CC BY
131
УДК 336
О БЕЗОПАСНОСТИ ПРИМЕНЕНИЯ БАНКОВСКИХ ПЛАТЕЖНЫХ (ЗАРПЛАТНЫХ) КАРТ
А. В. АГАПОВА, кандидат экономических наук, старший научный сотрудник научно-исследовательского отдела E-mail: aav@spbrca ru Санкт-Петербургский имени В. Б. Бобкова филиал Российской таможенной академии
В статье на основании результатов анализа современного состояния использования банковских карт в России доказывается отсутствие возможности их безопасного применения, в частности — для перечисления заработной платы.
Ключевые слова: банковская карта, процессин-говый центр, банкомат, держатель пластиковой карты.
В последнее время участились случаи краж с банковских счетов, к которым открыты банковские платежные карты, т. е. растет число фактов невыполнения кредитными организациями требования обеспечения сохранности денежных средств на этих картах.
Поэтому представляется целесообразным проанализировать состояние и показатели использования банковских карт в России, а также безопасность их применения:
— виды мошеннических операций;
— их объем;
— риски дальнейшего использования банковских платежных карт в России, в том числе для перечисления заработной платы.
Проведенный статистический анализ показа-
телей использования банковских карт основан на официальных данных Банка России [7].
На 01.01.2013 в России действовали 956 банков. Все они осуществляли эмиссию или эквайринг платежных карт. Абсолютным лидером по выпуску карт является ОАО «Сбербанк России» — на его долю приходится около трети всех эмитированных банковских карт. По данным Банка России, на 01.01.2013 эмитировано 239 млн 545 тыс. ед. банковских карт (как для юридических, так и для физических лиц) (рис. 1).
Как показывает анализ данных, представ -ленных на рис. 1, наблюдается неуклонный рост выпуска банковских карт, их использования как юридическими, так и физическими лицами.
Динамика эмиссии банковских карт для физических лиц отражена на рис. 2 (данные на конец
Рис. 1. Количество банковских карт, эмитированных кредитными организациями,
в 2008—2012 гг., млн ед.
250
200
150
100
года). Как следует из анализа данных, представленных на рис. 2, за 2012 г. для физических лиц банками России выпущено 208,9 млн банковских платежных карт. Для сравнения: численность населения РФ на 01.01.2013, по данным Федеральной службы государственной статистики, составляет 143 млн 356 тыс. чел. Из них в трудоспособном возрасте — 86 млн 085 тыс. чел [8]. Таким образом, на каждого жителя России в трудоспособном возрасте приходится в среднем по 2—3 банковские карты.
Одним из важнейших показателей для банков является показатель объема операций, совершенных с использованием банковских карт.
Анализ статистических данных, представленных на рис. 3, 4, позволяет сделать вывод о неуклонном росте операций, осуществляемых при помощи банковских карт. Однако, анализируя структуру операций (рис. 4), можно сделать вывод, что преобладают операции по снятию наличных денежных средств. Таким образом, физические лица вовсе не стремятся оплачивать товары и услуги банковскими платежными картами, а используют их только для снятия денежных средств, как правило — заработной платы.
Можно сделать вывод, что физическим лицам такие банковские платежные карты необходимы только для снятия наличных денежных средств — заработной платы.
Однако банки стремятся к увеличению подобных операций, в частности — «привлекая» клиентов различными способами. Известно, что одним из важнейших направлений деятельности Федерального казначейства является минимизация наличного денежного обращения в бюджетной системе РФ [3].
По мнению руководителя Управления Федерального казначейства по Астраханской области С. В. Сметанина, увеличение за последние годы уровня безналичного денежного обращения (см. рис. 3) в бюджетной системе страны связано с реализацией в бюджетных организациях зарплатных проектов с использованием банковских пластиковых карт. Объемы операций с использованием
208,9
2008
2009
2010
2011
2012
Рис. 2. Количество карт, эмитированных кредитными организациями физическим лицам, в 2008—2012 гг., млн ед.
25 000,00
20 000,00
15 000,00
10 000,00
5 000,00
0,00
21495,50
2008
2009
2010
2011
2012
Рис. 3. Количество операций с использованием банковских карт, осуществленных физическими лицами (включая операции за рубежом) в 2008—2012 гг., млрд руб.
Рис. 4. Структура операций с использованием банковских карт, осуществленных физическими лицами (включая операции за рубежом), на 01.01.2013, млрд руб.: 1 — операции по снятию наличных денежных средств — 85 %; 2 — операции по оплате товаров и услуг (без таможенных платежей) — 16,6 %
банковских карт, осуществленных физическими лицами, возросли с 2008 г. в 2,5 раза. То есть наличное денежное обращение действительно вытесняется использованием банковских платежных карт.
Конечно, при наличии банковских карт отпадает необходимость инкассации, и организации могут экономить на расходах на нее. Однако о том, к каким последствиям может привести использование банковских карт для их держателей, умалчивается. А ведь в настоящее время весьма распространенными являются махинации с помощью банковских платежных карт.
Участившиеся случаи мошенничества, невнятная правовая основа возврата денежных средств, похищенных с банковских карт, стали поводом для проведения 31.01.2013 в пресс-центре меди-ахолдинга РБК «круглого стола» на тему: «Кражи с банковских карт: гениальность мошенников или уязвимость банковской системы» [4]. В нем приняли участие начальник отдела главного управления экономической безопасности и противодействия коррупции МВД Российской Федерации, президент Ассоциации региональных банков России, председатель правления Международной конфедерации обществ потребителей, руководитель комитета по информационной безопасности Ассоциации российских банков.
На «круглом столе» отмечалось, что официальной статистики по кражам с банковских карт просто нет, так как сами банки, как правило, стараются об этом не говорить. Разумеется, они борются с этим злом, но информации особенно не распространяют.
Однако самим банкам-эмитентам прекрасно известно о многочисленных случаях мошенничества и плохой защищенности информации. Разработана даже классификация видов мошенничества:
— мошенничество с утерянными картами;
— мошенничество с украденными картами;
— мошенничество с неполученными картами;
—мошенничество с фальсификацией заявления;
— мошенничество с поддельной картой;
— прочие виды мошенничества с банковскими картами;
— «завладение» счетом, мошенническое использование счета банковской карты [5].
Единственные доступные данные — статистика Ассоциации российских членов Europay (АРЧЕ), которая в различных формах дает информацию о кибер-преступлениях, в том числе в сфере платежных карт. Сумма краж, совершаемых только в одной из платежных систем — MasterCard, составляет примерно 2,5 млрд долл. В 2012 г. количество преступлений в сфере банковских платежных карт увеличилось на 60 % [6].
Известно, что платежная карта является средством доступа к банковскому счету ее владельца. То есть банк открывает текущий счет, а уже к нему выпускается банковская платежная карта, которая и будет являться средством доступа к счету, а также в некоторых случаях — ко всем счетам клиента в данном банке. Данный инструмент может быть использован злоумышленником для несанкционированного доступа к счету ее владельца.
В России даже стал использоваться термин «карточное мошенничество»: «... преднамеренные, обманные действия, направленные на несанкционированное овладение финансовыми средствами, размещенными на карточных счетах клиентов банков — эмитентов пластиковых карт» [2].
Особое опасение вызывает то, что, по статистике, в 57 % случаев преступники воруют деньги без физического использования банковской карты, используя следующие приемы:
— создание дубликата карточки;
— считывание информации через карт-ридеры;
— использование вирусов в банкоматах и пр.
И только остальные 43 % хищений происходят
непосредственно с украденным или потерянным «пластиком», а также полученным мошенническим путем (например «ливанская петля»). Данная статистика свидетельствует об остроте поднятой проблемы [1].
По мнению гендиректора Group-IB, члена экспертных комитетов Государственной Думы РФ, МИД России, Совета Европы и ОБСЕ в области противодействия киберпреступности И. К. Сачкова, еженедельно фиксируются продажи на «черном» рынке от 3 до 6 тыс. пластиковых карт с PIN-кодами российских банков. Это означает, что в неделю банковские платежные карты от 3 до 6 тыс. граждан России подвергаются компрометации. Естественно, это не полная статистика. Скорее всего таких фактов гораздо больше, потому что не все случаи компрометации банковских карт известны.
В октябре 2012 г. заместитель председателя правления ОАО «Сбербанк России» С. Кузнецов сообщал, что за девять месяцев 2012 г. из Сбербанка России было украдено около 900 млн руб., в том числе более 400 млн — с использованием ским-мингового оборудования (незаконное дублирование банковских карт посредством установки считывающих устройств на банкоматах) [6]. Напомним, что Сбербанк России выпустил каждую третью банковскую карту в нашей стране.
Чтобы совершить кражи со счетов, к которым открыты банковские карты, преступникам в первую очередь необходимо получить данные пластиковых карт и сведения об их держателях.
Каким образом можно это сделать?
Как специалисты-практики, так и ученые исследуют эту проблему довольно подробно. Рассмотрим наиболее распространенные в России способы хищения.
По словам начальника отдела главного управления экономической безопасности и противодействия коррупции МВД РФ Р. В. Романова, на Западе это достигается путем взлома крупных платежных систем или баз данных банков, баз страховых компаний. В нашей стране ситуация обстоит немного иначе. Получение информации о картах клиентов происходит, как правило, путем установки на банкоматы так называемых скимминговых устройств. Далее изготавливаются поддельные банковские карты. И уже по ним в различных регионах страны, а также за рубежом деньги похищаются.
Все специалисты отмечают, что скимминговые устройства — очень распространенный вид мошенничества. При его использовании данные магнитной полосы чужой карты копируются, изготавливается поддельная банковская карта.
Особо подчеркнем, что существует несколько способов такого копирования [2]. Самые известные:
— установка накладок на приемные устройства и клавиатуру банкоматов;
— установка перехватывающей спецтехники внутри банкоматов.
Также широко применяется такой способ, как внедрение вредоносного программного обеспечения. В программное обеспечение банкомата вносится вредоносный вирус, который может выполнять две команды:
— скимминг (считывание магнитной карты и РШ-кода);
— снятие денежных средств.
Запуск вируса осуществляется с помощью специальных карт активации.
Несмотря на заявления начальника отдела главного управления экономической безопасности и противодействия коррупции МВД РФ о том, что в России редки случаи взлома крупных платежных систем или баз данных банков, страховых компаний, неофициальная статистика свидетельствует о том, что и в нашей стране все чаще атаке подвергается банковская компьютерная система. При появлении
в ней бреши преступникам удается осуществить незаконные переводы денежных средств со счетов и в последующем их обналичить. Чаще всего это происходит с помощью разовых посредников, получающих свой процент [1].
Сетевое проникновение в крупные процес-синговые центры — еще один способ получения доступа к счету владельца банковской карты. Это делается посредством подключения к POS-термина-лам техники в торговых точках или использования переносных устройств в ресторанах.
Распространенный способ мошенничества в данной сфере — использование реквизитов карт: номер, срок действия, СУС СУУ — три последние цифры на обороте карты. Выведывание реквизитов происходит обманным путем через телефон, СМС-сообщения или через банковские базы данных, списки держателей карт в организациях-клиентах.
Таким образом, приведенная статистика свидетельствует о том, что возможность копирования информации возникает:
— если выпускается сама банковская карта, являющаяся средством доступа к счету ее держателя;
— если данные РШ-кодов можно получить путем использования вредоносного программного обеспечения, доступа к базам данных банковских компьютерных систем.
Естественно, что клиент банка — держатель банковской карты никак не может быть виновным в сетевом проникновении в банковские системы.
Проанализировав статистику и способы хищения денежных средств с банковских карт, можно сделать вывод, что в настоящее время самые распространенные и дешевые способы мошенничества для преступников:
— проникновение в различные базы данных (самих банков, списки держателей карт в организациях);
— внесение вредоносного программного обеспечения в банкоматы.
Банки прекрасно осведомлены о случаях мошенничества с использованием банковских карт. На сайте любой кредитной организации можно увидеть лозунг «Осторожно, мошенники!» Практиками отмечается, что преступникам стало легче и дешевле воровать данные банковских карт и обналичивать их средства через Интернет, чем покупать оборудование для изготовления поддельных карт [1].
Итак, многочисленные факты мошеннических операций с банковскими картами свидетельствуют:
— о существенной уязвимости применяемых в настоящее время платежных технологий;
— об отсутствии информационной защищенности.
По данным статистики, в случае совершения краж с банковских карт банки не стремятся вернуть денежные средства.
Эксперты Международной конфедерации обществ потребителей сделали ряд выводов по делам, которые данная организация вела в отношении банков.
1. Если кража произошла с использованием банкомата, с изготовлением дубликата карты, вероятность возврата денег не превышает 10 %. Банки в этом случае говорят о том, что держатель банковской карты неправильно хранил PIN-код, допустил оплошность и виноват сам.
2. Если же кража произошла иным способом, то шансы возврата утраченных средств — 50 на 50.
Пока безусловное право потребителя (держателя банковской карты) требовать возврата украденных с банковских карт денег отсутствует.
Сама процедура рассмотрения дела по возврату денежных средств может занимать до полугода. Председатель правления Международной конфедерации обществ потребителей Д. Д. Янин подчеркивает: «.. .вернут вам деньги или не вернут, зависит исключительно от доброй воли банка». Он делает вывод, что в России «.потребители не защищены абсолютно, что не стимулирует банки внедрять эффективные системы защиты информации, оперативно уведомлять потребителей о совершаемых транзакциях, отслеживать типичность покупок».
Специалисты отмечают, что для обеспечения должной защиты информации необходимы большие финансовые вложения, которые невыгоды банку Поэтому информационная безопасность баз данных, защита банкоматов от вредоносных программ находятся на крайне низком уровне. Следовательно, ни один банк не может гарантировать 100 %-ной защиты информации.
Несомненно, что при надежной защите информации, обеспечении сохранности банками денежных средств, хранящихся на счетах банковских карт, безналичный оборот является удобным. Однако существующая банковская система остается слишком уязвимой, что не способствует переходу к безналичному денежному обращению. Права держателей банковских карт пока также не защищены, о чем свидетельствует приведенная статистика. Это
еще одно подтверждение тому, что о негативных последствиях для держателей банковских карт сейчас никто не думает. Все усилия сосредоточены исключительно на переходе к безналичному денежному обращению.
Итак, анализ современного состояния использования банковских платежных карт в России позволяет сделать следующие выводы.
Во-первых, безналичный оборот, к которому стремится Федеральное казначейство, сводится к перечислению заработной платы, так как 83,5 % операций с банковскими картами являются операциями по снятию наличных денежных средств (см. рис. 4).
Во-вторых, банковская карта открывает доступ к счету, открытому клиенту в банке-эмитенте. Как правило, это текущий счет. В некоторых банках (помимо доступа к текущему счету клиента) при получении информации о банковской карте открывается доступ ко всем счетам клиента (в том числе — депозитным). В 2012 г. случаи краж денежных средств со счетов, открытых к банковским картам, увеличились на 60 %.
Об этом известно как самим коммерческим банкам, эмитирующим такие банковские платежные карты, так и МВД РФ. Разработаны различные классификации видов мошеннических операций.
В-третьих, в настоящее время отсутствует требуемый уровень информационной безопасности (это касается информации о счетах, к которым открыты банковские карты). Как отмечают специалисты, мошенникам стало проще похищать денежные средства путем незаконного получения доступа к базам данных, содержащим сведения о банковских картах и их владельцах, а также за счет использования вредоносного программного обеспечения.
Это свидетельствует о том, что защиты требует информация, которая становится доступной при выпуске банковских карт. Сам держатель банковской платежной карты может даже не получать ее, но деньги будут похищены со счета, открытого к карте.
По мнению экспертов, для обеспечения должной защиты информации необходимы большие финансовые вложения, которых не будет производить ни один банк.
Следовательно, пока не удалось достигнуть требуемого уровня информационной безопасности, которая позволяла бы использовать банковские карты для безналичных расчетов, а в частности — для перечисления заработной платы.
Именно поэтому с каждым годом увеличивается количество краж с банковских карт.
В-четвертых, отсутствует нормативно-правовая защищенность держателей банковских карт, которыми являются в основном работники организаций, перечисляющих заработную плату на них. Законодательно не введено безусловное право держателя банковской карты требовать возврата украденных с банковских карт денег. Банки проводят расследования, которые могут длиться до полугода.
Статистика свидетельствует, что если кража произошла с использованием банкомата, изготовлением дубликата карты, вероятность возврата денег не превышает 10 %. Банки в этом случае уверяют, что держатель банковской карты неправильно хранил PIN-код, допустил оплошность и виноват сам, умалчивая о том, что не обеспечили информационной безопасности данных.
В-пятых, даже если организация оказалась заложником ситуации и вынуждена перечислять денежные средства на банковские счета, необязательно пользоваться банковскими картами. Можно открыть текущий счет, на который будет перечисляться заработная плата. Но здесь уже сами работодатели должны подумать о своих работниках.
Таким образом, современная банковская система не достигла требуемого уровня информационной безопасности относительно счетов, к которым открыты банковские карты. Отсутствует нормативно-правовая защищенность держателей банковских карт. Все это позволяет сделать вывод о невозможности дальнейшего применения банковских карт, в частности — для перечисления заработной платы, или (по крайней мере) о прекращении принудитель-
ного перехода к применению банковских платежных карт для перечисления заработной платы.
Список литературы
1. Зиберова О. С., Зиберов С. В. Проблемы выявления «заочного списания» как одного из современных способов совершения хищений с банковских пластиковых карт // Вестник калининградского филиала Санкт-Петербургского университета МВД России. 2012. № 4.
2. Лукьянов С. О. Мошенничество с использованием банковских карт в России: современное состояние и виды защиты // Вестник Тихоокеанского государственного экономического университета. 2012. № 2.
3. Сметанин С. В. Опыт работы органов Федерального казначейства с расчетными (дебетовыми) банковским картами // Финансы. 2013. № 3.
4. Стенограмма «круглого стола» на тему: «Кражи с банковских карт: гениальность мошенников или уязвимость банковской системы». URL: http:// presscentr. rbc. ru/roundtable/2013/01/31/842500.
5. Visa International: Международная практика по организации эмиссии и борьбе с мошенничеством. URL: http://www. bankir. ru.
6. URL: http://bankir. ru/novosti/s/tsb-predlagaet-bankam-raskryvat-statistiku - moshennicheskikh-operatsii-s-platezhnymi-kartami-10032860/#ixzz2Rv D8kFia.
7. URL: http://www. cbr. ru/statistics/p_sys/print. aspx?file=sheet007.htm&pid=psRF&sid=ITM_ 12859.
8. URL: http://www. gks. ru/free_doc/new_site/ population/demo/progn3.htm.
