Политика управления фродом или эффективный риск-менеджмент

Политика управления фродом или эффективный риск-менеджмент

Огромное значение для минимизации рисков в сфере мошенничества по платежным картам имеет человеческий фактор. Именно он в состоянии свести на нет все трудо- и финансовые затраты на борьбу с мошенничеством. Большое число людей упрямо хранит карту вместе с пин-кодом, да что там хранит, записать пин-код на самой карте куда эффективнее.

А вы замечали, как часто кассир, принимая карту к оплате, обращает внимание на наличие подписи на карте, сверяет эту самую подпись с подписью на чеке? Сравнивает ли имя, указанное на карте, с именем в чеке? А это самые простые правила, которые обязан соблюдать кассир, производя расчет картой. Что это? Низкая квалификация сотрудника или непонимание руководством всей серьезности проблемы? Итог один - миллиарды ежегодно уходят с карточных счетов владельцев по всему миру.

Золотое правило риск-менеджмента - свести риски к нулю нельзя, но снизить и минимизировать можно и необходимо.

Методы борьбы с мошенничеством в сфере платежных карт.

Мероприятия по противодействию мошенничеству условно можно разделить на несколько групп:

1. Со стороны банка-эмитента:
  • Обучение клиентов-держателей карт правилам безопасного использования и хранения банковских карт. В идеале уточнять у клиента, планирует ли он совершать онлайн-платежи и делать онлайн-покупки для разъяснения возможностей лимитирования указанных операций самим держателем (это способствует значительному снижению мошеннических операций в интернете)
  • Установление лимитов на количество операций без авторизации. Безавторизационная транзакция - это транзакция, которая проводится без одобрения банка, ее успешность не зависит от наличия или отсутствия денежных средств на карте (заправки, транзакции на борту самолета и пр.). Как правило, сумма операции без авторизации незначительна и составляет несколько долларов, но количество таких операций неограниченно, чем и пользуются мошенники.
  • Установка лимитов на снятие наличных в банкоматах
  • Печать банковских карт с фотографией держателя
  • Генерация номеров карт случайным образом
  • Детальное изучение документов потенциального клиента до принятия решения о выпуске карты
  • Тщательная идентификация клиента при его обращении в банк с целью смены анкетных данных
  • Смс-информирование клиентов о проведенных авторизациях по карте
  • Оперативная блокировка карты по запросу держателя, либо по сообщению из платежных систем
  • Обеспечение клиентов возможностью беспрепятственного дозвона до оператора банка 24 часа в сутки
  • Обучение сотрудников банка, связанных с выпуском, хранением, перевозкой банковских карт соответствующим мерам безопасности
  • Мониторинг и анализ опротестованных клиентами операций
  • Если банк занимается рассылкой карт клиентам, необходимо позаботиться о блокировке карт на время пересылки до клиента, также нельзя отправлять карту и пин-код в одном конверте. По возможности исключить такой вид распространения карт, поскольку велика вероятность ее компрометации и последующего использования в интернете
  • Миграция на EMV (микропроцессорные) карты и установка правила Chip&Pin. В России многие банки перешли на этот продукт, который гарантирует невозможность копирования данных карты, в случае, когда операция проходит по чипу. В США, например, процесс миграции на карты такого типа только начинается
  • Использование протокола 3D-secure (e-commerce)
  • Выполнение требований PCI DSS (стандарт безопасности данных) в части хранения и передачи информации о платежных реквизитах карты
  • Система онлайн-мониторинга - отслеживание нехарактерной активности для держателя карты. Далее - связь с клиентом в случае обнаружения такой активности
  • Периодические проверки банкоматов на наличие скиминговых устройств
  • Оборудование банкоматов видеокамерами
  • Тщательный анализ оповещений международных платежных систем о зафиксированных мошеннических операциях
  • Непрерывное взаимодействие с платежными системами, сторонними банками, правоохранительными органами, проведение внутренних расследований
2. Со стороны банка-эквайера:
  • Тщательная проверка ретейлера перед заключением договора на эквайринговое обслуживание
  • Онлайн-мониторинг транзакций ретейлера на предмет подозрительных
  • Периодическая проверка торговой точки сотрудниками банка
  • Предусмотреть в договоре ответственность торгового предприятия за финансовые потери, связанные с мошенничеством
  • Настоятельно рекомендовать ретейлеру открывать расчетный счет в банке-эквайере для предупреждения мошенничества, связанного с перехватом счета
  • Тщательно проверять документы (сверка подписи, печати организации) в случае смены реквизитов предприятия
  • Обучение сотрудников торгового предприятия правилам приема карт к оплате (сверка подписи на чеке и карте и пр.)
  • Мониторинг опротестованных в торговом предприятии операций
  • Тщательный анализ оповещений международных платежных систем о зафиксированных мошеннических операциях
  • Поддержка протокола 3D-secure (e-commerce)
  • Выполнение требований PCI DSS в части хранения и передачи информации о платежных реквизитах карты
  • Своевременный контроль показателей уровня фрода, оповещение торговых точек в случае приближения к пороговым значениям и оперативное принятие необходимых мер (e-commerce)
3. Со стороны ретейлера:
  • Обучение сотрудников правилам приема карт к оплате
  • Понимание всей серьезности рисков, связанных с карточным мошенничеством
  • Стремление к эффективному взаимодействию с эквайером в части карточного мошенничества
  • Тщательный анализ географии клиентов, "среднего чека" транзакций с целью настройки необходимых правил, лимитов и условий прохождения платежей (e-commerce)
4. Ряд рекомендаций для держателя карты:
  • Не хранить карту вместе с пин-кодом
  • Подключить смс-информирование обо всех авторизационных запросах
  • Пользоваться виртуальной картой для обслуживания в интернете. В идеале, одна виртуальная карта на покупку или несколько покупок за ограниченный период времени. Срок действия такой карты может составлять от нескольких минут до месяца. Даже если данные такой карты будут похищены, мошенники вряд ли успеют добраться до денежных средств держателя
  • При расчете банковской картой не выпускать ее из поля зрения. Например, при расчете в ресторанах или кафе требуйте расчета при вашем присутствии, мобильные терминалы давно уже не редкость
  • Установить лимиты на онлайн-операции
  • Клиенты многих банков имеют возможность лимитировать количество безавторизационных транзакций
  • Пользоваться проверенными торговыми точками
  • Не передавать платежные реквизиты сотрудникам банка по телефону, почте и пр.
  • Сообщать банку информацию о своем перемещении по миру. Так банк будет пристальнее контролировать операции по счету
  • Путешествуя с банковской картой, следует соблюдать особую осторожность: не храните все денежные средства на одном карточном счете, идеальный вариант, как минимум два карточных счета и несколько выпущенных карт к каждому

Конечно, быть бдительным необходимо в любой стране, тем не менее, хотелось бы отметить список высокорисковых в части обслуживания банковских карт стран. Это государства, не перешедшие на чиповые технологии: страны ЮВА (Таиланд, Индонезия, Индия, Китай), Северной Африки, Южной и Восточной Европы, США, страны Латинской Америки.

Самое главное в борьбе с мошенничеством по банковским картам - это эффективное взаимодействие всех участников платежной системы.

Например, взаимодействие эмитента и эквайера - это совместная работа по оперативной отправке и обработке запросов друг другу, а также предоставлению информации для проведения внутренних расследований

Взаимодействие держателя и эмитента. Например, не стоит гневаться на сотрудников банка, которые связываются с Вами для подтверждения транзакции, это для безопасности держателя. В данном случае речь идет о фрод-мониторинге в части эмиссии.

Взаимодействие эквайера и ретейлера. Примерная схема взаимодействия выглядит так: выявление подозрительных транзакций сотрудниками эквайера – оповещение ретейлера (с необходимыми рекомендациями к действию) – принятие соответствующих мер со стороны торгового предприятия. Стоит лишь ретейлеру проигнорировать рекомендации эквайера, как вероятность успешного прохождения мошеннической операции повышается в разы.


Безусловно перечисленные выше методы это не все мероприятия по противодействию мошенничеству, а всего лишь "киты", на которых строится политика риск-менеджмента в области платежных карт. Но даже они не всегда соблюдаются банками, ретейлерами, и тем более держателями карт. А с совершенствованием технологий появляются и новые возможности для мошенников (фрод с Android-pay и аналогами, мошенничество при помощи социальной инженерии, фрод с подменой сим-карт и т.д.). Поэтому в настоящее время крайне важно всем участникам процесса обладать свежей и достоверной информацией, своими действиями предупреждать распространение мошенничества, активно взаимодействовать друг с другом, а также соблюдать рекомендации профессионалов в области фрод-мониторинга.