Byliśmy w hotelu. Rezerwacja przez booking z podaniem danych karty
kredytowej A. Płatność przedostatniego dnia pobytu kartą B (inną, bo
wiecie...) na miejscu.

Ostatniego dnia o 7:01 budzi mnie telefonik komunikatem "nieudana
płatność kartą A na kwotę xxxx, podaj poprawny kod CVV".

Kwota co do rzędu wielkości podobna do tej za pokój, ale inna.

WTF?

Lecę do recepcji, a tam panie się bardzo sumitują i przepraszają i dają
mi na dowód kwitek z terminala z odmową. I że "inny klient też
rezerwował przez booking i się pomyliły".

WTF? Co one zrobiły? Dostały od bookingu numer karty wraz z
(nieaktualnym) kodem cvv i wbiły to w terminal bez obecności karty? I
trzeba wtedy podawać cvv? Ale to przecież bez sensu jest, bo ten kod
dawno wygasł.

Wydawało mi się, że procedura "podaję dane karty a hotel potem obciąża
na ile zechce" to jakoś inaczej wygląda, że autoryzacja jest przy
rezerwacji a potem to już przechodzi "samo"...

MJ

do góry

W dniu 22.08.2025 o 23:19, Michał Jankowski pisze:
> WTF? Co one zrobiły? Dostały od bookingu numer karty wraz z
> (nieaktualnym) kodem cvv i wbiły to w terminal bez obecności karty? I
> trzeba wtedy podawać cvv? Ale to przecież bez sensu jest, bo ten kod
> dawno wygasł.

Wydaje mi się, że wraz z numerem karty nie jest jawnie przesyłany kod
CVV. Bo jakby był, to by głębszego sensu to nie miało. Ten kod ma na
celu upewnienie się przez akceptanta, że podający dane karty ma ją
fizycznie w ręku.

Ja na Twoim miejscu powiadomiłbym o zaistniałej sytuacji Twój bank. Bo
in concreto w sumie nic się nie stało i zadziałało zabezpieczenie w
postaci kodu CVV, ale osobiście PODEJRZEWAM, że one sobie podpatrzyły
kod CVV z Twojej karty, jak płaciłeś na miejscu w hotelu, tylko nie
ogarnęły, że karta ma inny numer i próbowały obciążyć kartę z tym kodem
z drugiej karty. Ale to mój domysł. W terminalu podaje się PIN, a nie
kod CVV.

Sądzę, że w wielu wypadkach może się to udać, bo ludzie niezbyt uważnie
śledzą wyciągi z karty i rachunków. Oczywiście jeszcze jest druga
możliwość, że skopiowały z systemu przez schowek numer karty (ale
niewłaściwego klienta) i wklepały kod CVV z karty tamtego klienta.
Czasem dostaje informacje o nieudanym logowaniu do różnych serwisów i to
najczęściej jest skutek jakiejś literówki przez kogoś, kto próbuje się
zalogować swoim hasłem do swojego konta, ale wpisze nazwę z literówką i
to akurat moja nazwa.
--
(~) Robert Tomasik

do góry

Michał Jankowski <m...@f...edu.pl> writes:

> WTF? Co one zrobiły? Dostały od bookingu numer karty wraz z
> (nieaktualnym) kodem cvv i wbiły to w terminal bez obecności karty?

I booking udostępnia komuś kod CVV (CVV2, jak rozumiem)? Naprawdę?
Podejrzane. IMHO albo booking sam obciąża kartę (i wtedy na wyciągu jest
np. booking cośtam NL), albo płaci się hotelowi na miejscu.

> I
> trzeba wtedy podawać cvv? Ale to przecież bez sensu jest, bo ten kod
> dawno wygasł.

To to nie wiem, w przypadku "normalnych" kart CVV2 jest raczej stały.

> Wydawało mi się, że procedura "podaję dane karty a hotel potem obciąża
> na ile zechce" to jakoś inaczej wygląda, że autoryzacja jest przy
> rezerwacji a potem to już przechodzi "samo"...

A to też.
--
Krzysztof Hałasa

do góry

Robert Tomasik <r...@g...pl> writes:

> Wydaje mi się, że wraz z numerem karty nie jest jawnie przesyłany kod
> CVV. Bo jakby był, to by głębszego sensu to nie miało. Ten kod ma na
> celu upewnienie się przez akceptanta, że podający dane karty ma ją
> fizycznie w ręku.

No ale jest przesyłany, jak się nie zgadza, to jest odmowa, i właśnie
tak akceptant się "upewnia".

> osobiście PODEJRZEWAM, że one sobie podpatrzyły
> kod CVV z Twojej karty, jak płaciłeś na miejscu w hotelu, tylko nie
> ogarnęły, że karta ma inny numer i próbowały obciążyć kartę z tym
> kodem z drugiej karty. Ale to mój domysł.

Mogło tak być.

> W terminalu podaje się PIN, a nie kod CVV.

Może być CVV2, jeśli to transakcja zdalna.
Z tym, że sprzedawcy nie wolno takich rzeczy robić.
Ani pewnie w ogóle nie potrzebuje tego robić.

> Sądzę, że w wielu wypadkach może się to udać, bo ludzie niezbyt
> uważnie śledzą wyciągi z karty i rachunków. Oczywiście jeszcze jest
> druga możliwość, że skopiowały z systemu przez schowek numer karty
> (ale niewłaściwego klienta) i wklepały kod CVV z karty tamtego
> klienta.

Tak czy owak, nie powinny tego kodu w ogóle mieć. Teoretycznie, jakby
im np. acquirer to wykrył, to potem mogłyby mieć problemy z jakąkolwiek
akceptacją kart w ogóle.
--
Krzysztof Hałasa

do góry

On Fri, 22 Aug 2025, Michał Jankowski wrote:

> WTF? Co one zrobiły? Dostały od bookingu numer karty wraz z (nieaktualnym)
> kodem cvv i wbiły to w terminal bez obecności karty? I trzeba wtedy podawać
> cvv? Ale to przecież bez sensu jest, bo ten kod dawno wygasł.

W twojej karcie ze zmiennym cvc2 wygasł - ale żadna z moich obecnie chyba
17 kart nie ma zmiennego cvv2/cvc2, więc by przeszło.

> Wydawało mi się, że procedura "podaję dane karty a hotel potem obciąża na ile
> zechce" to jakoś inaczej wygląda, że autoryzacja jest przy rezerwacji a potem
> to już przechodzi "samo"...

W sumie to w hotelu kartą nigdy nie płaciłem, a już nie pamiętam
szczegółów, jak to było, jak małżonka rezerwowała na bookingu noclegi w
Londynie. Chyba tam płaciła tą samą kartą, co używała do rezerwacji, ale
chyba po prostu płaciła w terminalu, żadne tam CNP.

Bo tu nawet nie pójdzie taki typ transakcji jak np. w tankomatach -
najpierw jest autoryzacja na "odblokowującą" czy też "deklarowaną" kwotę -
i tylko przy tej autoryzacji jest łączność "na bieżąco" z bankiem i
blokada - a po zakończeniu tankowania jest tzw. "dopełnienie" - transakcja
offline na dokładną kwotę sprzedaży - i to idzie do aquirera dopiero przy
"zamknięciu dnia" wieczorem.

Oczywiście to, że są jeszcze jakieś "zamknięcia dnia" to anachronizm z
czasów terminali dial-upowch i porządnych kart offline, a nie jakiś tam
debetówek. Ale jest tak nadal.

Hmmm, chociaż też nie wiem, czy można zrobić sekwencję "autoryzacja" -
"zamknięcie dnia" - "dopełnienie" - OIDP były z tym spore kłopoty w
naszych terminalach i nawet byli tacy cfaniacy, co to odkryli i specjalnie
przyjeżdżali tankować w okolicy 23:00, bo jak zrobili preautoryzację przed
zamknięciem dnia, a dopełnienie po - to im karty ostatecznie nie
obciążało. Ale chyba to jakoś w końcu rozwiązano.
A przecież w hotelu też - chyba - daje się kartę przy przyjeździe, a potem
już tylko oddajesz klucz - i obciążają na tyle, ile byłeś plus ewentualne
dodatki z kredytu czy też korzystania z mini-baru.

Ale przy rezerwacji przez booking jest inaczej - chyba żę hotel ma z nimi
umowę również na obsługę płatności.
Ale jeśli hotel sam robi płatność CNP na własnym terminalu, a booking
podaje im numer karty, datę ważności oraz CVV2/CVC2, które dostał podczas
rezerwowania, to może być to grube nadużycie.

To chyba jednak wolę z bookingu nie korzystać.
Choć obsługiwać płatności jakoś chyba muszą - przecież tam są nie tylko
hotele, ale i "kwatery prywatne", czyli najem krótkoterminowy.
Gro tego jest obsługiwane przez firmy, z którymi ma się takie dziwne umowy
- ty im wynajmujesz mieszkanie, a oni ci płacą za to np. 82% tego, co
dostaną za podnajmowanie go innym minus dużo różnych innych pozycji, m.in.
np. prowizji dla bookingu czy innego air b'n'b - a to podobno jest 12%,
oczywiście też sprzątanie, zużycie pościeli itp.
Ale są też chyba ludzie, którzy wynajmują bez tych firm i jakoś im trzeba
zapłacić - no chyba że mają działalność i swoje terminale, ale wtedy albo
trzeba się z wynajmującym spotkać albo musi podać dane karty do CNP, albo
zapłacić z góry przelewem - albo pewnie blikiem na telefon.

Ja raz miałem z hotelem akcję z płaceniem - jak my zapłaciliśmy biuru
turystycznemu, a oni podawali hotelom dane swojej karty.
Wtedy pani w recepcji robiła CNP - bardzo ciekawą opcję "fax order" -
tylko nieciekawie było, jak jej nie chciał przejść na raz 500 euro, a był
akurat oczywiście piątek wieczór, bo jak inaczej. Na szczęście potem
spróbowała jeszcze raz i 300 euro oraz 200 euro poszło.

do góry

Dawid Andrzej Rutkowski <d...@w...pl> writes:

> Bo tu nawet nie pójdzie taki typ transakcji jak np. w tankomatach -
> najpierw jest autoryzacja na "odblokowującą" czy też "deklarowaną"
> kwotę - i tylko przy tej autoryzacji jest łączność "na bieżąco" z
> bankiem i blokada - a po zakończeniu tankowania jest tzw.
> "dopełnienie" - transakcja offline na dokładną kwotę sprzedaży - i to
> idzie do aquirera dopiero przy "zamknięciu dnia" wieczorem.

A czemu ma nie pójść?

> Hmmm, chociaż też nie wiem, czy można zrobić sekwencję "autoryzacja" -
> "zamknięcie dnia" - "dopełnienie" - OIDP były z tym spore kłopoty w
> naszych terminalach i nawet byli tacy cfaniacy, co to odkryli i
> specjalnie przyjeżdżali tankować w okolicy 23:00, bo jak zrobili
> preautoryzację przed zamknięciem dnia, a dopełnienie po - to im karty
> ostatecznie nie obciążało. Ale chyba to jakoś w końcu rozwiązano.

No ale to problem jakiegoś konkretnego czegoś, nie ogólny. W kartach
w ogóle nie ma czegoś takiego jak "zamknięcie dnia" (w ogólnym
przypadku).

> Choć obsługiwać płatności jakoś chyba muszą - przecież tam są nie
> tylko hotele, ale i "kwatery prywatne", czyli najem krótkoterminowy.

Klient płaci, booking odlicza sobie swoją działkę, a resztę płaci
np. przelewem hotelowi itp.
--
Krzysztof Hałasa

do góry

W dniu 23.08.2025 o 21:56, Dawid Andrzej Rutkowski pisze:
> On Fri, 22 Aug 2025, Michał Jankowski wrote:
>
>> WTF? Co one zrobiły? Dostały od bookingu numer karty wraz z
>> (nieaktualnym) kodem cvv i wbiły to w terminal bez obecności karty? I
>> trzeba wtedy podawać cvv? Ale to przecież bez sensu jest, bo ten kod
>> dawno wygasł.
>
> W twojej karcie ze zmiennym cvc2 wygasł - ale żadna z moich obecnie
> chyba 17 kart nie ma zmiennego cvv2/cvc2, więc by przeszło.

Może inaczej powiem - ten kod mógł wygasnąć. No i chyba skarbonka nie
jest jedynym bankiem ze zmiennym kodem, więc booking powinien to
wiedzieć. Jeżeli oni zapisują sobie kody do użycia na później, to żadnej
karty ze zmiennym kodem nie obciążą.

Myślałem, że to działa jak w allegro, paypalu czy subskrypcjach - raz
podaję numer/datę/kod, oni to weryfikują, a kolejne płatności idą bez
autoryzacji.

>
>> Wydawało mi się, że procedura "podaję dane karty a hotel potem obciąża
>> na ile zechce" to jakoś inaczej wygląda, że autoryzacja jest przy
>> rezerwacji a potem to już przechodzi "samo"...
>
> W sumie to w hotelu kartą nigdy nie płaciłem, a już nie pamiętam
> szczegółów, jak to było, jak małżonka rezerwowała na bookingu noclegi w
> Londynie. Chyba tam płaciła tą samą kartą, co używała do rezerwacji, ale
> chyba po prostu płaciła w terminalu, żadne tam CNP.

W kwitach z bookingu mam "płatność w hotelu", ale zarazem trzeba było
podać kartę i "zagwarantowano rezerwację za pomocą karty kredytowej"
oraz "w razie odwołania po terminie XXX zostaniesz obciążony".

> Ale przy rezerwacji przez booking jest inaczej - chyba żę hotel ma z
> nimi umowę również na obsługę płatności.
> Ale jeśli hotel sam robi płatność CNP na własnym terminalu, a booking
> podaje im numer karty, datę ważności oraz CVV2/CVC2, które dostał
> podczas rezerwowania, to może być to grube nadużycie.

Z całą pewnością pani miała numer karty od bookingu, bo - z wiadomych
grupie powodów - na miejscu płaciłem inną kartą. Czy użyła cvv takiego
jak podałem przy autoryzowaniu w bookingu nie wiem i wiedzieć nie mogę,
dostałem tylko powiadomienie w stylu "użyj poprawnego cvv", i nawet nie
mogę przeczytać jeszcze raz, bo po kliknięciu powiadomienie znikło, a w
aplikacji nic nie ma. Ale chyba takiego, bo niby jakiego?

Ale niech mi ktoś potwierdzi - czy przy operacjach CNP ze wstukaniem
numeru karty na terminalu faktycznie się wstukuje ten kod? Pewnie tak...

MJ

do góry

W dniu 23.08.2025 o 18:58, Krzysztof Hałasa pisze:

>> Wydaje mi się, że wraz z numerem karty nie jest jawnie przesyłany kod
>> CVV. Bo jakby był, to by głębszego sensu to nie miało. Ten kod ma na
>> celu upewnienie się przez akceptanta, że podający dane karty ma ją
>> fizycznie w ręku.
> No ale jest przesyłany, jak się nie zgadza, to jest odmowa, i właśnie
> tak akceptant się "upewnia".

Wydaje mi się, że on nie jest przesyłany do hotelu, tylko do akceptanta.
Inaczej nie byłoby sensu tego CVV w ogóle tworzyć.>
>> osobiście PODEJRZEWAM, że one sobie podpatrzyły
>> kod CVV z Twojej karty, jak płaciłeś na miejscu w hotelu, tylko nie
>> ogarnęły, że karta ma inny numer i próbowały obciążyć kartę z tym
>> kodem z drugiej karty. Ale to mój domysł.
> Mogło tak być.
>> W terminalu podaje się PIN, a nie kod CVV.
> Może być CVV2, jeśli to transakcja zdalna.
> Z tym, że sprzedawcy nie wolno takich rzeczy robić.
> Ani pewnie w ogóle nie potrzebuje tego robić.

Ale jeśli transakcja jest bez fizycznej obecności karty, to właściciel
karty składa reklamację i środki wracają na jego rachunek. Tylko spora
część ludzi tych wyciągów nie pilnuje. >
>> Sądzę, że w wielu wypadkach może się to udać, bo ludzie niezbyt
>> uważnie śledzą wyciągi z karty i rachunków. Oczywiście jeszcze jest
>> druga możliwość, że skopiowały z systemu przez schowek numer karty
>> (ale niewłaściwego klienta) i wklepały kod CVV z karty tamtego
>> klienta.
> Tak czy owak, nie powinny tego kodu w ogóle mieć. Teoretycznie, jakby
> im np. acquirer to wykrył, to potem mogłyby mieć problemy z jakąkolwiek
> akceptacją kart w ogóle.

Tu jeszcze dochodzi sytuacja, że kod CVV wpisał klient, bo nie zauważył,
ze ne jego numer karty jest wklepany :-) Tak, czy siak ja bym złożył
reklamację z prośbą o wyjaśnienie zaistniałej sytuacji, bo to dość
niepokojące akurat jest w tym wypadku.
--
(~) Robert Tomasik

do góry

W dniu 23.08.2025 o 21:56, Dawid Andrzej Rutkowski pisze:
> Ale jeśli hotel sam robi płatność CNP na własnym terminalu, a booking
> podaje im numer karty, datę ważności oraz CVV2/CVC2, które dostał
> podczas rezerwowania, to może być to grube nadużycie.

Bardzo dawno z bookingu nie korzystałem, ale wydaje mi się, że to nie
działa tak, ze biorą jawnie dane karty i wysyłają do hotelu, by sobie
hotel to wpisał w terminal.

Ja płaciłem ostatnio chyba PayPalem albo BLIKiem. Na pewno im kodu CVV
nie podawałem. Ale to było w Polsce. Może za granicą inaczej działa.
--
(~) Robert Tomasik

do góry

W dniu 23.08.2025 o 22:37, Krzysztof Hałasa pisze:
>> Hmmm, chociaż też nie wiem, czy można zrobić sekwencję "autoryzacja" -
>> "zamknięcie dnia" - "dopełnienie" - OIDP były z tym spore kłopoty w
>> naszych terminalach i nawet byli tacy cfaniacy, co to odkryli i
>> specjalnie przyjeżdżali tankować w okolicy 23:00, bo jak zrobili
>> preautoryzację przed zamknięciem dnia, a dopełnienie po - to im karty
>> ostatecznie nie obciążało. Ale chyba to jakoś w końcu rozwiązano.
> No ale to problem jakiegoś konkretnego czegoś, nie ogólny. W kartach
> w ogóle nie ma czegoś takiego jak "zamknięcie dnia" (w ogólnym
> przypadku).

Ale i płatność nie następuje momentalnie. Ostatnio kolega w sklepie mnie
prosił, bym, zapłacił BLIKiem, bo wówczas pieniądze mają od razu. Jak
zapłacę kartą, to za tydzień. >
>> Choć obsługiwać płatności jakoś chyba muszą - przecież tam są nie
>> tylko hotele, ale i "kwatery prywatne", czyli najem krótkoterminowy.
> Klient płaci, booking odlicza sobie swoją działkę, a resztę płaci
> np. przelewem hotelowi itp.

No właśnie i jestem pewien, ze nie odbywa się to tak, że wysyłają do
hotelu dane, by oni sobie coś tam wklepywali do terminala.
--
(~) Robert Tomasik

do góry