Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
Особняком, на стыке правового поля и технологий, стоят стандарты международных платежных систем, наиболее известные из которых обозначаются аббревиатурой PCI DSS, — они анализируются в специальном разделе книги. Данные стандарты носят обязательный характер для исполнения банками — членами платежных систем, но отношение к ним, и в России, и в мире не однозначное. Позиция многих российских банков основывается на здравом смысле — если стоимость следования стандартам превышает размер возможных потерь, это делает стандарты нецелесообразными. Позиция аудиторов тоже имеет свои серьезные основания — стандарты МПС существуют, и банкам, как членам МПС, следует их исполнять, а в какой степени — зависит от масштаба бизнеса. Обе точки зрения аргументированно представлены в книге.
Мониторингу транзакций по платежным картам посвящена следующая глава, в которой, в числе прочего, формулируются задачи мониторинга, дается классификация средств мониторинга транзакций, дается первичный математический аппарат для количественной оценки рисков, основные понятия (инцидент, расследование и др.), примеры мониторинга транзакций.
Комплексный подход к проблеме обеспечения безопасности карточного
Серьезная задача — физическая безопасность производства пластиковых заготовок. В специальной главе книги рассказывается о внешних и внутренних стандартах безопасности производственных помещений, о порядке производства и доставки в банк заготовок в соответствии со стандартами безопасности международных платежных систем.
Отдельное и очень специфическое направление безопасности карточного бизнеса банка — претензионная работа по опротестованным держателями карт операциям. В разделе, посвященном данному вопросу, не дается рекомендаций по деталям претензионного процесса — например, какой код возврата следует выбрать по конкретной операции. Такие специальные сведения даются в соответствующих материалах платежных систем. В ней максимально компетентно описываются основные аспекты претензионной работы, даются рекомендации, как правильно построить работу подразделения, отвечающего за претензионный цикл в современном коммерческом банке.
И, наконец, безопасность процессинга — мозгового центра (точнее — одного из многочисленных центров) любой платежной системы. Это один из важнейших участков карточной безопасности и ему посвящены два материала книги, один из которых рассматривает вопросы физической безопасности ПЦ, а другой — безопасность его аппаратной и сетевой инфраструктуры.
Очевидно, что обеспечение безопасности карточного бизнеса — проблема, которую невозможно решить раз и навсегда, ее необходимо решать изо дня в день, причем на очень высоком и профессиональном уровне. Это непрерывный процесс со своими индикаторами эффективности и стандартами, управленческими и технологическими проблемами и задачами, налаживанию которого и призвана помочь эта книга.
Г. А. Тосунян
Президент Ассоциации российских банков, д-р юрид. наук, профессор, заведующий кафедрой банковского права Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации
Глава 1
Мошенничество в сфере банковских платежных карт
Обзор банковских рисков от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков эмитентов и эквайреров
Войны нельзя избежать, ее можно лишь отсрочить к выгоде вашего противника.
Цель данной главы — дать понимание молодым телом или душой сотрудникам профильных подразделений банка (специализированным службам безопасности карточного бизнеса, специалистам по претензионной работе, сопровождению терминальной сети, торгового эквайринга и пр.) о видах мошенничества с платежными картами, рисками и угрозами для банка, которые влечет за собой мошенническая активность, возможностях по предупреждению и противодействию мошенничеству, минимизации рисков. В обзоре предпринята попытка обобщить и систематизировать наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством. Учитывая появление материала в публичном доступе, в обзор вошла преимущественно открытая информация, знание которой далеко не достаточно для практического использования в мошеннических целях. По этой причине данный труд не претендует на полноту и глубину раскрытия проблематики мошенничества. Вместе с тем разумное снятие завесы секретности с темы карточного «фрода» (от англ. — fraud (обман, мошенничество)) необходимо. Разъяснение принимаемых мер по обеспечению безопасности банковского бизнеса поможет, с одной стороны, вселить уверенность пользователям карт в том, что банки располагают силами и средствами для их защиты, с другой стороны, банковские специалисты сделают это предельно профессионально. В противном случае информационный вакуум заполняют журналисты всех мастей, в большинстве своем ищущие сенсации и тем самым только запугивающие держателей карт. Предлагаемые методы противодействия преступникам действенны и должны быть взяты на вооружение и банкирами, и их клиентами.
Что нужно помнить и начинающим специалистам в области карточной безопасности, и менеджерам, от чьих решений зависит финансирование данной области: убытки от мошенничества неизбежны, но в наших силах их минимизировать.
Никакая, даже самая передовая, технология не способна на 100 % гарантировать безопасность карточного бизнеса банка. Поэтому недооценка рисков или некомпетентное управление ими в итоге приводят к обогащению преступников за счет банка и/или его клиентов. Наглядным подтверждением служит цифра общемировых потерь от мошенничества в 2009 г. — 5,8 млрд долл. США. В этом же году в России, по данным МВД, потери составили 63 млн руб.
Для начала дадим определение, что же такое карточное мошенничество, с чем именно предстоит бороться. Итак, карточное мошенничество — это преднамеренные обманные действия некоторой стороны, основанные на применении технологии банковских карт и направленные на несанкционированное овладение финансовыми средствами, размещенными на карточных
С появлением первых расчетных карт в середине прошлого века появились и люди, профессионально ориентированные поживиться за чужой (банковский/карточный) счет. Преступники, ранее занимавшиеся подделкой банковских чеков, немедленно принялись осваивать новое карточное направление, а эмитенты, в свою очередь, совершенствовали средства защиты. Противостояние меча и щита с переменным успехом продолжается и сегодня. Каждый банк эмитент или эквайрер рано или поздно столкнется со случаем мошенничества по выпущенной им карте или в обслуживаемом им торгово-сервисном предприятии (ТСП), и в интересах банка пребывать в состоянии готовности к этому и во всеоружии. Имеется в виду, что для успешного противодействия преступникам банки должны, прежде всего, располагать компетентными кадрами, помощь в подготовке которых и есть основная задача данной книги.
Мошенническая деятельность, так же как и банковский карточный бизнес, делится на эмитентское и эквайрерское направления.
Банки-эмитенты принимают на себя риски от несанкционированного использования эмитированных ими карт или платежных реквизитов карт (украденная/потерянная карта, неполученная карта), а также поддельных карт.
Банки-эквайреры подвержены рискам при обслуживании карт в ТСП, с которыми установлены договорные отношения в части оказания услуг принятия карт к оплате (поддельные слипы, двойной ввод операций, противоправная деятельность ТСП или отдельных ее сотрудников по совершению операций по украденным или поддельным картам). Однако четко провести зону ответственности за то или иное мошенничество между банком-эмитентом и банком-эквайрером затруднительно: только совместные действия всех участников карточного бизнеса могут построить серьезную преграду криминалу и обезопасить себя и клиента. По этой причине в описании мероприятий по противодействию мошенничеству приводятся рекомендации и для эмитента, и для эквайрера [1] .
1
Классификация и тенденции современного карточного мошенничества были всеобъемлющим образом описаны российским «гуру» платежных технологий И. М. Голдовским в его новой книге: Банковские микропроцессорные карты. М.: Центр исследований платежных систем и расчетов; Альпина Паблишерз, 2010.
Далее, ограничившись кратким обзором распространенных видов мошенничества, подробнее остановимся на мерах противодействия к ним.
Виды мошенничества для кредитной организации — эмитента
Значительная часть утерянных или украденных карт впоследствии используется злоумышленниками для совершения преступлений. Этот вид мошенничества, имеющий более чем полувековую историю, возник одновременно с началом популяризации первых расчетных карт, но остается актуальным и сегодня. Риски утери или кражи карты неизбежны и непредотвратимы, поскольку кошельки, барсетки и дамские сумочки постоянно воруют, а держатели карт сами теряют их. Обнаруживается факт утери лишь в момент необходимости снова воспользоваться картой. До обнаружения пропажи и блокировки карты в процессинговом центре проходит время, которое играет на руку преступникам. При этом мошенникам известны способы, как оперативно и относительно безопасно использовать карту самим (например, через сообщника в торговом предприятии) или перепродать ее другим мошенникам. Зачастую вместе с картой добычей грабителей становятся документы, удостоверяющие личность держателя карты. В этом тяжелом случае преступники могут выдавать себя за законного владельца карты и с большей вероятностью и безнаказанностью опустошить карточный счет, в том числе и снятием наличных в офисе банка. До момента информирования банка о пропаже карты проходит обычно два-три дня, за которые карта активно используется. Ответственность за эти операции до блокировки карты ложится целиком на держателя. Но и после блокировки украденная/утерянная карта категории Standard/Classic и выше может быть использована для совершения операций ниже суммы floor limit — безавторизаци-онного лимита, или операций с авторизацией через stand-in процессинг [2] платежной системы. Для ограничения этих возможностей утерянной карты ее номер необходимо разместить в международном стоп-листе. Но для банка-эмитента постановка карты в «стоп-лист» — процедура финансово затратная. Затраты банк вынужден относить либо на собственные расходы, либо переложить на держателя, отдельно тарифицируя эту услугу или взимая штраф за утерю. В зависимости от типа карты и территории вероятного использования эмитент ставит карту в «стоп-лист» по выбранному региону и на определенный срок исходя из разумного баланса стоимости постановки карты в «стоп-лист» и размера ожидаемых потерь. Выбор условий постановки осуществляется на основании информации из заявления клиента: понятно, что если клиент не может найти карту в собственной квартире, то карту достаточно заблокировать в процессинге. Если же кража карты произошла в международном аэропорту, карту надлежит срочно поставить в «стоп-лист» хотя бы в регионе утери. Однако полностью исключить возможность использования карты возможно лишь после постановки карты во все региональные «стоп-листы» на срок либо до изъятия карты либо до окончания ее срока действия. К сожалению, по причине существенных финансовых затрат на данную процедуру рекомендовать ее можно лишь как крайнюю меру в особых случаях.
2
Stand-in процессинг (STIP) — это режим обработки транзакций, когда банк-эмитент поручает ведение баз данных карт и установленных/назначенных эмитентов лимитов, а также проведение авторизации на основе этих данных альтернативному процессинговому центру.