Kilka dni temu w serwisie Linkedin pojawił się wpis właścicielki jednego ze sklepów internetowych, która skarży się na praktyki stosowane przez firmę IAI. To instytucja oferująca oprogramowanie dla e-commerce IdoSell oraz system płatności IdoPay. Opisana w mediach społecznościowych sytuacja dotyczyła procedury chargeback, czyli procesu reklamacyjnego dla kart Mastercard i Visa. Jak się okazuje, przypadek opisany na Linkedin nie był jedyny. Pracując nad poniższym tekstem udało mi się dotrzeć do jeszcze jednego klienta IAI, który spotkał się z podobną sytuacją i zgodził się o niej opowiedzieć.

– W październiku 2024 r. jeden z naszych klientów w krótkim odstępie czasu kupił między innymi dwa roboty sprzątające w zamówieniach za 5 i 7 tys. zł. W związku z tym, że była to sytuacja niestandardowa, bo rzadko się zdarza, aby ta sama osoba minuta po minucie kupowała sprzęt wartości kilku tysięcy złotych, potwierdziliśmy mejlowo, że nie jest to pomyłka. Następnie zralizowaliśmy oba zamówienia i wysyłaliśmy produkty do klienta – opowiada Patryk Choroś, były właściciel sklepu Z-Home.

Z jego relacji wynika, że tuż przed upływem półrocznego okresu umożliwiającego reklamację chargeback – takowa została na obie płatności zgłoszona przez użytkownika karty, który twierdzi, że ich nie przeprowadził. Pan Patryk przekazał firmie IAI wyjaśnienia, włącznie z dowodami na wysyłkę produktów, a wkrótce potem sprzedał swój sklep. Ten jednak o sobie przypomniał. – Po kilku miesiącach nowy właściciel, z którym pozostawałem w bieżącym kontakcie, poinformował mnie, że firma IAI żąda od niego zwrotu środków za oba zamówienia z października 2024 r. Okazało się, że reklamacja chargeback mimo wyjaśnień została uwzględniona. Bank ją uznał i zażądał od IAI pieniędzy, a ta domaga się ich teraz od Z-Home – mówi Patryk Choroś.

Przeczytajcie także: • Liczba kart dodanych do Apple Pay i Google Pay znów powyżej 13 mln

Obie sytuacje, a więc tę opowiedzianą przez byłego właściciela Z-Home, jak i tę, opisaną na Linkedin, łączy to, że zakwestionowane transakcje kartowe zostały przeprowadzone najprawdopodobniej bez użycia procedury 3DS. To zabezpieczenie płatności kartami w internecie. Polega na tym, że użytkownik karty po wprowadzeniu jej danych w sklepie internetowym musi jeszcze zaakceptować transakcję dodatkowo potwierdzając ją na przykład kodem z SMS-a. To podobnie jak przy potwierdzaniu przelewów zlecanych w internetowym serwisie transakcyjnym banku.

Jak tłumaczą eksperci, z którymi rozmawiałem, takie pominięcie dodatkowego zabezpieczenia transakcji zdalnych jest możliwe w wyjątkowych sytuacjach. Taką możliwość daje unijna dyrektywa PSD2, na przykład dla transakcji o niewielkiej wartości albo dla wybranych klientów. To zwiększa tzw. konwersję, czyli udział klientów finalizujących zakupy wśród wszystkich osób odwiedzających sklep. Wiąże się jednak z ryzykiem, o którym właściciel sklepu powinien wiedzieć i świadomie je zaakceptować, bo jeśli użytkownik karty zgłosi reklamację w ramach procedury chargeback, z dużym prawdopodobienstwem to właściciel sklepu będzie musiał zwrócić pieniądze z tytułu takiej transakcji.

– Operatorzy płatności w swoich regulaminach dla sklepów internetowych powszechnie stosują bardzo szerokie klauzule obciążenia zwrotnego. Praktycznie w każdym przypadku uprawniają ich one do obciążenia kwotą reklamacji akceptanta płatności – mówi dr Krzysztof Korus, partner w kancelarii DLK Legal. – Jeśli platforma zawarła taką klauzulę w swoim regulaminie, który następnie został zaakceptowany przez sklep działający na tej platformie, to brak przeszkód przed obciążeniem zwrotnym – dodaje prawnik.

Przeczytajcie także: • 18 mln zł kary dla ING za skanowanie dowodów

Tymczasem zarówno właścicielka sklepu, która opisała swoją historię na Linkedin, jak i Patryk Choroś twierdzą, że IAI nie poinformowała ich, iż transakcje w ich sklepie są realizowane bez dodatkowego zabezpieczenia. Deklarują również, że w umowach podpisanych przez nich z IAI nie ma informacji na ten temat. Mało tego, autorka wpisu na Linkedin twierdzi nawet, że obsługa IAI odradzała jej aktywowanie 3DS, bo to spowoduje spadek obrotów w sklepie.

Co na to IAI? Biuro prasowe spółki w odpowiedzi na moje pytanie napisało, że sklepy internetowe decydując się na akceptację płatności kartowych, muszą mieć świadomość ryzyka, jakie się z tym wiąże. Natomiast korzystanie z narzędzi zewnętrznych do prowadzenia sklepu nie powoduje zwolnienia z odpowiedzialności wynikających z regulacji organizacji płatniczych, takich jak Mastercard czy Visa. – Ze swojej strony apelujemy do wszystkich właścicieli e-sklepów o świadome dobieranie narzędzi, które stanowią ochronę przed transakcjami oszukańczymi zarówno na poziomie technologicznym np. 3DS, jak i na poziomie procesu realizacji zamówienia i jego wysyłki np. weryfikacja danych konsumenta czy danych teleadresowych – czytam w oświadczeniu nadesłanym do redakcji.

IAI przyznała jednak, że w transakcjach opisanych na Linkedin zabezpieczenie w postaci systemu 3DS nie zostało zastosowane ponieważ nie było takiej potrzeby. Nie odpowiedziało jednak na pytanie, na podstawie jakiego wyjątku zrezygnowano z niego oraz czy klientka zaakceptowała takie ryzyko w umowie, którą podpisała z IAI.

Natomiast eksperci, z którymi rozmawiałem, mówią, że to jest kluczowe. Jeśli w umowie zawarta jest klauzula odstępienia od 3DS i właściciel sklepu o tym wie, operator płatności ma prawo ubiegać się o zwrot pieniędzy. Jeśli zaś 3DS byłby zastosowany, reklamacja z tytułu chargeback powinna zostać odrzucona, a koszty kwestionowanych transakcji na siebie powinien wziąć bank – wydawca karty. Zasady te znają przestępcy. Jak się dowiaduję nieoficjalnie, zidentyfikowano już zjawisko polegające na tym, że złodzieje wyszukują sklepy, w których można płacić kartą bez zabezpieczenia 3DS. Wiedząc, że reklamacja transakcji w takim sklepie najpewniej zostanie przez bank uznana, robią tam zakupy, a następnie występują do banku o zwrot środków twierdząc, że to nie oni zrealizowali tam płatności kartą.