Fraude contre escroquerie : qui est responsable de la cybercriminalité ? (Ketharaman Swaminathan)

Nous avons pris l'exemple suivant d'un cybercrime dans
Pourquoi est-il difficile d'attraper les cybercriminels ?

Joe utilise un paiement numérique pour acheter quelque chose à Jane et n'obtient pas ce qu'il a commandé.

Dans ce contexte, le paiement numérique est tout RTP A2A comme UPI (Inde), FPS (Royaume-Uni) ou Zelle (États-Unis).

(Pour les non-initiés, A2A RTP signifie Paiement en temps réel de compte à compte, où l'argent passe du compte bancaire de l'expéditeur au compte bancaire du destinataire en temps quasi réel.)

Nous avons alors vu pourquoi il était difficile d'attraper le cybercriminel.

Dans cette deuxième partie, nous examinerons qui est responsable de la cybercriminalité.

----

La cybercriminalité va au-delà de la nature anonyme des espèces et de la nature non anonyme des paiements numériques. C'est parce que:

• Les transactions en espèces ne peuvent pas se faire à distance. Alors, Joe doit rencontrer Jane en personne pour lui remettre l'argent. Alors que l'argent est un MOP anonyme, Joe connaît l'identité de Jane. De plus, si la rencontre a lieu dans un lieu public, Jane est capturée dans de nombreux
  Flux CCTV.
• Le paiement numérique introduit de nombreux intermédiaires tels que Payor Bank, Payee Bank, Scheme Operator, etc. Bien que ces entités respectent la loi, ce n'est pas comme si les lois liées à cette arnaque spécifique étaient les seules lois par lesquelles elles sont régies.

Comme nous pouvons le voir, dans le contexte de la cybercriminalité, l'argent liquide n'est pas si anonyme, et la nature non anonyme des paiements numériques n'est pas du tout utile pour résoudre les cybercrimes commis via un RTP A2A.

----

En faisant référence à Jane, j'ai préfixé le terme "arnaqueur" par "présumé". C'est pour les raisons suivantes :

1. Dans toute nation citoyenne, Jane est innocente jusqu'à ce qu'elle soit jugée et déclarée coupable par un tribunal.
2. Quelle est la garantie que la victime présumée Joe dit la vérité ? Imaginez un client qui vous paie pour le travail que vous avez effectué pour lui, puis développe une dissonance cognitive / remords de l'acheteur, approche la cyberpolice et dépose une plainte pour fraude contre vous ? Sera
   vous vous séparez de l'argent facilement ?? (Dans un paiement par carte de crédit, cela s'appellerait "fraude de première partie" mais, pour des raisons que nous verrons bientôt, ce terme n'existe pas dans A2A RTP.)

----

Le voleur est évidemment coupable de cybercriminalité. Mais, comme nous l'avons vu plus tôt, il n'est pas facile de l'attraper.

Ergo c'est la nature humaine - et le principe fondateur de la soi-disant
« ivre sous un lampadaire » règlement - pour le coller à quelqu'un d'autre qui peut être facilement attrapé.

En Inde, en indignation sur les réseaux sociaux, le garçon qui fouette les animaux de compagnie est la Payee Bank. Les gens veulent tenir la banque de Jane responsable au motif qu'elle a ouvert un compte au nom de l'escroc présumé malgré le KYC. Ils semblent supposer que KYC est
attestation de caractère. Mais ce n'est pas. Tant que vous produisez les documents KYC nécessaires, une banque n'est pas tenue de vérifier votre personnage avant d'ouvrir un compte à votre nom (pas de conseil juridique.)

En fait, les banques accordent des prêts même aux criminels condamnés et on ne peut pas s'attendre à ce qu'elles refusent un compte bancaire de base à un criminel présumé comme Jane (pas un avis juridique.)

Au Royaume-Uni, dans une crise de populisme (OMI), le régulateur a ordonné aux banques (payeuses) de rembourser toutes les victimes. Les banques ont dit non et rejeté 90 % des demandes. Au plus fort de l'hystérie, le régulateur du système de paiement a voulu appeler cela une question de sécurité nationale.
Les choses se sont refroidies maintenant.

Aux États-Unis, le payeur est livré à lui-même contre le cybervol.

La logique « ivre sous un lampadaire » s'effondre dans le cas de la cybercriminalité car elle implique un certain nombre de parties autres que des banques telles que la société de télécommunications qui fournit la connectivité mobile à Alleged Scammer, la compagnie d'électricité qui fournit l'électricité.
avec lequel l'escroc présumé a chargé son téléphone, et ainsi de suite.

Il est évidemment impossible de tenir l'un d'entre eux coupable.

De la même manière, cela n'a aucun sens de tenir les banques responsables non plus.

Je suis conscient que les banques, les opérateurs de transfert d'argent et de nombreuses autres institutions financières sont tenus par la loi dans de nombreuses juridictions de bloquer les paiements liés au terrorisme et de déposer un rapport d'activité suspecte (SAR) / un rapport de transaction suspecte (STR) pour le terrorisme
opérations connexes. Ils s'acquittent de cette responsabilité en utilisant un logiciel de filtrage des sanctions et les bases de données du GAFI. Mais je ne vois aucun moyen pour eux de bloquer les transferts de fonds liés à toutes sortes de crimes, y compris les escroqueries APP.

J'aurais aimé qu'il y ait une façon plus agréable de le dire, mais le payeur est inévitablement la seule personne qui détient encore le pot pour un cybervol effectué via A2A RTP. Au moins jusqu'à ce que les flics attrapent le bénéficiaire et lui récupèrent l'argent après une procédure judiciaire régulière.

« Zelle rend ce point explicite. Le RTP A1A n ° 2 des États-Unis avertit les gens de ne pas utiliser Zelle pour effectuer des paiements à des personnes qu'ils ne connaissent pas ou en qui ils ne font pas confiance. Les consommateurs ne doivent utiliser Zelle® que pour envoyer et recevoir de l'argent avec des amis, de la famille et des entreprises qu'ils connaissent et
confiance (Identifier) "

Zelle fait également une distinction claire entre Surveillance et de
Arnaque.

• La fraude est un paiement non autorisé, c'est-à-dire lorsque quelqu'un a volé votre carte d'identité / vos identifiants bancaires / vos informations de carte de crédit et a effectué un paiement sans votre autorisation.
• L'escroquerie est un paiement autorisé, c'est-à-dire lorsque l'escroc a effectué le paiement mais à la mauvaise personne ou dans le mauvais but ou les deux.

Bien que Joe puisse se sentir victime d'une fraude, techniquement il n'y a pas de fraude - c'est une arnaque.

Zelle mentionne clairement que le payeur peut ne pas être en mesure de récupérer son argent en cas d'arnaque.

Alors que le New York Times fait une tentative boiteuse de s'en tenir aux banques dans un récent
article, j'ai trouvé le commentaire suivant approprié:

«Zelle est de l'argent. Si vous confiez votre argent à un fraudeur, c'est votre problème. Ne vous attendez pas à ce que des utilisateurs moins stupides subventionnent efficacement vos erreurs en rejetant la responsabilité sur les banques, leurs clients responsables et leurs actionnaires. Lorsque vous appuyez sur envoyer,
vous avez débloqué l'argent. C'est ça. C'est pourquoi vous devez faire un choix DEUX FOIS. Si vous ne vous faites pas confiance pour gérer vos finances, faites-vous aider.

Aussi dur que cela puisse paraître, il est difficile de ne pas être d'accord avec ce sentiment.

Mes 0.02 $ non sollicités à d'autres régulateurs et opérateurs de systèmes :

Utilisez le playbook Zelle pour indiquer clairement que le payeur est propriétaire des escroqueries A2A RTP.

L'exception à ce qui précède est quelques banques payeuses comme Lloyds Bank qui remboursent presque tous leurs clients qui souffrent d'APP Scam.

----

Si Joe avait effectué le paiement ci-dessus avec une carte de crédit, il aurait récupéré son argent assez facilement.

La carte de crédit offre un large éventail de protections aux consommateurs :

• Fraude ou paiement non autorisé : quelqu'un d'autre utilise ma carte de crédit pour effectuer des achats pour lui-même.
• Scam aka Authorized Payment : J'utilise ma carte de crédit pour effectuer un achat. Je ne reçois pas le produit.
• Carence de service : J'utilise ma carte de crédit pour effectuer un achat. Je reçois le produit. Mais cela ne fonctionne pas comme annoncé.

Selon les règles du réseau de cartes de crédit, lorsque Joe contacte sa banque après s'être rendu compte qu'il a été victime d'une arnaque, sa banque doit annuler ses frais, en attendant une enquête de rétrofacturation / litige. Dans certaines juridictions (par exemple, les États-Unis), le processus est assez transparent,
et Joe récupérera son argent en un seul appel. Dans certains autres pays (par exemple, l'Inde), qui utilisent 2FA pour les paiements par carte de crédit, la banque repoussera le titulaire de la carte de crédit en disant "vous seul connaissez le code PIN / OTP, vous devez donc uniquement avoir effectué le paiement". Cependant, même
sur ces marchés, Joe finira par récupérer son argent, juste que cela demandera plus d'efforts qu'un simple appel.

Le meilleur moyen pour les consommateurs de se protéger des escroqueries et des fraudes est de payer par carte de crédit.

Si cela n'est pas possible pour quelque raison que ce soit, les consommateurs doivent faire preuve d'une extrême prudence lorsqu'ils initient un paiement avec UPI, FPS, Zelle ou tout autre RTP A2A. Comme nous l'avons vu, une fois que vous envoyez de l'argent depuis votre compte bancaire avec un RTP A2A, c'est extrêmement difficile
pour le récupérer. Mieux vaut prévenir que guérir, et tout ça…

----

L'homme ordinaire pourrait avoir envie de la méthode de paiement A2A RTP pour prendre en charge le même degré de protection contre les escroqueries et la fraude que la carte de crédit. Mais c'est comme s'attendre à ce qu'un Maruti 800 soit une BMW.

Comme je l'expliquerai dans un article suivant, la protection Scam / Fraud est une fonctionnalité de la carte de crédit mais un bogue dans A2A. Malheureusement pour les utilisateurs d'A2A RTP, il n'est pas facile de corriger le bogue sans aliéner les commerçants et menacer l'existence même du mode de paiement.
elle-même.