Быстрые темпы развития финансовых рынков и все более возрастающая масштабность проведения расчетов в международных платежных системах сопровождаются одновременным возникновением различного рода рисков, связанных с применением платежных карточек. В связи с этим осуществление оценки рисков мошенничества и исследования их экономических последствий для участников расчетных процессов, а также разработка системы мер по минимизации данных рисков является актуальной в условиях интернационализации систем массовых электронных платежей.
По данным различных информационных источников, в настоящее время в мире в обращении находится около пяти миллиардов платежных краток. Основная доля эмиссии приходится на мировые бренды, такие как MasterCard (более 1800000000) и VISA (более 1600000000). Темпы прироста количества карт в последние несколько лет стабилизировались на уровне 20% в год, как и прирост годовых оборотов, размер которых теперь составляет более чем 10 трлн долл. США. Однако наряду с легальными операциями при осуществлении расчетов с помощью платежных карточек растет и количество мошенничества.
Сегодня риск мошеннических операций с платежными карточками является основным объектом заботы участников платежных систем. Наиболее распространенными видами мошенничества с платежными картами есть такие, которые представляют собой незаконное изъятие средств злоумышленниками путем различного рода действий с банкоматами, в частности скимминг, трапинг, физическое повреждение банкоматов и т.д., а также такие, которые связаны с использованием компьютерных технологий и Интернета - фишинг, разного рода вирусы, хакерские атаки и др.
В Украине общий уровень мошенничества по платежным картам постепенно набирает обороты. Уже в 2012 году от карточного мошенничества пострадали клиенты 51 банка, в то время как в 2011 году причастными к незаконным операциям были карты, эмитированные лишь 43 финансовыми учреждениями. По данным НБУ, в течение 2012 года было совершено 7,6 тыс. неправомерных операций, что на 2,5 тыс. операций меньше, чем в 2010 году. При этом, в 2011 году количество мошеннических операций составляла лишь 2,9 тыс., то есть в 3,5 раза (на 7,2 тыс.) меньше, чем в 2010 году, и на 4,7 тыс. операций меньше, чем в 2012 году. В соответствии с изменениями количества мошеннических трансакций в 2011 году потери от них уменьшились на 6700000. Гривен по сравнению с предыдущим периодом - с 13 млн. гривен до 6300000 гривен. Но уже в 2012 году убытки увеличились до 9100000 гривен, причем средний объем одной несанкционированной операции составлял примерно 1 тыс. гривен.
В 2011 году практически все операции (99,7% от их общего количества), которые причинили ущерб банкам, держателям платежных карточек и торговцам, были осуществлены с картами международных платежных систем Visa (55,27%), на которую приходится наибольшая доля рынка, и MasterCard (44,45%). Объем потерь держателей карт международной платежной системы Visa в 2011 году составил более 6200000 гривен. В 2012 году увеличилось количество мошеннических операций осуществленных с помощью карт платежной системы MasterCard, использовались вдвое чаще, чем в предыдущем году, и составила 1883 операции. Это нанесло ущерб держателям платежных карточек данной системы на сумму 2800000 гривен. По отечественных платежных систем НСМЭП и УкрКарт, то они не понесли потерь вообще.
Такая ситуация объясняется тем, что банки, которые являются членами международных платежных систем, не уделяют внимания безопасности расчетов и защиты информации в достаточной мере, а также не осуществляют должным образом мониторинг и видеонаблюдение за банкоматами. Более того, почти все карты международных платежных систем, которые эмитируют украинские банки, недостаточно защищенными, ведь носителем информации данного платежного инструмента является магнитная полоса, а не чип.
Банкоматных мошенничество в Украине в 2012 году характеризовалось стремительным ростом выявленных скимминговых устройств на банкоматах - количество выявленных скиммеров (45 ед.) в 3,75 раза превышало количество найденных устройств в 2011 году. Аналогичная тенденция в 2012 году наблюдалась и в России, где по сравнению с 2011 годом количество выявленных скимминговых устройств увеличилась в 2,8 раз. В 2012 году в Украине злоумышленники были задержаны лишь в трех случаях после установления ими скимминговых устройств.
По банкоматных мошенничествах, в частности в европейских странах, то, по данным Европейской группы по безопасности банкоматов (European ATM Security Team (EAST), членом которой, среди других 29 стран Европы с общим размещением 619603 банкоматов, есть и украинская Ассоциация «ЕМА» , в течение 2012 года случаи наличного трапинга увеличились, в то время как число случаев скимминга и объем потерь от банкоматных мошенничеств снизились. Всего количество инцидентов банкоматных мошенничеств увеличилось на 63% - с 12 383 в 2011 году до 20 244 в 2012 году. Количество случаев наличного трапинга выросла астрономически - с 240 инцидентов в 2011 году до 10 808 инцидентов в 2012 году. Количество случаев скимминга снизилась на 26% до самого низкого уровня еще с 2009 года.
Потери, связанные с банкоматными мошенничествами, в 2012 году снизились на 13% по сравнению с предыдущим периодом - с 268 млн. евро до 234 млн. евро, а по сравнению с 2009 годом, когда наблюдался наибольший объем потерь - 845 млн. евро, их снижение произошло в 3,6 раз. Это падение было обусловлено продолжением сокращения потерь от скимминговых атак, в частности, в 2012 году они снизились на 13% - с 267 млн. евро до 232 млн. евро. Большинство (79%) банкоматных потерь от скимминга до сих пор являются международными (убытками от использования мошенниками реквизитов платежных карточек за пределами национальных границ) и их большая часть происходит за пределами Европы. Наибольшие потери от скимминговых атак имели место в США, Доминиканской Республике и Колумбии. Продолжение снижения этих потерь также и в 2012 году свидетельствует о преимуществах использования международного стандарта EMV для операций по банковским картам с чипом, который разработан совместными усилиями компаний Europay, MasterCard и Visa, а также об улучшении антимошеннических мероприятий, осуществляемых участниками платежных систем.
По общим тенденциям, в 2012 году количество случаев скимминга и объем потерь от него снизились по всей Европе в целом, но в отдельных странах наблюдалось их увеличение (иногда довольно значительное). Благодаря оперативному обмену информацией и статистикой члены EAST могли оказывать друг другу помощь для решения возникающих угроз и прогнозирования тенденций. В частности, в первом полугодии 2012 года произошел всплеск активности наличного трапинга, но в течение следующих шести месяцев такого рода деятельность мошенников замедлилась.
Число физических нападений на европейские банкоматы после значительного скачка в 2009 году, когда произошло их увеличение почти в 9 раз по сравнению с 2008 годом, в течение следующих лет продолжало уменьшаться довольно быстрыми темпами. В 2012 году количество физических атак на банкоматы снизилась на 12% по сравнению с 2011 годом - с 2062 до 1818 инцидентов, хотя в среднем оценены потери денежных средств в результате ограблений банкоматов выросли на 34% - от 15 059 евро в 2011 году до 20128 евро в 2012 году. Число зарегистрированных взрывчатых и газовых атак (414) увеличивалось второй год подряд, в частности, по сравнению с первым полугодием 2011 году такой рост составил 49%.
Общие потери осуществления злоумышленниками физическими атаками на банкоматы в течение исследуемого периода оставались примерно на одном уровне. Колебания объемов убытков в течение 2008 - 2012 годов происходило в диапазоне от 33 млн. евро до 26 млн. евро. В частности, в 2012 году объем убытков достиг уровня 2010 года, снизившись на 15% - с 33 млн. евро в 2011 году до 28 млн. евро.
Мошенничество с использованием реквизитов платежных карточек в Интернете характеризовалось в 2012 году увеличением количества фишинговых сайтов, электронных писем и SMS-сообщений, с помощью которых злоумышленники получали реквизиты платежных карт у держателей платежных карточек, эмитированных банками Украины. Наличие в Интернете многих различных электронных платежных систем, предложение большого количества банков услуг интернет-банкинга, доступность Интернета и распространение злоумышленниками информации о реквизитах платежных карточек превратили фишинг в очень распространенный и прибыльный вид мошенничества. Все эти факторы дают возможность, особенно для молодых людей (до 20 лет), получать «легкие деньги» фактически безнаказанно, поэтому такой вид мошенничества приобретает все большее распространение в странах СНГ и Европы.
По данным антифишинговых рабочей группы (Anti-Phishing Work Group (APWG)) количество фишинговых атак, нацеленных на потребителей в Интернете, остается на высоком уровне - каждый месяц осуществляется в среднем от 20 тыс. до 25 тыс. уникальных фишинговых кампаний, каждая из которых может быть нацеленной на сотни тысяч, а иногда и миллионы пользователей. Ежедневно устанавливаются тысячи поддельных фишинговых веб-сайтов в режиме онлайн, которые, заманивает большое количество потребителей, вызывают проблемы и потери ими средств.
По количеству размещенных фишинговых веб-сайтов в 1 полугодии 2012 года среди всех стран мира лидером продолжает быть США, чья доля в течение шести месяцев колебалась в пределах от 46,42% до 53,68%. После попадания в топ-10 к таким странам в ноябре 2011 года, Египет находился в тройке лидеров стран, размещающих фишинговые сайты, в течение четырех из шести месяцев, изменялась от 3,19% до 10,53%. Среди других стран, имевших довольно высокую долю, стоит отметить Канаду (от 5,57% до 18,06%) и Германию (от 3,94% до 7,04%). К странам, доля которых не превышала 5%, принадлежали Великобритания, Нидерланды и Республика Корея, а доля таких стран, как Франция, Бразилия, Россия, Китай, Румыния и Австралия, вообще не превышала 3%.
Наибольшая доля совершенных фишинговых атак в течение последних 12 месяцев приходилась на США (69,02%), Канаду (7,07%), Египет (5,23%), Германию (1,92%) и Великобританию (1,14%) . Меньшее значение данного показателя (0,12% - 0,94%) было зарегистрировано, в частности, в таких странах, как Бразилия (0,9%), Франция (0,88%), Румыния (0,84%), Россия (0,79%), Швеция (0,75%), Китай (0,57%), Польша (0,51%), Турция (0,48%), Австралия (0,43%), Италия (0 , 41%), Чехия (0,32%), Испания (0,27%), Малайзия (0,27%), Филиппины (0,26%), Украина (0,24%), Япония (0,2 %), Индия (0,17%). То есть больше фишинговых атак осуществляется в странах, где экономика является развитой, или развивается быстрыми темпами, а следовательно, имеется большое количество финансовых организаций и хорошо развиты электронные платежные системы.
При указанных условиях необходимой задачей каждого хозяйствующего субъекта, являющееся участником платежных систем, осуществлять последующий мониторинг тенденций изменения масштабов мошеннических операций с платежными карточками и разрабатывать эффективную систему мер по предупреждению и минимизации рисков потерь, возникающих в результате преступных действий мошенников.
С целью ограничения объемов влияния мошенничеств рекомендуется установление тесных партнерских отношений с клиентами, торговцами, местными и зарубежными правоохранительными и регулирующими органами, является основой осведомленности и соответственно эффективного осуществления предупреждения этих рисков. Также с этой целью необходимо размещения актуальных контактов региональных сотрудников Министерства внутренних дел Украины, которые ответственны за раскрытие преступлений с платежными карточками, в частности в системе «Exchange-online».
Для банков-членов международных электронных платежных систем заказным является членство в Ассоциации «ЕМА» и участие в единой межбанковской информационной системе «Exchange-online» с целью своевременного выявления и предупреждения мошеннических рисков. Система «Exchange-online» является достаточно эффективной для банковской деятельности, в частности, как подчеркнули представители банков-членов данной системы, значительный ущерб в 2012 году удалось избежать в результате своевременного получения оперативной информации из системы, на основе которой принимались тактические управленческие решения и внедрялись меры по риск-менеджменту. По оценкам банков, которые стали использовать систему в январе 2011 года, средняя сумма предупрежденных убытков в течение двух недель превысила стоимость использования «Exchange-online» в течение одного года (20 000 гривен). В частности, по подсчетам ПАО «Сведбанк», в результате использования информации из системы «Exchange-online» всего за 1 квартал 2011 года предупреждены убытки банка и его клиентов вдвое превышали годовой взнос за использование системы. То есть за один год использования системы сумма предупрежденных убытков банка в среднем составляет около 160 - 200 тыс. гривен в зависимости от условий использования системы каждым конкретным банком. А только за период 2010 - 2011 годов благодаря налаженному обмену данными через единую межбанковскою информационную систему «Exchange-online» задержали 36 мошеннических группировок, которые совершали преступления с использованием поддельных платежных карточек.
Сегодня обмен информацией о карточных мошенничествах в системе осуществляют не все украинские банки, поэтому информация об убытках отражает ситуацию с карточным мошенничеством в Украине только на 70%, а для принятия управленческих решений и планирования бюджетных расходов на внедрение мер безопасности необходимым условием является наличие максимально полной статистической информации. С этой целью целесообразной является модернизация 404 формы статистической отчетности, в которой от данных о суммах убытков банков рекомендовано перейти к данным о суммах успешных и неуспешных операций с платежными картами, что позволит оценивать общий объем мошеннических операций, а не только тех, которые привели к убыткам банков, а также упростит подготовку данных для формы.
В целом же рекомендации по осуществлению мер по минимизации рисков мошенничества касаются конкретных участников платежных процессов: банков-эмитентов, эквайров и держателей карт, чьи средства являются объектом интереса для преступников. Рассмотрим их подробнее.
Процесс ограничения рисков при эмиссии сводится к минимизации влияния рисковых факторов использования банковских карт на прибыльность бизнеса в целом. В основу процесса может быть возложена среднестатистическая модель поведения клиента, характеризующаяся рядом параметров, отклонение от которых система онлайн-мониторинга может воспринимать как мошенничество и отказывать в проведении операции. Однако построение адекватной статистической модели поведения клиента требует значительного времени и больших вычислительных ресурсов. В соответствии с этим для решения задачи предотвращения мошенничества целесообразно передавать часть функций управления рисками непосредственно держателям карт. На стадии выпуска и функционирования карты ее держатель сможет сам определять стандартную для себя модель поведения. Для этого банк должен обеспечить держателя карточки возможностью оперативно менять параметры модели ее использования. Такой подход требует со стороны банка определенных ресурсных затрат на доработку программного обеспечения, разработку новых технологий по управлению параметрами карточки, доработки программного обеспечения колл-центра (call-center) и организации соответствующей рекламной кампании в среде держателей карт.
Большое значение имеет обеспечение клиента банком возможностью оперативно, по запросу, получать информацию о состоянии счета, оперативно блокировать / разблокировать карту, оперативно получать информацию о проведении / попытки проведения операций.
Введение ограничений на использование карточки самим клиентом в значительной степени повышает эффективность работы систем офлайн-мониторинга банка и позволяет без финансовых потерь на ранней стадии выявить случаи подделки карточек.
Мероприятия по минимизации рисков при обслуживании торгово-сервисной сети заключается в реализации комплекса организационных и технологических процедур, направленных на ограничение возможности проведения несанкционированных платежей и создание устойчивого имиджа торгово-сервисной сети банка для мошенников.
Организационные методы направлены на повышение уровня компетентности сотрудников торгово-сервисной сети по приему карточек и методам противодействия мошенничеству. Особое внимание необходимо уделять наглядным пособиям и четкости инструкций по противодействию мошенничеству.
Технологическими процедурами предотвращению мошенничества для банков-эквайров являются:
- 100-процентная авторизация всех операций в торгово-сервисной сети;
- принудительное введение на терминале последних 4 эмбоссированных цифр номера карты при формировании авторизационного запроса и сопоставления их с данными на магнитной полосе. В случае если данные не совпали, операция не разрешается;
- лимит на максимальную сумму покупки, на максимальное количество операций, максимальная сумма операций по одной карте и т.д. При превышении лимита авторизации система банка-эквайера направляет в торговую точку сообщение «свяжитесь с банком» для проведения дополнительной проверки держателя карты.
Также целесообразно проводить мониторинг операций в торгово-сервисной сети, что позволит выявить подозрительные и мошеннические операции на ранней стадии. Мониторинг позволит контролировать состояние с мошенничеством в торгово-сервисной сети на предмет соответствия стандартам платежной системы. По результатам мониторинга необходимо проводить мероприятия по расследованию случаев возможного мошенничества для создания в торговых точках устойчивого ощущения постоянного контроля со стороны банка. Естественно, что степень расследования должна быть адекватной размерам мошенничества, иногда достаточно может быть только одного телефонного звонка в торгово-сервисную точку по поводу подготовки документов по конкретной операции.
Актуальными сегодня являются меры противодействия рискам мошенничества, возникающие на фоне повышенной экономической активности субъектов хозяйствования, в частности во время проведения различных массовых мероприятий.
Именно поэтому важными для участников карточного рынка является дальнейшая координация антимошеннических мероприятий и присоединения к обмену информацией в соответствии с требованиями Закона Украины «О платежных системах и переводе денежных средств в Украине». Для предупреждения и минимизации рисков мошенничества основными направлениями работы должны быть:
1. Предпочтение техническим мерам безопасности перед организационными при внедрении требований стандарта PCI DSS, который сегодня является основным практическим и регламентирующим документом для индустрии платежных карт.
2. Ускорение оборудования банкоматов антискиминговимы устройствами, внедрение мониторинга банкоматной сети для своевременного предупреждения несанкционированных вмешательств в работу банкоматов.
3. Усиление мер безопасности в эквайринговой сети, в частности, проведение дополнительных инструктажей кассиров торгово-сервисных предприятий, менеджеров и кассиров отделений банков по поводу разновидностей мошенничества с платежными картами.
4. Ускорение внедрения технических и организационных мер безопасности платежных карт в Интернете.
5. Создание постоянно действующей межведомственной рабочей группы по унификации применения уголовного законодательства в сфере карточных преступлений и обращения в Верховный Суд Украины с наработанными предложениями.
Выводы. Проанализировав динамику изменения количества и объемов осуществляемых мошенничеств в Украине и мире, можно сказать о постоянном росте потерь в результате осуществления этих операций (наиболее распространенными их видами являются скриминг и фишинг), имеющий достаточно значительный удельный вес среди рисков. Основным фактором является непонимание масштабности проблемы мошенничества, прежде всего на уровне держателей карточек. Именно поэтому, для предупреждения величины нанесенного ущерба, возникает необходимость большей осведомленности пользователей платежных карточек об основных методах и способах незаконного посягательства на их средства.
Таким образом, в рамках осуществления процесса управления рисками с целью их предотвращения, важно совершенствовать программное обеспечение по обслуживанию платежной системы, разрабатывать новые технологии по управлению параметрами карточек и организовывать соответствующую рекламную кампанию в среде держателей карт, что позволит дифференцировать управления рисками, особенно, касающихся мошенничества.
Следовательно, осуществление эффективной политики управления рисками (в частности рисками мошенничества) возникающих в платежных системах, а также использование международного опыта позволит не только повысить конкурентоспособность экономики Украины, но также выйти на качественно новый уровень развития в мировой экономической среде.
