затрагивающие недобросовестных или беспечных держателей карт
А что такое беспечный держатель карты? Вот когда-то карты уже были, а интернет-платежей ещё не было. Беспечность в те годы - это любое разглашение PIN-кода. Всё правильно, ибо банк выдал этот пин в конверте (его как бы не могут знать даже и сотрудники самого банка), он физически отделён от карты, клиента проинструктировали о том, что он не должен хранить их (карту и пин) вместе, пин нужно было запомнить наизусть (записал на бумажку с пояснением, что это есть пин? ну сам дурак!), сменить пин можно было лишь с паспортом в том отделении банка, где карта выдана, либо в банкомате (не во всяком банке) с указанием старого пина (это не для "забыл", а для "скомпроментировал"). Более или менее, но защита налажена. Следовательно, в какой-то мере справедливо переложить беспечность на клиента, поскольку утратить пин было непросто. Хотя, конечно, всё равно можно было, но я знаю всего два слабых места: это накладка, камера, сниффер, когда клиент вводит пин в банкомате (но за безопасность банкомата отвечает банк, поэтому в своём банке можно было снимать достаточно смело), либо кассир/официант подсмотрят пин (но карты у них не будет, либо клиента глушить придётся после покупки/оплаты, единственное исключение - официанты, уносившие карту с собой куда-то к повару, но опять-таки никто не запрещал мне не давать уносить). Короче говоря, я понимал, что реально к моей карте смогут получить доступ либо, когда я реально окажусь достаточно беспечен (например, снимая деньги за границей), либо если я потеряю карту из вида в кафе и ресторанах. Ну, либо меня обшмонают сразу при выходе из банка с пином или из магазина, когда я пин только что показал.
А вот как ввели этот самый CVV, будь он не Ладен. Не мы - клиенты - его просили. А банки нам принудительно его дают, ещё и приложения сейчас тоже принудительно, поскольку не подпишешь условия их пользования - не получишь карту. То есть их товар/услуга (банковская карта) по своей исходной природе предполагают утечку информации, которую, конечно, обеспечит сам клиент, но не уверен, что по своей воле. Если бы пин печатался на карте - можно было бы валить на клиента? А что, он может сделать, если бы печатался? Только не брать карту, не брать банковскую услугу. Вот и сейчас так же. Я не могу никак повлиять на дизайн карты, на условия её использования. Мне не нравится печать CVV на карте, мне не нравится лимит без ввода пина (хотя я могу его отключить, но по умолчанию он включён же!) и особенно не нравится, когда его увеличивают без моего согласия (а это я уже не могу изменить в личном кабинете, либо 0, либо вся сумма), мне очень не нравятся глюкавые онлайн-приложения (которые мне навязывают, но от которых я не могу отказаться). Но всё, что я могу - это не использовать банковскую услугу (на самом деле фактически уже не могу). Карта сама по себе, функционально, провоцирует кражи с неё.
Фактически уже само использование карты где-либо есть беспечность. Да, я раскрываю кодовые данные карты. Потому что поставщик банковской услуги не предоставил никакой возможности их не раскрывать. Он заранее сделал свою карту такой, условия пользования этой картой такими, что с неё можно украсть деньги. Беспечность же заключается в использовании по назначению! Вдумайтесь! Водитель несёт ответственность за то, что сел за руль бензинового устройства? Если да, то и тут.
Для сравнения: представьте. Вам продают товар. Отличный товар. Называется "дырявая сумка/портфель без дна". От Луи Виттона, конечно. Содержание соответствует описанию. Дырки есть или дна нет. Но за то, что Вы выроните из этой сумки по ходу её использования - производитель ответственности не несёт. Он предупредил - не будьте беспечными. А не быть в этой ситуации беспечным можно только если вообще не использовать сумку по назначения. Для хранения чего-либо. Ну, или как модный аксессуар использовать, типа декоративный элемент. А класть туда ничего нельзя. Поклал поклажу поклажедатель - сам виноват, беспечный. Или вот тоже вариант. Транспортное средство. Самолёт. Без бортов и крыши!!! Держись - взлетаем! Но если упадёшь - сам виноват, ты же знал, на что садишься. Нет, наш ковёр-самолёт соответствует всем ГОСТам, поэтому здесь вашим юристам ловить нечего. Нет, другого транспортного средства нет. Были когда-то, но теперь не используют. Не, никто тебя не заставляет летать - иди пешком. Через Атлантику. Вот примерно на этом ковре я ощущаю себя с современной банковской картой. Никто меня не заставляет, но пешком через океан как-то тоже неохота. Поэтому я беспечно держусь за края ковра и надеюсь, что меня не выбросит оземь. Потому что у меня нет никакого выбора, кроме как пользоваться ковром!
Всё таки есть правовое основание, обязывающее банки отправлять коды подтверждения?
Нет. Кто из банков хочет - вводит эту систему, кто не хочет - не вводит. Точнее, секьюрити обычно предусматривает продавец на своём сайте, но банк имеет возможность не принимать транзакцию с сайта, которой такой системы не имеет. И некоторые западные банки так и делают. В итоге провести платёж на сайте без секюьрити с их карты невозможно, даже если сам хочешь там что-то купить. Но я такого условия в российских банках не встречал. Двухфакторная аутентификация часто не работает, а поделать с этим я ничего не могу, кроме насовсем как отказаться от карт российских банков в принципе.
