במקרים אחרים, כמו Chargebacks רגילים, שימוש בכרטיס גנוב שאינו קשור למערכות העסק, מחלוקת מסחרית עם לקוח או הונאה פיננסית שאינה נובעת מאירוע סייבר אצל המבוטח – ייתכן שהכיסוי יהיה מוגבל, מוחרג או שייך בכלל לפוליסת Crime / Fidelity ולא לפוליסת Cyber Insurance רגילה.
לכן השאלה הנכונה אינה רק “האם ביטוח סייבר מכסה הונאה בכרטיס אשראי?”, אלא איזה סוג אירוע התרחש, מה מקור ההונאה, איזה נזק נגרם, אילו הרחבות קיימות בפוליסה, ומהם החריגים, גבולות האחריות וההשתתפות העצמית.
העמוד הזה מיועד לבעלי עסקים, חברות eCommerce, חברות SaaS, חברות FinTech, חברות טכנולוגיה ועסקים שמקבלים תשלומים בכרטיסי אשראי, ורוצים להבין בצורה מקצועית מה לבדוק לפני שמניחים שאירוע מסוים מכוסה בביטוח סייבר.
מהי הונאה בכרטיס אשראי?
הונאה בכרטיס אשראי היא שם כללי למגוון רחב של מצבים שבהם נעשה שימוש בלתי מורשה או מטעה בכרטיס אשראי, בפרטי כרטיס, באמצעי תשלום דיגיטלי או במנגנון חיוב.
הונאת אשראי יכולה לכלול שימוש בכרטיס גנוב, גניבת פרטי אשראי, חיוב לא מורשה, Card-not-present fraud, עסקאות מזויפות, Chargebacks, הונאת סליקה, או פריצה למערכת שבה נשמרים או מעובדים נתוני תשלום.
מבחינה ביטוחית, חשוב להבין שלא כל אחד מהמצבים האלה נחשב בהכרח לאירוע סייבר. חלקם עשויים להיות קשורים לפוליסת סייבר, חלקם לפוליסת Crime / Fidelity, וחלקם עשויים להיחשב סיכון מסחרי או תפעולי שאינו מכוסה ללא הרחבה מתאימה.
למי הנושא רלוונטי?
הנושא רלוונטי במיוחד לעסקים וחברות שמקבלים, מעבדים או מנהלים תשלומים דיגיטליים.
בין היתר, מדובר בחברות eCommerce, חנויות אונליין, חברות SaaS, חברות FinTech, חברות טכנולוגיה, Marketplaces, עסקים עם פעילות B2C, חברות שמחוברות לספקי סליקה, חברות שמחזיקות מידע אישי או פיננסי של לקוחות, וסטארטאפים שפועלים מול לקוחות בארה״ב או באירופה.
הנושא רלוונטי גם למנכ״לים, CFO, יועצים משפטיים, מנהלי IT, מנהלי אבטחת מידע, מנהלי תפעול ומנהלי סיכונים, במיוחד כאשר החברה נדרשת להציג ביטוח סייבר בחוזה עם לקוח, ספק סליקה, משקיע או שותף עסקי.
למה הנושא מורכב יותר ממה שנראה בהתחלה?
המורכבות נובעת מכך שהמונח “הונאה בכרטיס אשראי” יכול לתאר אירועים שונים מאוד זה מזה.
לדוגמה, אם לקוח השתמש בכרטיס גנוב כדי לבצע רכישה באתר, ייתכן שמדובר בסיכון מסחרי של העסקה ולא באירוע סייבר במערכות החברה. לעומת זאת, אם פרטי אשראי של לקוחות נגנבו בעקבות פריצה למערכת החברה, ייתכן שמדובר באירוע Data Breach שמפעיל רכיבים מסוימים בפוליסת סייבר.
גם Chargeback אינו בהכרח אירוע סייבר. Chargeback יכול לנבוע ממחלוקת מסחרית, טענת לקוח, עסקה שלא סופקה או שימוש לא מורשה בכרטיס. במקרים כאלה יש לבדוק בזהירות האם מדובר בנזק ביטוחי, סיכון מסחרי, או אירוע שמוחרג בפוליסה.
בנוסף, יש להבחין בין First Party Loss נזק ישיר של החברה עצמה, כמו הוצאות חקירה, תגובה לאירוע או אובדן כספי לבין Third Party Liability, כלומר תביעה או דרישה מצד לקוח, ספק, רגולטור או צד שלישי אחר.
מתי הונאת אשראי עשויה להיות אירוע סייבר?
הונאת אשראי עשויה להיות רלוונטית לביטוח סייבר כאשר קיים קשר ברור בין ההונאה לבין אירוע דיגיטלי, אבטחתי או טכנולוגי אצל המבוטח.
דוגמאות אפשריות כוללות פריצה למערכות החברה, גניבת פרטי אשראי של לקוחות, גישה בלתי מורשית למערכת תשלומים, חשיפה של מידע אישי או פיננסי, אירוע Data Breach, פגיעה במערכת סליקה, או שימוש לא מורשה במערכות החברה לצורך ביצוע פעולות תשלום.
במצבים כאלה, פוליסת סייבר עשויה לכלול רכיבים רלוונטיים כמו Incident Response, Forensic Investigation, Notification Costs, ייעוץ משפטי לאירוע סייבר, Regulatory Investigation, אחריות צד שלישי, ולעיתים גם רכיבים הקשורים ל־PCI DSS או Cyber Crime, אם הם קיימים בפוליסה.
עם זאת, גם כאשר האירוע נראה כמו אירוע סייבר, הכיסוי תלוי בנוסח הפוליסה, בהרחבות שנרכשו, בחריגים, ב־ Sublimits, בגבולות האחריות, בדרישות החיתום ובאופן הדיווח למבטח.
מתי הונאת אשראי לא בהכרח מכוסה בביטוח סייבר?
הונאת אשראי לא בהכרח מכוסה בביטוח סייבר כאשר אין קשר מספק בין האירוע לבין מערכות החברה או אירוע סייבר אצל המבוטח.
לדוגמה, שימוש של צד שלישי בכרטיס אשראי גנוב באתר החברה אינו בהכרח אירוע סייבר של החברה. במקרים רבים, העסק עלול להתמודד עם Chargeback, ביטול עסקה או מחלוקת מול ספק סליקה, אך לא בהכרח עם תביעה ביטוחית מכוסה תחת פוליסת סייבר.
גם מחלוקת מסחרית עם לקוח, טענה לאי־אספקת מוצר, חיוב שנוי במחלוקת, או הונאה צרכנית שאינה נובעת מפריצה למערכות החברה אינם בהכרח אירוע Cyber Insurance.
בנוסף, אובדן כספי ישיר שנובע מהעברת כספים מרמתה, שינוי פרטי חשבון ספק, התחזות למנהל או הוראת תשלום מזויפת עשוי להיות רלוונטי יותר להרחבות Crime / Fidelity, Social Engineering Fraud או Funds Transfer Fraud, ולא בהכרח לכיסוי סייבר בסיסי.
ההבדל בין Cyber Insurance לבין Crime / Fidelity Insurance
Cyber Insurance מתמקד בדרך כלל באירועים הקשורים למערכות מידע, אבטחת מידע, חדירה למערכות, דלף מידע, שיבוש פעילות דיגיטלית, אחריות כלפי צדדים שלישיים והוצאות תגובה לאירוע סייבר.
Crime / Fidelity Insurance מתמקד יותר בהונאות כספיות, גניבה, מעילה, העברת כספים מרמתה, התחזות, Social Engineering, Fraudulent Instruction או Funds Transfer Fraud – בהתאם לנוסח הפוליסה.
בפועל, יש אזורים שבהם שני העולמות נפגשים. Business Email Compromise, למשל, יכול לכלול מרכיב סייבר, מרכיב של התחזות ומרכיב של העברת כספים. לכן חשוב לבדוק האם הפוליסה כוללת הרחבת Cyber Crime, האם קיימת פוליסת Crime נפרדת, ומה בדיוק מוגדר כאירוע מכוסה.
חברה שמקבלת תשלומים בכרטיסי אשראי, מנהלת חשבונות ספקים או פועלת מול לקוחות בינלאומיים צריכה לבדוק לא רק אם יש לה ביטוח סייבר, אלא גם האם הכיסוי מתאים לסיכוני ההונאה הכספיים שלה.
אילו סוגי ביטוח או כיסויים עשויים להיות רלוונטיים?
Cyber Insurance
ביטוח סייבר עשוי להיות רלוונטי כאשר האירוע קשור לפריצה, דלף מידע, שימוש בלתי מורשה במערכות, שיבוש פעילות דיגיטלית או חשיפה של מידע אישי ופיננסי.
Cyber Crime Extension
הרחבת Cyber Crime עשויה להיות רלוונטית כאשר יש מרכיב של הונאה פיננסית המתבצעת באמצעים דיגיטליים. לא בכל פוליסה הרחבה זו קיימת, ולעיתים היא כפופה לגבול אחריות נפרד.
Crime / Fidelity
ביטוח Crime / Fidelity עשוי להיות מתאים יותר כאשר מדובר בהונאות כספיות, מעילה, העברת כספים מרמתה, Fraudulent Instruction, התחזות או פעולות של עובד או צד שלישי.
Social Engineering Fraud
כיסוי Social Engineering נועד להתייחס למצבים שבהם גורם בחברה הוטעה לבצע פעולה כספית, למשל בעקבות התחזות, אימייל מזויף או הוראה שנראית לגיטימית.
Funds Transfer Fraud
כיסוי Funds Transfer Fraud עשוי להיות רלוונטי כאשר כספים הועברו במרמה מחשבון החברה בעקבות הוראה בלתי מורשית או מניפולציה דיגיטלית, בכפוף לתנאי הפוליסה.
PCI-related Coverage
חלק מפוליסות הסייבר עשויות לכלול התייחסות להוצאות, דרישות או Assessments הקשורים ל־PCI DSS, אך זה אינו כיסוי אוטומטי ויש לבדוק את הנוסח המדויק.
מה משפיע על המחיר, הכיסוי או דרישות הביטוח?
| פרמטר | למה הוא חשוב | מה לבדוק |
| סוג פעילות החברה | חברת eCommerce שונה מחברת SaaS או FinTech | האם תיאור הפעילות בפוליסה מדויק |
| היקף סליקה | ככל שהיקף העסקאות גבוה יותר, החשיפה עשויה לגדול | מחזור סליקה, מספר עסקאות, מדינות פעילות |
| שמירת פרטי אשראי | שמירת נתוני תשלום מגדילה חשיפה | האם החברה שומרת, מעבדת או רק מעבירה נתונים |
| ספקי סליקה | חלק מהסיכון נמצא אצל צדדים שלישיים | אחריות ספק הסליקה והסכמי השירות |
| פעילות בארה״ב | עשויה להשפיע על דרישות חוזיות ותביעות | טריטוריה, Jurisdiction ו־Governing Law |
| מידע אישי ופיננסי | מידע רגיש מגדיל חשיפה לדלף מידע | סוג המידע, היקף המידע ואמצעי ההגנה |
| גבולות אחריות | משפיעים על יכולת הפוליסה להגיב לאירוע משמעותי | Limits ו־Sublimits לכל הרחבה |
| השתתפות עצמית | משפיעה על כדאיות הפעלת הפוליסה | Deductible לפי סוג אירוע |
| הרחבות Crime | לא תמיד כלולות בפוליסת סייבר רגילה | Cyber Crime, Social Engineering, Funds Transfer |
| חריגים | יכולים לצמצם משמעותית את הכיסוי | Fraud, Contractual Liability, Known Events, Prior Acts |
| דרישות אבטחה | אי־עמידה בהצהרות חיתום עלולה ליצור בעיה | MFA, גיבויים, ניטור, נהלי אישור תשלומים |
| היסטוריית תביעות | משפיעה על חיתום ומחיר | אירועי עבר, Chargebacks, Data Breach |
| חוזים עם לקוחות | לקוחות Enterprise דורשים לעיתים סעיפים ספציפיים | אישורי ביטוח, Additional Insured, Waiver |
איך נכון לבדוק הצעה, פוליסה או דרישת ביטוח בנושא הזה?
בדיקה מקצועית של פוליסת סייבר בהקשר של הונאות אשראי צריכה להתחיל בשאלה מהו תרחיש הסיכון המרכזי של החברה.
חברה שמפעילה חנות אונליין צריכה לבדוק חשיפה ל־Chargebacks, גניבת פרטי אשראי, פריצה לאתר, ספקי סליקה ו־PCI DSS. חברת SaaS צריכה לבדוק האם היא מחזיקה מידע תשלומים או רק מתחברת לספק תשלומים חיצוני. חברת FinTech צריכה לבדוק באופן עמוק יותר את גבולות האחריות, החריגים והקשר בין Cyber, Crime ו־Professional Liability.
יש לבדוק האם הפוליסה כוללת כיסוי First Party להוצאות תגובה לאירוע, חקירה פורנזית, שחזור מידע, ייעוץ משפטי והודעות לנפגעים. בנוסף, יש לבדוק האם קיימת אחריות צד שלישי, למשל במקרה של דרישה מצד לקוח או גורם אחר בעקבות דלף מידע.
בנוסף, חשוב לבדוק האם קיימות הרחבות מפורשות ל־Cyber Crime, Social Engineering Fraud, Funds Transfer Fraud, PCI Fines and Assessments או Crime / Fidelity. בלי הרחבה מפורשת, ייתכן שהחברה מניחה שיש כיסוי להונאות כספיות, אך בפועל הכיסוי מצומצם יותר.
האם האירוע עשוי להיות רלוונטי לביטוח סייבר?
| סוג האירוע | האם עשוי להיות רלוונטי לביטוח סייבר? | מה חשוב לבדוק בפוליסה |
| פריצה למערכת החברה וגניבת פרטי אשראי | כן, ייתכן | Data Breach, Incident Response, Third Party Liability |
| שימוש בכרטיס אשראי גנוב בחנות אונליין | לא בהכרח | האם מדובר בסיכון מסחרי או אירוע סייבר |
| Chargeback עקב עסקה במחלוקת | לרוב לא באופן אוטומטי | האם יש הרחבה ייעודית או החרגה |
| Business Email Compromise | ייתכן, אך לעיתים מתאים יותר ל־Crime | Cyber Crime, Social Engineering, Funds Transfer Fraud |
| שינוי פרטי חשבון ספק באמצעות הונאה | ייתכן, בעיקר תחת Crime / Fidelity | Fraudulent Instruction, אימות תשלומים |
| גניבת מידע אישי של לקוחות | כן, ייתכן | Data Breach, Notification Costs, Regulatory Investigation |
| דרישת PCI בעקבות אירוע אבטחה | ייתכן | PCI-related coverage, Sublimits, תנאי הפוליסה |
| הונאת סליקה שאינה קשורה למערכות החברה | לא בהכרח | אחריות ספק הסליקה, חריגים, חוזה מסחרי |
כיסויים והרחבות שכדאי לבדוק בביטוח סייבר
| רכיב ביטוחי | למה הוא רלוונטי | נקודה לבדיקה |
| Cyber Insurance | בסיס לאירועי סייבר, דלף מידע ותגובה לאירוע | מה מוגדר Cyber Event |
| Incident Response | מימון ראשוני של טיפול באירוע | האם נדרש אישור מוקדם |
| Forensic Investigation | בדיקה טכנית של מקור האירוע | מי הספקים המאושרים |
| Third Party Liability | דרישות מצד לקוחות או צדדים שלישיים | גבולות אחריות וחריגים |
| Cyber Crime Extension | הונאות דיגיטליות מסוימות | האם ההרחבה קיימת ומה ה־Sublimit |
| Social Engineering Fraud | התחזות והטעיית עובדים | האם נדרש אימות כפול או נוהל תשלום |
| Funds Transfer Fraud | העברת כספים מרמתה | האם הכיסוי נפרד או חלק מהפוליסה |
| Crime / Fidelity | הונאות כספיות ומעילות | האם קיימת פוליסה נפרדת |
| PCI Fines and Assessments | חשיפה אפשרית בעסקי סליקה | האם קיים כיסוי ומה התנאים |
| Exclusions | החרגות עשויות לצמצם כיסוי | לבדוק חריגי Fraud, Contractual Liability, Known Events |
טעויות נפוצות
טעות נפוצה ראשונה היא להניח שכל אירוע שקשור לכרטיס אשראי הוא אירוע סייבר. בפועל, חלק מהאירועים הם סיכוני סליקה, חלקם סיכונים מסחריים, חלקם הונאות כספיות וחלקם אירועי סייבר.
טעות שנייה היא להסתכל רק על עצם קיומה של פוליסת סייבר, בלי לבדוק אילו הרחבות קיימות. פוליסת סייבר בסיסית אינה בהכרח כוללת Cyber Crime, Social Engineering או Funds Transfer Fraud.
טעות שלישית היא לא לבדוק Sublimits. לעיתים קיימת הרחבה רלוונטית, אך בגבול אחריות נמוך משמעותית מגבול הפוליסה הכללי.
טעות רביעית היא לא לבדוק דרישות אבטחה מוקדמות. אם החברה הצהירה על MFA, נהלי אימות תשלומים, גיבויים או בקרות אבטחה, יש לוודא שהפעילות בפועל תואמת את ההצהרות.
טעות חמישית היא לא לבדוק את החוזים עם לקוחות, ספקי סליקה או ספקי טכנולוגיה. לעיתים החוזה מטיל אחריות רחבה יותר מהכיסוי הביטוחי הקיים.
צ׳ק־ליסט מקצועי לבדיקת פוליסת סייבר בהקשר של הונאות אשראי
- האם הפוליסה כוללת הגדרה ברורה של Cyber Event?
- האם קיימת הרחבת Cyber Crime?
- האם Social Engineering Fraud כלול במפורש?
- האם קיימת הרחבת Funds Transfer Fraud?
- האם קיימת פוליסת Crime / Fidelity נפרדת?
- האם קיימת התייחסות ל־PCI DSS או PCI-related expenses?
- האם יש Sublimit נפרד להונאות כספיות?
- מה גובה ההשתתפות העצמית לכל סוג אירוע?
- האם Chargebacks מוחרגים או אינם נכללים?
- האם הכיסוי חל גם כאשר ספק סליקה חיצוני מעורב?
- האם נדרש אישור מוקדם להוצאות תגובה לאירוע?
- האם קיימים תנאי אבטחת מידע מוקדמים?
- האם קיימת דרישת הודעה מיידית למבטח?
- האם הכיסוי מתאים לפעילות בינלאומית או לחשיפה בארה״ב?
- האם הפוליסה מתאימה לדרישות חוזיות של לקוחות Enterprise?
שאלות נפוצות
האם ביטוח סייבר מכסה הונאה בכרטיס אשראי?
לא באופן אוטומטי. ביטוח סייבר עשוי להיות רלוונטי כאשר ההונאה נובעת מאירוע סייבר אצל המבוטח, כמו פריצה, דלף מידע או שימוש בלתי מורשה במערכות. במקרים אחרים ייתכן שהכיסוי הרלוונטי הוא Crime / Fidelity או שאין כיסוי מתאים ללא הרחבה.
האם ביטוח סייבר מכסה Chargebacks?
בדרך כלל Chargebacks אינם מכוסים אוטומטית רק משום שקיימת פוליסת סייבר. יש לבדוק האם מדובר במחלוקת מסחרית, שימוש בכרטיס גנוב, אירוע סייבר או הרחבה ייעודית בפוליסה.
האם גניבת פרטי אשראי של לקוחות מכוסה?
ייתכן שכן, אם הגניבה נובעת מפריצה למערכות החברה או מאירוע Data Breach המכוסה בפוליסה. הכיסוי תלוי בנוסח הפוליסה, בהרחבות, בחריגים, בגבולות האחריות ובנסיבות האירוע.
מה ההבדל בין Cyber Insurance ל־Crime Insurance?
Cyber Insurance מתמקד באירועי סייבר, דלף מידע, שיבוש מערכות ואחריות צד שלישי. Crime Insurance מתמקד יותר בהונאות כספיות, מעילות, העברות כספים מרמתה, התחזות והוראות תשלום מזויפות.
האם Social Engineering מכוסה בפוליסת סייבר?
לא תמיד. Social Engineering דורש לרוב הרחבה מפורשת, ולעיתים הוא מופיע דווקא בפוליסת Crime / Fidelity או כ־Sublimit נפרד בפוליסת סייבר.
האם עסק eCommerce צריך ביטוח סייבר?
עסק eCommerce עם תשלומים אונליין, מידע לקוחות, ספקי סליקה ומערכות דיגיטליות צריך לבחון ברצינות את חשיפות הסייבר שלו. הצורך והיקף הכיסוי תלויים במחזור הפעילות, סוג המידע, מדינות הפעילות, ספקי הטכנולוגיה ודרישות החוזים.









































































































































































































































