1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название торгово-сервисного предприятия (ТСП), категория ТСП, страна и т. д.
2. Системы, привлекающие для анализа историю операций по карте/ТСП. При анализе используется история по прошедшим операциям по данной карте/ТСП.
3. Системы, использующие модели поведения держателей карт и ТСП. Система строит и/или использует модели поведения держателей карт и ТСП. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной.
Классификация по используемому математическому аппарату для анализа.
1. Системы на основе простых логических проверок. Логические проверки включают операции >, <, =, ?.
2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.
3. Системы, привлекающие методы интеллектуального анализа данных (без использования нейронных сетей). Методы интеллектуального анализа данных (data mining), применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.
4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее не известные схемы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).
Анализируемые транзакции подразделяются на два класса.
1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком.
2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка.
Мониторинг транзакций позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по собственным картам и принимать меры для уменьшения рисков (табл. 3.1).
МПС MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров:
• атаки по сгенерированным номерам карт;
• отрицательные результаты проверок кодов верификации карты CVC1 и CVC2;
• операции по картам с истекшим сроком действия;
• транзакции по неверным номерам карт;
• транзакции в возможных точках компрометации;
• операции кредитования и отмены авторизации торговой точкой;
• списки неиспользуемых карт.
Требования МПС относятся прежде всего к мониторингу в отложенном режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными. Кроме того, проведенный автором анализ текущей ситуации с мошенничеством в ПС показывает, что эти меры являются в современных условиях недостаточными.
В связи с этим банк-эмитент должен разработать собственную политику управления рисками в ПСБК и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. При этом на практике следует добиться допустимого баланса между следующими показателями:
• принятие неадекватных решений по ограничению операций для не мошеннических операций;
• пропуск мошеннических операций;
• число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими;
• величины рисков в ПСБК с учетом работы СМТ и принимаемых на ее основе решений.
Несмотря на то что описанные критерии мониторинга являются недостаточными, их применение обязательно. Несоблюдение данного требования и превышение допустимых порогов по уровням мошенничества приводят к штрафам и санкциям со стороны МПС, к ухудшению репутации (увеличению репутационного риска) и в худшем случае прерыванию деятельности в области банковских карт (отзыв лицензии). В связи с этим каждый банк должен учитывать требования МПС в этой области в своей деятельности по снижению рисков в ПСБК, связанных с мошенничеством.
Анализ транзакции на предмет ее мошеннического характера основывается на критериях отнесения конкретной транзакции к подозрительной (мошеннической). В случае если транзакция определена как мошенническая, следует выбрать меры реагирования для снижения потерь. Таким образом, для каждой транзакции стоит проблема принятия решения о ее подозрительном (мошенническом) характере и выборе мер противодействия. Принятие решений может основываться на экспертных системах и интеллектуальном анализе данных.
Экспертная система (ЭС) — это программное средство, использующее экспертные знания для обеспечения высокоэффективного решения неформализованных задач узкой предметной области. Основу экспертной системы составляет база знаний о предметной области, которая накапливается в процессе построения и эксплуатации ЭС. Накопление и организация знаний — важнейшее свойство всех ЭС.
Интеллектуальный анализ данных (английский термин «data mining») (ИАД) — это процесс поддержки принятия решений, основанный на поиске в данных скрытых закономерностей (шаблонов информации). Это процесс обнаружения в сырых данных ранее неизвестных, нетривиальных, практически полезных и доступных интерпретации знаний, необходимых для принятия решений в различных сферах человеческой деятельности. На рис. 3.2 приведены основные методы ИАД.
Ранее отмеченные критерии обязательного мониторинга транзакций МПС и существующие методы анализа транзакций позволяют определить требования отнесения операции к подозрительной на предмет мошенничества. В случае выявления такой транзакции следует предусмотреть меры реагирования, которые смогут уменьшить риск от этой и последующих мошеннических транзакций.
В случае выявления подозрительной операции банк-эмитент может предпринять следующие меры ограничения негативных последствий:
• отказ в авторизации этой подозрительной операции, если технически это возможно (в данном случае речь идет о мониторинге в режиме реального времени в соответствии с приведенной классификацией);
• блокировку карты, делающую невозможным совершение последующих операций по ней;
• установку ограничений по последующим операциям на величину покупок в ТСП за период, снятия наличных денежных средств в банкоматах и пунктах выдачи наличных (ПВН) за период, общей суммы операций за период;
• установку ограничений по последующим операциям на регион использования карты или категорию ТСП;
• информирование держателя карты о подозрительной операции, например, посредством SMS- уведомлений.
