Финансы, кредит, денежное обращение
С.О. ЛУКЬЯНОВ
Мошенничество с использованием банковских карт в России: современное состояние и виды защиты
Рассматривается рынок банковских карт, его роль в банковском секторе и мошенничество с их использованием. Для построения качественной защиты от данного мошенничества выполнена систематизация видов данной защиты.
Ключевые слова: банковские карты, мошенничество, классификация мошенничества с банковскими картами.
Swindle using banking cards in Russia: modern condition and kind of protection.
S.O. LUKYANOV.
Market of banking cards, its role in banking sector and swindle using are observed. To construct qualitative protection from the swindle the systematization of this kind ofprotection was carried out.
Key Terms: banking cards, swindle, classification of swindle with banking cards.
Банковские карты являются сравнительно новым платежным инструментом для России, тогда как в мире накоплен значительный опыт их использования. Тенденции последних лет свидетельствуют о том, что Россия становится одним из мировых лидеров по темпам роста их количества. В годовом отчете Банка России за 2011 г. отмечается следующая статистика этого роста:
• на январь 2008 г. - 103,5 млн;
• на январь 2009 г. - 119,2 млн;
• на январь 2010 г. - 126 млн;
• на январь 2011 г. - 144,4 млн (т. е. 1,01 карты на каждого жителя страны).
Иными словами, с 2008 г. рост составил 39,5 % [2]. Можно предполагать,
что динамичный прирост выпуска банковских карт обусловлен реализацией банками зарплатных проектов, интересом работодателей к безналичному перечислению заработной платы своим работникам и оптимизации процесса ее выдачи. Таким образом, карты становятся социально значимым средством и служат не только для безналичного платежа, но и выполняют функции депозита (в случае аккумулирования заработной платы на счету), инкассации (отпадает надобность в перевозке денежных средств), а также, являясь инструментом доступа к кредитному счету (для начисления и погашения кредитов), выступают неотъемлемой частью функции кредитования.
Однако рост количества пластиковых карт у населения спровоцировал увеличение фактов мошенничества на рынке безналичных расчетов. По данным МВД в первом полугодии 2011 г. было зафиксировано 2 227 преступлений на рынке банковских карт, что на 627 преступлений (36 %) больше по сравнению с
аналогичным периодом 2010 г. [5]. В связи с этим в настоящий момент исследование защиты банковских карт является весьма актуальным.
Ущерб от производства и сбыта поддельных карт в первом полугодии 2011 г. оценивается в 1,621 млн руб., тогда как в аналогичный период 2009 г. эта величина составила 38,6 млн руб. По мнению банкиров, значительное снижение суммы ущерба произошло благодаря активной работе МВД и банков по пресечению мошеннических операций с картами, в частности мониторингу банкоматных сетей, где зачастую и совершаются кражи данных по картам, и контролю за снятием больших сумм [5].
За последний - 2011 г. сумма причиненного ущерба сравнительно невелика, но растет количество совершенных преступлений. По данным МВД это происходит из-за увеличения числа безналичных платежей. При этом сами банки подталкивают граждан более активно пользоваться картами. К примеру, с начала 2012 г. комиссия за оплату ЖКХ в отделениях банков была исключена из общей суммы платежа, и граждане должны были оплачивать ее отдельно. В разных банках ее размер варьировал от 1 до 2,5 %. Тем же, кто считает эту комиссию непомерно высокой, было предложено оплачивать коммунальные платежи с помощью пластиковой карты через банкоматы и Интернет.
Увеличение числа преступлений с пластиковыми картами является также следствием развития электронной коммерции в целом: растет количество карт, растет и количество преступлений, связанных с мошенничеством по этим картам.
Под карточным мошенничеством понимаются преднамеренные, обманные действия, направленные на несанкционированное овладение финансовыми средствами, размещенными на карточных счетах клиентов банков-эмитентов пластиковых карт, и основанные на применении технологии пластиковых карт для доступа к счетам.
Международные платежные системы (МПС) классифицируют карточное мошенничество, с которым сталкиваются эмитенты, по семи категориям [6]:
1) мошенничество с утерянными картами;
2) мошенничество с украденными картами;
3) мошенничество с неполученными картами;
4) мошенничество с фальсификацией заявления;
5) мошенничество с поддельной картой;
6) прочие виды карточного мошенничества;
7) «завладение» счетом, мошенническое использование карточного счета.
Необходимо отметить, что растущая техническая оснащенность мошенников приводит к тому, что их действия приобретают характеристики нескольких названных категорий одновременно. Например, после расходования всех доступных по утерянной или украденной карте средств она может быть перепродана «специалистам» по подделке карт для повторного эмбоссирования и/или перезаписи информации на магнитной полосе.
По данным МПС основным является мошенничество с утерянными и украденными картами - на него приходится примерно 50 % всех случаев мошенничества с кредитными картами [7] (в Росбанке они составляют около 30 % от общего количества мошеннических случаев за год [1]).
Карты, как правило, используются для получения денежных средств в банкоматах (особенно когда имеется ПИН-код, хранившийся держателем в нарушение правил вместе с картой) или в торговых точках при приобретении ликвидного товара, когда кассир вследствие халатности или загруженности, нарушая
всяческие запреты (в том числе и правила МПС), продает товар человеку, не являющемуся владельцем карты.
К распространенному типу мошенничества относится также использование поддельной карты с данными магнитной полосы чужой карты (скимминг -skimming - копирование данных магнитной полосы карты). Существует несколько видов скимминга:
• сетевое проникновение в крупные процессинговые центры, компрометация данных карт;
• подключение к POS-терминалам техники в торговых точках или использование переносных устройств в ресторанах;
• организация фиктивных пунктов выдачи наличных (ПВН);
• установка накладок на приемные устройства и клавиатуру банкоматов, перехватывающей спецтехники внутри них.
К странам с повышенной группой риска по расматриваемому мошенничеству относятся Таиланд, Турция, Шри-Ланка, Индонезия, Малайзия, Италия, Украина. Данные магнитной полосы могут быть переданы мошенниками электронным способом в другую страну, где изготавливают поддельную карту, которая используется там же или в другой стране.
Третье место занимает мошенничество с использованием реквизитов карты (в том числе в сети Интернет), таких как номер, срок действия, CVC или CVV - три последних цифры на обороте карты.
В условиях высокой конкуренции банки используют всевозможные способы предложения кредитных карт, что оказывается не всегда эффективным, а зачастую и очень рискованным как для банка, так и для клиента. Многие банки применяют такой экспресс-метод кредитования, как почтовая рассылка кредитных карт. Наиболее характерна она для банков, стратегия которых построена на потребительском кредитовании.
Почтовая рассылка кредитных карт это, с одной стороны, маркетинговый ход, с другой - попытка кредитных организаций сыграть на недостаточной финансовой грамотности населения. Кредитование физических лиц осуществляется при помощи неперсонифицированных карт с кредитным лимитом Instante Issue. Оценка заемщика строится на скоринговых системах и предполагает высокую степень риска невозврата. По этим кредитам, соответственно, устанавливается довольно небольшой лимит и достаточно высокая процентная ставка -40-60 % [3].
Возможность мошенничества - один из факторов, определяющих рискованность кредита и напрямую влияющий на его стоимость для клиента. Скорее всего, банк таким образом компенсирует за счет клиента бреши в риск-менедж-менте по авторизации кредита. Поскольку карта неперсонифицированная, на ней имеются доступные деньги, и в некоторых странах есть понятие «безавториза-ционная сумма» (т. е. сумма, при запросе которой не проходит запрос авторизации на банк). В этом случае возрастает риск мошеннических операций, а при рассылке по почте таких карт очень высок риск подделки магнитной полосы. Вторым фактором, определяющим рискованность кредита, является отсутствие полной информации о клиенте и возможности оценить его платежеспособность.
Основной же риск - это потеря карты в нераспечатанном конверте, которая может быть украдена из почтового ящика, из рук почтальона, на почте. Даже если кредитка и ПИН-код к ней приходят в разных конвертах, их все равно приносит один и тот же почтальон и кладет в один ящик. Таким образом, отдельная
рассылка ПИН-кода и карты - довольно сомнительный способ защиты. Возникает риск как для клиента (на нем оказывается долг в случае, если мошенник активирует карту и воспользуется ее лимитом), так и для банка (у него появляется проблемный кредит, который клиент, скорее всего, в суде оставит финансовому учреждению) [3].
В 2011 г. Высший арбитражный суд (ВАС) предложил установить прямой запрет на рассылку этих банковских продуктов, за исключением случаев, когда заемщик сам выразил намерение получить пластиковую карту именно таким образом [4]. Данная мера в действующих условиях абсолютно оправдана.
Обеспечение безопасности банковских карт необходимо осуществлять в двух сферах банковской карточной деятельности:
• эмиссия банковских карт (безопасность карт банка-эмитента и операций по ним);
• эквайринг (прием) банковских карт (безопасность обслуживания карт сторонних банков в торгово-сервисных предприятиях - ТСП).
Если взять для примера Росбанк, то в его годовом отчете отмечается увеличение мошеннического использования реквизитов карт (с третьего квартала 2009 г. по второй квартал 2010 г. - почти в 15 раз, а с третьего по четвертый квартал 2010 г. - почти в 2 раза) и снижение количества операций по поддельным картам [1]. Можно сделать вывод, что рост мошенничества с использованием реквизитов карт происходит по двум основным причинам:
- принятие банками эффективных мер по усилению безопасности банкоматов (аудит банкоматов, установка антискимминговых устройств);
- незаинтересованность мошенников по финансовым соображениям вкладывать дополнительные средства в приобретение считывающих устройств и изготовление поддельных карт.
Вследствие того, что копировать карту стало труднее, мошенничество с поддельными картами сменилось мошенничеством с использованием реквизитов карты.
В последнее время изменились способы компрометации банковских карт. Если раньше она происходила в основном в торговых точках путем подключения считывающих устройств к Р08-терминалам, то сейчас используются:
• вредоносное программное обеспечение (ВПО) - в программное обеспечение банкомата вносится вредоносный вирус, который может выполнять две команды: на скимминг (считывание магнитной полосы и ПИН-кода) и снятие денежных средств (так называемый прямой диспенс). Запуск вируса осуществляется с помощью специальных карт активации;
• накладные считывающие устройства (НС У);
• для мошенничества с использованием реквизитов карт: телефон, СМС-сообщения (выведывание реквизитов обманным путем); мошеннические сайты и ТСП в сети Интернет; банковские базы данных, списки держателей карт в организациях-клиентах.
На взгляд автора, необходимо применять нижеследующие виды защиты от мошенничества.
1. Программная защита - использование экспертной системы предоставления авторизации с целью повышения качества обслуживания держателей банковских карт и предотвращения возможных случаев существующих и выявления новых видов мошенничества; установка и совершенствование информационно-технологических систем для риск-контроля по комплексному обслужива-
нию банковских карт, принцип работы которых заключается в системе мониторинга, позволяющей составить примерную картину поведения клиента. Если система «замечает», что данное поведение отклоняется от привычной схемы, банк получает сигнал тревоги. На его усмотрение операция по карте может быть приостановлена, и торговая точка получит сообщение «свяжитесь с банком». Кредитная организация может и сама связаться с клиентом, чтобы выяснить, совершалась ли та или иная операция по карте.
2. Аппаратная зашита - техническое обеспечения банкоматов, в том числе установка антискимминговых устройств, совершенствование механизма карт (включая и уже существующие «чипованые» карты).
3. Юридическая защита. Необходимо вводить строгие правовые нормы, контролирующие деятельность не только банков, но и торговых точек, в которых должна быть предусмотрена ответственность сторон. В случае проведения торговой точкой операции по «чужой» карте и в случае несоблюдения данных норм наказывать по всей строгости закона. В данной ситуации мы сталкиваемся с конфронтацией интересов, с одной стороны, магазинов и банков, с другой - потребителей, и первые два выглядят более защищенными, со своими огромными административными ресурсами (связями, юристами, деньгами и т. д.) против разрозненных потребителей, интересы которых зачастую даже некому защищать. Банки и торгово-сервисные предприятия обычно предпочитают не конфликтовать между собой, т. к. находятся в прямой зависимости друг от друга: банки получают процент от покупки, совершенной в магазине с помощью банковской карты, магазины увеличивают количество клиентов за счет расширения возможностей расчета за покупку товара.
4. Страховая защита. Возможен такой путь решения рассматриваемой проблемы, как формирование резервов, из которых будут безоговорочно возмещаться средства клиентам, пострадавшим от мошенничества. Данные резервы можно формировать как за счет банка, так и в виде страховки. Если используются банковские резервы, то банки будут нести огромные потери, сравнимые с потерями при выдаче проблемных кредитов. Во избежание таких потерь банки будут заинтересованы в создании более эффективной модели борьбы с мошенничеством, с тем чтобы вкладывать меньше средств в повышение собственной безопасности. Если используются резервы страховых организаций, то их расходы будут расти пропорционально активности банков в развитии карточного бизнеса. И в том и в другом случае затрагиваются интересы очень крупных организаций, которые имеют своих представителей на самом верху законодательной власти, что может негативно сказаться на эффективности этих моделей.
5. Профилактическая защита. В эту категорию можно отнести лимитирование по сумме транзакции, т. е. ограничение суммы на операцию в банкомате и покупку в торговой точке. Необходимо также и самому клиенту крайне ответственно относиться к своим деньгам: внимательно читать банковский договор, брошюры, которые обычно банк прилагает к своим продуктам, иными словами, повышать свою финансовую грамотность. Кроме того, следует помнить простые правила: никогда и никому не сообщать реквизитов своей банковской карты и в случае ее утери или кражи незамедлительно извещать об этом банк с целью ее блокирования.
Чтобы добиться максимальной эффективности, следует применять все пять сформулированных выше видов защиты. Они составляют комплекс защиты от мошенничества с использованием банковских карт, который способен обеспе-
чить создание комфортных условий для работы с картами как для банка, так и для клиента, вследствие чего возможен переход обслуживания клиентов на качественно новый уровень, а также более эффективное использование потенциала банка и повышение его привлекательности.
Литература
1. Мошенничество с использованием банковских карт: материалы семинара. -Екатеринбург, 2011.
2. Официальный сайт Центрального банка. - Режим доспупа: http://www.cbr. ru/statistics/p_sys/print.aspx?file=sheet007.htm&pid=print. aspx?file=sheet007. htm&pid=psRF&sid=ITM_12859 [Дата обращения 20.11.2011 г.].
3. Пластик свободной конвертации. -Режим доступа: http://www.prostobank.ua/ layout/set/print/plastikovye_karty/stati/plastik_svobodnoy_konvertatsii [Дата обращения 17.06.2008 г.].
4. Почтовую рассылку кредитных карт могут запретить // Известия. 2011. 17 ноября. - Режим доступа: http://www.izvestia.ru/news/507169 [Дата обращения 17.11.2011 г.].
5. RBCdaily. (Ежедневная деловая газета). 2011.1 авг. - Режим доступа: http:// www.rbcdaily.ru/2011/08/01/finance/562949980978065 [Дата обращения 01.08.2011 г.].
6. Visa International: Международная практика по организации эмиссии и борьбе с мошенничеством. П.9.3 [Электронный ресурс].
7. Visa International: Международная практика по организации эмиссии и борьбе с мошенничеством. П.9.3.1 [Электронный ресурс].
© Лукьянов С.О., 2012 г.