Платежные карты: Бизнес-энциклопедия

микропроцессорных карт можно рассматривать азиатско-тихоокеанский регион (АТР). По данным Frost&Sullivan карточный фрод в этом регионе в 2005 г. достиг 600 млн долл. Миграция на микропроцессорные карты уменьшила уровень мошенничества до 3 базисных пунктов, что более чем в 2 раза ниже среднемирового значения.

Уровень фрода по внутристрановым транзакциям во Франции, где уже более 15 лет внутри страны используются микропроцессорные карты, равен 3.3 базисным пунктам, что также является выдающимся результатом, подтверждающим эффективность технологии МПК.

Очевидно, криминальные структуры не смирятся с потерей своих доходов и будут адаптироваться к новым условиям жизни в мире чиповых карт. К сожалению, для этого у них остается не мало возможностей.

В первую очередь, следует отметить, что ближайшие 10–15 лет на карточном рынке будут присутствовать магнитные (гибридные) карты и магнитные терминалы (терминалы, не работающие с чипом). В результате чего у мошенников будет возможность использовать плохо защищенную магнитную полосу для совершения таких преступлений, как:

• использование данных магнитной полосы карты (в том числе и гибридной карты) для создания поддельной карты с последующим ее применением в магнитном терминале в оффлайновом режиме;

• использование гибридных карт в магнитных терминалах;

• подделывание гибридных карты (неправильная персонализация чипа и использовование fallback на магнитную полосу или менять кода обслуживания карты при переносе данных на заготовку с магнитной полосой и использование карты в режиме floor limit).

Значительную брешь в операциях с микропроцессорными картами создает использование банками режима Fallback. Платежные системы уже обязали банки отказаться от этого режима в банкоматных транзакциях (Fallback разрешается под ответственность обслуживающего банка). Более того, в ближайшее время сегодня обязательное использование режима Fallback в POS-терминалах будет заменено на опциональное решение для страновых рынков. В этом случае в странах, где уровень соответствия стандартам международных платежных систем высокий, банки откажутся от использования резервной авторизации по магнитной полосе.

Организационные процедуры управления рисками при эмиссии и эквайринге банковских карт

Общий подход к управлению рисками при эмиссии банковских карт с магнитной полосой

Несмотря на введение платежными системами чиповых или микропроцессорных технологий в процесс обслуживания банковских карт, задача обеспечения безопасности при использовании карт с магнитной полосой остается актуальной. Это связано с тем, что темпы эмиссии карт на микропроцессорные технологии не столь высоки, как хотелось бы, из-за значительной стоимости проектов по миграции карт банка с технологии магнитной полосы на ЧИП-технологию. Поэтому банки продолжают эмиссию банковских карт с магнитной полосой, успокаивая себя тем, что с точки зрения рисков для них практически ничего не изменилось. Разве что, упускается возможность сократить свои потенциальные потери. В этом смысле стратегия банка оправдана, ведь это его право выбирать инструмент управления рисками: технологически (микропроцессор, магнипринт, биометрия, онлайновый мониторинг и т. д.) или организационно (службы поддержки клиентов, службы мониторинга, привлечение услуг страхования и т. д.). С другой стороны, ни одна платежная система не гарантирует 100 % защиты микропроцессорных карт от подделки в перспективе, это только вопрос времени и средств, вкладываемых мошенниками для производства поддельных карт. Поэтому средства банка, вложенные в организацию системы управления рисками при использовании карт с магнитной полосой, не пропадут, а уже существующий потенциал Банка с успехом может быть использован и при применении ЧИП-технологий.

В общем случае управление рисками при эмиссии сводится к минимизации влияния рисковых факторов использования банковских карт на доходность бизнеса в целом. Вопрос заключается в поиске компромисса между возможными потерями от мошенничества и теми средствами, которые затратит банк при реализации собственных проектов по предотвращению мошенничества с банковскими картами. С другой стороны, действует всеобщий закон сохранения энергии, материи и т. д.: избыточные меры по обеспечению безопасности операций с банковским картами неизбежно ведут к конфликту с процессом развития бизнеса и качеством обслуживания клиентов и, наоборот, безоглядное развитие бизнеса ведет порой к катастрофическим потерям. Поэтому задача выбора стратегии при минимизации риска мошеннических операций с картами носит актуальный характер.

Рассмотрим выбор стратегии банка в зависимости от этапа развития бизнеса банковских карт в банке:

1) банк только начал эмиссию (до 20 тыс. карт). Страховка. Стандартные отчеты платежной системы — требование страховых компаний;

2) банк достиг среднего уровня — 100 тыс. карт. Страховка, формирование собственной службы мониторинга, подготовка EMV миграции (если не начали сразу);

3) банк достиг уровня массового выпуска и обслуживания карт. Собственная служба мониторинга, call-center, система предотвращения мошенничества, основанная на определенных жестких правилах, которым она следует в режиме онлайн (on-line rule-based), система страхования, система мобильного информирования клиентов, формирование технологических инструментов (услуг), позволяющих клиентам самостоятельно управлять рисками.

1 этап эмиссионной программы — начало эмиссии

Очевидно, что при старте программы эмиссии издержки банка и так значительны, чтобы вкладывать серьезные средства в организацию мер по предотвращению потерь от мошенничества. Тем более, что базовые функции обеспечения безопасности уже заложены платежной системой в процесс эмиссии при сертификации Банка, как участника платежной системы. Довольно часто программное обеспечение процессингового центра (ПЦ, собственный или процессор третьей стороны (third party)) уже в базовом комплекте содержит набор средств по управлению рисками, часть из которых является обязательными в соответствии с требованиями платежной системы. С другой стороны, уровень использования банком инструментов управления рисками зависит от его стратегии развития бизнеса, ведь это подразумевает привлечение дополнительных человеческих ресурсов. А увеличение штата сотрудников на первом этапе развития бизнеса всегда является непопулярным. Именно поэтому довольно часто можно встретить банки с эмиссией более 50 тыс. карт, где за вопросы безопасности и мониторинга операций с банковскими картами отвечает один, максимум два сотрудника. И руководство банка можно понять, ведь на его основной вопрос: «А каковы наши риски?», к сожалению, редко можно дать сколько-нибудь аргументированный ответ, особенно при старте эмиссии, когда Банк еще не сталкивался с проблемами такого рода. Ведь ссылки на прессу, пугающую массовыми подделками карт, и статистику платежных систем об убытках банков, разбиваются о «железные аргументы» в виде следующих вопросов руководства с соответствующими комментариями: «Сколько карт мы выпустим в течение первого года? Каков будет средний остаток средств на каждой карте или клиентскому сегменту? Какова вероятность изготовления подделки для каждого сегмента? А теперь посчитайте каков может быть максимальный ущерб банку и сравните с затратами на привлечение дополнительных сотрудников и организацию технологии предотвращения мошенничества.».

По итогам беседы в лучшем случае будет предложено поднять этот вопрос в следующем году. Существует и еще более неприятный вопрос руководства: «Что даст организация мониторинга операций по банковским картам на предмет выявления мошенничества?» Ответ, что мы сможем увидеть, когда у клиента уже похитили со счета все средства (а так обычно и бывает, карточку редко «щиплют» по чуть-чуть, изо дня в день) вряд ли убедит руководство в необходимости создания службы по предотвращению мошенничества с банковскими картами. Единственным сильным аргументов является требование платежных систем выполнять предписанные Банку мероприятия по минимизации рисков, а именно соответствовать