Платежные карты: Бизнес-энциклопедия - Проект

Обозначения:

I — фрод произойдет и ответственность за него лежит на стороне эмитента;

A — фрод произойдет и ответственность за него будет нести обслуживающий банк;

0 — фрод не произойдет.

Заметим, что мы считаем, что если мошенническая карта EMV применяется в EMV-терминале, то вероятность фрода равна 0. Это утверждение верно с оговорками, поскольку:

• в EMV-терминале можно успешно использовать украденную/потерянную EMV-карту, если на карте не используется оффлайновая проверка PIN-кода (мы предположили, что на картах в нашем банке такая проверка выполняется, но отдаем себе отчет в том, что эта ситуация не является типичной);

• можно получить данные с магнитной полосы EMV-карты и перенести их на заготовку мошеннической карты, изменив при этом код обслуживания на 1 и используя карту в оффлайновом режиме авторизации (подлимитная операция).

Возьмем типовые значения параметров модели для продвинутого с точки зрения эмиссии карт банка (40 % карт EMV-совместимы): a = 0,96, b = 0,03, c = 0,01, f1 = 6 bp, f2 = 40 bp, f 3= 60 bp, A = 0,4, B = 0,1.

Тогда в результате миграции банка на чип уровень фрода упадет с примерно 7,56 bp до 4,5 bp. При A = 0,6 уровень фрода с точки зрения эмиссии упадет до 3 bp.

Конечно, приведенная выше модель не учитывает многих аспектов, в частности, миграцию фрода в регионы со слабо развитой инфраструктурой обслуживания микропроцессорных карт. В то же время с ее помощью можно оценить страновой уровень мошенничества отдельно по эмиссии и обслуживанию карт.

Миграция банков на использование микропроцессорных карт уже доказала свою эффективность с точки зрения борьбы с мошенничеством. Великобритания, осуществившая практически полную миграцию на технологию чиповых карт, поддерживающих офлайновую проверку ПИН-кода, стала ярким тому примером. По данным за 2005 г., совокупный годовой объем потерь от карточного мошенничества в стране снизился на 13 % по сравнению с 2004 г., а если принимать во внимание все категории фрода, кроме CNP-операций, то потери английских банков от действий преступников уменьшились на 28 %! В частности, объем фрода по поддельным картам уменьшился на четверть, а по украденным (потерянным) картам — на 22 %!

В качестве другого примера эффективности борьбы с фродом путем миграции на технологию микропроцессорных карт можно рассматривать азиатско-тихоокеанский регион (АТР). По данным Frost&Sullivan карточный фрод в этом регионе в 2005 г. достиг 600 млн долл. Миграция на микропроцессорные карты уменьшила уровень мошенничества до 3 базисных пунктов, что более чем в 2 раза ниже среднемирового значения.

Уровень фрода по внутристрановым транзакциям во Франции, где уже более 15 лет внутри страны используются микропроцессорные карты, равен 3.3 базисным пунктам, что также является выдающимся результатом, подтверждающим эффективность технологии МПК.

Очевидно, криминальные структуры не смирятся с потерей своих доходов и будут адаптироваться к новым условиям жизни в мире чиповых карт. К сожалению, для этого у них остается не мало возможностей.

В первую очередь, следует отметить, что ближайшие 10–15 лет на карточном рынке будут присутствовать магнитные (гибридные) карты и магнитные терминалы (терминалы, не работающие с чипом). В результате чего у мошенников будет возможность использовать плохо защищенную магнитную полосу для совершения таких преступлений, как:

• использование данных магнитной полосы карты (в том числе и гибридной карты) для создания поддельной карты с последующим ее применением в магнитном терминале в оффлайновом режиме;

• использование гибридных карт в магнитных терминалах;

• подделывание гибридных карты (неправильная персонализация чипа и использовование fallback на магнитную полосу или менять кода обслуживания карты при переносе данных на заготовку с магнитной полосой и использование карты в режиме floor limit).

Значительную брешь в операциях с микропроцессорными картами создает использование банками режима Fallback. Платежные системы уже обязали банки отказаться от этого режима в банкоматных транзакциях (Fallback разрешается под ответственность обслуживающего банка). Более того, в ближайшее время сегодня обязательное использование режима Fallback в POS-терминалах будет заменено на опциональное решение для страновых рынков. В этом случае в странах, где уровень соответствия стандартам международных платежных систем высокий, банки откажутся от использования резервной авторизации по магнитной полосе.

Организационные процедуры управления рисками при эмиссии и эквайринге банковских карт

Несмотря на введение платежными системами чиповых или микропроцессорных технологий в процесс обслуживания банковских карт, задача обеспечения безопасности при использовании карт с магнитной полосой остается актуальной. Это связано с тем, что темпы эмиссии карт на микропроцессорные технологии не столь высоки, как хотелось бы, из-за значительной стоимости проектов по миграции карт банка с технологии магнитной полосы на ЧИП-технологию. Поэтому банки продолжают эмиссию банковских карт с магнитной полосой, успокаивая себя тем, что с точки зрения рисков для них практически ничего не изменилось. Разве что, упускается возможность сократить свои потенциальные потери. В этом смысле стратегия банка оправдана, ведь это его право выбирать инструмент управления рисками: технологически (микропроцессор, магнипринт, биометрия, онлайновый мониторинг и т. д.) или организационно (службы поддержки клиентов, службы мониторинга, привлечение услуг страхования и т. д.). С другой стороны, ни одна платежная система не гарантирует 100 % защиты микропроцессорных карт от подделки в перспективе, это только вопрос времени и средств, вкладываемых мошенниками для производства поддельных карт. Поэтому средства банка, вложенные в организацию системы управления рисками при использовании карт с магнитной полосой, не пропадут, а уже существующий потенциал Банка с успехом может быть использован и при применении ЧИП-технологий.

В общем случае управление рисками при эмиссии сводится к минимизации влияния рисковых факторов использования банковских карт на доходность бизнеса в целом. Вопрос заключается в поиске компромисса между возможными потерями от мошенничества и теми средствами, которые затратит банк при реализации собственных проектов по предотвращению мошенничества с банковскими картами. С другой стороны, действует всеобщий закон сохранения энергии, материи и т. д.: избыточные меры по обеспечению безопасности операций с банковским картами неизбежно ведут к конфликту с процессом развития бизнеса и качеством обслуживания клиентов и, наоборот, безоглядное развитие бизнеса ведет порой к катастрофическим потерям. Поэтому задача выбора стратегии при минимизации риска мошеннических операций с картами носит актуальный характер.

Рассмотрим выбор стратегии банка в зависимости от этапа развития бизнеса банковских карт в банке:

1) банк только начал эмиссию (до 20 тыс. карт). Страховка. Стандартные отчеты платежной системы — требование страховых компаний;

2) банк достиг среднего уровня — 100 тыс. карт. Страховка, формирование собственной службы мониторинга, подготовка EMV миграции (если не начали сразу);

3) банк достиг уровня массового выпуска и обслуживания карт. Собственная служба мониторинга, call-center, система предотвращения мошенничества, основанная на определенных жестких правилах, которым она следует в режиме онлайн (on-line rule-based), система страхования, система мобильного информирования клиентов, формирование технологических инструментов (услуг), позволяющих клиентам самостоятельно управлять рисками.

1 этап эмиссионной программы — начало эмиссии

Очевидно, что при старте программы эмиссии издержки банка и так значительны, чтобы вкладывать серьезные средства в организацию мер по предотвращению потерь от мошенничества. Тем более, что базовые функции обеспечения безопасности уже заложены платежной системой в процесс эмиссии при сертификации Банка, как участника платежной системы. Довольно часто программное обеспечение процессингового центра (ПЦ, собственный или процессор третьей стороны (third party)) уже в базовом комплекте содержит набор средств по управлению рисками, часть из которых является обязательными в соответствии с требованиями платежной системы. С другой стороны, уровень использования банком инструментов управления рисками зависит от его стратегии развития бизнеса, ведь это подразумевает привлечение дополнительных человеческих ресурсов. А увеличение штата сотрудников на первом этапе развития бизнеса всегда является непопулярным. Именно поэтому довольно часто можно встретить банки с эмиссией более 50 тыс. карт, где за вопросы безопасности и мониторинга операций с банковскими картами отвечает один, максимум два сотрудника. И руководство банка можно понять, ведь на его основной вопрос: «А каковы наши риски?», к сожалению, редко можно дать сколько-нибудь аргументированный ответ, особенно при старте эмиссии, когда Банк еще не сталкивался с проблемами такого рода. Ведь ссылки на прессу, пугающую массовыми подделками карт, и статистику платежных систем об убытках банков, разбиваются о «железные аргументы» в виде следующих вопросов руководства с соответствующими комментариями: «Сколько карт мы выпустим в течение первого года? Каков будет средний остаток средств на каждой карте или клиентскому сегменту? Какова вероятность изготовления подделки для каждого сегмента? А теперь посчитайте каков может быть максимальный ущерб банку и сравните с затратами на привлечение дополнительных сотрудников и организацию технологии предотвращения мошенничества.».