חברות האשראי נגד בנק ישראל: מסרבות להשיב כסף ללקוחות שנפלו קורבן לעוקץ

לפי בנק ישראל, אם צרכן חשב שהוא משלם לעסק לגיטימי אך נפל קורבן לעוקץ, על חברת האשראי להשיב לו את הכסף ■ ואולם כל עוד אין הנחיה מחייבת בעניין, חברות האשראי טוענות שהן מפרשות אחרת את החוק ■ יש מקרים שבהם הן טוענות לרשלנות — ומסרבות לשלם ללקוחות שנפגעו

שתפו כתבה במיילשתפו כתבה במייל
אנגליה לונדון כריסטמס 2021
רחוב אוקספורד בלונדון. על שלושה לילות בעיר שילמו בני הזוג מחיר כפול — פעם אחת למתחזים ופעם אחת למלוןצילום: TOBY MELVILLE/רויטרס

בני זוג ישראלים נפלו באחרונה קורבן לעוקץ, אחרי שהזמינו לינה במלון בלונדון באתר הזמנות האונליין הפופולרי בוקינג. בתחילת השבוע שעבר הם קיבלו הודעה מחברת האשראי מקס כי לא יקבלו בחזרה את 455 היורו ששילמו לנוכלים — אשר התחזו לנציגי המלון שבו ביצעו את ההזמנה.

בחברת האשראי טענו שבני הזוג אשמים, שכן במהלך התשלום הם מסרו לנוכלים את הקוד הסודי שקיבלו מחברת האשראי, אף שבהודעה שבה נשלח הקוד לא צוין השם של אתר בוקינג או של המלון שעליו חשבו ששילמו, אלא של שם עסק אחר. רק לאחר פניית TheMarker נמסר ממקס כי המקרה נבדק שוב. לאחר כמה ימים הוחלט כי הלקוחות יזוכו.

המקרה הזה ממחיש את הפער הקיים בין העמדה של חברות כרטיסי האשראי על זיכוי לקוחות שנפלו קורבן לעוקץ, לבין העמדה שגובשה בחוות דעת של משרד המשפטים ב–2021 לבקשת בנק ישראל, שגם אימץ אותה.

כללי זהב שיחסכו לכם כסף

כל מה שצריך לדעת - הצטרפו לערוץ הטלגרם של TheMarker

לפי חוות דעת זאת, במקרים של עוקץ שבהם נוכלים מתחזים לחברת אשראי או לבית עסק — והלקוח מוסר למתחזה קוד חד־פעמי שקיבל — החוק מגן על הלקוחות, ויש להשיב להם את הכסף שהוצא מהם במרמה. כלומר, אם הלקוח חשב שהוא משלם לעסק לגיטימי, הוא מוגן בהתאם לחוק שירותי תשלום.

ואולם בפועל חברות האשראי אינן מקבלות את הפרשנות של זיכוי גורף במקרים של התחזות. במקרה שבו נשלחה אל הלקוח סיסמה חד־פעמית להשלמת התשלום, והוא השתמש בה או העביר אותה במסגרת ההונאה — הן נוטות לטעון לרשלנות ולא להחזיר לו את הכסף. אם כך, מה שווה הפרשנות שאימץ בנק ישראל, אם חברות האשראי אינן מקבלות אותה?

צרכנים תמימים ממשיכים ליפול בפח

בני הזוג, בשנות ה–60 לחייהם, נסעו בסוף השבוע הראשון של פברואר לאנגליה לצורך ביקור משפחתי. כעשרה ימים לפני הנסיעה הם הזמינו בבוקינג שלושה לילות במלון דירות באחד מפרברי לונדון, תמורת 455 יורו.

כמה שעות לאחר שבוצעה ההזמנה, הם קיבלו הודעת דוא"ל מנוכלים שהתחזו למנהל במלון הדירות. עיצוב ההודעה היה דומה לזה של אתר בוקינג, והיא כללה את פרטי ההזמנה המלאים שלהם מהאתר. נכתב בה שבמלון מצפים לבואם, אך כדי למנוע רמאויות הם נדרשים לאשר את הזמנתם ולהזין את פרטי האשראי שלהם בקישור שצורף להודעה. באותו הקישור נכתב כי כחלק מהליך אישור ההזמנה, יחויב כרטיס האשראי בגובה ההזמנה, וכמה דקות לאחר מכן החיוב יבוטל. עוד נכתב בהודעה, כי אם לא יזינו את הפרטים — ההזמנה תבוטל.

בני הזוג, שחששו לאבד את ההזמנה, הזינו את פרטי כרטיס האשראי של מקס ואישרו את התשלום באמצעות הקוד שקיבלו. הם מספרים כי בהודעה שבה נשלח הקוד לא הייתה כל אזהרה בדבר אפשרות להונאת פישינג.

כרטיס אשראי לפטופ חשבונות
בתקופות של משבר כלכלי ושל אי־ודאות, כמו התקופה הנוכחית, יש פריחה של הונאות כלכליותצילום: fizkes/Shutterstock

מיד לאחר התשלום, חשדה האישה שמדובר בהונאה, ומצאה בגוגל כתבות על הונאות נגד לקוחות בוקינג. באותו הרגע היא התקשרה לשירות הלקוחות של מקס, דיווחה להם שהיא חוששת שנפלה קורבן להונאה, וביקשה לעצור את התשלום.

האישה מספרת כי בשיחה עם המוקד נאמר לה תחילה כי אין לה מה לדאוג. ואולם ב–4 בפברואר התקשרו מיחידת הביטחון של מקס ואמרו לבני הזוג שלא יקבלו החזר כי החיוב בוצע באשמתם. כלומר, הם שילמו מחיר כפול — פעם אחת למתחזים ופעם אחת למלון. לאחר התערבות TheMarker, ההחלטה של מקס שונתה — והם זוכו.

שיטת העוקץ הזאת כנגד לקוחות בוקינג אינה חדשה, אבל היא ממשיכה להפיל בפח צרכנים תמימים. החזות האותנטיות של הפנייה לצד הלחץ של הלקוחות מאיבוד ההזמנה, מביאים לכך שברגע האמת חומות ההגנה לא פועלות.

הקוד שנשלח ללקוח מלווה בפירוט העסקה לשמה הוא נדרש, לרבות שם בית העסק וסכום העסקה, יחד עם אזהרה שלפיה אין למסור את הקוד לאדם אחר. עם זאת, כל עוד אין התראה שזאת עסקה חשודה, הלקוח לא תמיד בוחן ביסודיות את כל מה שכתוב בהודעה. כמו כן, הוא יכול שלא לייחס חשיבות לכך ששם בית העסק שמופיע בהודעה שונה משם העסק שאליו הוא מעוניין לשלם — כפי שהשמות המופיעים לעתים בפירוט האשראי שונים מהשם השיווקי של בית העסק.

התחזות לאתר של בוקינג היא רק אחת מהשיטות המשתכללות והולכות להונאת אשראי. בשיטה אחרת, מתחזים הנוכלים לנציגי ביטחון של בנקים ושל חברות אשראי. הם מתקשרים ללקוח, טוענים כי מישהו ניסה לבצע עסקה גדולה בכרטיס האשראי שלו, ומבקשים מהלקוח את פרטיו האישיים ואת פרטי האשראי שלו או את הקוד הסודי שנשלח אליו "לצורך אימות" — וכך מבצעים עסקות מקבילות שלא בידיעת הלקוח.