Одна из причин - мошеннические покупки (CNP - Card not present - операции без физического присутствия) по реквизитам карты, совершенные без 3Ds - разовых смс кодов.
Достаточно распространенное мошенничество, при котором может пострадать клиент, являющийся карт-холдером практически любого банка. Кроме получения полных (номер карты, срок действия, трехзначный код) реквизитов карты визуальным способом существует довольно большая вероятность попасть в сети мошенников на специальном сайте для ловли (фишинг) реквизитов карт.

1. Фишинг на сайте мошенников - клиент банка сам способствовал (неумышленно, будучи обманутым) получению мошенниками полных реквизитов карты (номер, дата и трехзначный код).

Полезная информация на тему фишинга и вирусов по ссылке http://www.banki.ru/forum/?PAGE_NAME=message&FID=9&TID=286712

Еще одна история фишинга, с техническими подробностями.
Рекомендуется к прочтению всем карт-холдерам.

https://geektimes.ru/post/280844/

2. Все операции покупок проведены без использования разовых смс кодов - технологии 3Ds - шансы отбить денежку у банка-эквайрера, обслуживающего ТСП (торгово-сервисные предприятия), через которые совершались покупки, по правилам МПС (международных платежных систем) VISA/МС достаточно велики.

3. Списание авторизованных сумм по правилам МПС пройдет обязательно, позже - тогда, когда в банк-эмитент карты придет клиринг от банка-эквайрера. Тут банк-эмитент карты ничем не поможет, и эмоции пострадавшего, выплеснутые по телефону на оператора колл-центра банка, также бесполезны. Полезная информация по ссылке http://www.banki.ru/blog/lordkaho/6083.php

4. Так как банк (например, Сбербанк) большой и неповоротливый - для ускорения процесса следует формально подать заявление в полицию, получить талон КУСП и приложить его копию к заявлению в банк об опротестовании мошеннических операций и проведении чарджбэка.
Бланк Сбербанка можно скачать по ссылке
http://www.sberbank.ru/common/img/uploaded/cards/SPOR_TR.RTF



Документы в Сбер направить в офис, в котором обслуживаетесь, почтой, заказным, с описью и уведомлением о вручении. Копию этих документов направить таким же порядком в центральный офис территориального банка Сбера, для контроля.

5. Как правило, потери возвращают клиенту в досудебном порядке, тк вина клиента неочевидна (неумышленна) и банк-эмитент возмещает потери за счет банка-эквайрера, обслуживающего ТСП, но очень НЕ быстро.

Каким образом минимизировать риски при таком раскладе?
- советуют скрыть код (замазать, затереть и тп) на оборотной стороне карты, но это не спасет от фишинга,
- надежнее отключить (запретить) все операции без физического присутствия карты (в инете), а потом действовать так - включил опцию в личном кабинете ИБ/МП, после проведения операции - отключил, к сожалению, не все банки предоставляют такой функционал в своих ИБ/МП.