USA "od zawsze" był mechanizm cofnięcia zapłaty (chargeback),
>> w Polsce jej *NIE BYŁO*. Gdzieś tak do 2002, ledwo 10 lat wstecz.
>
> Bajki. Akurat te zasady są jednolite, bez chargebacków nie dałoby się
> w ogóle rozpatrywać większości reklamacji fraudów. Żaden bank by nie
> wydał karty w takich warunkach.
> To że banki inaczej rozpatrywały reklamacje to sprawa niezwiązana.

Właśnie potwierdziłeś to co napisał GS :-)
Nieporozumienie polega IMO na tym, że piszesz o mechanizmie cb,
który oczywiście zawsze istniał. GS najwyraźniej pisze o trybie
załatwiania reklamacji, polegającej na nieograniczonym prawie
klienta do wymuszenia operacji CB na swoje życzenie (i ryzyko).
Mechanizm istniał zawsze i wszędzie od początku świata, ale do nas
nie zawitał od razu. Dobrze pamiętam sytuację z początku lat
dziewięćdziesiątych, gdy klient w przypadku oczywistej,
udowodnionej kradzieży przez około pół roku nie był w stanie
zmusić banku do zwrotu kilku tysięcy złotych - do czasu
rozpatrzenia reklamacji wg *swoich* (bankowych) wewnętrznych (!)
procedur.

>> Do momentu wprowadzenia tej regulacji do prawa wręcz pisałem,
>> że w .pl zwyczajnie nie wolno (w znaczeniu rozsądku, nie
>> niemożliwości lub prawa) płacić kartą i basta.
>
> Ta regulacja nie dotyczyła nijak chargebacków, to są sprawy między
> innymi podmiotami.

Tak? A czego i kogo dotyczyła ?

>
>> W tej chwili w .pl nadal powszechne jest wprowadzanie danych
>> poprzez "wypuszczenie karty z rąk" (a nie samodzielne przeprowadzenie
>> przez czytnik) - i wcale mnie owa "nieufność" *NIE DZIWI*.
>
> Podawanie karty sprzedawcy jest normalne na całym świecie i jest zgodne
> z regulacjami organizacji - sprzedawca powinien być w stanie wykryć
> niektóre próby fraudów. To, że w niektórych miejscach klient nie podaje
> karty sprzedawcy, to tylko wyjątek (nawet jeśli jest masowy).
> Nie dotyczy to transakcji EMV, przy których sprzedawca nie musi
> interesować się takimi rzeczami jak cechy fizyczne karty. Stąd
> bardzo często wystawione "dla klienta" czytniki EMV - transakcje
> nie-EMV wciąż przeprowadza sprzedawca.

Ale i argumentacja taka sobie: w UE jako zasadę przyjęto
stosowanie *wyłącznie* kart czipowych. Tylko do czasu wymiany
czytników karty te mogą być używane do transakcji nie-EMV. Zatem w
sporej (wciąż Europa na mapie klientów kartowych stanowi większy
obszar niż na geograficznej :-) ) części świata obowiązuje zasada
złożona: jeśli karta ma czip to ma być transakcja EMV zaś karta
nie ma być sprawdzana przez sprzedawcę, w przeciwnym razie ....
(stara zasada).
A to czy VISA/MC/??? zgodziły się na to z dobrawoli, czy zmuszone
przez KE, to chyba nie ma znaczenia ?

>
> To nie jest żadna polska specyfika.

W powyższym znaczeniu faktycznie: unijna a nie polska...

witrak()

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote on 2012-02-13_22:32
> Jeśli chodzi o chargebacki, to tak naprawde uznanie reklamacji klienta
> wcale nie wymaga dokonania chargebacku. Tam, gdzie klienci mają
> stosunkowo (podobno) najmniej problemów z reklamacjami ("zero
> liability", oczywiście w określonych przypadkach), widać to chyba
> najlepiej.

W nawiązaniu do odpowiedzi w innej części wątku: Tak jak tam
napisałem nieporozumienie polega na różnym rozumieniu terminu
chargeback - GS nie używa go w tym sensie co Ty, tylko w tym
bardziej powszechnym, ale niedokładnym: *reklamacji* polegającej
na zwrocie obciążenia na konto/"kartę" klienta, dokonanego -
zdaniem klienta - bezpodstawnie.

Wiele banków robi to tak jak piszesz powyżej, tj. w ramach
procedury reklamacyjnej bez chargebacku, zwracając (szybko)
obciążenie w ciężar własnych środków, a potem rozpatruje zasadność
reklamacji i ewentualnie robi cb.

witrak()

do góry

On Tue, 14 Feb 2012, witrak() wrote:

> Krzysztof Halasa <k...@p...waw.pl> wrote on 2012-02-13_22:48
[...]
>> Bajki. Akurat te zasady są jednolite, bez chargebacków nie dałoby się
>> w ogóle rozpatrywać większości reklamacji fraudów. Żaden bank by nie
>> wydał karty w takich warunkach.
>> To że banki inaczej rozpatrywały reklamacje to sprawa niezwiązana.
>
> Właśnie potwierdziłeś to co napisał GS :-)
> Nieporozumienie polega IMO na tym, że piszesz o mechanizmie cb,
> który oczywiście zawsze istniał. GS najwyraźniej pisze o trybie
> załatwiania reklamacji, polegającej na nieograniczonym prawie
> klienta do wymuszenia operacji CB na swoje życzenie (i ryzyko).
> Mechanizm istniał zawsze i wszędzie od początku świata, ale do nas
> nie zawitał od razu.

Tak właśnie, nie wiem dlaczego tak jednoznacznie kojarzy mi
się z nazwą "chargeback", może coś pokręciłem, ale zdecydowanie
do momentu wydania ustawy z 2002 takiej metody ochrony
klienta nie było.

> Dobrze pamiętam sytuację z początku lat
> dziewięćdziesiątych, gdy klient w przypadku oczywistej,
> udowodnionej kradzieży przez około pół roku nie był w stanie
> zmusić banku do zwrotu kilku tysięcy złotych

...o toto.

Thx!

pzdr, Gotfryd

do góry

On 11.02.2012 23:07, Krzysztof Halasa wrote:
> froff<f...@i...pl> writes:
>
>> Dociekam mniej z troski o swoje pieniądze a bardziej z czystej ciekawości jak
obsłużyć
>> taką sytuację na gruncie prawnym. Czy to co robi w/w firma jest
>> całkowicie legalne w Polsce?
>
> Jasne. Przecież to zwykły abonament, to tak jakbyś kazał obciążać kartę
> za oglądanie np. jakiegoś tam cyfrowego Polsatu.
>
> Z tym, że oczywiście masz prawo (jako posiadacz karty) odwołać swoje
> upoważnienie obciążania karty. Ale to dotyczy tylko przyszłych obciążeń.


Hej
Mnie nie o to chodzi.
Nie chodzi o przeszłe obciążenie, które już zaakceptowałem.
Mnie chodzi o dwie sprawy:

1) O to, że ichni system informatyczny _nie_ daje użytkownikowi możliwości
usunięcia danych karty z systemu, chyba że zastępuje je danymi innej karty (co do
tego drugiego też
nie jestem pewien) - wg mnie to jakaś granda.

2) O to by się dowiedzieć jakie mam możliwości prawnej interwencji kiedy firma
przechowuje
dane mojej karty przypisane do konta osoby trzeciej a ja chcę by tak nie było.
Nie chodzi w tym punkcie o sam fakt, że te dane tam się pojawiły, bo sam je tam
wpisałem
tylko o możliwości nacisku prawnego, by stamtąd zniknęły skoro sobie tego życzę.

do góry

On 10.02.2012 22:38, Wojciech Bancer wrote:
> On 2012-02-10, Gotfryd Smolik news<s...@s...com.pl> wrote:
>
> [...]
>
>>> IMHO prawo nie zabrania *płacenia* za kogoś.
>>
>> Fakt.
>> Z opisu nie wynika że udostępnił te dane kupującemu.
>
> Otóż to. A dane na stronach zazwyczaj są widoczne jako
> VISA ending with 1234. Wręcz nie kojarzę sklepu który pokazywałby
> to inaczej.

Hej - potwierdzam, że tak właśnie jest. Dane są wykropkowane.
Podałem dane karty nie znajomej, tylko ichniemu serwisowi celem zapłacenia
za usługę.
Nie sądzę, by tu było cokolwiek wbrew regulaminom.

do góry

Olgierd <n...@n...problem> writes:

> Zlecenie stałego obciążenia (i nie tylko) możliwe było wyłącznie na
> podstawie pisemnej dyspozycji, zaś jednorazowego w sieci po podaniu za
> każdym razem danych karty. Dlatego PayU zmieniło się na wzór PayPala
> dopiero jesienią.

W PayU, może tak. Ogólnie rzecz biorąc, nie. BTW to niekoniecznie
musiały być stałe obciążenia, rachunek telefoniczny jest zmienny
(tym bardziej kiedyś, gdy nie było minut opłaconych z góry).

"W sieci" to pewnie się tego wtedy nie dało przeprowadzić.
--
Krzysztof Halasa

do góry

Gotfryd Smolik news <s...@s...com.pl> writes:

> Tak właśnie, nie wiem dlaczego tak jednoznacznie kojarzy mi
> się z nazwą "chargeback", może coś pokręciłem, ale zdecydowanie
> do momentu wydania ustawy z 2002 takiej metody ochrony
> klienta nie było.

Tzn. nie było ochrony ustawowej, bo np. zasady organizacji
(niekoniecznie przestrzegane) przewidywały odpowiedzialność sprzedawcy
w takich przypadkach. Tyle że klient nie miał się na co powołać, bo np.
nie był stroną umowy z organizacją.

Innymi słowy, to nigdy nie było ani nie jest czarno - białe. W dalszym
ciągu można mieć podobne problemy, chociaż oczywiście w sądzie (np. po
skorzystaniu przez bank z BTE) powinno być łatwiej niż kiedyś. Wciąż
jednak to klient musi udowodnić że nie jest wielbłądem.
--
Krzysztof Halasa

do góry