Нацбанк увидел в истории с О!плати мошенничество, но это не точно
Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.
Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос.
Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.
Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос.
Важно! Сразу после публикации разработчик стал исправлять обнародованные «баги». Буквально через день в Support chat приложения посыпались жалобы от пользователей, которые не могли пополнить счёт с карт других банков, так как у них не была подключена функция 3D Secure. Проблемы возникали и у тех, кто вводил смс-код, но это детали: главное, что компания-разработчик сразу стала внедрять защиту. Как и было обещано обеспокоенному нашей публикацией пользователю:
Что касается отсутствия верификации CVV/СVC, этот пробел тоже вскоре устранили. Примерно через неделю после публикации dev.by снова потестил приложение и выяснил: платежи с «липовыми CVV» больше не проходят, 3D Secure работает. Хотели сразу сделать позитивную заметку, но решили дождаться комментария банка-эквайера.
Когда узнали, что ответ, минуя dev.by, ушёл в Нацбанк, обратились туда с вопросом, что думает регулятор об описанной ситуации. И было ли какое-то влияние Нацбанка на исправление работы приложения?
Пришёл такой ответ:
«Сервис «Оплати» функционирует с использованием электронных денег. Банк-эмитент электронных денег в соответствии с Правилами осуществления операций с электронными деньгами (постановление Правления НБРБ от 26 ноября 2003 г. N 201) направляет в НБРБ правила работы данного сервиса (при создании и при внесении изменений). Анализ данных правил показал их соответствие требованиям, установленным НБРБ. При поступлении в НБРБ обращения в банк-эмитент электронных денег «Оплати» был направлен соответствующий запрос.
По результатам рассмотрения представленной банком информации можно сделать вывод о том, что операции пополнения электронных кошельков с использованием банковских платёжных карточек (далее — БПК) третьих лиц, описанные в обращении, в соответствии с Инструкцией о порядке совершения операций с банковскими платежными карточками, утвержденной постановлением Правления Национального банка Республики Беларусь от 18.01.2013 № 34 (в ред. постановления Правления Национального банка Республики Беларусь от 18 мая 2020 г. № 155) (далее — Инструкция 34), рассматриваются Банком как операции, не санкционированные держателем БПК. Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК.
При регистрации электронного кошелька пользователь проходит идентификацию в соответствии с законодательством и локальными правовыми актами банка-эмитента электронных денег «Оплати», следовательно, данный банк-эмитент идентифицирует клиента, зарегистрировавшегося в приложении. Далее, если клиент пытается пополнить свой кошелёк с БПК, эмитированной данным банком, то проверка CVC/CVV не требуется, в связи с чем передача информации со значением CVC/CVV в авторизационном запросе не производится.
Настройки обработки авторизационных запросов производятся как на стороне банка-эмитента БПК, так и на стороне банка-эквайера. Так как банк-эмитент электронных денег «Оплати» не передаёт значение CVC/CVV, отказывать или одобрять операцию решает банк-эмитент БПК. Учитывая факт обращений клиентов, можно утверждать, что банки-эмитенты БПК произвели соответствующие настройки обработки авторизационных запросов.
НБРБ по результатам анализа информации от банка-эмитента электронных денег «Оплати» была проведена проверка функционирования сервиса, по результатам которой выявлено, что операции пополнения электронного кошелька с использованием БПК, эмитированных банками-резидентами, производятся с применением технологии 3D Secure».
Если вчитаться внимательно, можно сделать такие выводы:
банк-эквайер значение CVC/CVV не передавал, а то, что такие платежи проходили, — ответственность банков-эмитентов БПК;
3D Secure на момент проверки Нацбанка уже работала;
сама проверка функционала стала результатом некоего обращения в Нацбанк.
dev.by не удалось выяснить, кто и на что пожаловался в Нацбанк. Это точно были не мы.
Может, это был наш читатель, который написал dev.by о небезопасной работе приложения? Вряд ли. Ведь в обращениях нужно указывать полное имя, а оно, судя по всему, никому не известно. По крайней мере, в Белинвестбанке всё ещё хотят знать, как зовут нашего читателя. Зачем? Для проверки.
— Если человек признается, что он пытался незаконным образом… — предположили в пресс-службе банка. — Все мы читаем договоры с банками при получении платёжной карты. Если человек пытается провести мошеннические действия, зачем он это делает?
На уточняющий вопрос, хотят ли читателя обвинить в мошенничестве, в пресс-службе ответили отрицательно.
Сравним с ответом Нацбанка: «Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК».
О чём речь? Вероятно, о том, что, по словам нашего читателя, он пополнял счёт приложения с карты брата. Других версий у нас нет. Из контекста письма следует, что никакого конфликта между братьями из-за платежей нет — возможно, брат в момент операций находился рядом и тоже удивлялся зачислениям с неправильными CVV и без 3D Secure. Не исключено, что брат был придуман читателем, чтобы подчеркнуть риски — проведение платежей возможно и с карт третьих лиц. Мы этого не знаем — нам важно было другое: отсутствие верификации CVC/CVV и 3D Secure, в чём мы убедились сами.
Сейчас самое важное — то, что проблема решена. Помощь «нечестного» читателя оказалась очень кстати.
О!плати — платёжный сервис для мобильных устройств, разработанный компанией LWO в сотрудничестве с Белинвестбанком. В основе лежат электронные деньги, работает с использованием QR-кодов. Приложение позволяет оплачивать проезд в общественном транспорте в регионах Беларуси, платить в подключенных точках продаж, хранить карты лояльности, переводить деньги другим пользователя системы и др. Этим летом сервис стали тестировать в минских маршрутках и троллейбусах, к сентябрю его планируется распространить на весь общественный транспорт Минска.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.