«Безопасные сделки» Visa раскрывают новые возможности для кибермошенников
С практической точки зрения, услуга позволяет держателям банковских карт совершать интернет-покупки без необходимости вносить предоплату на счет продавца. Это призвано обезопасить покупателя от возможных рисков – потерять деньги, уплаченные наперед за товар, который может не подойти, оказаться бракованным и т.п.
Со своей стороны, для продавцов данный сервис гарантирует, что покупатель платежеспособен (это подтверждает предварительная авторизация на первом этапе оплаты товара), также сервис расширяет возможности внедрения электронных платежей в тех областях, где раньше это было проблематично: например, стоимость заказа и фактической оплаты могут корректироваться, без дополнительных нагрузок на бухгалтерию интернет-магазина. Это удобно в случае, если товар весовой или клиент заказал примерку из нескольких вещей, но впоследствии отказался от части заказа.
Еще одной «фишкой» сервиса является интеграция его платежного функционала с сервисом Укрпочты. Делая заказ, клиент может сразу выбрать один из вариантов доставки от национального оператора, стоимость которого будет включена в сумму оплаты.
Пока все, вроде, хорошо, в чем подводные камни?
Дело в том, что «внутри» сервис реализован двумя разными техническими путями. Первый из них – это предварительная авторизация с блокированием средств на карте. Скажем если вы покупатель желает заказать 3 единицы товара, чтобы выбрать из них 1, у него на счету должна быть сумма, равная стоимости всех трех сразу. И эта троекратная сумма будет оставаться заблокированной, пока он не заберет заказ или откажетесь от него.
Такая модель несет риски продавцам, если заказавший мошенник незаметно для сотрудников почтового отделения подменит одну из нескольких единиц товара и присвоит себе более дорогую. Либо незаметно оставит при себе какую-то часть заказа, вернув остальное.
Во втором случае, на карте вообще не обязательно должна быть полная стоимость всего заказа. В момент покупки на сайте деньги на счету не блокируются. Они будут списаны только после того, как сделка завершится, и клиент получит свой товар. Реализовано это через технологию QR-кодов, которая сама по себе вызывает много вопросов в плане надежности.
Работает это так: сделав на сайте заказ, человек может даже не иметь на балансе денег, главное, чтобы они были на момент получения товара. После оформления покупки, система генерирует QR-код, который можно даже передавать другим людям, чтобы они получили товар вместо реального заказчика. В момент получения товара, обладатель QR-кода жмет на специальную ссылку, которую дает код и тем самым подтверждает списание средств с карты.
Несложно представить, какое обширное поле для злоупотреблений здесь открывается. Ведь мошенникам достаточно просто указать любой известный номер кредитной карты, с которой, даже при отсутствии там собственных средств, могут быть списаны деньги кредитные.
Пока система безопасных сделок запускается в Украине как пилотный проект, который, тем не менее, уже доступен на уровне API всем мерчантам, использующим интернет-эквайринг от Portmone.com. Остается только надеяться, что во время обкатки проекта, разработчики найдут возможность закрыть очевидные риски.