Проблемы и пути снижение рисков при операциях с платежными картами Текст научной статьи по специальности «Экономика и бизнес»

Удк 339.13:347.735

проблемы и пути снижения рисков при операциях с платежными картами

Ш. Р. БИКМАЕВ, аспирант кафедры финансов и кредита Е-mail: bikmaevshamil@gmail. com Мордовский государственный университет

им. Н. П. Огарева

В статье отмечается, что увеличение количества и объемов операций с платежными картами влечет за собой появление разного рода рисков, которые приносят огромные убытки финансовым учреждениям. Выявлены основные факторы, препятствующие минимизации рисков при операциях с платежными картами. Предложены пути построения эффективной системы управления рисками.

Ключевые слова: платежные карты, риски, операция с платежными картами.

В настоящий момент развитие рынка платежных карт в России является одной из важнейших задач повышения эффективности экономики страны. Однако этот процесс тесно связан с рядом рисков, возникающих на всех стадиях работы с платежными картами.

Управление рисками - это наиболее важная часть эффективного надзора за платежными системами, во многом обеспечивающего развитие и финансовую стабильность экономики. Моделирование кредитных рисков в банках проходит эволюционный путь от кредитного скоринга до продвинутого подхода к управлению рисками. И осуществлять его необходимо уже на этапе планирования всей системы управления кредитным риском.

Современная тенденция увеличения количества и объемов операций по платежным картам приводит к увеличению различного рода рисков. Поэтому их снижение при подобных операциях является одной из важнейших задач, связанных с построением эффективной системы безналичных расчетов в области розничных платежей.

Выделяют шесть основных видов рисков:

- риск нехватки ликвидности;

- кредитный риск;

- системный риск;

- правовой риск;

- операционный риск;

- риск мошенничества.

Они увеличиваются:

- по мере роста объема и количества операций, проводимых в системе финансовых транзакций;

- вследствие внедрения современных технологий трансграничных расчетов.

Возможность использования денежных средств получателем до момента окончательно расчета также многократно увеличивает эти риски.

На взгляд автора, существует ряд препятствий для снижения рисков при операциях с платежными картами.

1. Отсутствие во многих банках специализированного департамента по управлению рисками. Как правило, работа по управлению рисками при операциях с платежными картами проводится департаментом (отделом) по работе с пластиковыми картами либо департаментом по управлению рисками платежной системы. Зачастую в банках данные департаменты отсутствуют из-за крупных расходов, связанных с функционированием указанных служб. А там, где сформированы данные подразделения, функция по управлению рисками при операциях с платежными картами обычно является второстепенной. В результате работа по минимизации рисков с использованием платежных карт отличается низкой эффективностью.

2. Отсутствие анализа рисков на этапе привлечения новых клиентов в банк. Служба привлечения клиентов стремится к заключению договоров с как можно большим числом лиц. Анализ рисков в большинстве случаев сводится к правилу: прошел или не прошел

клиент проверку службы безопасности. При этом контроль за рисками является малоэффективным, наблюдается конфликт по линии «маркетинг - контроль».

3. Отсутствие возможности у риск-менеджеров влиять на составление бизнес-планов банка, которые создаются линейными менеджерами или карт-менеджерами подразделения. Данные бизнес-планы ориентированы на извлечение прибыли, но никак не учитывают последующие риски.

4. Высокий технологический уровень мошенничества. Наиболее технологичными видами мошенничества являются:

- траппинг;

- фальшивые банкоматы;

- скимминг и т. д.

5. Финансовая неграмотность населения. Мошенничество с платежными картами влияет негативным образом на отношение людей к финансовым институтам. Из-за финансовой неграмотности, недостаточного уровня безопасности появляется недоверие к использованию платежных карт.

6. Несовершенство российского законодательства. Принятые законодательные акты не восполняют имеющиеся пробелы, связанные с высокотехнологичным мошенничеством.

Рост числа пластиковых карт у населения спровоцировал увеличение случаев мошенничества на рынке безналичных расчетов. За 2011 г. количество мошеннических операций с банковскими счетами увеличилось в пять раз, а число выплат по причине несанкционированного снятия денег со счетов по сравнению с 2009 г. выросло в 11 раз [1].

Самым распространенным для владельцев карт риском является их утрата (в том числе - потеря, хищение, повреждение). На утрату приходится 52 % из числа всех страховых случаев. На выплаты компенсаций по утрате пластиковой карты выделяется 0,5 % всех денежных возмещений, выплаченных держателям.

Следующий по степени вероятности риск для держателя банковской карты - хищение финансовых средств со счета. 40 % страховых случаев связаны именно с этим риском. В 57 % случаев хищение происходит без использования действительной банковской карты - с помощью мошеннических действий в виде фишинга или скимминга. Остальные же 43 % краж происходят с использованием утраченной карты по причине ее кражи или потери. По сумме выплаченных страховых возмещений риск несанкционированного снятия денежных средств значительно опережает другие - 67 %.

Сумма выплаты страхового возмещения по риску несанкционированного снятия денег в 2011 г. выросла в 7,5 раза по сравнению с 2010 г. и в 11 раз по сравнению с 2009 г. [1].

Третье место занимает риск хищения наличных денежных средств путем разбойного нападения или ограбления держателей карт в процессе снятия ими денег из банкомата - 8 % от общего количества случаев. На данный риск приходится 32,5 % от всей страховой суммы, выплаченной по рискам держателей карт.

Всего в мире за 2011 г. по разным оценкам с карточных счетов было украдено 9 млрд долл. В России со счетов, привязанных к банковским картам, в 2011 г. несанкционированно сняли более 2,3 млрд руб. При этом сумма средней мошеннической операции в (сети) Интернет составила 6 тыс. руб.

В целом в мире самый рисковый сегмент, в котором совершается большинство нелегальных операций с банковскими картами, - это Интернет.

А в России наиболее распространены:

- мошеннические операции в POS-терминалах, используемых при розничной покупке товаров, -58 % от общего количества мошеннических операций с использованием банковских карт;

- мошеннические операции через банкоматы -40 %;

- мошеннические операции через Интернет -2 % [1].

В настоящее время многие эксперты выделяют тенденцию увеличения киберпреступности. В 2011 г. были обнаружены:

- 12 тысяч фишинговых сайтов (рост - 300 % по сравнению с предыдущим годом);

- 180 тысяч новых доменов, на которых размещались вредоносные сайты;

- около 1 тыс. интернет-ресурсов, через которые можно было управлять бот-сетями.

Борьба с мошенничеством в разной степени осуществляется всеми кредитно-финансовыми институтами, которые осуществляют эмиссию и эквайринг. По мнению автора, только комплекс организационно-технических мер, основанный на инновационных методиках и решениях, способен если не предотвратить, то в значительной степени снизить различного рода риски. Минимизировать убытки от рисков можно с помощью решения следующих задач:

1) обеспечение оптимального уровня проверки персональных данных потенциальных держателей платежных карт;

2) обеспечение физической и технологической безопасности процессов производства карт, транзакций и авторизации;

3) обеспечение информационно-аналитической деятельности по раннему выявлению мошеннических действий с платежными картами;

4) формирование среднестатической модели поведения клиента, исключающей возможность совершения мошеннического действия при пользовании платежной карты и повышение финансовой грамотности населения.

На взгляд автора, для решения первой задачи необходимо создать эффективную систему проверки заемщика, которая должна включать в себя:

1) первичную проверку документов и клиента;

2) проверку данных службой проверки заемщиков и службой безопасности банка;

3) оценку рисков, связанных с обслуживанием клиента;

4) кредитный скоринг.

Для минимизации рисков при операциях с платежными картами необходимо начинать с проверки клиентского заявления-анкеты, которое содержит просьбу о выпуске карты. Именно на основе анализа данной анкеты банк принимает решение о выпуске или об отказе в выпуске карты. Перед анализом данных сотрудник банка обязан дать визуальную оценку потенциальному клиенту.

1. Первичная проверка документов и клиента сотрудником, принимающим документы. Данный этап должен включать в себя:

а) проверку документа, удостоверяющего личность. Сотрудник обязан проверить документы на предмет подделки:

- отсутствие защитных знаков;

-отсутствие различного рода исправления.

Частым случаем является использование клиентами паспортов с устаревшими данными. Сотруднику также необходимо проверить - числится ли данный документ в списке украденных и в случае совпадения незамедлительно сообщить в соответствующие органы власти. База данных украденных документов должна предоставляться непосредственно органами власти и управления и постоянно обновляться;

б) проверку личности клиента. Сотрудник обязан сделать сличение внешнего вида клиента с фотографией в документе;

в) проверку клиентского заявления-анкеты. Сотруднику необходимо сверить подписи, указанные в

документе и анкете, проверить полноту заполнения всех полей в анкете.

В случае если анкета-заявление заполняется по технологии «1 визит» (анкета-заявление по технологии «1 визит» - это анкета, которая была заполнена сотрудником по телефону, без визуального ознакомления с потенциальным клиентом, т. е. клиенту в случае одобрения останется подъехать с необходимым пакетом документов для получения карты), то процедура проверки начинается сразу со второго этапа.

2. Второй этап проверки состоит из одновременной проверки данных службой проверки заемщиков и службой безопасности банка.

Сотрудник службы проверки заемщиков обязан:

- проверить актуальность на момент подачи заявления паспортных данных;

- уточнить, действительно ли клиент прописан по адресу, указанному в анкете;

- уточнить, действительно ли существует указанный адрес прописки;

- уточнить, действительно ли проживает клиент по указанному адресу фактического проживания;

- проверить контактные номера - действительно ли они зарегистрированы и соответствуют организации и фактическому адресу проживания;

- проверить организацию, в которой работает клиент. Организации могут быть «однодневками» для совершения различного рода махинаций либо не существовать вообще. Одним из обязательных действий является проверка юридического и фактического адреса организации.

Сотрудник службы безопасности банка обязан:

- проверить - не числится ли заявитель в розыске, в ориентировках правоохранительных органов;

- проверить клиента на предмет судимости;

- проверить клиента по специализированным базам на предмет выявления компрометирующих сведений.

3. Оценка рисков, связанных с обслуживанием клиента, играет одну из важнейших ролей при минимизации рисков при операциях с платежными картами. Сотрудник для оценки рисков, связанных с обслуживанием клиента, обязан:

- сделать запрос в бюро кредитных историй на наличие отрицательной кредитной истории;

- проверить возможность связаться с клиентом по указанным в анкете номерам: сотрудник может позвонить на рабочий номер и уточнить - числится ли данный сотрудник в штате указанной организации или нет;

- проверить, числится ли клиент в «черных списках» платежных систем;

- проверить наличие негативной информации о клиенте в зарубежных процессинговых центрах.

4. Кредитный скоринг также является важным для снижения рисков при операциях с платежными картами. На взгляд автора, эффективная система кредитного скоринга должна строиться на системе SAS Credit Scoring for Banking. Это полноценное решение для разработки, использования и мониторинга скоринговых карт и прогнозирующих моделей оценки кредитного риска. Важно, что это решение уже включает в себя возможность создавать модели для:

- потребительских кредитов;

- кредитных карт;

- овердрафтов;

- автомобильных кредитов;

- ипотечных кредитов;

- других кредитных продуктов на основании данных, доступных банку.

При этом банк может эффективно использовать решение SAS Credit Scoring for Banking как на ранних стадиях развития системы управления кредитным риском, так и при внедрении продвинутого подхода на основе внутренних рейтингов (Advanced-IRB) в соответствии с рекомендациями Базельского комитета по банковскому надзору.

Кроме того, это решение является составной частью единой интегрированной среды управления рисками SAS, которая представляет собой трехслойный «сэндвич»:

- в его основе - платформа управления данными (Data Integration);

- вверху - средства отчетности (Business Intelligence);

- между ними - широкий набор аналитических инструментов для построения и анализа моделей кредитного скоринга.

По желанию заказчика любой из этих аналитических инструментов может быть внедрен либо как самостоятельный продукт, либо как часть общей централизованной системы управления рисками в банке в процессе ее последовательного построения. Эта особенность выгодно отличает решение SAS от аналогичных продуктов на рынке [3].

Для решения второй задачи, на взгляд автора, необходимо предпринять следующие меры:

- совершить 100 %-ную авторизацию всех операций в торгово-сервисной сети (это не относится к специфическим сетям с микро-платежами и пр.);

- завершить переход от использования карт с магнитной полосой к смарт-картам нового поколения. Данные с такой карты считываются гораздо сложнее, и всегда есть возможность вернуть похищенные денежные средства;

- установить лимит на максимальную сумму покупки, на максимальное количество операций, максимальную сумму операций по одной карте и т. д. При превышении лимита авторизационная система банка-эквайрера должна направлять в торговую точку обслуживания сообщение, чтобы сотрудники магазина связались с банком. Цель данного сообщения заключается в том, что банк смог бы дополнительно провести проверку держателя карты. Сотрудники службы мониторинга должны иметь возможность оперативно изменять значения лимитов или отменять их вообще на какой-то период времени или количество транзакций. Сценарий действий банка в данной ситуации может варьироваться от «симуляции» инициации запроса по держателю карты в банк-эмитент до реального запроса в банк-эмитент на подтверждение личности держателя карты. То же касается снятия наличных денежных средств через банкомат, т. е. при снятии большой суммы сотрудники службы безопасности или мониторинга обязаны позвонить клиенту и сообщить о факте снятия наличных. Смысл всех действий заключается в разумном компромиссе между безопасностью и бизнесом. Лимиты, оптимально установленные предприятиям, и оперативность банка в принятии решения должны минимизировать влияние этого процесса на время обслуживания клиента. В то же время возможность применения данной системы отпугнет мошенника. При этом настроена система мониторинга должна быть таким образом, чтобы минимизировать воздействие на бизнес, обеспечив разумную нагрузку на службу авторизации при заданном максимально допустимом уровне мошенничества в торгово-сервисной сети банка;

- сопоставлять операции «возврат покупки». Все операции «возврат покупки» сопоставляются с операциями в торговой точке за определенный период. Если операция не сопоставлена по определенному алгоритму, она откладывается из обработки до окончания расследования. Конечно, нет смысла расследовать все случаи несопоставленных операций. Разумным является применение пороговых лимитов: сумма операции, сумма операций за день, неделю. Все события превышения лимитов можно отправлять на расследование и по результатам процессировать операции;

- использовать технологии SMS-оповещения держателей платежных карт об авторизационных за-

просах на проведение операций по их картам. Метод весьма эффективен, так как клиент самостоятельно обеспечивает мониторинг собственных денежных средств на карт-счете;

- предоставить клиентам возможность дополнительной аутентификации и/или двухфакторной аутентификации, а также обеспечение поддержки механизма электронно-цифровой подписи при выполнении различного рода финансовых операций;

- внедрить специальный антискимминговый модуль безопасности, который устанавливается на сам банкомат. Данный модуль оборудован специальными датчиками для контроля области картоприемника, которые позволяют выявлять несанкционированную установку на банкомат любых посторонних устройств. При обнаружении несанкционированного доступа к банкомату мгновенно отсылается сообщение в соответствующие службы. При этом банкомат блокируется для проведения операций, а камера фиксирует лицо мошенника.

Некоторые производители банкоматов самостоятельно могут внедрить средства и механизмы обеспечения безопасности в конструкцию банкомата. Например, специальная закругленная форма передней панели банкоматов вокруг картоприемника не позволит установить мошенническое устройство. Устройство считывания платежных карт также можно оснастить специальным механизмом вибрации, который встряхивает карту во время загрузки, т. е. меняет скорость движения самой карты и использует серию быстрых остановок и пусков. Данный эффект тряски не позволяет точно считывать данные с карты с помощью мошеннического устройства (например с помощью скиммера);

- использовать технологию 3D-Secure, которая позволяет значительно снизить риски при проведении транзакций по платежным картам;

- определить относящиеся к зоне повышенного риска регионы с целью установления в данных регионах определенных лимитов на снятие наличных денежных средств и проведение транзакций за определенные промежутки времени;

- ввести запрет на использование платежных карт в сети Интернет в регионах повышенного риска;

- производить эмиссию EMV-карт с поддержкой DDA (Dynamic Data Authentication), обеспечивающих наиболее высокий уровень защиты от скимминговых атак;

- предоставить доступ к мобильному банку для того, чтобы клиент в режиме онлайн мог контролировать состояние своего счета;

- следовать стандарту по обеспечению безопасности данных PCI DSS (Payment Card Industry Data Security Standart) и использованию специальных технических программ фрод-мониторинга, анализу транзакций;

- проанализировать клиентскую базу. Анализ заключается в том, что соответствующие службы банка производят тщательную проверку физических лиц и организаций, претендующих на получение банковских карт, а также предприятий торговли, желающих участвовать в системе эквайринга. Осуществляется и периодический мониторинг деятельности клиентов, уже имеющих банковские карты или находящихся на обслуживании в банке-эквайрере;

- контролировать функционирование оборудования и коммуникационных систем. Контроль должен включать в себя мониторинг каналов связи на наличие и продолжительность сбоев, а также качества связи, мониторинг оборудования (банкоматов, POS-термина-лов) на наличие неисправностей и выявление их причин, определение времени и материальных ресурсов, необходимых на устранение неисправностей;

- обеспечить принудительный ввод на терминале последних четырех эмбоссированных цифр номера карты при формировании авторизационного запроса и автоматическое сопоставление их с данными на магнитной полосе. Если данные не совпали, операция не разрешается. Это защитит банк от мошенничества с поддельными картами, когда на магнитную полосу валидной карты, принадлежащей мошеннику, записывается магнитная полоса другой валидной карты, принадлежащей ничего не подозревающему добропорядочному клиенту банка, скопированная в торгово-сервисной сети.

Для решения третьей задачи предлагается:

- создать единую специализированную службу, которая бы проводила круглосуточный мониторинг операций по картам клиентов. Современные технологии дают возможность распознать практически любую мошенническую операцию в режиме реального времени. Специальный центр при первом же подозрении на несанкционированность операции блокирует карту;

- проводить обмен опытом между банками и активно сотрудничать с правоохранительными органами по выявлению мошеннического использования платежных карт;

- создать договоренность между банками и платежными системами об отправке уведомлений в случае обнаружения той или иной мошеннической

активности. Например, сами платежные системы на основании собственных расследований рассылают уведомления банкам о возможной мошеннической операции по карте. Получив данное уведомление со списком карт, по которым есть подозрение, банк оперативно принимает соответствующие меры по предотвращению мошенничества.

Любой из видов рисков невозможно снизить без формирования среднестатистической модели поведения клиента - держателя платежной карты. Данная модель должна характеризоваться рядом важных параметров, отклонение от которых система онлайнового мониторинга должна воспринимать как мошеннические действия и немедленно отказывать в проведении операции.

Построение подобных статистических моделей поведения клиента хорошо зарекомендовало себя в установившихся системах банковского обслуживания. Но при становлении рынка банковских услуг эта задача весьма сложная и вряд ли выполнима для всего спектра клиентов, так как использование карт клиентами в основном носит недетерминированный характер.

Для решения задачи предотвращения мошенничества целесообразно передать часть функций управления рисками непосредственно держателям карт. На стадии выпуска и функционирования карты держатель карты сможет сам определять стандартную для себя модель поведения. Для этого банк должен обеспечить держателя карты возможностью оперативно изменять параметры модели использования карты. Такой подход требует со стороны банка определенных ресурсных затрат на:

- доработку программного обеспечения;

- разработку новых технологий по управлению параметрами функционирования карты;

- доработку программного обеспечения Call Center;

- организацию соответствующей рекламной кампании в среде держателей карт.

К параметрам, определяющим модель поведения клиента, можно отнести следующие:

1) лимиты на сумму и количество операций выдачи наличных и покупки (на один день, на три дня, неделю, месяц и т. д.);

2) регион использования карты с детализацией до конкретной страны (чем регион меньше, тем меньше риск успешного использования поддельной карты);

3) определение категорий торговых точек (группы МСС), где карта не будет использоваться (например, Интернет, заказы по почте и т. д.) [2].

Для усиления мотивации клиентов в установке региона использования карты можно ввести некоторые ограничения на использование карты в странах повышенного риска использования банковских карт, соответствующим образом оповестив об этом клиентов. Установка региона использования карты позволит снимать ограничения на использование карты в этих странах на определенный срок. Заодно можно порекомендовать клиенту на будущее установить регионы использования карты.

Введение ограничений на использование карты самим клиентом в значительной степени повышает эффективность работы систем офлайнового мониторинга банка и позволяет без финансовых потерь, на ранней стадии выявлять случаи подделки карт [2].

Для повышения финансовой грамотности населения предлагается:

1) использовать превентивные меры, которые включают обучение клиентов и сотрудников торговых точек обслуживания с помощью специальных брошюр и консультаций правилам пользования картами и хранения конфиденциальной информации. Как показывает практика, в большинстве случаев сам клиент предоставляет возможность для мошенничества с платежной картой. Распределение функций (должностных обязанностей) сотрудников и контроль за подбором и расстановкой кадров также являются важными с точки зрения минимизации рисков;

2) создать специализированную организацию, основной функцией которой являлось бы повышение финансовой грамотности российских граждан.

Таким образом, автор предлагает комплекс мер для ведения эффективной борьбы с мошенничеством при операциях с платежной картой. При этом самой эффективной мерой является доведение до самого держателя платежной карты необходимости соблюдать абсолютно все требования по безопасности операций с картой.

Список литературы

1. Количество случаев хищения денег с банковских счетов за год увеличилось в пять раз. URL: http:// finance. rambler. ru/news/economics/105336460.html.

2. Минимизация влияния рисковых факторов использования банковских карт - взаимодействие банка и клиента. М.: Центр исследований платежных систем и расчетов. 2008.

3. Прогнозировать потери, а не просто выдавать кредиты. Компания SAS. URL: http://www.sas. com/offices/europe/russia/news/2011/ppk.html.