New York Başsavcılığı’nın kararı Geçen hafta Citibank’a dava açıldı Dolandırıcılık kurbanı olan müşterilere yapılan ödemelerin geri ödenmemesi, iş dünyası için Citibank’ın ötesine geçen bazı ilginç sorunların ortaya çıkmasına neden oldu. Spesifik olarak, bir müşteriye dolandırıcılık nedeniyle ne zaman tazminat ödenmelidir ve hangi noktada müşterinin kendi eylemleri devreye girmektedir?
Açıkça söylemek gerekirse, finansal kurumlar Müşterilere geri ödeme yapmayı rutin olarak reddetmek yanlış hiçbir şey yapmayanlar. Çok daha zor olan konu, müşterinin gerçekten yanlış bir şey yapmasıdır.
Üç senaryoyu düşünün:
- Bir müşteri, sözde finans kurumundan bir telefon alır; arayan kişi bir dolandırıcılığı araştırdıklarını söylüyor ve müşteriden onay kodunu açıklamasını istiyor (neredeyse her zaman şifrelenmemiş bir SMS metni, hiçbir işin yapmaması gereken bir SMS, ama konudan sapıyorum). “Sizden asla şifrenizi istemeyeceğiz” satırının aksine, birçok kuruluş, müşterinin iddia ettiği kişi olduğunu “doğrulamak” için mutlaka müşteriden bu kodu açıklamasını isteyecektir. Bu nedenle alışılmadık bir istek değil.
- Müşteri, para çekmek üzereyken ATM’nin önünde dururken, yanında birisi durup kafasına silah doğrultuyor ve “Bana 5.000 dolar ver, yoksa seni öldürürüm” diyor.
- Müşteri, ameliyat için paraya ihtiyacı olduğunu söyleyen bir akrabası tarafından dolandırılıyor. Kişi parayı hesabından çekerek yakınına teslim eder.
Üçü de o müşteriye karşı yapılan dolandırıcılıklardır. Finans kuruluşunun senaryo 3 kapsamında fonları iade etmesi gerekiyor mu? Peki ya senaryo 2?
Birçok finans kurumu, müşterinin kurallara sıkı sıkıya uymaması durumunda tazminat ödeme yükümlülüğünün olmadığını söylüyor. Peki ya birinci senaryodaki müşteri arayanın kendi bankasından olduğuna gerçekten inanırsa? Bunun geri ödeme kararında bir rolü olmalı mı?
Bu tür bir dolandırıcılık tazminatı kararı tüm işletmeleri etkileyebilir. Bir kamu hizmeti sağlayıcısının, perakendecinin, otelin veya araba satıcısının dolandırıcılar yüzünden dolandırılan müşterileri varsa, geri ödeme yükümlülüğü nerede başlar ve biter?
New York vakası, finansal kurumların müşteri geri ödemelerinden kaçınmak için banka havaleleriyle ilgili belirsiz ve güncelliğini yitirmiş kurallar kullandığına işaret ediyor. (Bu banka kuralları, mobil ve çevrimiçi para transferlerinin yaygınlaşmasından çok önce yazılmıştı.)
AG’nin yasal başvurusunda, “Citi, bankadan bankaya havaleler için dar ama uygulanamaz bir istisnayı öne sürerek, dolandırıcılar tarafından elektronik olarak başlatılan kendi yetkisiz EFT’lerine EFTA’yı (1978 Elektronik Fon Transferi Yasası) uygulamamaktadır” denildi. “Citi aynı zamanda en sağlam doğrulama prosedürlerini Ödeme Emirlerine de uygulamıyor Aynı hesapları içeren ödeme emirlerinin reddedilmesinden birkaç dakika sonra alınır. Bazen Citi’nin sahte Ödeme Emirlerini, bu siparişleri doğrudan doğrulayamadıktan sonra iptal eder; Citi, dolandırıcıların yanlış bilgi vermesi nedeniyle tüketicilerle doğrudan iletişime geçemiyor iletişime geçtiğinizde.
“Ancak dolandırıcılar dakikalar sonra aynı yöntemi kullanarak yeni Ödeme Talimatları gönderdiğinde aynı tutarlara ilişkin olduğundan, herhangi bir ayrıntılı inceleme uygulanmaz. Tam tersine, bazen Citi sonraki sahte Ödeme Emirleri için daha zayıf doğrulama prosedürleri kullanıyor.”
Daha da önemlisi, dosyada Citi’nin bir dolandırıcılık bildirildiğinde anlamlı soruşturmalar yürütmediği belirtiliyordu. Ve bir saldırı olduğunu öğrendiğinde dolandırıcılığı sona erdirmek için hesapları kilitlemez. Bunun yerine, müşterilerin yerel şubelere gelmesini sağlar, bu da saldırganlara daha fazla para çalmak ve fonları kolluk kuvvetlerinin erişiminden uzaklaştırmak için bolca zaman tanır.
Grant Thornton’un eski müdürü ve şu anda The Audient Group’un CEO’su olan Linda Miller şunları söyledi: “Bankalar hiçbir şekilde anlamlı bir şekilde sorumlu tutulmuyor. Dolandırıcılığı ciddiye almaya teşvik edilmiyorlar.”
Bunu düzeltmenin doğru yolu, müşterilerinin dolandırılmasından bankaların sorumlu olduğunu açıkça ortaya koyacak şekilde federal yasayı değiştirmektir. Ancak Miller bunun pek olası olmadığını söyledi.
Miller, “Bankalar bu yasaların değişmesinden pek endişe duymuyor çünkü çok güçlü bir lobi grupları var” dedi.
New York eyaleti başvurusunun tamamı (herkesin okumasını tavsiye ederim) bana göre taktiksel bir hata yapıyor. Geri ödemeden bahsediyor ama aynı zamanda Citi’nin kullandığı ve kullanmadığı belirli siber güvenlik mekanizmalarını da araştırıyor. İlgili olmasına rağmen bu aynı zamanda Citi’nin kullandığı korumalarla ilgili bunu yapmasına da olanak tanır. Daha sonra kullanılan savunmalar hakkında uzun uzun konuşabilir. Bu bir cevap değil, dikkat dağıtmadır.
New York’un tek odak noktası, finans kuruluşlarını dolandırıcılık nedeniyle müşterilere tam tazminat ödemeye zorlamak olmalıdır. Başka bir deyişle, eğer devlet daha iyi koruma talep etmeye odaklanırsa, finansal kurumlar muhtemelen ellerinden geleni yapacaktır. Devlet tüm dolandırıcılıkların tam olarak tazmin edilmesini sağlamaya odaklanırsa, bankalar ve kurumlar siber güvenliği kayıpları azaltmanın bir yolu olarak görecektir. O zaman uygun önlemleri alma olasılıkları daha yüksektir.
Bu bizi asıl soruya geri getiriyor: Ne zaman? meli Dolandırıcılık için bir işletme tazminatı mı? Bir müşterinin, değersiz bir çabaya ya da hileli bir işe vermek için kasıtlı ve kasıtlı olarak para çekmesi durumunda Şarlatan, sorumlu kurum mu? Peki ya onlar gerçekten Bir banka temsilcisiyle konuştuklarına mı inanıyorsun?
Bunu tersine çevirelim. Finansal kuruluşların haklı bir korkuları var. Tüm dolandırıcılıkların tazmin edilmesi gerekiyorsa, bunun sözde sahte dolandırıcılığı teşvik edeceğinden endişe ediyorlar. Bu, örneğin bir müşterinin, bir arkadaşının parasını denizaşırı bir banka hesabına transfer etmesini sağladığı yerdir; daha sonra müşteri dolandırıcılık iddiasında bulunur ve geri ödeme talep eder. Bu şekilde müşteriler paralarını ikiye katlayabilirler.
Kolay bir düzeltme var. Finansal kurumlar gerçekten de tüm dolandırıcılıkların karşılığını vermelidir. Daha sonra bir soruşturma yaparlar ve dolandırıcılığın sahte olduğuna inanırlarsa müşteriyi kolluk kuvvetlerine bildirin ve yetkililerin konuyla ilgilenmesine izin verin. Bu, bankanın “Müşteriler neden bir transferin hileli olduğunu iddia etmiyor?” sorusunu yanıtlıyor. Cevap şu olacaktır: “Çünkü hapse girmek istemiyorlar.”
Kurumların bir dolandırıcılık vakasının sahte olup olmadığını belirleme konusunda güçlü bir teşviki var. Polis, davaya bakmak zorunda olan savcılar veya savcıların yanı sıra, bir dolandırıcılık şikayetinin yanlışlıkla yalan olduğunu bulma konusunda çok daha az teşvike sahiptir. Davayı makul şüphenin ötesinde bir jüriye veya hakime kanıtlamaları gerekir. Bu işin böyle ele alınması gerekiyor.
Alternatif olarak kurumlar gerçek soruşturmalar yürütebilir, dolandırıcılığın ilk belirtisinde hesapları anında kilitleyebilir ve şüpheli etkinlikleri tespit edip engellemek için daha etkili mekanizmalar uygulayabilir.
Bunun kolay bir modeli var: ödeme kartı sistemleri (hem kredi kartı hem de banka kartı). Kart markaları (Visa, MasterCard, Amex, vb.) için bu kartları kullanan bankalar, olası dolandırıcılık faaliyetlerini anında tespit etme konusunda müthiş bir noktaya imza atıyor. İş ve tüketici hesaplarıyla ilgilenen meslektaşları neden aynısını yapamıyor?
Telif Hakkı © 2024 IDG Communications, Inc.