Согласитесь: очень неприятная история, когда твоя банковская карта оказывается в распоряжении других людей. А когда ты не можешь ее из этого распоряжения изъять, — и вовсе чувствуешь, что твои средства, кажется, в опасности. Не так ли?

И если вы думаете, что речь пойдет о «службе безопасности одного там банка» и прочих телефонных мошенниках, то вы ошибаетесь: мы хотели бы рассказать о сомнительных проделках вполне себе легального бизнеса.

Мы полагаем, нет необходимости приводить справку о развитии безналичных платежей в наше время (обычно мы склонны подбирать цифры в качестве аргументов к нашим словам), это просто бессмысленно. Количество ежедневных денежных транзакций исчисляется миллиардами, эту цифру невозможно даже вообразить. Человечество давно и плотно перешло на электронные расчеты в большом и в малом.

Мы. Платим. Картами. Везде.

Речь идет о развитии онлайн-покупок и оплат. Сегодня этот способ расчетов стремительно набирает обороты как в мире, так и среди наших соотечественников.

В отличие от виртуальной интернет-реальности в реальной жизни кассир не может схватить ваш кошелечек с денежкой, зажать его в ладошке и не отпускать, обещая самостоятельно достать из него денежку, если вы захотите что-то купить.

А вот в виртуальном пространстве подобное не только встречается, но даже не является редкостью.

Собственно, это мини-исследование выросло из рандомного опыта разных лет сотрудников iFreedomLab. В разное время мы сталкивались с тем, что чья-то банковская карта после проведения платежа в неком сервисе оставалась привязанной. Сама привязка — не редкость, галочки на предложениях привязать карту всегда рассованы по разным углам платежных сервисов.

Проблема заключалась в том, что карту было невозможно отвязать.

НИКАК.

Не было такой опции.

Во всех подобных случаях попытка отобрать этот виртуальный ключ от своего кошелька требовала обращений незнамо куда (преимущественно — в службы поддержки) и разговоров неизвестно с кем об удалении платежных данных покупателя — под уверения, что эти данные, конечно же, нигде не сохраняются и никому не нужны.

Когда-то очень давно, около 10 лет назад, подобный разговор — и это был первый опыт в наших коллективных воспоминаниях — состоялся аж с самой корпорацией Microsoft. При честной попытке купить лицензированное ПО банковская карта оказалась намертво привязанной. Отвязывали через звонок в службу поддержки (кто пытался сначала найти ее номер телефона, а потом дозвониться туда — тот поймет шекспировский уровень трагедии), а барышня-оператор заверяла, что никакие платежные данные не остались в системе. Пруфов, конечно, никаких не сохранилось. Проверять, как обстоят дела сейчас, мы не будем: см. в «найти телефон и дозвониться». Предлагаем считать эту историю легендой, ведь вокруг этой компании их предостаточно, так что одной больше — одной меньше.

Тем более, примеров хватает от других не менее уважаемых и очень технологичных компаний в нашей стране.

История 1. Про кино
История 2. Про старьевщиков
История 3. Про любителей быстрой еды
История 4. Про связь
История 5. Про банки, IT-экосистемы и альтернативный взгляд на персональные данные

16 августа 2018 года «Газпром-Медиа» запустил собственный онлайн-кинотеатр «ТНТ-Премьер» (на базе контента канала ТНТ, как следует из названия). Тогда онлайн-видеосервисов отечественного разлива было еще немного, а с собственным контентом — тем более; поэтому было любопытно взглянуть. Для получения доступа требовалось привязать банковскую карту.

После изучения сервиса его было решено покинуть, но возникла проблема: карту оказалось невозможно отвязать. В итоге попытка с этим разобраться закончилась перепиской с официальным аккаунтом ТНТ-Premier в соцсети VK — никакой другой клиентской поддержки нигде не нашлось, как бы абсурдно это ни звучало. Но именно там (почему-то) некто все-таки смог решить вопрос с отвязкой карты — правда, только на словах и без пруфов: просто уверял, что карта откреплена. На сентенции о том, что в 2018 году такое техническое решение видеть странно, а карта теперь скомпрометирована и ее надо менять, загадочный собеседник предпочел не отвечать.

К концу 2021 года компания несколько изменилась: онлайн-кинотеатр называется теперь Premier, его ассортимент существенно расширен видео-продукцией прочих активов «Газпром-Медиа» и технически он существенно переработан. Но что же насчет политики в отношении клиентских денег?

Мы решили проверить и попробовать подписаться и отписаться.

И констатируем: увы, но отношение к клиентским платежным данным не изменилось.

На сервис можно подписаться, оплатив доступ на условиях автопродления (и никак иначе), и отписаться — просто по кнопке. Своих платежных данных и возможности ими управлять вы там не найдете.

Собственно, странная ситуация с сохранением платежных данных пользователя где-то внутри сервиса без какого-либо доступа к ним закреплена и в разделе FAQ, где белым по черному написано: если вы [первично подписались и оплатили доступ, потом отписались и вот теперь заново] хотите восстановить доступ, то достаточно только нажать кнопку «подписаться». Также, пока нажата кнопка подписки, деньги за пользование сервисом списываются ежемесячно. Что предполагает, что ваши реквизиты сохранены где-то навечно в сервисе, а где там и что — вам знать не положено.

Мы проверили: заново подписка активируется просто по нажатию кнопки.

То есть повторно вводить платежные данные НЕ ТРЕБУЕТСЯ. Получается, что они сохранены сервисом.

Таким образом, данные вашей банковской карты с авторизацией платежей для этого сервиса хранятся где-то в недрах Premier, и вы, владелец своих денег, не имеете к этой ситуации никакого отношения, как и никакого доступа к управлению своей платежной информацией. Можете только платить.

Ситуация нас не устраивает и мы поступаем привычно — обращаемся в службу поддержки. Получить доступ к ней возможно лишь извилистым путем. И — спойлер — даже после его преодоления вы не добьетесь никаких результатов.

Попытка 1

Пишем на e-mail поддержки, приведенный на сайте сервиса. И поначалу вместо диалога по существу долго и мучительно доказываем, что мы не просто так написали, и вообще-то являемся клиентами. Да просто регистрация в сервисе — по номеру мобильного, а для общения со службой поддержки есть только электронная почта. В аккаунте пользователя также нет никаких опций связи с поддержкой — хотя бы уже привычных онлайн-чатов. То есть, обращаясь на e-mail, ты фактически пишешь от имени неизвестно кого.

Выяснив номер мобильного телефона, к которому привязан аккаунт, служба поддержки пропала и на вопросы отвечать больше не стала.

Попытка 2

Пишем повторный e-mail сразу с полным указанием данных аккаунта и все тем же вопросом: где в сервисе закреплены платежные данные пользователя и как их можно удалить?

Ответа просто не последовало.

Попытка 3

Следуем разведанным путем и идем в официальный аккаунт в VК (Premier).

Задаем вопрос: где в аккаунте можно найти информацию о привязанной банковской карте.

И дальше начинается дурной анекдот.

• автоответом нас благодарят и обещают обязательно ответить позже;
• через сутки ничего не происходит и мы задаем вопрос в пустоту: можно ли на что-то надеяться?
• нам довольно быстро отвечают, но странно: просят прислать логин-номер телефона, чеки по операции (???) и 4 последние цифры банковской карты;
• мы удивленно тут же задаем встречный вопрос: правда ли компании надо столько персональной информации, чтобы просто указать: где пользователь в своем Личном кабинете может найти свои же платежные данные?
• через 5 (пять!!!) дней нам присылают ответ:

Но где же они хранятся, если заново активировать подписку можно на вашем же сервисе БЕЗ введения платежных данных заново?

В общем, понятно, что ничего не понятно и общаться с клиентом по неудобным вопросам в Premier не желают. По-видимому, желают только держать ваши деньги при себе.

А именно — про сервис народных объявлений «Юла» из экосистемы VK (в недавнем прошлом — Mail.ru Group). Кто на подобных сервисах не продавал детские шапочки и не покупал саженцы — тот, мы уверены, жил неинтересно.

Сервис «Юла» позволяет привязывать банковскую карту во всех своих инкарнациях: в web-версии и мобильном приложении. Карта бывает нужна на таких сервисах для онлайн-расчетов между продавцами и покупателями и для оплаты рекламных услуг самому сервису.

Но еще в 2019–2020 годах отвязать эту карту можно было только с приключениями. В web-версии, то есть из браузера, это сделать было нельзя. Не существовало такой опции. Вообще.

Служба поддержки при обращении сообщала лайфхак: отвязка карты возможна в целом, но только в мобильном приложении.

То есть привязать можно и в web, и в app, а отвязать только в app. И поди-ка в этом разберись, бабушка с саженцами. И береги свою пенсионную карту.

Но отметим и подчеркнем, что по состоянию на конец 2021 года карта привязывается и отвязывается и в браузерном исполнении сервиса, и в мобильном приложении. И мы это очень приветствуем и шлем респекты «Юле» и ее менеджменту.

Один из наиболее успешных проектов российского foodtech, в бизнес которого вошли «Сбер» и VK, — сервис быстрой доставки готовой еды и продуктов «Самокат». Ситуация способствовала, судьба благоволила, инвесторы нашлись — и вот уже в 2+ десятков городов курьеры с рюкзаками-коробами стремительно рассекают на самокатах от стораджей до клиентов, укладываясь в обещанные минуты.

Единственный способ управления сервисом — мобильное приложение, в нем можно смотреть каталог, формировать заказ и осуществлять оплату.

И да — оно тоже «намертво» привязывает ваши платежные данные, если при оплате вы забыли снять галочку с опции «сохранить карту», проставленную там по умолчанию.

Первый раз с подобной ситуацией мы столкнулись год назад, в конце 2020-го. Вопрос с отвязкой карты оказалось возможно решить со службой поддержки в мессенджере WhatsApp, но не просто и не быстро. Поддержка игнорировала вопросы по сути и сообщала типичное для таких ситуаций клише про то, что «все это сделано для вашего удобства»; а сам процесс отвязки карты занял у «Самоката» несколько суток. Ну и стоил потрепанных нервов.

Чтобы не пользоваться только старинными данными, в конце 2021 года, то есть год спустя, мы произвели контрольную закупку. Галочка с опции «сохранить карту» не была снята целенаправленно. 

И да, увы. В системе «Самокат» по-прежнему возникают проблемы: платежную карту до сих пор невозможно отвязать — у нас не получилось. Переписка со службой поддержки в мессенджере вышла такой же нелицеприятной в своей нелепости, как и год назад.

Пообщавшись с роботом в WhatsApp, нам таки удалось добраться до живого менеджера, который сообщил, что по указанному вопросу вся информация есть в пользовательском соглашении, которое клиент акцептует при установке приложения. И даже на голубом глазу привел пункты из этого соглашения, которое, впрочем, повторяло формулировки из 152 ФЗ «О защите персональных данных» и ссылалось на него же. И разумеется, там ни слова не сказано (как и в законе) о «насильной» привязке платежных данных клиента. На наше возмущение по поводу такой откровенной дезинформации сотрудник службы поддержки предпочел не реагировать и попросил 4 цифры карты, дабы отвязать ее.

Таким образом, в «Самокате» карта по-прежнему привязывается автоматически и, похоже, навсегда, а отвязывается через службу поддержки со скандалом под странноватые уверения, что «все это делается для вашего удобства». В чем это удобство?

В процессе переговоров с сотрудником поддержки произошло то, на что, вероятно, и рассчитывают владельцы сервисов, «насильно» привязывающие платежные средства: при попытке скопировать 4 цифры банковской карты автоматически повторился последний заказ, деньги за который списались мгновенно. После отмены заказа деньги возвращались 2 дня. Видимо, в этом и состоит «удобство клиента».

«Самокат», «насильная» привязка банковских карт — НЕ БЛАГО для клиента и НЕ УДОБСТВО! 

Это компрометация финансовой информации клиента, по нашему скромному мнению.

И пожалуйста, подскажите своим сотрудникам не говорить клиентам про то, что подобное описано в законе «О персональных данных».

Совсем недавно подобные «передовые» практики внедрил сам «Ростелеком» — одна из крупнейших в стране компаний связи, 50%+1 акций которой распоряжается Правительство Российской Федерации.

Теперь при оплате услуги домашнего интернета в Личном кабинете на сайте компании с помощью банковской карты возможно ТОЛЬКО через ее привязку. Окно для ввода номера банковской карты просто не активное — в него нельзя вписать данные карты.

Получается, привязал карту — оплатишь. Не привязал — разовая оплата по банковской карте по-быстрому в первом окне невозможна. А если потратить время и проявить смекалку, то с приключениями и напрягом все же и разово оплатить можно — просто из другого, совершенно неочевидного места Личного кабинета. Шах и мат тебе, клиент! Не расслабляйся!

А нас по-прежнему крайне смущает такое настойчивое желание привязать кошелек клиента.

С весьма неординарной ситуацией мы столкнулись в одной из самых — это без иронии — прогрессивных компаний страны. Куст сервисов под брендом «Тинькофф». Могут, умеют и делают потрясающие вещи много лет: финансовые сервисы, мобильная связь, медиа-продукты.

Однако по части персональных данных и в контексте обсуждаемого в данном материале предмета обнаружилось поразительное.

Началось все с того, что один из наших сотрудников является счастливым обладателем не только счета в банке АО «Тинькофф Банк», но и владельцем SIM-карты от ООО «Тинькофф Мобайл». Это, как мы видим, независимые компании: у них разные юридические лица, а кроме того — у каждой свои аккаунты пользователя с абсолютно автономными системами авторизации.

Однако однажды в своем аккаунте для управления услугами связи — т. е. в ООО «Тинькофф Мобайл» — пользователь обнаружил, что для оплаты счета мобильного телефона ему по умолчанию предлагается воспользоваться его же картой банка от АО «Тинькофф Банк». И возможности управлять этим способом платежа — например, отвязать карту — попросту не существует. Карту он не привязывал, более того, на ней заблокирована возможность расчетов в интернете, так что случай «да просто когда-то платил и забыл снять галочку о привязке» исключен. 

Получается, одно юридическое лицо по умолчанию воспользовалась персональными данными клиента другого юрлица. Служба поддержки сей факт и не отрицала; следом рассказала уже известную нам историю «о вашем удобстве» и сослалась на пользовательское соглашение.

(Добавим также, что сервис привязывает и показывает в выпадающих подсказках (см. скрин выше) все банковские карты, которыми клиент когда-либо пользовался для оплаты этого сервиса, но их хотя бы можно удалить. Правда, исчезают данные только из пользовательского интерфейса, а остаются ли они в памяти IT-систем компании — неизвестно).

Изучение пользовательских соглашений сервисов под брендом «Тинькофф» оставило нас в немом изумлении: все они прямым текстом утверждают возможность компаний под зонтичным брендом «Тинькофф» передавать персональные данные пользователей их услуг не просто друг другу, но и третьим лицам по своему усмотрению. То есть не только родственные компании под брендом «Тинькофф» могут обмениваться данными клиентов (например, платежные карты к своим сервисам привязывать), но и в случае партнерства с любыми другими организациями они оставляют за собой право передавать данные своих клиентов этим возможным партнерам. И таким нехитрым образом требования закона «О персональных данных» по защите данных пользователей элегантно проигнорированы полностью, от и до.

Такого поразительного «применения» закона РФ «О персональных данных» мы, конечно, были видеть не готовы и сейчас лишь растерянно разводим руками: а что, так можно? Правда? Юристы сервисов «Тинькофф» считают, что да. Не согласны — не пользуйтесь. И в компаниях под брендом «Тинькофф» с вашими данными будут делать то, что считают нужным. Пока вот привязывают ваши банковские карты к свои родственным сервисам. И могут сделать много чего еще: перспективы с такими клиентскими соглашениями у них открываются просто феерические.

Итак, 

• онлайн-кинотеатр с претензией на лидерские позиции и под громким именем народного достояния, 
• флагман фудтеха под крылом крупнейшего госбанка и крупнейшего же онлайн-холдинга,
• крупнейший оператор связи с госучастием,
• крупнейший банк с экосистемой сервисов.

Кажется, владельцы именно этих бизнесов считают себя вправе схватить и удерживать ключ к вашему денежному счету. Бизнесы большие, преимущественно частные, с историей и вроде бы планами на дальнейшую жизнь и развитие, а не временщики с целью хапнуть побольше в моменте и исчезнуть — потом хоть трава не расти. Но почему такое отношение к клиенту, как у деятелей из подворотни? «Покажи-ка свои деньги, отлично, дай-ка я сам подержу». Это чтобы что?

Риски такой ситуации очевидны даже на первый взгляд и даже непродвинутому пользователю: только ленивый не слышал про «сливы баз данных [условной большой организации] с платежной информацией пользователей». Более того, в век всеобщей цифровизации нередко приходится иметь дело со всевозможными техническими сбоями: «компьютер завис», «программа не работает», «не работаем, у нас технический сбой». Вот недавняя новость о крупном сбое в Сбербанке — мало того, что это крупнейший оператор денежных транзакций в стране, так еще и упомянутый «Самокат» входит в его экосистему. Да и вообще информации о дырах в безопасности «Сбербанка» в интернете достаточно, и она, увы, встречается нередко, совсем. За подобными новостями даже ходить далеко не надо.

Сегодня в условиях взрывного развития digital-среды первое, что нам всем говорят: ваша безопасность в цифровом мире — в ваших руках. Вводите двойную авторизацию, меняйте пароли, не храните информацию в одном месте, и т. д. и т. п. — мы все слышали такое десятки раз.

А бизнес, кажется, считает нормальным держать открытый кошелек клиента у себя и всячески затруднять его возвращение в карман законного владельца.

Сейчас будет немного сложно, но это важно для понимания основ безопасности в распоряжении вашими средствами при безналичных и онлайн-расчетах.

Об интернет-платежах
Об автоплатежах
О персональных данных
О «насильной» привязке платежной карты без возможности отвязать

Платежи в онлайне регулируются в основном ФЗ «О национальной платежной системе». Он определяет статус денежных средств и транзакций, а также плательщика, посредника и получателя платежа и регламентирует их взаимодействие.

Согласно закону, в онлайн-сделке участвуют:

• клиент-владелелец счета,
• его банк (в котором находится счет),
• электронная платежная система (ЭПС), обслуживающая продающий товары/услуги интернет-сервис. 

Деятельность банков и платежных систем строго лицензируется и регулируется. 

Намерение клиента совершить платеж должно однозначно идентифицироваться и подтверждаться. Это достигается обычно за счет привычного введения CVV- или СМС-кода. Кроме того, сейчас довольно часто используется двойная авторизация по технологии 3D-Secure: свое распоряжение банку перевести средства интернет-сервису клиент подтверждает дополнительно СМС-кодом или специальным кодом со скретч-карты.

Все участники платежного процесса также обязаны соблюдать банковскую тайну.

А вот вопрос автоплатежей и их авторизации никак законом не регламентируется: условия устанавливают конкретные платежные системы и ознакомиться с ними можно в пользовательских соглашениях. Что очевидно довольно сложно для обычного покупателя: изучение пользовательских соглашений продавца, потом финансового посредника, т.е. платежной системы, требует серьезных ресурсов и железной воли.

Являются ли банковские реквизиты персональными данными?

Да, номер банковского счета и банковской карты являются персональными данными.

Обобщая все вышесказанное, можно прийти к выводу, что системы онлайн-платежей, работая под эгидой Центрального банка, несут ответственность за безопасность информации, которую они получают. А информация, которая передается ЭПС, может рассматриваться в качестве персональных данных.

Что же касается законности/незаконности привязки платежной карты без возможности ее отвязать, то здесь правоприменение довольно зыбкое: если бы сервисы отказывались удалять платежные данные клиента, то был бы повод для применения ответственности за нарушение тайны ПД, кражи данных и, возможно, обвинения их в некоторых уголовных преступлениях. Но они вроде как не отказываются и рапортуют об удалении. 

А некий абьюз с тратой вашего времени и нервов, присутствующий в процессе, пока не обрел никаких правовых форм. То есть, к сожалению, за это не привлечь по закону; а если вы переживаете за свои платежные данные — то это ваши проблемы.

Но зачем так делать?

Цифровая экономика невероятно изменила нашу жизнь. История и прогресс буквально творятся на наших глазах — так удивительно быстро жизнь человечества не менялась никогда. И изменения эти с несомненным знаком плюс.

Но почему в это рациональное, разумное, высокотехнологичное и прогрессивное движение отечественный большой бизнес — тоже, между прочим, прогрессивный и высокотехнологичный — решил внести эти странные примитивные формы своеобразного «насилия»? Этакий гоп-стоп из подворотни в цифровую эпоху. Я возьму и подержу твои деньги. Для твоего же удобства, ну.

Онлайн-бизнес, пожалуйста, программируя функцию привязки банковской карты к аккаунту, убедись в двух вещах:

1. Клиент может сам ее отвязать, и данные карты исчезнут из системы.
2. Твоя техподдержка работает и работает быстро, четко, по существу, а не занимается горе-психотерапией, объясняя клиенту, что ему должно быть удобно, а что — нет. 

И не понятно главное: что это дает компаниям?

Даже в условиях размытого правового поля, полагаем, бесконтрольный доступ к клиентским деньгам и возможность как-то ими распоряжаться невозможны.

А вот вопрос безопасности встает очень остро.

Киберпреступность набирает невероятные обороты. Данных по итогам 2021 года еще нет, но за первую половину 2021 года МВД отчиталось: доля киберпреступлений в общем массиве правонарушений достигла 26%. То есть более четверти. И этот показатель стремительно растет. Цифровая экономика располагает. И главный объект таких преступлений — данные. А уж финансовые — в первую очередь. Та самая информация, которой так беспардонно считают себя вправе распоряжаться некоторые компании.

И вот перед нами компании с миллионами раскрытых клиентских кошельков. Предположим, происходит взлом системы и кража клиентских данных и следом — денег. И что? Кто понесет за это ответственность? Крайними останутся клиенты, понятно: средств лишатся именно они. А что грозит компаниям, которые насильно получили доступ к клиентским деньгам и не смогли их защитить?

И почему их не устраивают условия очевидной сделки: они клиенту — товар, он им — деньги? Если пользователь захочет — ЗАХОЧЕТ, то есть по собственному желанию — оформить автоплатеж, то привяжет свою банковскую карту.

Но зачем применяется своеобразная «насильственная» привязка, которая не имеет никакого бизнес-смысла? 

И как тысячи других онлайн-бизнесов по всему миру вполне себе успешны без этого? 

И почему клиенты неожиданно для себя вынуждены регулярно решать проблему с «насильной» компрометацией своих финансовых данных? 

В общем, в заключении остаются одни лишь вопросы.

Ну и надежды, что большой бизнес в России когда-нибудь будет думать о клиентах не как о кошельках — вот в буквальном смысле в контексте обсуждаемой проблемы, — и будет отказываться хотя бы от подобных бессмысленных, на наш взгляд, и небезопасных практик.

А наших читателей мы призываем: будьте внимательны и берегите доступ к своим данным.

В сегодняшнем мире тотальной цифровизации это самая большая ценность.