חברות האשראי נגד בנק ישראל: מסרבות להשיב כסף ללקוחות שנפלו קורבן לעוקץ

בני זוג ישראלים נפלו באחרונה קורבן לעוקץ, אחרי שהזמינו לינה במלון בלונדון באתר הזמנות האונליין הפופולרי בוקינג. בתחילת השבוע שעבר הם קיבלו הודעה מחברת האשראי מקס כי לא יקבלו בחזרה את 455 היורו ששילמו לנוכלים — אשר התחזו לנציגי המלון שבו ביצעו את ההזמנה.

בחברת האשראי טענו שבני הזוג אשמים, שכן במהלך התשלום הם מסרו לנוכלים את הקוד הסודי שקיבלו מחברת האשראי, אף שבהודעה שבה נשלח הקוד לא צוין השם של אתר בוקינג או של המלון שעליו חשבו ששילמו, אלא של שם עסק אחר. רק לאחר פניית TheMarker נמסר ממקס כי המקרה נבדק שוב. לאחר כמה ימים הוחלט כי הלקוחות יזוכו.

המקרה הזה ממחיש את הפער הקיים בין העמדה של חברות כרטיסי האשראי על זיכוי לקוחות שנפלו קורבן לעוקץ, לבין העמדה שגובשה בחוות דעת של משרד המשפטים ב–2021 לבקשת בנק ישראל, שגם אימץ אותה.

עברו לתצוגת גלריה

• הסכנה בלינקים, ומה לעשות כששולחים טלפון לתיקון? כך תימנעו מעוקץ אשראי
• "איך אפשר להציע הלוואה בריבית של 1% כשהריבית 6%?" — "תתפלאי"

כל מה שצריך לדעת - הצטרפו לערוץ הטלגרם של TheMarker

לפי חוות דעת זאת, במקרים של עוקץ שבהם נוכלים מתחזים לחברת אשראי או לבית עסק — והלקוח מוסר למתחזה קוד חד־פעמי שקיבל — החוק מגן על הלקוחות, ויש להשיב להם את הכסף שהוצא מהם במרמה. כלומר, אם הלקוח חשב שהוא משלם לעסק לגיטימי, הוא מוגן בהתאם לחוק שירותי תשלום.

ואולם בפועל חברות האשראי אינן מקבלות את הפרשנות של זיכוי גורף במקרים של התחזות. במקרה שבו נשלחה אל הלקוח סיסמה חד־פעמית להשלמת התשלום, והוא השתמש בה או העביר אותה במסגרת ההונאה — הן נוטות לטעון לרשלנות ולא להחזיר לו את הכסף. אם כך, מה שווה הפרשנות שאימץ בנק ישראל, אם חברות האשראי אינן מקבלות אותה?

צרכנים תמימים ממשיכים ליפול בפח

בני הזוג, בשנות ה–60 לחייהם, נסעו בסוף השבוע הראשון של פברואר לאנגליה לצורך ביקור משפחתי. כעשרה ימים לפני הנסיעה הם הזמינו בבוקינג שלושה לילות במלון דירות באחד מפרברי לונדון, תמורת 455 יורו.

כמה שעות לאחר שבוצעה ההזמנה, הם קיבלו הודעת דוא"ל מנוכלים שהתחזו למנהל במלון הדירות. עיצוב ההודעה היה דומה לזה של אתר בוקינג, והיא כללה את פרטי ההזמנה המלאים שלהם מהאתר. נכתב בה שבמלון מצפים לבואם, אך כדי למנוע רמאויות הם נדרשים לאשר את הזמנתם ולהזין את פרטי האשראי שלהם בקישור שצורף להודעה. באותו הקישור נכתב כי כחלק מהליך אישור ההזמנה, יחויב כרטיס האשראי בגובה ההזמנה, וכמה דקות לאחר מכן החיוב יבוטל. עוד נכתב בהודעה, כי אם לא יזינו את הפרטים — ההזמנה תבוטל.

בני הזוג, שחששו לאבד את ההזמנה, הזינו את פרטי כרטיס האשראי של מקס ואישרו את התשלום באמצעות הקוד שקיבלו. הם מספרים כי בהודעה שבה נשלח הקוד לא הייתה כל אזהרה בדבר אפשרות להונאת פישינג.

עברו לתצוגת גלריה

בתקופות של משבר כלכלי ושל אי־ודאות, כמו התקופה הנוכחית, יש פריחה של הונאות כלכליותצילום: fizkes/Shutterstock

מיד לאחר התשלום, חשדה האישה שמדובר בהונאה, ומצאה בגוגל כתבות על הונאות נגד לקוחות בוקינג. באותו הרגע היא התקשרה לשירות הלקוחות של מקס, דיווחה להם שהיא חוששת שנפלה קורבן להונאה, וביקשה לעצור את התשלום.

האישה מספרת כי בשיחה עם המוקד נאמר לה תחילה כי אין לה מה לדאוג. ואולם ב–4 בפברואר התקשרו מיחידת הביטחון של מקס ואמרו לבני הזוג שלא יקבלו החזר כי החיוב בוצע באשמתם. כלומר, הם שילמו מחיר כפול — פעם אחת למתחזים ופעם אחת למלון. לאחר התערבות TheMarker, ההחלטה של מקס שונתה — והם זוכו.

שיטת העוקץ הזאת כנגד לקוחות בוקינג אינה חדשה, אבל היא ממשיכה להפיל בפח צרכנים תמימים. החזות האותנטיות של הפנייה לצד הלחץ של הלקוחות מאיבוד ההזמנה, מביאים לכך שברגע האמת חומות ההגנה לא פועלות.

הקוד שנשלח ללקוח מלווה בפירוט העסקה לשמה הוא נדרש, לרבות שם בית העסק וסכום העסקה, יחד עם אזהרה שלפיה אין למסור את הקוד לאדם אחר. עם זאת, כל עוד אין התראה שזאת עסקה חשודה, הלקוח לא תמיד בוחן ביסודיות את כל מה שכתוב בהודעה. כמו כן, הוא יכול שלא לייחס חשיבות לכך ששם בית העסק שמופיע בהודעה שונה משם העסק שאליו הוא מעוניין לשלם — כפי שהשמות המופיעים לעתים בפירוט האשראי שונים מהשם השיווקי של בית העסק.

התחזות לאתר של בוקינג היא רק אחת מהשיטות המשתכללות והולכות להונאת אשראי. בשיטה אחרת, מתחזים הנוכלים לנציגי ביטחון של בנקים ושל חברות אשראי. הם מתקשרים ללקוח, טוענים כי מישהו ניסה לבצע עסקה גדולה בכרטיס האשראי שלו, ומבקשים מהלקוח את פרטיו האישיים ואת פרטי האשראי שלו או את הקוד הסודי שנשלח אליו "לצורך אימות" — וכך מבצעים עסקות מקבילות שלא בידיעת הלקוח.

עברו לתצוגת גלריה

משרדי חברת האשראי מקסצילום: עופר וקנין

הונאה נפוצה אחרת היא התחזות לדואר ישראל. במסגרתה נשלחת ללקוח הודעת SMS שבה נכתב כי הוא נדרש לשלם סכום סמלי לשחרור החבילה שהזמין — אך בפועל, לאחר שהזין את פרטיו באתר המתחזה לאתר הדואר, מתברר כי שילם סכום גדול יותר לנוכלים.

שאלת הפרשנות

חוק שירותי תשלום, שנכנס לתוקף ב–2020, קובע כי הלקוח אינו אחראי לשימוש לרעה בכרטיס האשראי שלו מהרגע שהלקוח מוסר הודעה על הגניבה, על האובדן או על השימוש לרעה בכרטיס. עד מסירת ההודעה חל הסדר של השתתפות עצמית סמלית. כלומר, ככלל, תפצה חברת כרטיסי האשראי את הלקוח במקרה של שימוש לרעה בכרטיס האשראי שלו.

ואולם לכלל הזה יש חריג בחוק. המשלם יהיה אחראי לשימוש לרעה בכרטיס האשראי אם הוא "העמיד את הרכיב החיוני באמצעי התשלום לרשותו של אדם אחר". רכיב חיוני יכול להיות, למשל, פרטי כרטיס האשראי של הלקוח יחד עם הקוד החד־פעמי שקיבל.

במקרה זה עולה שאלת הפרשנות. האם מסירת קוד בשל התחזות נכנסת לגדר החריג? לפי חוות הדעת המנומקת והמפורטת של משרד המשפטים, גם לקוח שמסר את קוד האימות בשל נסיבות ההתחזות זכאי להגנות החוק. כלומר, לקוח שביצע תשלום למוטב שסבר שהוא לגיטימי — מוגן בהתאם לחוק. ההסבר לכך הוא שלא מדובר במסירה של הקוד ל"אדם אחר", שכן הלקוח היה משוכנע שהוא מוסר את הקוד לנותן השירות שכך הציג את עצמו — שאינו נחשב ל"אחר".

במשרד המשפטים מבהירים כי החריג בחוק נועד להסדיר מצבים שבהם לקוח מוסר למישהו אחר "רכיב חיוני" מתוך כוונה שאותו אחר יעשה בו שימוש. למשל, הורה שנותן את אמצעי התשלום לילד שלו או לחברו במטרה שירכוש עבורו משהו.

עוד נכתב בחוות הדעת כי לקוחות רבים אינם שמים לב למלל הרב שנלווה להודעה שבה נשלח הקוד. כמו כן, הסדר האחריות הוא ממילא ביטוחי, ולכן אין מקום להסיט את האחריות ללקוח — גם במקרה שבו התרשל.

במקרה הזה, גם בנק ישראל עומד מאחורי חוות הדעת. לעמדתו, הוראת החוק קובעת אחריות מוחלטת לפצות לקוח הטוען לשימוש לרעה בכרטיס האשראי שלו, גם אם הוא מסר את הקוד להשלמת עסקת התשלום — אלא אם חברת כרטיסי האשראי הוכיחה שהלקוח שיתף פעולה עם מעשה המרמה.

עם זאת, מכיוון שחוות הדעת אינה מעוגנת כהנחיה פורמלית, חברות האשראי נוקטות גישה שלפיה אין לחוות הדעת משקל, וכי מדובר רק באפשרות אחת של פרשנות. מבחינתן, העובדה שבנק ישראל לא הוציא הוראה מחייבת או שהחוק לא תוקן — אף שיש כעת ניסיון לקדם הצעת חוק בנושא — מעידה על כך שיש תחום אפור.

עברו לתצוגת גלריה

עו"ד ד"ר רוי בר־קהןצילום: צביקה גולדשטיין

עו"ד ד"ר רוי בר־קהן, שותף במשרד בר־קהן, ציגנלאוב ושות' שמתמחה בליטיגציה מסחרית וכן מרצה לבנקאות, סבור כי חוות הדעת של משרד המשפטים — אשר באה להגן על הצרכן במקרים של התחזות — משכנעת, ושנימוקיה מבוססים. הוא מוסיף כי העובדה שעמדת בנק ישראל מאמצת את הפרשנות בחוות הדעת מעניקה לה תוקף נוסף.

לדבריו, "כשבנק ישראל אומר שזאת הפרשנות של החוק, יש לזה משמעות אדירה. מצופה מחברות האשראי לשקול אותה היטב לפני שהן מקבלות עמדה הדוחה את הפרשנות. אם הן בוחרות בפרשנות אחרת, בנק ישראל יכול להוציא הנחיה פורמלית שתחייב אותן".

עמדה נגדית

אחת הטענות שנשמעת מכיוון חברות האשראי היא שלא הגיוני לזכות באופן גורף לקוח שמסר קוד סודי — כפי שמשתמע מחוות הדעת — אלא יש לבדוק כל מקרה לגופו, מכיוון שייתכנו נסיבות שלא מצדיקות את הזיכוי. למשל, אם מדובר במקרים חוזרים ונשנים. הן טוענות כי זיכוי גורף יעקר מתוכן את שליחת הקוד, שהוא אמצעי אימות מוגבר המקובל בישראל ובעולם.

לפי חברות כרטיסי האשראי, במקרים שבהם הלקוח אינו דובר את השפה שנכללת בהודעות או שהוא אדם מבוגר מאוד, הן נוהגות לזכות אותו — בכפוף לבדיקת המקרה.

הבעיה עם הטיעון הזה הוא שברגע שחברת האשראי מחליטה איזה מקרה התחזות יאפשר זיכוי ואיזה לא, סביר להניח שבמקרים רבים היא תבחר בפרשנות המחמירה ולא תזכה את הלקוח. אפשר להניח כי ממילא במקרים קיצוניים — של ריבוי אירועים או של רשלנות קיצונית ולא סבירה — יגבה בנק ישראל את חברת האשראי אם תחליט שלא לזכות את הלקוח.

טענה נוספת שנשמעת מצד חברות האשראי היא שגם ללקוח צריכה להיות אחריות, שכן הוא הגורם שבכוחו למנוע את השימוש לרעה בכרטיס האשראי שלו. למשל, אם בהודעה שקיבל הלקוח עם הקוד נכתב סכום גבוה יותר מסכום העסקה שעשה, והתשלום הוא לבית עסק אחר — לא סביר, לטענתן, שהן יצטרכו לזכות אותו. הן טוענות כי זיכוי גורף יביא לכך שלקוחות יפתחו אדישות כלפי סיכונים והונאות — מאחר שממילא יחזירו להם את הכסף — כך שישראל תיהפך לגן עדן לפעילות עבריינית ולהונאות.

בחוות הדעת של משרד המשפטים דוחים את הטענה הזאת. נכתב בה כי הלקוח תמיד יעדיף להימנע מסיטואציה כזאת, ונכון דווקא לתמרץ את חברת האשראי לפתח כלים משוכללים להתמודדות עם הונאות וליצירת מודעות אפקטיבית בציבור לקיומן.

בתגובה לחוות הדעת, שלחו באחרונה שלוש חברות כרטיסי האשראי לבנק ישראל חוות דעת נגדית ממשרד עורכי הדין ארנון, תדמור־לוי, שמגבה את עמדתן. לפי עמדה זאת, הפרשנות של החוק היא שאם הלקוח פעל בצורה לא אחראית ומסר למישהו אחר את מספר הכרטיס ואת הפרטים הנלווים אליו — וכתוצאה מכך בוצעה העסקה ה"לא מורשית" — הלקוח יהיה אחראי לתוצאותיה.

עברו לתצוגת גלריה

בניין בנק ישראלצילום: אוהד צויגנברג

נטען בה כי רק במקרים שבהם מדובר בהונאה מתוחכמת, שבה אדם סביר היה מוסר את הפרטים ואת הקוד, יש לפרש את החוק לטובת הלקוח. גישה זאת מותירה את ההחלטה בשאלה מה סביר ומה לא אחראי — בידי חברות האשראי.

בר־קהן מציין כי בתקופות של משבר כלכלי ושל אי־ודאות, כמו התקופה הנוכחית, יש פריחה של הונאות כלכליות — כך שהאתגר רק גדל והולך. לכן חשובה ההגנה על הצרכן שמשרד המשפטים והרגולטור ביקשו ליישם, לצד מאמץ אמיתי מצד חברות האשראי לפעול למניעת הנזקים.

הלקוח בעמדת נחיתות

מה יכול לעשות לקוח שנעקץ, אך חברת האשראי מסרבת לפצותו? קודם כל לפנות עם המקרה שלו לבירור בבנק ישראל. מבנק ישראל נמסר כי "לקוח שביצע תשלום למוטב שסבר שהוא לגיטימי, מוגן בהתאם לחוק שירותי תשלום. לקוח שנפגע ואינו שבע רצון מהפתרון המוצע על ידי נציבות פניות הציבור של התאגיד הבנקאי או של חברת כרטיסי האשראי מוזמן לפנות לבירור נוסף ביחידה לפניות הציבור ולבקרה צרכנית בפיקוח על הבנקים".

אפשרות נוספת היא הגשת תביעה. בית משפט יבחן אותה לאור חוות הדעת של הרגולטור ושל משרד המשפטים. עם זאת, תביעה דורשת זמן ומשאבים, ולא כל אחד מסוגל לעמוד בכך.

בכל מקרה, כדאי תמיד לעקוב אחר החיובים בכרטיסי האשראי ולשים לב לתוכן ההודעות שמקבלים בעת אישור עסקות — ובפרט לשים לב לסכום ולשם בית העסק.

מחברת מקס נמסר: "הקוד החד פעמי (OTP) נועד לאבטח עסקאות אונליין. הודעת הקוד נשלחת אישית רק ללקוח כהודעת התראה, וכוללת הסבר מפורט ודגשים להיזהר ולא למסור את הקוד עצמו לאף גורם. בהתאם, על הלקוחות חלה האחריות לוודא שפרטי העסקה שהם מבצעים מתאימים לפרטים המופיעים בהודעה שבה נשלח הקוד הסודי, לרבות הסכום, המטבע ושם בית העסק.

"מקס פועלת בהתאם לחוק, תוך שהיא מתייחסת ברגישות ובשיקול דעת לנסיבות כל מקרה. נוסף על כך, מקס היא החברה היחידה המאפשרת גם הזדהות ביומטרית בעסקות אינטרנטיות הדורשות אימות מוגבר, זיהוי ברמה הגבוהה ביותר".

מחברת ישראכרט נמסר: "חברות כרטיסי האשראי עומדות באופן בלתי מתפשר בהוראות חוק שירותי תשלום וברוב המוחלט של המקרים אנחנו מזכים את הלקוחות בגין שימוש לרעה. במקרים שבהם לקוח מוסר את הקוד החד פעמי — אף שבהודעה שקיבל עם הקוד הוא התבקש מפורשות שלא למסור אותו לאדם אחר, ואף שבהודעה גם מופיעים פרטי העסקה (סכום ושם בית עסק) — העסקה תושלם כפועל יוצא ממסירת הקוד.

"בית המשפט פסק פעם אחר פעם שהאחריות בגין ביצוע העסקה מוטלת על כתפי הלקוח. כמובן שאם מדובר באוכלוסייה מבוגרת או כזו שאינה דוברת את השפה, אנחנו מבצעים זיכוי מיידי".

מחברת כאל נמסר: "כאל פועלת בהתאם להוראות הדין. החברה בוחנת כל מקרה לפי נסיבותיו ופועלת בהתאם".