השנה היא כבר עוד רגע 2025, ולכן, את רוב השופינג שלנו אנחנו עושים כנראה באחת משתי דרכים – או בקניון עצמו או, כמו שהקורונה לימדה אותנו הכי טוב, באינטרנט, דרך אתרים עם מערכת תשלום מאובטחת. אבל לפעמים עדיין קורה שאנחנו מזמינים פיצה, עושים מנוי לחדר כושר, עוברים חברת סלולר, נרשמים לסדנה או תורמים לעמותה – בטלפון.
אתם מקריאים למוכר או נציג השירות את פרטי האשראי בביטחון, אבל אז מגיעה בקשה מלחיצה: 3 ספרות בגב כרטיס האשראי. עכשיו אתם כבר מהססים: לתת? לא לתת? הרי עכשיו יהיו לזר בצד השני של הקו כל פרטי האשראי שלכם. אתם כבר מדמיינים את האלמוני הזה, שלא פגשתם מעולם, מסיים את השיחה ויוצא למסע שופינג פרוע על חשבונכם. כדאי בכלל לסמוך עליו? ואיך זה שונה בעצם מפשוט לתת את כרטיס האשראי שלכם לסתם זר ברחוב?
כדי להבין האם באמת יש כאן סיכון ממשי ואיך אפשר להמנע ממנו, שוחחנו עם ענר בן יוסף, מנהל מחלקת הונאות בחברת ישראכרט.
מה זה בעצם CVV?
שלוש הספרות שמודפסות בגב כרטיס האשראי נקראות CVV (Card Verification Value), והן אמצעי אבטחה נוסף למניעת הונאות בכרטיסי אשראי – לצד מספר ותוקף הכרטיס.
נסביר: מספר הכרטיס הוא למעשה מספר החשבון שלנו בחברת האשראי, והוא מורכב מ-16 ספרות. מתוכן, 10 ספרות מסמלות אפיונים שונים של הכרטיס - החברה המנפיקה, סוג הכרטיס (למשל דביט) ועוד. 6 הספרות הנותרות הן ייחודיות לכרטיס שלכם. במקרים של עסקאות לא כשרות שעבריינים מבצעים באופן ממוחשב ורחב היקף, קל יחסית לאתר ולגנוב את אותן 6 ספרות, ולכן, ה-CVV משמש את חברות האשראי כפרט אימות נוסף שמאפשר להן לעצור מקרים כאלה.
כלומר, בניגוד למה שאולי חשבתם, ה-CVV הוא לא חומת ההגנה האחרונה שלנו מול גנבי אשראי פוטנציאליים, אלא בכלל כלי של חברות האשראי להגן עליכם במקרים רחבים ומתוחכמים בהרבה.
אז האם צריך לחשוש כשמוסרים את שלוש הספרות בעסקה טלפונית?
לדברי בן יוסף, כשאנחנו מוסרים את פרטי האשראי שלנו, קיים סיכון נקודתי מסוים – אבל ה-CVV לא נועד למנוע אותו. עבורנו, הוא מסביר, הקוד הוא פשוט עוד פרט אימות. הוא מסביר שכדי להשלים את העסקה, אנחנו צריכים למסור את הפרטים, ולרוב אפשר לעשות את זה בביטחון מלא, אבל גם מדגיש כמה כללי אצבע חשובים שיכולים להגן עלינו:
- לפני שמבצעים עסקת אשראי, חשוב לשים לב למי מוסרים את הפרטים: "צריך להפעיל שיקול דעת אישי והיגיון בריא. ברגע שהחלטנו שאנחנו סומכים על בית עסק מסוים, אפשר למסור לו את פרטי האשראי ולהיות רגועים. כרטיס האשראי הוא אמצעי התשלום הכי בטוח בעולם היום", הוא מדגיש, "מקרי ההונאות הם בשברי אחוזים מתוך כמות העסקאות, וללקוחות חברת אשראי יש גם את ההגנה שלה".
- אם בית העסק יזם את השיחה – זאת נורת אזהרה: "הלקוח אמור ליזום את שיחת הטלפון לנותן השירות. אם קיבלת שיחה מבית עסק, זה לא בהכרח אומר שזאת הונאה, אבל רמת הסיכון עולה". לדברי בן יוסף, שיחות חשודות מאופיינות לעיתים קרובות בדחיפות גדולה. "למשל, מתקשרים ואומרים שיש לך חוב לכביש 6 שאתה חייב לשלם היום. במקרה כזה אני אנתק את השיחה, אכנס בעצמי לאתר של כביש 6, אבדוק האם יש לי חוב, ואם כן אשלם אותו – אבל לא מלינק שנשלח אליי או בשיחת טלפון שלא אני יזמתי".
- הקוד החשוב באמת: בן יוסף ממליץ לשים לב ולהקפיד מאוד דווקא על קוד אחר – קוד ה-OTP שנשלח במסרון מחברת האשראי ללקוח כדי להשלים עסקאות אינטרנטיות מאובטחות. "הקוד הזה נשלח רק בחלק מהמקרים. הוא חד פעמי, מתאים לעסקה בודדת, ותקף לרוב עד 10 דקות. חשוב מאוד לקרוא היטב את המסרון שמלווה אותו כדי לוודא שהפרטים במסרון ובעסקה שלפנינו זהים, להזין אותו בעצמנו בדף התשלום של בית העסק, ולא למסור אותו לאף אחד".
- מעקב קבוע ושוטף אחרי הוצאות האשראי: "העצה הכי טובה שלי היא לא לחכות לתדפיס האשראי בדואר, אלא להירשם לקבל את החיוב החודשי במייל", אומר בן יוסף, וממליץ גם להוריד את האפליקציה של חברת האשראי, "לא רק בפן השירותי, אלא גם בפן של זהירות ובטיחות, כדי שתוכלו להיכנס ולראות את החיובים שבוצעו ושעתידים להתבצע בכל כרטיס". הוא ממליץ לעשות מנהג קבוע: "אחת לשלושה-ארבעה ימים נכנסים לאפליקציה, בודקים, ואם רואים עסקה שלא מזהים, מבררים מול חברת האשראי". הוא מציע גם להצטרף לשירות קבלת מסרון על ביצוע עסקה. חברות האשראי מציעות היום אפשרויות שונות: לקבל מסרונים על עסקאות מגובה מסוים, על עסקאות אינטרנטיות ועוד.
מה עושים אם ראינו בחיובי באשראי שלנו עסקה שלא ביצענו?
אם זיהיתם עסקה חשודה במסרון או בתדפיס האשראי, תוכלו לפתוח הליך בירור מול חברת האשראי, בטלפון או בדיגיטל, לבצע הכחשת עסקה. "ברגע שלקוח מזהה עסקה שאינה שלו ומכחיש אותה, חברת האשראי מטפלת, ולפי חוק הלקוח מוגן - במקרה של שימוש לרעה בכרטיס על פי חוק, כלומר גניבה או הונאה, חברת האשראי יכולה לזכות את הלקוח", מסביר בן יוסף.
בניגוד למצב של כשל תמורה (למשל, אם הזמנו מוצר ושילמנו אבל ולא קיבלנו אותו), במצב של שימוש לרעה בכרטיס, חברת האשראי מזכה את הלקוח גם באופן רטרואקטיבי. חשוב לדעת שהחוק לא מגביל את פרק הזמן שאפשר להכחיש את העסקה, אבל משית השתתפות עצמית שהולכת וגדלה ככל שהזמן חולף מרגע ביצוע העסקה ועד ההכחשה.
חשוב להדגיש: לפי החוק, צריך להתבצע שימוש לרעה, ושלא היה אלמנט של העברת הפרטים שנדרשו כדי לבצע את העסקה לצד ג'. "כלומר, אם נתת לי את הכרטיס שלך כדי להביא לך פיצה, ובמקום זה הלכתי לחנות שעונים וקניתי לי רלוקס, לא תהיי מוגנת מול חברת האשראי. אבל אם לא מסרת לי את פרטי הכרטיס ועשיתי בו עסקה, תהיי מוגנת".
לכן גם חשוב כל כך לא למסור את קוד ה-OTP: "מי שמוסר את הקוד לצד ג' מאשר לו למעשה לבצע את העסקה, ולכן אחריות חברות האשראי עליה לא מוחלטת. במקרים האלה לרוב החברות לא מזכות, והלקוח עלול להידרש לשאת בנזק הכספי".
צעד אחד לפנינו: מה חברות האשראי עושות כדי להגן עלינו?
לדברי בן יוסף, את רוב מקרי ההונאות חברות האשראי מזהות עוד לפנינו. "חברות האשראי מחזיקות מערכות ניטור מתוחכמות ומורכבות כדי להילחם בהונאות. אנחנו מנטרים את כל הפעילות בכל כרטיסי האשראי, 24/7, 365 ימים בשנה. מדובר במיליארדי עסקאות ותנועות נוספות שמתבצעות בישראל כל שנה – כולן מנוטרות על ידי חברות האשראי".
בן יוסף מסביר שהחשד של חברות האשראי מתעורר לא רק כשמתבצעות עסקאות בסכומים גבוהים: "זה קשור להמון פרמטרים משוקללים שמגיעים אלינו, למשל גידול חד בווליומים העסקיים בכרטיס מסוים, או בבית עסק בארץ או בחו"ל. אנחנו מזהים את רוב המקרים, עוצרים אותם ויוצרים קשר עם הלקוחות".
בשורה התחתונה, לדברי בן יוסף אין שום סיבה להימנע מעסקאות אשראי טלפוניות, או מלמסור בהן את 3 הספרות שבצד האחורי של הכרטיס. "בכל סוגי העסקאות באשראי, אין סיבה להימנע ואין סיבה לחשוש", הוא אומר, "הכללים שצריך לשמור עליהם הם מודעות, היגיון בריא, לנשום עמוק, ולקרוא היטב את המסרונים ששולחים מחברת האשראי ומהבנק", מסכם בן יוסף.