РЕКОМЕНДАЦИЯ КОМИССИИ

№ 97/489/ЕС

(от 30 июля 1997 г. Бюссель)

касающаяся сделок, совершаемых с использованием электронных платежных инструментов и, в частности, отношений между эмитентом и держателем [150] .

(Извленчение)

Комиссия европейских сообществ, принимая во внимание Договор о создании Европейского сообщества и, в частности, второй абзац статьи 155, настоящим рекомендует.

 

Раздел I

Сфера действия и определения

Статья 1. Сфера действия

1. Настоящая Рекомендация применяется к следующим сделкам:

(a) к переводам денежных средств, иным чем начинаемым и совершаемым финансовыми учреждениями, осуществляемым с использованием электронного платежного инструмента;

(b) к снятию наличных с использованием электронного платежного инструмента и загрузке (разгрузке) инструмента электронных денег в таких устройствах, как полуавтоматические и автоматические кассовые машины, и в помещении эмитента или учреждения, которое на основании договора принимает платежный инструмент.

2. Путем исключения из параграфа 1 статьи 4 (1), второго и третьего абзацев статьи 5 (b), статьи 6, статьи 7 (2) (с), (d) и первого абзаца пункта (е), статьи 8 (1), (2) и (3) и статьи 9 (2) не применяются к сделкам, совершаемым с использованием инструмента электронных денег. Вместе с тем, если инструмент электронных денег используется для загрузки (разгрузки) стоимости посредством удаленного доступа к счету держателя, настоящая Рекомендация применяется в ее целостности.

3. Настоящая рекомендация не применяется:

(a) к платежам чеками;

(b) к гарантийной функции некоторых карт при платежах чеками.

Статья 2. Определения

В целях настоящей рекомендации применяются следующие определения:

(а) «электронный платежный инструмент» означает инструмент, позволяющий держателю совершать сделки типов, указанных в статье 1;

(1) Данное определение равно охватывает платежные инструменты удаленного доступа и инструменты электронных денег;

(b) «платежный инструмент удаленного доступа» означает инструмент, позволяющий держателю осуществлять доступ к денежным средствам, хранящимся на его (ее) счете в учреждении, посредством которого производится платеж получателю средств и, как правило, требующий использования персонального идентификационного кода и (или) иного подобного средства удостоверения прав. Данное определение включает в себя, в частности, платежные карты (вне зависимости от того, кредитные, дебетовые, карты с отсроченным дебетом или расчетные карты) и приложения для совершения банковских операций по телефону и из дома;

(c) «инструмент электронных денег» означает перезагружаемый платежный инструмент, иной чем платежный инструмент удаленного доступа, вне зависимости от того, карта с хранимой стоимостью или компьютерная память, в которой единицы стоимости хранятся электронным способом, позволяющий его держателю совершать сделки типа, указанных в статье 1(1);

(d) «финансовое учреждение» означает учреждение, определенное в статье 4(1) Правил Совета (ЕС) № 3604/93;

(e) «эмитент» означает лицо, которое в ходе своей предпринимательской деятельности, предоставляет другому лицу платежный инструмент в соответствии с заключенным с ним (ней) договором;

(f) «держатель» означает лицо, которое владеет платежным инструментом в соответствии с договором, заключенным между ним (ней) и эмитентом.

 

Раздел II

Прозрачность условий сделок

Статья 3. Минимальная информация, содержащаяся в условиях, регулирующих эмиссию и использование электронного платежного инструмента

1. При подписании договора или в любом случае заблаговременно до передачи электронного платежного инструмента, эмитент сообщает держателю договорные условия (далее именуемые — условия), регулирующие эмиссию и использование электронного платежного инструмента. Условия указывают на право, применимое к договору.

2. Условия излагаются в письменном виде, включая, где это приемлемо, с использованием электронных средств, ясным языком, в понятной форме и доступны, как минимум, на официальном языке или языках государства-участника, в котором предлагается электронный платежный инструмент.

3. Условия включают, как минимум:

(a) описание электронного платежного инструмента, включая, где это возможно, технические требования по отношению к коммуникационному оборудованию держателя, разрешенному для использования, а также способ его использования, включая применяемые финансовые ограничения, при их наличии;

(b) описание соответствующих обязательств держателя и эмитента; они включают описание разумных действий, которые должен предпринимать держатель в целях обеспечения сохранности электронного платежного инструмента и средств (таких как персональный идентификационный код или иной код), позволяющих его использовать;

(c) где это применимо, нормальный период времени, в течение которого дебетуется или кредитуется счет держателя, включая дату валютирования, или в том случае, когда у держателя отсутствует счет, открытый у эмитента, нормальный период времени для предъявления ему (ей) счетов к оплате;

(d) типы любых сборов, подлежащих уплате держателем. В частности, это включает, где это применимо, подробности о следующих сборах:

— сумме первоначального и ежегодного сборов,

— любых комиссионных вознаграждений и сборов, уплачиваемых держателем эмитенту по отдельным видам сделок,

— любой процентной ставке, которая может применяться, включая способ ее определения;

(e) период времени, в течение которого данная сделка может быть оспорена держателем, и указание процедур возмещения и обжалования, доступных для держателя, а также способа получения доступа к ним.

4. Если электронный платежный инструмент может использоваться для совершения сделок за рубежом [за пределами страны эмиссии (аффилиации)], держателю также должна сообщаться следующая информация:

(a) указание на размер вознаграждений и сборов, взимаемых за совершение сделок в иностранной валюте, включая, где это приемлемо, ставки;

(b) справочный обменный курс, используемый для конвертации иностранной валюты, включая соответствующую дату установления такого курса.

Статья 4. Информация, последующая за сделкой

1. Эмитент предоставляет держателю информацию, касающуюся сделок, совершенных с использованием электронного платежного инструмента. Информация излагается в письменном виде, включая, где это приемлемо, с использованием электронных средств, понятной форме и, как минимум, включает:

(a) ссылку, позволяющую держателю идентифицировать сделку, включая, где это приемлемо, информацию, касающуюся принимающего платежный инструмент лица с которым имела место сделка;

(b) сумму сделки, списанную с держателя в валюте выставленного счета и, когда применимо, сумму в иностранной валюте;

(c) сумму любых вознаграждений и сборов, применимых к отдельным типам сделок.

Эмитент также предоставляет держателю обменный курс, использованный для конвертации в сделках в иностранной валюте.

2. Эмитент инструмента электронных денег предоставляет держателю возможность проверки пяти последних сделок, совершенных с использованием инструмента, и текущую стоимость, хранимую на нем.

 

Раздел III

Обязательства и ответственность сторон по договору

Статья 5. Обязательства держателя

Держатель

(a) использует электронный платежный инструмент в соответствии с условиями, регулирующими эмиссию и использование платежного инструмента; в частности, держатель принимает все разумные меры для безопасного хранения электронного платежного инструмента и средства (такие как персональный идентификационный код или иной код), позволяющие его использовать;

(b) без промедления извещает эмитента (или юридическое лицо, указанное последним) после осведомления:

— об утрате или краже электронного платежного инструмента или средств, позволяющих его использование,

— о проводке по его/ее счету вследствие любой несанкционированной сделки,

— о любой ошибке или неправильном ведении счета эмитентом;

(c) не записывает свой персональный идентификационный номер или другой код в легко распознаваемой форме, в частности, на самом электронном платежном инструменте или документе, который он/она хранит или использует с электронным платежным инструментом;

(d) не отменяет поручение, которое он/она отдает с использованием электронного платежного инструмента, за исключением случая, если сумма не была установлена в момент направления поручения.

Статья 6. Ответственность держателя

1. До момента уведомления, держатель несет риск убытков, понесенных вследствие утраты или кражи электронного платежного инструмента в размере, который не может превышать 150 ЭКЮ, за исключением случаев, когда он/она действовал с крайней небрежностью, в нарушение соответствующих норм согласно статье 5 (а), (b) или (с), или с обманным намерением, при которых такой лимит не применяется.

2. С того момента, когда держатель уведомляет эмитента (или юридическое лицо, указанное последним), как это требуется статьей 5 (b), за исключением случая, если он (она) действует с обманным намерением, он/она в дальнейшем не несет ответственности за убытки, возникающие вследствие утраты или кражи его/ее электронного платежного инструмента.

3. В качестве исключения из положений пунктов 1 и 2, держатель не несет ответственности, если платежный инструмент использовался без физического представления или электронной идентификации (самого инструмента). Использование конфиденциального кода или иного сходного средства удостоверения прав не является, само по себе, достаточным основанием для привлечения держателя к ответственности.

Статья 7. Обязательства эмитента

1. Эмитент может изменять условия в том случае, когда направляет персональному держателю достаточно полное уведомление об изменениях, тем самым позволяя ему (ей) отказаться от договора, если он (она) это выбирает. Устанавливается период не меньший, чем один месяц, по истечении которого держатель считается принявшим условия, если он (она) не отказался от договора.

Вместе с тем, любое существенное изменение действующей процентной ставки не подпадает под действие первого абзаца настоящего пункта и вступает в силу с даты, указанной при публикации такого изменения. В этом случае и без ущерба для права держателя отказаться от договора, эмитент персонально информирует держателя как можно скорее.

2. Эмитент:

(a) не раскрывает персональный идентификационный номер держателя или иной код никому, за исключением держателя;

(b) не направляет электронный платежный инструмент по своей инициативе, за исключением случая замены электронного платежного инструмента, уже находящегося у держателя;

(c) хранит в течение достаточного периода времени внутренние документы в целях контроля за совершенными сделками, указанными в статье 1 (1), и исправления ошибок;

(d) обеспечивает доступность соответствующих средств держателю для направления уведомления, требуемого согласно статье 5 (b). В том случае, если уведомление делается по телефону, эмитент (или юридическое лицо, указанное последним) предоставляет держателю средства доказывания, что он (она) направили такое уведомление;

(e) доказывает, при наличии любого спора с держателем, касающегося совершенной сделки, указанной в статье 1 (1), и без ущерба для любого доказательства о противном, которое может быть представлено держателем, что сделка:

— была правильно документирована и отражена по счетам,

— не была вызвана техническим сбоем или иными неполадками.

Статья 8. Ответственность эмитента

1. Эмитент несет ответственность с учетом статьи 5, статьи 6 и статьи 7 (2) (а) и (е):

(a) за неисполнение или ненадлежащее исполнение по совершенным держателем сделкам, указанным в статье 1 (1), даже если сделка начата с использованием устройств (терминалов) или оборудования, не находящихся под прямым или исключительным контролем эмитента, при условии, что сделка не начата с использованием устройств (терминалов) или оборудования, разрешенных к использованию эмитентом;

(b) за сделки, не санкционированные держателем, а также любую ошибку или неточность, допущенные эмитентом при ведении счета держателя.

2. Без ущерба для положений параграфа 3, размер ответственности, указанной в параграфе 1, состоит из:

(a) суммы неисполненной или ненадлежаще исполненной сделки и, если есть, процентов по ней;

(b) суммы, требуемой, чтобы возвратить держателя в положение, в котором он (она) находился до несанкционированной сделки.

3. Любые дальнейшие финансовые последствия и, в частности, касающиеся размера ущерба, за который подлежит уплата компенсация, несет эмитент в соответствии с правом, применимым к договору, заключенному между эмитентом и держателем.

4. Эмитент несет ответственность перед держателем инструмента электронных денег за утрату суммы стоимости, хранимой в инструменте, и ненадлежащее исполнение сделок держателя в том случае, когда утрата суммы или ненадлежащее исполнение вызванное неисправностью инструмента, устройства (терминала) или иного оборудования, разрешенного к использованию, при условии, что неисправность не была вызвана держателем умышленно или вследствие нарушения требований статьи 3 (3) (а).

 

Раздел IV

Уведомление, разрешение споров и заключительные положения

Статья 9. Уведомление

1. Эмитент (или юридическое лицо, указанное им) предоставляет средства, посредством которых держатель может круглосуточно уведомлять об утрате или краже его (ее) электронного платежного инструмента.

2. Эмитент (или юридическое лицо, указанное им) по получении уведомления, несет обязательство, даже если держатель действовал с крайней небрежностью или с обманным намерением, принимать все разумные доступные ему меры для прекращения любого дальнейшего использования электронного платежного инструмента.

Статья 10. Разрешение споров

Государства-участники призываются обеспечить наличие достаточных и эффективных средств для разрешения споров между держателем и эмитентом.

Статья 11. Заключительные положения

Государства-участники призываются принять меры, необходимые, чтобы эмитенты электронных платежных инструментов осуществляли свою деятельность в соответствии со статьями 1–9 не позднее 31 декабря 1998.

 

Анатомия карточного мошенничества

Аутентификации лиц, совершающих операции как основа безопасности карточных операций

Что такое аутентификация

Удаленный доступ клиента к своему банковскому счету (счетам) для выполнения расчетов с предприятием торговли (сервиса) при совершении безналичной покупки или с целью получения наличных в банкомате (отделении) банка, или с какой-либо иной целью невозможен без надежной аутентификации клиента его банком. Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка, в котором открыт счет, только лицом, совершающим операцию (далее — ЛСО). Первоочередная задача банка состоит в том, чтобы в момент обращения ЛСО к банковскому счету X проверить права ЛСО на доступ к счету X с целью его использования для совершения различных операций. Другими словами, банк должен проверить справедливость равенства «ЛСО = клиент банка А, имеющий право на доступ к счету X». Проверка этого равенства состоит из двух частей:

1) проверка того, что «ЛСО = клиент банка А»;

2) проверка того, что клиент А имеет право на доступ к счету X. Выполнение первой части и есть ничто иное, как решение задачи аутентификации банком ЛСО.

Существуют различные средства и связанные с ними технологии аутентификации ЛСО. Пластиковая карта является апробированным и широко используемым средством идентификации (аутентификации) лица, совершающего операцию. Например, в Европе примерно 30 % всех безналичных персональных покупок производится с помощью пластиковой карты. Пластиковая карта позволяет банку идентифицировать счет X, к которому обращается ЛСО, а также с хорошей достоверностью (как показывает практика с вероятностью не ниже 99,92 %) решить задачу проверки равенства «ЛСО = клиент банка, имеющий доступ к счету X». Значение 99,92 % выводится из того факта, что на сегодняшний день средний уровень карточного мошенничества составляет примерно 8 базисных пунктов.

Достоверность аутентификации лица, совершающего операцию с использованием пластиковой карты, является краеугольным камнем технологии пластиковых карт. От того, насколько технология позволяет банку-эмитенту карты быть уверенным в том, что операция выполнена с использованием его (банка-эмитента) карты, и операция совершается законным держателем карты — клиентом банка-эмитента, которому карта была выдана банком на основе договора банка с клиентом, зависит жизнеспособность карточной технологии в целом. Именно поэтому платежные системы и банки уделяют так много внимания вопросам карточной безопасности. Именно в результате осознания того факта, что технология аутентификации ЛСО при использовании карт с магнитной полосой уже не обеспечивает необходимый уровень достоверности, сегодня происходит массовая миграция банков на существенно более безопасную технологию, в основе которой лежит использование микропроцессорных карт.

При использовании карт аутентификация ЛСО является в общем случае распределенной процедурой, в которой заняты все участники операции — торговое предприятие, обслуживающий торговое предприятие банк, платежная сеть и, наконец, банк, к счету которого обращаются с целью проведения оплаты. Роли каждого участника процедуры аутентификации ЛСО важны (например, сеть аутентифицирует обслуживающий банк, обслуживающий банк в свою очередь аутентифицирует торговое предприятие, последнее выполняет важные функции для аутентификации ЛСО). Однако окончательное решающее слово — заключение по поводу справедливости равенства «ЛСО = клиент банка, имеющий доступ к счету»- произносится банком-эмитентом карты, а потому и ответственность за принятое решение в большинстве случаев (исключение составляют CNP-транзакции, не использующие протокол 3D Secure) несет эмитент карты.

Многофакторная модель аутентификации ЛСО

Когда речь идет о картах, для аутентификации ЛСО банком в общем случае используется трехфакторная модель аутентификации:

Фактор 1. Проверка чего-то, что имеется у ЛСО и что указывает на его связь с банком. В нашем случае — это проверка наличия у ЛСО пластиковой карты и подтверждение того факта, что карта была эмитирована банком.

Фактор 2. Проверка чего-то, что должно знать только ЛСО и может быть проверено банком (возможно опосредованно с использованием других участников операции, в рамках которой производится аутентификация ЛСО). В нашем случае — это ПИН-код, известный только ЛСО (может быть проверен банком-эмитентом, возможно с использованием карты эмитента, если карта является микропроцессорной и эмитент делегировал ей эту функцию) и (или) подпись ЛСО (подпись клиента изначально удостоверяется банком при выдаче карты клиенту и проверятся эмитентом опосредованно через торговую точку). Для соответствия законодательству некоторых стран при использовании микропроцессорных карт иногда одновременно применяется проверка ПИН-кода и подписи клиента.

Фактор 3. Проверка чего-то, что присуще только клиенту банка (физически не может быть передано иному лицу) и связано с выданной ему картой. В случае безналичных расчетов — это биометрическая информация клиента банка, записанная для хранения в чипе карты. Проверяется соответствие биометрической информации клиента банка, записанной в чипе карты, биометрической информации, относящейся к ЛСО.

Сегодня, как правило, используется двухфакторная модель (факторы 1 и 2). Биометрические методы верификации только начинают внедряться для держателей микропроцессорных карт.

Отметим, что логика многофакторной модели аутентификации очевидна. В первую очередь банк должен понять, что карта, по которой собираются выполнить операцию, действительно его карта, т. е. карта была эмитирована банком (фактор 1). Поскольку реквизиты карты определяют ее держателя, то, очевидно, следующий вопрос, на который должен ответить эмитент — моя карта находится в руках моего клиента, которому я выдал карту для обеспечения удаленного доступа клиента к своему счету? Для ответа на этот вопрос используется фактор 2.

Проверка наличия у ЛСО карты, выданной банком (фактор 1), выполняется в несколько этапов с помощью:

• осмотра продавцом торгового предприятия внешнего вида карты (проверка логотипов банка и платежной системы, голограммы, специальной микропечати, нанесенной на карту, тисненных секретных символов и т. п.), а также в случае микропроцессорной карты — с помощью оффлайновой динамической аутентификации карты;

• проверки обслуживающим банком того факта, что торговое предприятие, в котором совершается операция, действительно, обслуживается этим банком;

• проверки эмитентом номера карты, ее срока действия, секретных величин CVC/CVV (CVC2/CVV2), а в случае микропроцессорной карты — выполнение онлайновой динамической аутентификации карты.

Безусловно, динамическая аутентификация микропроцессорной карты подняла достоверность аутентификации ЛСО по фактору 1 (и, как следствие, аутентификации ЛСО в целом) на качественно новый гораздо более высокий уровень. Подделка микропроцессорной карты, поддерживающей процедуры динамической аутентификации, является весьма дорогостоящим мероприятием.

На сегодняшний день наиболее надежным и универсальным способом аутентификации ЛСО в соответствии с фактором 2 является проверка ПИН-кода. Это связано с тем, что ПИН-код является самым труднодоступным для мошенников секретом среди всех реквизитов карты с магнитной полосой, поскольку он на карте не хранится. Потому применение ПИН-кода — наиболее надежное средство безопасности операций, выполняемых с использованием карт с магнитной полосой. В общем случае ПИН-код представляет собой последовательность десятичных цифр, вводимых ЛСО во время совершения операции по карте. Размер ПИН-кода варьируется от 4 до 12 цифр (на практике в большинстве случаев — 4 цифры). ПИН-код вводится с помощью специального криптографического модуля, входящего в состав терминального устройства (банкомата, POS-терминала и т. п.) — ПИН-ПАДа, или PIN entry device (PED) — и должен быть передан на хост эмитента, где он проверяется. Знание ЛСО секрета, известного держателю карты, по которой производится транзакция, является веским основанием считать, что ЛСО и держатель карты являются одним лицом.

Пластиковая карта как средство идентификации (аутентификации) ЛСО

Пластиковая карта является носителем информации, которая:

• идентифицирует платежную систему (ассоциацию банков, к которой принадлежит эмитент карты), эмитента карты, карточный продукт, держателя карты — клиента банка;

• определяет условия применения карты (онлайновый (оффлайновый) режим обработки транзакции, необходимость выполнения транзакции только с использованием электронного терминала, необходимость ввода PIN-кода, географию приема, период времени, в течение которого карта может использоваться и т. п.);

• содержит элементы защиты карты от подделки и информацию, используемую для аутентификации карты и клиента (голограмму, микропечать, специальные эмбоссируемые (рельефные) символы, видимые в ультрафиолете символы, фотографию держателя карты, специальные проверочные значения CVV/CVC, CVV 2 /CVC 2 , обеспечивающие целостность данных карты, подпись держателя карты и т. п., в микропроцессорных картах — секретные ключи и, возможно, PIN-код держателя карты).

Карта содержит логотипы платежной системы и банка-эмитента, а также информацию, называемую реквизитами карты: номер карты, срок действия карты, код обслуживания, имя держателя, специальную информацию, генерируемую эмитентом и используемую им для удаленной проверки подлинности карты. Часть этой информации наносится на пластик карты с помощью специальной печати или тиснения и считывается в процессе совершения транзакции визуально и осязательно. Эта информация используется продавцом торгового предприятия для проведения так называемой голосовой авторизации, при которой торговое предприятие связывается по телефону со службой голосовой авторизации банка и сообщает ей информацию о реквизитах торгового предприятия, карты, держателя карты и совершаемой операции. Служба голосовой авторизации вводит полученную информацию о карте в компьютер процессингового центра, который инициирует авторизацию операции и возвращает решение эмитента, сообщаемое торговому предприятию.

Часть информации наносится на магнитную полосу и (или) в микропроцессор (чип), расположенные на карте. Информация с магнитной полосы или чипа считывается с помощью специальных устройств, называемых считывателями карты или карт-ридерами. Электронные терминалы (так называемые POS-терминалы) в торговом предприятии, а также автоматические устройства выдачи наличных (банкоматы) оснащены подобными карт-ридерами, или просто ридерами.

Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса. Обслуживающий банк заключает договоры с торговыми предприятиями на обслуживание в них пластиковых карт, гарантируя торговому предприятию возврат средств за операции, совершенные в нем по картам любого банка — участника платежной системы.

Некоторые платежные системы (например, VISA и MasterCard) дополнительно гарантируют торговому предприятию возмещение средств по транзакциям, выполненным с использованием карт этой платежной системы. Дополнительная гарантия выдается на случай финансового краха обслуживающего банка и его неспособности возместить торговому предприятию средства по покупкам, совершенным с использованием пластиковых карт. В этом случае платежная система рассчитывается с торговым предприятием по выполненным в нем карточным операциям вместо потерпевшего крах банка. Гарантия платежной системы повышает уверенность торгового предприятия в возмещении ему средств по безналичной покупке. Эта уверенность лежит в основе технологии расчетов с использованием пластиковых карт.

Одна из важнейших задач любой платежной системы состоит в создании широкой географически распределенной инфраструктуры приема карт. Подобная инфраструктура приема карт делает применение карты привлекательным для ее держателя и эмитента. Именно для создания развитой инфраструктуры приема карт и требуются усилия многих банков — участников платежной системы.

Аутентификация ЛСО на примере операции покупки с помощью платежной карты

Уже отмечалось, что в карточной технологии аутентификация ЛСО в общем случае имеет распределенный характер. В аутентификации ЛСО принимают участие все участники обработки транзакции, включая торговое предприятие, обслуживающий банк, эмитента карты и, наконец, самого держателя карты. Проиллюстрируем это на примере операции безналичной покупки по карте в торговом предприятии.

Когда клиент банка А для оплаты покупки предъявляет пластиковую карту в торговом предприятии обслуживающего банка В, то торговое предприятие в первую очередь должно убедиться в том, что в соответствии с договором с обслуживающим банком В операция по предъявляемой для оплаты карте будет возмещена. Другими словами, торговое предприятие должно убедиться в том, что эмитент А и обслуживающий банк В являются участниками одной платежной системы. Визуально это устанавливается по логотипу платежной системы, нанесенному на пластиковой карте клиента.

Процесс оплаты услуги в общем случае состоит из двух частей. Первая часть — авторизация транзакции (рис. 1).

Кассир торгового предприятия в первую очередь визуально осматривает предъявляемую для оплаты карту, проверяя наличие на ней чипа и обязательных атрибутов карты (логотипа и голограммы системы, секретных символов, микропечати и т. п.). Далее с пластиковой карты считывается необходимая для авторизации операции информация (с помощью ридера POS-терминала или визуально, если речь идет о голосовой авторизации), а также, возможно, у клиента запрашивается дополнительная аутентифицирующая его информация (персональный идентификационный номер клиента в банке (подпись) клиента, имя клиента, другая верифицирующая его информация). К полученной информации кассир добавляет информацию о покупке — размер и валюта операции, иногда ее тип.

На основе собранной информации торговое предприятие принимает решение о технологии выполнения операции (по магнитной полосе или чипу), а также о режиме авторизации транзакции — онлайновом или оффлайновом. При оффлайновом режиме решение о разрешении или отклонении операции принимается только терминалом в случае карты с магнитной полосой или терминалом и картой (эмитент определяет в приложении карты свои правила принятия решения) в случае микропроцессорной карты. В онлайновом режиме такое решение принимается эмитентом карты.

Торговое предприятие также проверяет наличие карты в стоп-листе, загружаемом на терминал, способный работать в оффлайновом режиме, обслуживающим банком. Иногда для повышения скорости проверки эта функция выполняется торговым предприятием вместе с обслуживающим банком в распределенном режиме.

В случае онлайновой авторизации полученная от клиента и считанная с карты информация, а также информация о покупке и торговом предприятии (идентификаторы торгового предприятия и устройства приема карты, способ ввода информации карты в платежную сеть, описание возможностей терминала по обработке транзакции) передаются торговым предприятием своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса торговое предприятие спрашивает у обслуживающего банка, может ли оно предоставить данному клиенту запрашиваемую им услугу. Обслуживающий банк должен проверить полученные в запросе данные:

• существование торгового предприятия с указанными в запросе реквизитами и его авторизацию на выполнение запрашиваемой операции;

• целостность полученных от терминала данных;

• наличие карты в стоп-листах платежной системы;

• ограничения на обработку операции (например, карта предназначена только для выполнения внутристрановых покупок, карта должна использоваться с обязательной проверкой ПИН-кода ее держателя, операция должна быть обслужена в режиме реального времени и т. п.), установленные эмитентом карты; ограничения записываются эмитентом во время персонализации карты на магнитной полосе в элементе данных «Код обслуживания» и в приложении чипа карты (элементы данных Application usage control, CVM List и т. п.), если карта микропроцессорная.

В случае оффлайновой авторизации два последних пункта должны проверяться средствами электронного терминала.

В случае онлайновой авторизации обслуживающий банк обращается за разрешением на оказание услуги по пластиковой карте к банку-эмитенту А. При этом банки А и В обмениваются сообщениями в соответствии с правилами, установленными платежной системой. Поэтому синтаксис и семантика сообщений понятны обоим банкам.

Эмитент А, получив запрос от обслуживающего банка В, проверяет достоверность информации о карте и ее держателе: правильность реквизитов карты и идентификатора держателя карты, статус карты в системе эмитента (активная или заблокированная), ограничения на использование карты, ПИН-код, если он представлен, величины CVC/CVV, криптограмму ARQC для аутентификации микропроцессорной карты и т. п… После этого банк А определяет достаточность средств на счете клиента для оплаты запрашиваемой им услуги. Если все проверки завершились успешно, банк А отвечает на запрос банка В разрешением на совершение покупки, предварительно списав со счета клиента (или только «заморозив» на счете) размер покупки возможно вместе с некоторыми, установленными им комиссиями (в случае операции покупки снятие комиссии со счета держателя карты, обычно, запрещено правилами платежных систем).

Поскольку разрешение банка А по правилам любой платежной системы является гарантией возмещения средств банку B от банка A, обслуживающий банк в свою очередь разрешает операцию покупки своему торговому предприятию, тем самым гарантируя последнему возмещение средств за выполненную с использованием карточки операцию. В большинстве случаев, если обслуживающий банк представил эмитенту достоверную и достаточную (по правилам системы) для авторизации информацию, ответственность за транзакцию в случае возникновения спора (диспута) ложится на эмитента. В частности, если транзакция оказалась выполненной по поддельной карте или украденной (потерянной) карте, ответственность за мошенничество возлагается на эмитента карты.

Вторая часть безналичной оплаты товаров/услуг заключается в расчетах между всеми участниками транзакции. Как уже отмечалось, торговое предприятие получает возмещение за операцию покупки от своего обслуживающего банка. Обслуживающий банк, в свою очередь получает возмещение с банка-эмитента. Гарантом расчетов между банками выступает платежная система, и в этом состоит ее важнейшая функция. Расчеты, как правило, производятся безакцептно (т. е. без получения специального разрешения их участников) через специальные счета, открываемые банками в расчетных банках платежной системы.

Наконец, банк-эмитент списывает средства по операции со счета своего клиента. Таким образом, при участии и гарантии платежной системы реализуется передача средств со счета клиента на счет торгового предприятия.

Основанием для расчетов между участниками транзакции могут быть авторизационные сообщения, которыми обменялись в процессе совершения транзакции обслуживающий банк и банк-эмитент. В этом случае по окончании бизнес-дня платежная система на основании имеющейся у нее информации осуществляет расчеты за прошедший бизнес-день между всеми своими банками-участниками. Системы, в которых расчеты производятся на основании авторизационного трафика, называются Single message system (SMS).

Иногда правила платежной системы таковы, что для инициализации расчетов между участниками транзакции обслуживающий банк должен отправить в платежную систему специальное финансовое сообщение, которое далее передается банку эмитенту. Только на основании этого сообщения платежная система осуществит расчеты между своими банками-участниками по выполненной операции. Специальное сообщение называется презентментом (presentment), а системы, производящие расчеты на основе презентментов — Dual message system (DMS).

Сегодня международные платежные системы поддерживают оба типа систем расчетов — SMS и DMS, отдавая предпочтение в расчетах по безналичным покупкам системам DMS.

В платежной системе время от времени по различным причинам, связанным с техническими проблемами при выполнении отдельных транзакций (например, дублирование обслуживающим банком авторизационного запроса) или совершением мошенничеств, могут возникать споры (диспуты) между банком-эмитентом и обслуживающим банком. Например, держатель карты может утверждать, что никогда не совершал транзакции, за которую с его счета были списаны деньги, или совершал транзакцию, но на другую сумму. Жизнь многогранна, и подобных «или» может быть много. Для разрешения возникающих споров платежные системы разрабатывают правила, предусматривающие использование специальных сообщений, которыми в случае возникновения диспутов обмениваются банки — участники системы.

В частности, если банк-эмитент в результате проведенного расследования, инициированного держателем карты, приходит к выводу о том, что некоторая транзакция, выполненная по карте этого клиента, является по установленным им причинам некорректной, эмитент направляет обслуживающему банку специальное сообщение, называемое chargeback (отказ от платежа), с указанием причины отказа от платежа. На основании этого сообщения платежная сеть переводит денежные средства, связанные с операцией, по которой произошел отказ, с корреспондентского счета обслуживающего банка на счет банка-эмитента. Возвращенные деньги эмитент далее переводит на счет клиента.

Обычно в соответствии с правилами платежной системы, если обслуживающий банк не согласен с мнением эмитента, он может направить ему повторный презентмент. В этом случае эмитент понимает, что его следующий повторный отказ от платежа будет означать начало арбитражного процесса между банками — участниками транзакции. Арбитром по возникшему диспуту, как правило, является администратор платежной системы. Банк может пытаться опротестовать и решение администратора системы, обратившись для этого в суд.

Проблема безопасности карточных операций

Что такое карточное мошенничество

Под карточным мошенничеством понимаются преднамеренные обманные действия некоторой стороны, основанные на применении технологии пластиковых карт и направленные на несанкционированное овладение финансовыми средствами, размещенными на «карточных» счетах клиентов банков-эмитентов пластиковых карт, или средствами, причитающимися торговому предприятию за операции по карточкам. Специалисты карточное мошенничество часто называют фродом (от англ. fraud — мошенничество, обман).

Мошенничества условно принято делить на две группы:

1) мошенничества со стороны эмиссии карт;

2) мошенничества со стороны обслуживания карт.

К первой группе относятся мошенничества, связанные с несанкционированным использованием карт эмитента (украденная карта, поддельная карта, кража идентификаторов держателя карты и т. п.), ко второй — мошенничества, инициатором которых стало торговое предприятие (поддельные (искаженные) слипы, повторный ввод операций и т. п.).

В качестве показателя уровня мошенничества рассматривается отношение объема понесенных финансовых потерь к общему объему продаж, выполненных по платежным картам (F/S или Fraud/Sales). Таким образом, уровень мошенничества оценивается только по операциям в торговых предприятиях. Единицей измерения коэффициента F/S принято считать базисный пункт (basis point, или сокращенно bp). Под одним базисным пунктом понимается уровень мошенничества, составляющий 0,01 % от всего торгового оборота по картам. Другими словами, уровень мошенничеств, равный одному базисному пункту, соответствует потере 1 цент. на каждые 100 долл. торгового оборота по карточкам.

Острота проблемы безопасности операций с использованием платежных карт

В последние 10 лет потери банков от операций по пластиковым картам составляют 7-11 цент. на 100 долл. оборота по картам (7-11 bp). Это существенно меньше потерь банков, связанных с клиентским кредитованием, составляющим 3–4 долл. на каждые 100 долл. выданных кредитов. Однако банки и платежные системы уделяют проблеме безопасности операций по пластиковым картам повышенное внимание. Это связано с тем, что в рассматриваемых случаях различна природа рисков и, как следствие, результат их проявления. В случае карточного мошенничества страдает клиент. Даже если потери, вызванные мошенничеством, берет на себя эмитент (что случается далеко не всегда), моральный ущерб, связанный с возникающими для держателя карты неудобствами, ощутим. Возможность фрода подрывает доверие банковских клиентов к карточной технологии в целом. И в этом главная проблема!

Для иллюстрации того, насколько карточное мошенничество подрывает доверие к картам, как платежному инструменту, выполним простой анализ. Средний человек на Западе использует свою карту для безналичных расчетов в среднем около 40 раз за год при характерном значении коэффициента использования карты, 0,1 в сутки. При сегодняшнем уровне мошенничества, равном примерно 10 bp, вероятность того, что очередная операция по карте выбранного нами господина завершится фродом, равна p = 0,001. В действительности, эта вероятность ниже, поскольку по скомпрометированной тем или иным способом карте проводится несколько операций и, кроме того, средний размер мошеннической операции выше, чем обычной. Однако для целей иллюстрации такая оценка вероятности того, что выполненная операция оказывается мошеннической, вполне подходит.

Тогда за 10 лет пользования картами держатель карты выполнит N = 400 безналичных покупок и вероятность того, что этот человек пострадает от карточного мошенничества при нынешнем уровне фрода, равна P F = 1− (1− р)N , близка к 0,33. Другими словами, примерно каждый третий из тех, кто пользуется картами уже 10 лет, при нынешнем уровне фрода пострадает от карточного мошенничества.

Выбранный нами для изучения держатель карты живет не в безвоздушном пространстве. Его окружают родные, друзья, коллеги. Если посчитать, что близкое окружение держателя карты состоит из 10 человек, то отсюда последует, что вероятность того, что хотя бы один человек из окружения пострадает, больше 0,98 (N = 4000).

Другими словами, большинство из нас знает о карточном мошенничестве не из книг и журналов, а из личного опыта. Конечно, такое близкое знакомство с карточным мошенничеством не станет поощрять нас к более интенсивному использованию своей пластиковой карты. Как следует из проведенных в США опросов 41 % американских держателей карт покупают меньше или вовсе избегают покупок через Интернет с помощью пластиковой карты! Поэтому безопасность операций по пластиковым картам является краеугольным камнем развития карточной индустрии, и этой проблеме уделяется значительное внимание со стороны платежных систем и банков.

Абсолютный размер карточного мошенничества очень грубо можно оценить следующим образом. В 2003 г. оборот по торговым операциям в платежных системах Visa и MasterCard составлял соответственно 2,5 и 1,3 трлн долл. Поскольку на эти две ведущие платежные системы приходится 85 % всего мирового торгового оборота по пластиковым картам, то весь торговый оборот по пластиковым в 2003 г. составлял примерно 4 трлн долл. С учетом уровня мошенничества (7-11 bp) легко получить, что абсолютный размер карточного фрода равнялся примерно 3–4 млд долл. в год.

Однако, это только видимая часть мошенничества. Как показывает опыт, значительная доля мошенничеств не попадает в отчеты платежных систем, поскольку банки, пытаясь защитить свою репутацию, часто не заявляют о случившемся фроде в платежные системы.

По данным консалтинговой компании Frost&Sullivan потери банков от карточного мошенничества в 2005 г. составили 7,9 млрд долл. По прогнозам компании к 2009 г. этот показатель вырастет до 15.5 млрд долл. в год. Некоторые эксперты считают оценки Frost&Sullivan завышенными, но в том, что размер потерь по порядку составляет несколько миллиардов долларов, никто не сомневается.

Помимо прямых финансовых потерь банки несут косвенные потери (уход клиентов, уменьшение оборотов, сокращение привлеченных средств из-за удара по репутации банка — теряется доверие к финансовым продуктам банка). В мире карты эмитируют более 20 тысяч банков. В каждом из них имеется отдел, занимающийся карточной безопасностью. Даже если средний бюджет одного такого отдела составляет 60 тыс. долл. в год, банки ежегодно тратят только на содержание таких отделов более миллиарда долларов.

Мы уж не говорим о затратах банков на покупку специального программного обеспечения, криптографических модулей, затратах на коммуникации (в случае отсутствия фрода все транзакции можно было бы выполнять в оффлайновом режиме) и т. п.

В результате общие годовые потери от последствий карточного мошенничества и затраты на уменьшение этих потерь для банков оказываются значительно выше полученной выше оценки.

Особенности современного карточного мошенничества К характерным особенностям карточного мошенничества следует отнести:

• использование мошенниками самых современных аппаратных и программных средств, благодаря их доступности и закономерному падению стоимости этих средств. В соответствии с законом Мура удваивание производительности вычислительной техники, объема памяти, пропускной способности каналов связи происходит через каждые соответственно 18, 12 и 9 месяцев.;

• высокий профессиональный уровень криминальных структур (в них нередко рекрутируются бывшие сотрудники банков и процессинговых центров);

• интернациональный характер криминальных банд в области карточного мошенничества — банды имеют свои представительства во многих странах мира;

• постоянный поиск новых возможностей по реализации мошенничеств, в том числе постоянное «тестирование» на прочность процессинговых систем банков. Такое тестирование включает проверку наличия в банке системы мониторинга транзакций, анализ алгоритма проверки отдельных реквизитов карты, оценку надежности защиты баз данных реквизитов карт и т. п.;

• высокая гибкость и оперативность криминальных структур: быстрая реакция на обнаружение дыры в системе защиты банка. С момента обнаружения уязвимости до момента реализации атаки проходит несколько дней;

• концентрация внимания на небольшом числе эмитентов, состав которых постоянно меняется. На бытовом языке это означает использование атаки на банк, при которой объектом мошенничества становятся большие группы клиентов банка. Атака реализуется с использованием обнаруженной уязвимости в системе обработки транзакций банка. Для мошенников атака является наиболее эффективным средством достижения цели, поскольку за время с момента обнаружения атаки до момента ее устранения при массовом использовании клиентской базы банка мошенники могут получить для себя хороший результат;

• распределение мошенничеств по нескольким основным категориям (на четыре наиболее распространенных вида мошенничества, о которых будет рассказано ниже, приходится около 96 % всего фрода);

• миграция типов мошенничества с одних рынков на другие. После того как на одном рынке удается найти эффективные средства противодействия какому-то виду мошенничества, мошенники начинают использовать отлаженную мошенническую схему на других рынках;

• около 80 % всех мошенничеств приходится на онлайновые транзакции. Это объясняется желанием мошенников поскорее «опустошить» счет держателя карты (для этого используются операции на большие суммы, обрабатываемые в режиме реального времени) и означает, что онлайновый характер выполнения операции не является эффективным средством борьбы с фродом;

• рост числа мошенничеств через банкоматы;

• кредитные карты — главная цель мошенников. Особое внимание уделяется «золотым», «платиновым» и другим еще более привилегированным картам. Приведенные в таблице данные показывают, что уровень мошенничеств по кредитным картам примерно в 4 раза выше, чем по дебетовым (табл. 1);

• платежные системы разбивают область своего присутствия на географические регионы, рынки которых имеют общие черты, хотя бы в силу своей географической близости. Оказывается, что внутристрановой (domestic) уровень мошенничества самый низкий, а межрегиональный — самый высокий (табл. 2–4).

Следует отметить, что переход банков на микропроцессорные карты приводит к миграции мошенничества в страны, где в основном развита «магнитная» инфраструктура приема карт. Это приводит к еще большей дифференциации уровней внутристранового фрода и остального фрода. Например, в Малайзии после перехода на чип уровень внутристранового фрода чуть превышает один базисный пункт, в то время как уровень фрода, приходящего из-за границы, составляет около 55 bp.

Основные виды мошенничества

Как отмечалось выше, мошенничества принято делить на две группы: мошенничества со стороны эмиссии карт и мошенничества со стороны обслуживания карт.

Мошенничества со стороны эмиссии

Основные виды мошенничества со стороны эмиссии:

• украденные (потерянные) карты (lost (stolen) cards);

• неполученные карты (not received items, NRI);

• поддельные карты (counterfeit);

• card not present-фрод;

• кража персональных данных держателя карты (ID theft). Украденные/потерянные карты. Самый старый и естественный вид мошенничества — держатель карты теряет карту сам либо ее у него крадут. До момента обнаружения пропажи и блокировки карты в системе проходит время, которым пользуются мошенники, в руках которых оказалась карта.

Долгое время этот вид мошенничества являлся самым популярным. Сейчас в Европе по данным крупнейших платежных систем на него приходится 25–30 % всего объема фрода.

Неполученные карты. Карты, украденные во время их пересылки из банка клиенту. Вся ответственность за мошенничество в этом случае лежит на эмитенте. По данным крупнейших платежных систем на этот вид мошенничества приходится 3,0–5,5 % всего объема фрода.

Поддельные карты. Этот вид мошенничества состоит в том, что мошеннику удается изготовить карту с реквизитами, совпадающими с реквизитами реальной карты настолько, что по поддельной карте можно выполнять операции, выдавая ее за реальную карту.

Подделка карт начиналась с технологии срезанных цифр карты и перестановки их местами. Потом стало практиковаться переэмбоссирование номера карты. С появлением и распространением электронных терминалов основным способом подделки карт стал скимминг (skimming) — перенос данных магнитной полосы реальной карты на другую карту, которую мошенники изготавливают сами или получают в результате кражи заготовок карт в банке или производящем заготовки карт предприятии.

Данные реальной карты мошенники чаще всего получают с помощью недобросовестного персонала магазина, который незаметно для держателя карты копирует содержимое магнитной дорожки карты с использованием специального устройства, имеющего считыватель магнитной полосы и способного хранить информацию о нескольких десятках карт.

В последнее время активно используются и другие способы кражи данных магнитной дорожки карт. В частности, в банкоматах мошенники используют накладной ридер, записывающий данные магнитной дорожки карт, а также видеокамеру или накладную клавиатуру для кражи значения ПИН-кода.

Еще 3–4 года тому назад в Европе подделка карт являлась самым распространенным видом мошенничества, на который по данным крупнейших платежных систем приходилось 34–37 % всего объема фрода. В связи с активной миграцией на микропроцессорные карты сегодня в Европе и Азиатско-Тихоокеанском регионе уровень мошенничества по поддельным картам существенно снизился.

Card not present-фрод. По определению CNP-транзакция (card not present) представляет собой операцию покупки по пластиковой карте, в момент совершения которой клиент лично не присутствует в точке продажи (торговом предприятии). В этом случае он сообщает торговому предприятию реквизиты своей карты (обычно номер карты, ее срок годности и значение CVV2/CVC2), необходимые для проведения авторизации, заочно (письмом, по телефону, сети передачи данных и т. д.).

Существуют три основных вида CNP-транзакций: рекуррентные платежи, MO (ТО) — транзакции и транзакции электронной коммерции (далее — ЭК). Под транзакцией электронной коммерции понимается CNP-транзакция, при совершении которой обмен данными между держателем пластиковой карты и торговым предприятием по реквизитам карты и платежа происходит через Интернет.

К 2010 г. прогнозируется, что среднемировая доля CNP-транзакций достигнет 40 % от всего торгового оборота в секторе B2C. При этом на операции электронной коммерции будет приходиться 60 % всего объема CNP-транзакций, из которых примерно 60 % операций будут оплачиваться с использованием пластиковой карты.

Сегодня на долю ЭК приходится около 18 % всех карточных операций «Покупка». Рост оборотов ЭК составляет около 40 % в год. Каждый десятый житель планеты является онлайновым покупателем.

Возможность совершить покупку заочно (при отсутствии покупателя в точке продажи) всегда являлась привлекательной как для покупателя, так и для продавца. Для покупателя — из-за удобства способа покупки (не выходя из дома, в любое время суток, в спокойном режиме без очереди и т. п.), для продавца — главным образом, благодаря возможности снижения накладных расходов на организацию торговли и возможности круглосуточно рекламировать свой товар широкой аудитории потенциальных покупателей.

На первом этапе развития «заочной» торговли наиболее распространенным способом заказа товара во время проведения покупки были почта, телеграф и телефон. Поэтому подобные транзакции получили название MO/TO [Mail Order (Telephone Order)] транзакций. Единственная проблема в то время состояла в организации расчетов за такие покупки. Продавцу хотелось заранее идентифицировать покупателя и убедиться в его кредитоспособности. С распространением пластиковых карт эта проблема в определенной степени решилась — у торговых предприятий появилась возможность получить относительно надежные гарантии кредитоспособности покупателя.

Относительность гарантии заключалась в том, что при заочных покупках вероятность мошенничества по кредитным картам становится недопустимо высокой. В связи с повышенным риском мошенничества по CNP-транзакциям, с одной стороны, и привлекательностью подобных операций с точки зрения торговых предприятий и, следовательно, обслуживающих их банков, с другой, платежные системы разрешают подобные операции, меняя при этом распределение ответственности за финансовый результат операции в случае возникновения мошенничества. Это изменение формулируется следующим образом: если транзакция электронной коммерции выполнена без использования надежной технологии, ответственность за мошенничество по таким операциям лежит на обслуживающем банке.

Сегодня под надежной технологией в международных платежных системах понимается обязательная онлайновая авторизация с использованием алгоритма 3D Secure. При поддержке этой технологии торговым предприятием распределение ответственности по операции становится классическим: в случае корректного представления данных обслуживающим банком ответственность за результат операции несет эмитент.

Уровень мошенничеств по CNP-транзакциям в мире составляет примерно 70 базисных пунктов (в Европе 25–35 базисных пунктов), т. е. на порядок выше, чем в среднем по карточному бизнесу. По признанию международных платежных систем 80 % всех отказов от платежей (chargeback) в карточной индустрии приходится на операции электронной коммерции.

Для совершения мошенничества в случае CNP-транзакции, для обработки которой не используется протокол 3D Secure, достаточно знать самые простые реквизиты карты — ее номер, срок действия и, возможно, значение CVC2/CVV2. Поэтому для повышения безопасности по правилам платежных систем все CNP-транзакции должны выполняться только в режиме реального времени.

В ЭК отмечается высокий уровень латентности: по данным мирового банка до 80 % всех случившихся мошенничеств банками не объявляется. Даже если учитывать только объявленный фрод, то по данным крупнейших платежных систем в настоящее время в Европе на ЭК приходится около 25–30 % всего карточного фрода.

В связи с миграцией банковской эмиссии на микропроцессорные карты CNP-фрод становится объектом повышенного интереса со стороны криминальных структур. Как и прогнозировали эксперты, в странах, мигрировавших на чип, отмечается резкий рост мошенничества по транзакциям ЭК. Так в Великобритании в 2005 г. скорость годового роста CNP-фрода составила 21 %, а в абсолютном выражении на этот вид мошенничества пришлось 183,2 млн фунтов стерлингов, что почти в 2 раза превысило потери банков от поддельных карт и более чем в 2 раза — потери от использования украденных (потерянных) карт. В 2006 г. тенденция продолжилась, и CNP-фрод вырос на 16 % по сравнению с 2005 г. На него в 2006 г. уже приходилась половина всех потерь английских банков по карточным операциям! По данным APACS за первую половину 2007 г. рост CNP-фрода составил 44 % в сравнении с аналогичным периодом 2006 г., достигнув размера 137 млн фунтов стерлингов за шесть месяцев.

Кража персональных данных (ID theft). Кража персональных данных клиентов с целью их использования в карточных мошенничествах бывает следующих видов: мошеннические аппликации, перехват счета, Phishing, утечка информации из процессинговых центров (главным образом торговых предприятий), перехват данных при их передаче по сетям. Другими словами, при использовании этого вида мошенничества кража данных, достаточных для осуществления карточного фрода, производится без непосредственного использования карты (данные крадутся не с карты, как в случае скимминга).

Мошеннические аппликации (fraudulent applications): мошенник использует чужое удостоверение личности (найденное/украденное/подделанное) для подачи заявления на получение кредитной банковской карты с указанием адреса, по которому карта может быть легко и безопасно получена.

Перехват счета (account takeover): мошенник получает данные о реквизитах карты/счета, например, из оказавшихся в его распоряжении банковских стейтментов держателя карты, далее звонит в банк и сообщает об изменении своего адреса, а чуть позже запрашивает новую карту с доставкой ее по «новому» адресу.

Phishing и вирусные атаки (с целью получения персональных данных клиентов): злоумышленники по электронной почте рассылают держателям кредитных карт запросы якобы от банков с просьбой подтвердить или обновить персональную информацию клиентов, связанную с картами.

Кража данных в процессинговых центрах онлайновых магазинов в Интернете. Самый громкий скандал произошел в начале 2007 г., когда стало известно о крупнейшем в мире похищении клиентской базы данных. В результате утечки конфиденциальной информации более 45 млн человек, воспользовавшихся пластиковыми картами при оплате покупок в более чем 2,5 тыс. магазинах компании TJX, расположенных в США и Великобритании, могут стать жертвами мошенников.

Самое интересное в «похищении века» заключается в том, что оно было совершено еще летом 2005 г., но в течение полутора лет хакерская атака оставалась незамеченной экспертами компании. Утечка вскрылась только в конце прошлого 2006 г., и в декабре 2006 г. TJX уведомила американские власти о том, что украдена информация по 45,7 млн кредитных карт, использованных в магазинах компании между 31 декабря 2002 г. и 23 ноября 2003 г. В распоряжении мошенников оказались также анкетные данные 455 тыс. клиентов, возвративших купленные товары.

Не исключено, что хакеры похитили информацию и по транзакциям, совершенным позже. Быть уверенными в своей защите могут только клиенты, совершавшие покупки после 18 декабря 2005 г., когда компьютерная сеть TJX была проверена специалистами General Dynamics и IBM, которые и раскрыли факт похищения. Полиция считает, что хакеры перепродали информацию другим мошенникам. Известны случаи массового мошенничества по картам, информация по которым была украдена в TJX. Известно также, что американские банки к середине 2007 г. перевыпустили более 200 тыс. карт для своих клиентов в связи с инцидентом, связанным с TJX.

Утечка информации через недобросовестных сотрудников процессинговых центров и банков. По статистике источником 20 % всех финансовых потерь банка являются нечестные сотрудники, 10 % — обиженные сотрудники, 55 % — халатность персонала, только 9 % — внешние атаки.

Перехват данных при их передаче (беспроводные соединения, подключение мошенников к выделенным линиям связи). Этот способ кражи персональных данных является сегодня достаточно редким, поскольку его эффективность невысока (высокая стоимость кражи данных одного клиента).

Другой способ «электронной» кражи персональных данных — использование специальных программ-шпионов (spyware). Такие программы умеют читать, записывать и удалять файлы на персональном компьютере клиента, изменять компьютерные настройки, в том числе отвечающие за сетевой доступ к компьютеру, тем самым, открывая хакерам доступ к содержащейся в нем информации. Программы-шпионы могут переформатировать компьютерный диск, сканировать изменения в файлах, следить за набираемыми на клавиатуре данными с целью кражи паролей. Во время сетевых сессий компьютера эти программы передают собранную ими информацию интересующейся ею стороне.

Формы существования программ-шпионов многообразны. Это и небольшие дополнительные программки (adware), используемые поставщиками в своем программном обеспечении в маркетинговых целях (для этого создаются целые сети adware networks), и троянские кони, и интернетовские cookies и т. п.

Мошенничества со стороны обслуживания карт

Приведем основные виды мошенничества второй группы (со стороны обслуживания карт):

• повторный ввод операции (multiple imprints, electronic data capture fraud, включая PAN Key Entry — транзакции);

• изменение содержимого слипов (altered sales drafts);

• перехват счета магазина (account takeover);

• использование отчетности легально существующего торгового предприятия (laundering);

• мошенничества в банкоматах.

Повторение слипов и (или) изменение содержимого слипов. Недобросовестные сотрудники торгового предприятия делают на импринтере более одного отпечатка карты (multiple imprints), используя их в дальнейшем для генерации новых платежных документов, или изменяют значения размера транзакции уже после того, как клиент подписал слип (altered sales drafts).

Electronic Data Capture Fraud. То же, что и повторение слипов, только с использованием электронных POS-терминалов. Особенно распространен способ PAN key entry, при котором в авторизационном запросе к эмитенту информация магнитной дорожки карты не предоставляется (представлены только номер карты, срок ее действия и, возможно, значение CVV 2 /CVC 2 ).

Перехват счета. «Перехват» счета магазина (Merchant Account Takeover). Мошенники имеют все необходимые данные магазина (название, имена руководства, идентификатор торгового предприятия и т. п.) и, возможно, торговые слипы. Далее следует письмо (звонок) в банк, извещающее об изменении расчетного счета магазина. В результате возмещения по операциям, выполненным в реальном торговом предприятии, попадают на счета мошенников. По данным Visa средние потери банка от подобного мошенничества составляют примерно 100 тыс. долл.

Использование отчетности легально существующего торгового предприятия (laundering). В этом случае магазин A некоторой платежной системы предоставляет возможность магазину B, не имеющему договора с каким-либо банком на прием карт этой платежной системы, обычно за определенную комиссию, принимать карты данной платежной системы. При этом если B — мошенник, то A по прошествии некоторого времени остается один на один с отказами от платежей, пришедшими по операциям, якобы совершенным магазином B. По данным Visa потери магазина A в среднем составляют около 500 тыс. долл.

Мошенничества в банкоматах. До сих пор речь шла о мошенничестве в торговых предприятиях. В последнее время стало появляться все больше сообщений о случаях мошенничества с использованием банкоматов. Операции через банкоматы характеризуются повышенной безопасностью, поскольку авторизация таких операций осуществляется эмитентом в онлайновом режиме с обязательной проверкой персонального идентификатора (PIN-кода) держателя карты. Факт повышенной безопасности операций через банкоматы подтверждается и статистикой — объем мошенничеств через банкоматы на порядок ниже аналогичного показателя для торговли.

И все-таки последние сообщения платежных систем говорят о том, что мошенники постепенно подбираются и к банкоматам. В 2004 г. потери только банков Великобритании от мошенничества, связанного главным образом со скиммингом в банкоматах, составили 75 млн фунтов стерлингов (около 15 % всего карточного мошенничества в стране). Правда, в 2005 г. и 2006 г. уровень банкоматного мошенничества в Великобритании снижался, достигнув в 2006 г. отметки в 61,9 млн фунтов стерлингов. Но и этот уровень примерно в 1.5 раза выше уровня 2003 г., т. е. говорить о том, что проблема с банкоматным фродом стабилизировалась, преждевременно.

В соответствии с данными EAST (European ATM Security Team) потери европейских банков в 2006 г. от скимминга через банкомат, трэппинга и спровоцированных возвратов составили в прошлом году 306 млн евро.

О краже данных пластиковой карты и ПИН-кода через банкомат с помощью накладного ридера и миниатюрной видеокамеры (накладной клавиатуры) с последующим выпуском белого пластика уже говорилось выше. Под трэппингом (trapping) понимается мошенничество, в соответствии с которым на ридер банкомата устанавливается устройство, препятствующее извлечению карты из банкомата после выполнения транзакции. Карту потом извлекает мошенник, которому к тому же к этому моменту известен ПИН-код держателя карты (с помощью видеокамеры или иным более изощренным способом).

Иллюстрацией трэппинга является мошенничество, известное как «ливанская петля». Почти цирковой способ мошенничества, при котором ничего не подозревающий держатель карты засовывал ее в заранее «обработанный» мошенником банкомат. Суть «обработки» банкомата состояла в том, что в прорезь карт-ридера банкомата вставлялся кусок фотопленки, концы которого незаметно укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможность карте выйти из карт-ридера. Мошенник оказывался неподалеку и предлагал держателю карты свою помощь. Он рекомендовал ему вновь ввести свой PIN-код, а когда из этого ничего не получалось, вводил его сам со слов держателя, утверждая, что уже видел такие случаи раньше и при повторном вводе PIN-кода карта должна выйти из банкомата. Карта, конечно, не возвращалась, а мошенник советовал ее держателю придти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и тогда карта ему будет обязательно возвращена. После ухода держателя карты мошенник извлекал пленку вместе с картой из банкомата и опустошал счет держателя карты.

Метод спровоцированного возврата заключается в том, что мошенники извлекают из банкомата не все выданные банкоматом деньги, а только их часть. Оставленные мошенниками средства по тайм-ауту возвращаются банкоматом в диверт-кассету. После этого банкомат инициирует возврат средств. Иногда программное обеспечение банкомата (обслуживающего банка) не способно поддерживать частичный возврат (partial reversal) и в результате на счет клиента возвращается вся заказанная им сумма.

Существуют и другие виды мошенничества с использованием банкоматов. Например, в результате физического взлома банкоматов с целью извлечения из них денежных средств, грабежей инкассаторов и держателей карт, получивших деньги в банкомате, в прошлом году в Европе было потеряно около 28 млн евро. Более подробно о мошенничестве через банкоматы см. далее.

Методы защиты для карт с магнитной полосой в проекции на отдельные виды мошенничеств

Цель настоящего раздела состоит в том, чтобы показать читателю, что, несмотря на многообразие методов, в случае карт с магнитной полосой не существует эффективного универсального решения для защиты банка (держателя карты) от мошенничества.

Сегодняшние эмитенты карт с магнитной полосой используют комплексный подход для борьбы с фродом, состоящий из следующих элементов защиты:

• утвержденной руководством банка и доведенной до заинтересованных подразделений политики эмиссии карт, описывающей эмитируемые банком карточные продукты, их потребителей, процедуры обработки заявлений клиентов, доставки и выдачи карт, средства и системы защиты банка от мошенничеств, распределение ответственности между подразделениями банка, поведение персонала и руководства банка в случае обнаружения атак и т. п.;

• установки необходимых проверок в системах авторизации транзакций банка;

• поддержания стоп-листов скомпрометированных карт;

• системы мониторинга транзакций, позволяющих определить подозрительные транзакции;

• предоставления платежной системе отчетности о случаях мошенничества по картам банка;

• работы с клиентами банка;

• предоставления клиентам банка услуги смс-уведомлений о выполненных по карте клиента операциях.

Большое значение для борьбы с мошенничеством имеет работа эмитентов с держателями карт и обслуживающих банков с торговыми предприятиями.

Рассмотрим, каким образом перечисленные элементы защиты банка помогают справиться с карточным фродом.

Украденные (потерянные) карты

Для борьбы с этим видом мошенничества используются следующие элементы защиты:

• блокировка карты в системе эмитента с выдачей кода ответа о необходимости захвата карты; этот метод является особенно эффективным для дебетовых карт, операции по которым происходят только в режиме реального времени;

• помещение карты в стоп-листы платежной системы, рассылаемые обслуживающим банкам, а также в стоп-листы резервных систем авторизации; этот элемент защиты особенно полезен в случае, когда украденная карта является кредитной и по ней возможна авторизация в оффлайновом режиме без обращения к эмитенту;

• размещение на обратной стороне карты фотографии ее держателя; этот элемент защиты основан на использовании психологического фактора — мошенник испытывает дискомфорт при обращении с подобной картой в торговое предприятие, понимая, что кассир может поинтересоваться, почему на карте помещена чужая фотография;

• использование средств мониторинга транзакций, которые позволяют определить изменение «рисунка» операций по картам пострадавшего клиента (чтобы обойти возможные средства борьбы с кражей карты со стороны эмитента, мошенник пытается поскорее воспользоваться картой и снять находящиеся на ней денежные средства) и обратиться к клиенту для получения разъяснений о причинах такого изменения;

• использование смс-уведомлений по карточным операциям; такие уведомления могут помочь клиенту обнаружить факт пропажи/кражи карты.

Борьбе с этим видом мошенничества способствуют общие тенденции карточного рынка по более интенсивному использованию онлайновых авторизаций, а также увеличению доли дебетовых карточных продуктов.

Очевидно, что все перечисленные методы, взятые в совокупности, не предоставляют 100 %-ной гарантии того, что фрода удастся избежать. Это связано с тем, что с момента обнаружения этого вида мошенничества до момента «включения» элементов защиты уходит несколько дней, которых бывает достаточно для того, чтобы опустошить счет, связанный с украденной (потерянной) картой.

Неполученные карты

Помимо средств, описанных в предыдущем разделе, для борьбы с этим видом мошенничества дополнительно используются следующие элементы защиты:

• выпуск карт в заблокированном состоянии со статусом «новая карта» (new card), и их разблокировка клиентами либо в отделениях и банкоматах с помощью специальной операции разблокировки, требующей от клиента знания ПИН-кода, либо через телефонные звонки по кодовому слову (например, девичьей фамилии матери);

• выдача карт через отделения банка и использование специализированных курьерских служб вместо обычной почты для доставки карт из центра их персонализации в отделения банка.

Выпуск карт в заблокированном виде является наиболее эффективным методом борьбы с рассматриваемым видом мошенничества.

Поддельные карты

Сегодня различают два способа подделки карт. Первый способ (подделка с чистого листа) состоит в подборе мошенниками правильного набора реквизитов карты (реквизитов, совпадающих с реквизитами одной из эмитированных банком карт), состоящих из номера карты, срока действия карты и значения CVC/CVV или CVC2/CVV2. В этом случае эффективными являются следующие элементы защиты:

• генерация номеров карт по случайному закону;

• расширенная проверка срока действия карты;

• CVV/CVC, CVV2/CVC2.

Поясним смысл этих элементов защиты. Обычная проверка срока действия карты состоит в том, что номер карты, нанесенный на магнитную полосу или эмбоссированный на передней панели карты, сравнивается с текущей датой. При расширенной проверке помимо обычной проверки с текущей датой значение срока действия карты проверяется на равенство со значением срока действия карты в базе данных процессингового центра банка. Таким образом, мошеннику требуется угадать точное значение срока действия карты. Поскольку карта обычно выпускается сроком на 2 года, вероятность подбора точного значения ее срока действия равна 1/24.

Генерация случайных номеров карт позволяет защитить эмитента от подбора мошенником правильного номера карты. Обычно номер карты состоит из 16 цифр, из которых первые 8 представляют собой префикс карты, используемый для идентификации банка и его филиала. Последняя цифра номера карты является функцией от первых 15 цифр (вычисляется по правилу luhn check parity). Поэтому остается 7 независимых цифр номера карты, использование которых позволяет банку эмитировать до 10 млн карт. Этот диапазон карт можно заполнять с любой заранее заданной максимальной плотностью заполнения X. Под плотностью заполнения понимается отношение количества выпущенных карт ко всему диапазону возможных значений номеров карт (10 млн карт). Если при этом номера карт генерируются по случайному закону, то вероятность того, что мошенник, выбирая наугад какой-то номер карты, угадает его, не превышает максимальную плотность заполнения диапазона номеров карт. Очевидно, это увеличивает накладные расходы мошенника, тем самым снижая его привлекательность подделки. Таким образом, использование эмитентом генерации случайных номеров карт, проверки CVC/CVC2, расширенной проверки срока действия карты требует от мошенника (не знающего реквизитов карт) перебрать n = (24 × 1000)/X = 24000/X различных сочетаний реквизитов карты, для того чтобы с вероятностью 1 добиться успеха. При X = 1 требуется перебрать 24 000 различных значений, а при X = 0,1 — 240 000,0 вариантов. Это делает практически неинтересным для мошенника попытки подбора правильных реквизитов карт. Получается, что стоимость подбора выше потенциальной добычи. Вероятность того, что правильные реквизиты карты будут определены за k попыток (k ≤ n), равна в нашем случае k /n . Поэтому чтобы обеспечить высокую вероятность достижения успеха, мошеннику придется перебрать порядка n различных комбинаций реквизитов карты.

Другой сегодня самый распространенный подход к созданию поддельных карт основывается на скимминге — краже мошенниками данных магнитной полосы реальной карты и, возможно, ПИН-кода ее держателя во время выполнения операции с использованием этой карты. В данном случае к элементам защиты эмитента следует отнести:

• проверку соответствия имени банка и префикса карты (например, с использованием директории VISA interchange directory); мошенники пользуются только доступной им информацией о карте и имеющимися под рукой заготовками карт;

• поддержку стоп-листов имен «держателей» поддельных карт; опыт показывает, что мошенники используют весьма ограниченный набор таких имен; поэтому дополнительная проверка держателя карты с именем из стоп-листа может оказаться весьма целесообразной;

• средства мониторинга транзакций;

• SMS-оповещения о выполненных по карте операциях;

• обучение персонала торгового предприятия;

• обучение держателей карт — любая информация о карте является ценной для мошенников, поэтому реквизиты карты нужно охранять; нельзя оставлять карту без персонального контроля; обучение тому, как вести себя с чеками и стейтментами и т. д.;

• на уровне платежных систем — определение точек компрометации Common purchase point реквизитов карт и использования украденных реквизитов (collusive merchants).

Коротко остановимся на обучении персонала торговых предприятий. С точки зрения безопасности банк должен провести обучение персонала торгового предприятия по следующим вопросам:

• как определить, принимает ли торговое предприятие данную карту;

• как визуально проверить подлинность карты;

• как хранить и обрабатывать слипы;

• как использовать «код ответа 10» (специальный код ответа, используемый в случае голосовой авторизации, когда покупатель показался продавцу подозрительным);

• как реагировать на ответ «захватить карту» и что делать с захваченной картой.

Очень важной с точки зрения безопасности операции является визуальная проверка продавцом подлинности карты. Анализ фрода показал, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших платежных систем VISA и MasterCard, можно было бы избежать, если бы продавец выполнял следующие визуальные проверки карты:

• на наличие 4 напечатанных цифр под (над) эмбоссированным номером карты;

• на наличие микропечати VISA по периметру логотипа карты VISA;

• на наличие голубя на картах VISA и букв M и C на картах MasterCard, появляющихся при облучении карты ультрафиолетом;

• при наклоне голограммы карты VISA должен появиться летящий голубь, а карты MasterCard — надпись «MasterCard».

• сравнение номера карты на чеке терминала и на карте;

• на наличие эмбоссированных секретных символов на карте (летящие буквы V и М).

Однако практика показала, что эти проверки торговыми точками зачастую не производятся. В результате платежные системы отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.

К сожалению, скимминг является чрезвычайно эффективным способом подделки карт, и технология карт с магнитной полосой не может предложить эффективных универсальных методов борьбы с ним. Например, под кураторством MasterCard была разработана технология MagnePrint, суть которой состоит в следующем. Магнитная полоса карты состоит из миллиардов крошечных частиц определенного размера и расположения, создающих естественный уникальный шум при считывании магнитной полосы. Этот шум не может быть подделан и используется в технологии MagnePrint для аутентификации карты. Шум кодируется в элемент данных длиной 54 байта и хранится в системе эмитента. Компания MagTek изготовила карт-ридеры, способные считывать шум.

Слабость метода состоит в том, что элемент данных, кодирующий шум, является статическим. Поэтому фрод, по-прежнему, возможен из торговых точек, нацеленных на мошенничество. Кроме того, метод работает только в случае онлайновой авторизации транзакции.

В результате в начале третьего тысячелетия стало ясно, что в основе наиболее эффективных способов борьбы с поддельными картами лежит технология микропроцессорных карт. При этом неважно, где располагается микропроцессор — на пластиковой карте, в сотовом телефоне или ином устройстве, находящемся в руках клиента банка.

Электронная коммерция (CNP)

На сегодняшний день ведущие платежные системы поддерживают единственный протокол безопасной электронной коммерции — 3D Secure (в платежной системе Visa этот протокол продвигается под брэндом Verified by VISA, а в системе MasterCard — под брэндом MasterCard SecureCode). По мнению экспертов, повсеместное использование этого протокола торговыми предприятиями, обслуживающими банками и эмитентами карт уменьшит фрод в области электронной коммерции не менее чем на 80 %, доведя его до уровня ниже 5–7 базисных пунктов.

Требования международных платежных систем к безопасности операций ЭК формулируются следующим образом:

• должна обеспечиваться взаимная аутентификация участников электронной покупки (покупателя, торгового предприятия и его обслуживающего банка);

• реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2, и т. п.), используемой при проведении транзакции ЭК, должны быть конфиденциальными для торгового предприятия;

• невозможность отказа от операции для всех участников транзакции электронной коммерции.

К сожалению, первый безопасный протокол электронной коммерции Secure electronic transaction (SET), удовлетворяющий всем перечисленным выше требованиям, сегодня платежными системами больше не поддерживается. Это связано с дороговизной и сложностью внедрения протокола SET.

Для стимулирования внедрения протокола 3D Secure платежные системы ввели сдвиг ответственности, называемый merchant only liability shift, в соответствии с которым при поддержке торговой точкой протокола 3D Secure ответственность за мошенничество в ЭК, связанное с отказом держателя карты от совершения операции, возлагается на эмитента. В платежной системе Visa ответственности merchant only liability shift носит глобальный характер. В MasterCard сдвиг ответственности merchant only liability shift касается всех регионов за исключением Северной Америки (США и Канада), в которой ответственность за результат операции возвращается к эмитенту только в случае поддержки 3D Secure всеми участниками транзакции ЭК — онлайновым магазином, обслуживающим банком и банком-эмитентом (так называемая full authentication-авторизация).

Напомним, что для CNP-транзакций без использования защищенного протокола ответственность за мошенничество возлагается на обслуживающий банк. Таким образом, в случае использования торговой точкой 3D Secure восстанавливается нормальное распределение ответственности, характерное для платежных операций других типов.

Протокол 3D Secure с точки зрения обеспечиваемой им защиты значительно слабее протокола SET. Он в общем случае не обеспечивает аутентификации держателем карты торгового предприятия и прозрачности данных о реквизитах карты для торгового предприятия. В то же время он проще при внедрении и аппаратно-программные решения, реализующие 3D Secure, существенно дешевле аналогичных решений для протокола SET.

Наиболее серьезной проблемой безопасности протокола 3D Secure является его беззащитность от атак типа «man-in the-middle». Например, при использовании держателем карты протокола 3D Secure мошеннические онлайновые магазины могут применять следующую процедуру компрометации пароля держателя карты (рис. 2). Merchant plug-in (MPI) мошеннического магазина, получив ответ VERes, содержащий динамический адрес (URL) страницы аутентификации сервера эмитента Access control server (ACS), направляет запрос на аутентификацию держателя карты PAReq не по указанному адресу, а на адрес своего SSL-сервера. Затем SSL-сервер перенаправляет данный запрос на URL ACS эмитента карты, тем самым, «изображая» для ACS компьютер держателя карты. В результате ACS принимает ложный сервер за персональный компьютер держателя карты и передает на ложный сервер свою страничку, предназначенную для аутентификации держателя карты. Эта страничка содержит сообщение Personal Assurance Message, с помощью которого в схеме 3D Secure клиент аутентифицирует свой банк (точнее сервер ACS своего банка). Обладая страничкой для аутентификации, мошеннический сервер теперь может играть роль ACS для настоящего клиента банка, запрашивая у последнего значение статического пароля.

Чтобы защититься от подобных краж статических паролей, были предложены различные схемы генерации и использования динамических паролей или, как их еще называют, разовых паролей (One time password (OTP). Примером распространенного в банковской сфере алгоритма генерации OTP является метод Chip authentication program (CAP) разработанный MasterCard и принятый для использования в рамках Visa под брендом Dynamic passcode authentication (DPA).

Для реализации метода CAP клиент должен обладать микропроцессорной картой с EMV-приложением, а также специальным картридером, способным инициировать генерацию пароля OTP и отображать его значение, состоящее из 8 цифр, на дисплее ридера (иногда ридер и карта совмещаются в одном физическом устройстве). Такой ридер может стоить несколько евро (10–15 евро в зависимости от производителя и объема закупаемой партии устройств). Помимо дополнительных расходов на обеспечение ридерами держателей карт, другим недостатком такого подхода является тот факт, что за картридером клиенту необходимо придти в банк, а, кроме того, для совершения операции ридер нужно иметь под рукой, что не всегда удобно, поскольку размеры устройства значительно превышают размеры банковской карты, и в бумажнике такой ридер не помещается.

На этом фоне сотовый телефон, являясь наиболее массовым мобильным устройством, используемым населением планеты (по результатам 2005 г. во всем мире обращалось более 2 млрд сотовых телефонов, а к 2010 г. это устройство будут иметь примерно 3 млрд потребителей), давно привлекал внимание исследователей в качестве потенциального универсального инструмента аутентификации. Тем более, что возможности мобильных телефонов как с точки зрения их вычислительных способностей, поддерживаемых коммуникаций, так и с точки зрения функциональности, постоянно растут.

Тем не менее, на сегодняшний день существуют сложности в использовании мобильного телефона в качестве инструмента аутентификации. Они заключается в следующем. Известно, что по-настоящему защищенным местом хранения конфиденциальной информации на телефоне является SIM-карта (некоторые модели телефонов обладают отдельным микропроцессором, выполняющим функцию элемента безопасности-security element; но таких моделей на рынке мало). Однако загрузить информацию на SIM-карту можно только с разрешения контролирующего ее оператора сотовой связи. При этом, даже если последний разрешит загрузку и использование конфиденциальной информации клиента на SIM-карте, единственно возможным способом реализовать это на практике является предварительная загрузка данных на SIM-карту в процессе ее персонализации силами оператора или уполномоченного им центра персонализации. Удаленная персонализация SIM-карты по технологии over-the-air (OTA-GSM 03.48), предназначенная для загрузки данных и приложений на SIM-карту и поддерживаемая всеми Java-картами, персонализированными с поддержкой профиля OTA profile, на практике фактически не используется, поскольку в этом случае банк должен делить свою конфиденциальную информацию с сотовым оператором. Дело в том, что процедура загрузки данных по технологии OTA сегодня находится под полным контролем оператора мобильной связи.

То же самое касается и технологии, основанной на использовании протокола Security and trusted services API (SATSA, JSR177), позволяющей мидлету пользоваться процедурами и данными, загруженными на SIM-карту, поддерживающую Java Card (таких SIM-карт сегодня большинство). Помимо того, что спецификация JSR177 является опциональной для профиля MIDP 2.0 платформы J2ME, и потому сотовыми телефонами практически не поддерживается, по-прежнему, со стороны сотового оператора требуется авторизация доступа мидлета к приложениям карты с использованием SATSA.

В то же время MasterCard выпустил спецификацию MasterCard mobile authentication (MMA), в основе которой лежит схема CAP, реализуемая мидлетом, загружаемым на Java-совместимый телефон. Напомним, что на входе алгоритма CAP задаются текущий номер операции (ATC), профиль приложения карты (AIP), на выходе — 8-значный цифровой разовый пароль, являющийся функцией от криптограммы AAC (authentication application cryptogram). Криптограмма формируется с помощью определенного в стандарте EMV алгоритма вычисления прикладной криптограммы. В этом алгоритме используется ключ двойной длины (112 битов) customer master key, который и является единственным секретом, передаваемым на мобильный телефон.

Для обеспечения конфиденциальности секретных данных мидлета (customer master key) при его загрузке на телефон используется алгоритм PBE (password-based encryption), реализованный в рамках стандартного пакета Bouncy Castle APIs for J2ME, который, в свою очередь, реализует стандартный интерфейс к криптографическим функциям, определенный MIDP (mobile information device profile). В общих словах профиль MIDP представляет собой открытый программный интерфейс к библиотекам J2ME на сотовых телефонах и других устройствах. При формировании ключа в алгоритме PBE (для шифрования данных применяется алгоритм 3DES) в качестве пароля используется мобильный ПИН-код клиента, в качестве величины Salt — номер телефона (MSISDN).

Мобильный ПИН-код придумывается клиентом и используется им каждый раз при инициализации мидлета на своем телефоне. Вводимое клиентом значение мобильного ПИН-кода необходимо для расшифрования ключа customer master key, который хранится в телефоне в зашифрованном виде. Поэтому при вводе неправильного значения ПИН-кода в результате расшифрования будет получено неверное значение ключа customer master key, а значит будет вычислено неверное значение криптограммы AAC и разового пароля. Последний факт будет зафиксирован на сервере аутентификации клиента.

Таким образом, надежность описанной схемы главным образом определяется секретностью мобильного ПИН-кода клиента. Если телефон попадает в руки мошенника, не знающего значение ПИН-кода, то после трех безуспешных попыток аутентификации (неверного значения вычисленной криптограммы) клиент будет заблокирован на сервере аутентификации, и дальнейшее использование мидлета станет невозможным.

Анализ схемы аутентификации с помощью мидлета показывает, что поскольку все криптографические вычисления в этом случае производятся процессором телефона, то теоретически, загрузив на телефон программу-шпиона, отслеживающего состояние памяти телефона и передающее информацию из оперативной памяти наружу, можно скомпрометировать значение ключа customer master key, а значит и схему в целом. На сегодняшний день список вирусов для сотовых телефонов состоит из 30–40 программ, в то время, как аналогичный список для персональных компьютеров составляет несколько сотен тысяч программ. При этом мы не очень боимся вводить на клавиатуре своего компьютера пароли для интернет-бэнкинга или для своей аутентификации при выполнении операций ЭК.

Обобщая сказанное выше, можно констатировать, что широкомасштабного внедрения протокола 3D Secure до сих пор не произошло. На середину 2007 г. протокол 3D Secure поддерживался более чем 115 тыс. онлайновых магазинов, примерно 400 обслуживающими банками и 3160 банками-эмитентами. Лидером по внедрению 3D Secure является Великобритания, на долю которой приходится более 31 тысячи онлайновых магазинов. В Европе находится примерно 65 % всех онлайновых магазинов, поддерживающих 3D Secure.

С точки зрения эмиссии для использования протокола только в платежной системе MasterCard зарегистрировалось более 20,5 млн держателей карт MasterCard и Maestro. Конечно, это очень малая доля (несколько процентов) держателей карт с точки зрения общего количества карт этой платежной системы. Можно говорить, что именно медленное внедрение эмиссионной части протокола является главной причиной повышения безопасности операций ЭК.

В то же время по данным MasterCard в июле 2007 г. примерно 22 % всех операций ЭК в Европе производилось в магазинах, поддерживающих 3D Secure. При этом, в примерно 6 % всех операций 3D Secure поддерживался как со стороны торговых предприятий и обслуживающих банков, так и со стороны эмитентов карт.

Многие обслуживающие банки (онлайновые магазины) применяют в своих системах дополнительные проверки при обработке транзакций ЭК. К таким проверкам относятся:

• проверка адреса держателя карты (address verification system); предоставление для проверки эмитенту значений CVV2/CVC2;

• проверка количества транзакций, выполненных с некоторого IP-адреса (IP address frequency check);

• контроль количества транзакций, выполненных по карте в течение определенного промежутка времени (card number frequency check);

• проверка на совпадение страны адреса доставки товаров со страной, резидентом которой является банк, выдавший карточку (country match). Страна, резидентом которой является банк, определяется по значению идентификационного номера банка (bank identification number, или BIN);

• проверка IP-адреса (или сетки адресов), с которого была инициирована транзакция, на предмет его нахождения в черном списке (block IP address);

• проверка местоположения держателя карты (по IP-адресу его Интернет-провайдера) с географией доставки товаров (geolocation);

• отсев карт по некоторым ВШам банков (block bank BINs);

• отсев транзакций, поступающих с анонимных прокси-серверов (block proxy);

• отсев транзакций, при совершении которых были указаны адреса электронной почты из определенных доменов, например доменов, которые предлагают услуги бесплатной электронной почты (block proxy);

• проверка номера карты на ее присутствие в черном списке (negative database);

• использование открытых ресурсов, хранящих черные списки реквизитов мошеннических карт (например, CyberSource Negative Database and Scoring System, SharedGlobal Negative Database and Scoring System), а также осуществляющих аутентификацию держателя карты по номеру его телефона (MyVirtualCard).

Первые две проверки из приведенного выше списка рекомендуются платежными системами. Так VISA считает, что использование проверки CVV2 уменьшает вероятность фрода более чем на 60 %. Сегодня платежные системы предпринимают шаги к тому, чтобы обязать эмитентов проверять значения CVC2/CVV2, полученные из авторизационных запросов, в своих процессинговых системах, а высокорискованные торговые предприятия (например, онлайновые казино) вставлять в авторизационные запросы значения этих криптовеличин.

Исследования компании ClearCommerce (США) относительно оценки эффективности использования системы AVS показывают, что только 40 % транзакций успешно проходят эту проверку при том, что доля мошеннических среди них менее процента. С другой стороны, при использовании AVS 35 % мошеннических операций успешно преодолевают эту защиту.

Кроме перечисленных выше проверок онлайновые магазины иногда обращают внимание на следующие факты, повышающие вероятность мошенничества:

• клиент впервые обслуживается в магазине;

• размер операции выше обычного для магазина значения;

• заказ состоит из большого количества одинаковых предметов;

• транзакции выполняются по картам с похожими номерами;

• адрес доставки заказа один и тот же для покупок, совершенных по разным картам;

• несколько транзакций по одной карте в течение короткого интервала времени;

• несколько транзакций, выполненных по различным картам с одним адресом доставки выписок (billing address), но разными адресами доставки товаров;

• транзакция, которую клиент хочет оплатить более чем одной картой.

У магазина (особенно MO (TO) — магазина) могут быть и другие причины для сомнения — нерешительность держателя карты в предоставлении персональных данных, требование к срочности выполнения заказа, странный адрес доставки, незаинтересованность клиента в свойствах товара (например, в цвете) и т. д.

Другой ранее упоминавшийся аспект проблемы мошенничества для CNP-транзакций — кража данных о реквизитах карт с серверов главным образом онлайновых магазинов. Несмотря на запрет платежных систем, обслуживающие банки и торговые предприятия хранят в своих системах значения CVC2/CVV2, данные магнитной полосы карты, адреса, используемые в AVS, зашифрованные PIN-блоки. Онлайновые магазины оставляют в своих БД доступные им данные: номер карты, срок ее действия, иногда CVV2/CVC2 и адрес, используемый в системе AVS. Исследования, выполненные Visa USA, показали, что в США 37 % торговых предприятий, несмотря на запреты платежных систем, продолжают хранить в своих системах информацию по картам.

В результате при взломе сайтов онлайновых магазинов происходит компрометация данных карт различных эмитентов. Самыми показательными является случаи взлома сервера TJX и БД процессора CardSystems Solutions, в результате которых были потенциально скомпрометированы соответственно 45,7 и 40,0 млн карт.

Для повышения уровня защиты информации ведущие платежные системы в течение нескольких последних лет требовали от своих банков участия в программах VISA account information security и MasterCard site data protection. Эти программы требуют от банков контроля обслуживаемых ими онлайновых магазинов с точки зрения выполнения ряда требований безопасности. К таким требованиям безопасности относятся:

• поддержка на сервере торгового предприятия средств защиты сетевого доступа (firewall);

• шифрование конфиденциальных данных при их хранении и передаче;

• использование актуальных антивирусных программ;

• своевременное применение «заплат безопасности» в используемом программном обеспечении;

• использования процедур разграничения доступа к серверам и данным;

• выполнение постоянных аудитов систем безопасности онлайновых магазинов.

В конце 2004 г. в основу программ защиты данных двух ведущих платежных систем был положен стандарт Plastic card industry data security standard (PCI DSS). Стандарт включает в себя 12 требований верхнего уровня, которые должны удовлетворяться информационными системами любого (в том числе онлайнового) магазина или третьестороннего процессора. Эти требования перечислены ниже:

1. Для защиты сетевого доступа к серверам, хранящим карточную информацию, необходимо использовать специализированные аппаратно-программные средства Firewall. Настройки Firewall, определяющие разрешенный сетевой трафик, должны постоянно контролироваться.

2. Нельзя использовать значения по умолчанию паролей и других параметров безопасности в используемых магазином системах. Как пример для иллюстрации, использование дефолтных значений параметров протокола WEP, применяемого для обеспечения безопасности беспроводной радиосвязи Wi-Fi при использовании стандарта IEEE 802.11b приводит к тому, что большинство устройств этого стандарта на данный момент не поддерживают необходимого уровня безопасности.

3. Хранимые данные карты должны быть защищены (с помощью шифрования, хэширования или усечения хранимой информации). В системах торговых предприятий не должна храниться информация (даже в зашифрованном виде), используемая для аутентификации держателя карты (например, значения PVV, вторая дорожка магнитной полосы карты и т. п.).

4. Передаваемые по сети данные держателя карты должны быть надежно зашифрованы (допускается использование симметричных алгоритмов 3DES с ключом не менее 112 битов, AES с длиной ключа 256 битов и асимметричного алгоритма RSA с длиной ключа 1024 битов).

5. Необходимо использовать и регулярно обновлять антивирусное программное обеспечение.

6. Необходимо уделять внимание обнаружению и устранению уязвимостей в используемом магазином программном обеспечении (вовремя использовать модификации ПО, устраняющие обнаруженные уязвимости, установить процесс тестирования разработанного своими силами ПО на предмет обнаружения уязвимостей, использовать лучшие практики разработки нового ПО и т. п.).

7. Использовать ограничение доступа сотрудников торгового предприятия только к функциям и информации, необходимым им по роду деятельности.

8. Каждый пользователь системы процессинга магазина должен иметь уникальный идентификатор, используемый для его аутентификации внутри системы. Уникальность идентификатора позволяет не только обеспечить разграничение доступа в системе, но и позволяет отслеживать действия всех сотрудников в информационной системе магазина.

9. Физический доступ сотрудников магазина к серверам, хранящим базы данных карт, должен быть ограничен. Это позволяет избежать возможности записи информации на внешние носители, замены и кражи оборудования, хранящего чувствительную информацию. Физический доступ должен быть ограничен и к телекоммуникационным ресурсам, через которые возможен доступ к серверам (в частности, к точкам доступа беспроводной связи).

10. Необходимо выполнять мониторинг доступа к Базам данных карт, используя механизмы логирования активности пользователей системы, связанной с доступом в систему, попытками аутентификации и т. п.

11. Необходимо регулярно проводить аудит и тестирование систем безопасности магазина.

12. Необходимо поддерживать политику безопасности внутри компании, четко определяющую для каждого сотрудника онлайнового магазина требования, предъявляемые к нему с точки зрения поддержания безопасности системы магазина в целом.

В зависимости от потенциальной угрозы доступа к хранящейся в информационных системах магазинов и третьесторонних процессоров информации по картам платежные системы делят магазины и процессоры по нескольким уровням и определяют следующие типы мероприятий, регулярно проводимых для оценки уровня соответствия магазина стандарту PCI DSS:

• аудит безопасности, проводимый непосредственно в торговом предприятии;

• самооценка системы безопасности магазина (процессора) по вопроснику, предлагаемому платежной системой;

• сетевое сканирование доступа к карточным данным.

Как уже отмечалось ранее, к сожалению, далеко не все торговые предприятия удовлетворяют требованиям PCI DSS. Многие торговые предприятия ссылаются на высокую стоимость модернизации используемых ими сегодня аппаратно-программных средств обработки карточных операций. В середине 2007 г. Visa объявила о запуске новой динамической системы авторизации Visa Advanced Authorization, на которую возлагаются большие надежды по борьбе с фродом. Система Visa использует разработанное на основе нейронных сетей решение, позволяющее в режиме реального времени оценить каждую операцию по карточке Visa с точки зрения потенциального мошенничества. В результате каждый эмитент будет получать в рамках авторизации оценку того, что авторизация является мошеннической.

В заключение следует сказать, что проблема карточного фрода является актуальной и угрожает существованию технологии пластиковых карт. Возможности карт с магнитной полосой в противодействии мошенничеству весьма ограничены. Карта с магнитной полосой является лишь носителем небольшого объема информации. Поэтому оказать противодействие мошенничеству могут только эмитент и обслуживающий банк, не имеющие своих полноценных представителей в точке продажи. Даже в предположении онлайнового характера всех карточных операций возможности эмитента и обслуживающего банка весьма ограничены. Эмитент в большинстве случаев может только проверить правильность статических данных карты, полученных при выполнении операции безналичной покупки, да проанализировать, насколько эта операция характерна для данного клиента с помощью программы мониторинга транзакций. Обслуживающий банк представлен кассиром торгового предприятия, далеко не всегда следующим при приеме карт инструкциям банка.

Микропроцессорные карты, речь о которых пойдет далее, коренным образом способны повысить уровень карточной безопасности.

Анализ реальной безопасности операций по микропроцессорным картам

Свойства микропроцессорной карты, позволяющие повысить безопасность операций

Важнейшим свойством микропроцессорной карты (МПК) является поддержка операционной системой карты криптографических функций. Использование этих функций приложением карты позволяет существенным образом повысить безопасность платежных операций.

Ниже перечислены задачи, решаемые приложением МПК для повышения безопасности операций по пластиковым картам.

1. Важнейшая базовая задача, решаемая приложением карты с помощью криптографических методов, состоит в обеспечении надежной аутентификации приложения карты (чаще говорят, и мы будем поддерживать эту терминологию, аутентификации карты, хотя правильнее говорить об аутентификации приложения). Под аутентификацией карты в данном случае понимается процесс доказательства того факта, что данная карта (приложение) была эмитирована банком, авторизованным на это соответствующей платежной системой. Успешность аутентификации карты означает, что был доказан факт эмиссии рассматриваемой карты банком X, являющимся участником платежной системы Y, которая разрешила банку X эмиссию карт платежной системы Y. Надежность доказательства факта эмиссии конкретной карты авторизованным эмитентом зависит от метода аутентификации карты.

Кратко напомним общие сведения о методах аутентификации карты. Методы аутентификации карты делятся на оффлайновые и онлайновые. Последняя версия стандарта EMV (v. 4.1) различает три метода оффлайновой аутентификации карты:

• SDA (Static Data Authentication)

• DDA (Dynamic Data Authentication)

• CDA (Combined Dynamic Data Authentication/AC Generation).

Первый в списке способ аутентификации относится к классу статических методов аутентификации, в то время как два последних, — к динамическим методам аутентификации.

Метод SDA обеспечивает целостность критичных для приложения карты данных, а также невозможность создания карты с «белого листа». По своей сути метод является аналогом CVV/CVC для микропроцессорной карты.

Методы динамической аутентификация карты состоят в проверке терминалом подписанных картой данных, формируемых терминалом (с обязательным использованием случайного числа, сгенерированного терминалом). Аутентификация карты в этом случае гарантирует на уровне криптостойкости алгоритма RSA факт того, что карта содержит чип, персонализированный эмитентом, авторизованным платежной системой на выпуск карт. Для реализации динамических методов аутентификации карты требуется поддержка микросхемой карты алгоритма RSA.

Метод CDA помимо динамической аутентификации карты дополнительно обеспечивает целостность наиболее критичных данных информационного обмена в диалоге «карта-терминал» (CID и реквизитов транзакции). Это достигается совмещением процедуры аутентификации карты с выполнением команды Generate AC, в ходе которой между картой и терминалом осуществляется обмен наиболее важными данными.

Методы динамической аутентификации автоматически включают в себя статическую аутентификацию, которая выполняется в рамках процедуры верификации сертификата открытого ключа карты.

Из сказанного выше следует, что с точки зрения обеспечения безопасности карточной операции самым надежным методом оффлайновой аутентификации является CDA. Далее идут методы DDA и SDA. При этом, метод SDA даже не защищает микропоцессорную карту (далее — МПК) от ее клонирования для использования в оффлайновых операциях.

Выбор метода оффлайновой аутентификации производится терминалом на основе данных AIP и возможностей терминала, определяемых значением третьего байта объекта данных Terminal Capabilities (Tag ‘9F33’).

В соответствии с правилами платежных систем все карты (за исключением так называемых «ATM only»-карт) должны поддерживать метод SDA, терминалы — SDA и DDA (за исключением «Online only»-терминалов). Кроме того, общая тенденция такова, что терминалы и карты начинают движение в сторону поддержки CDA и DDA соответственно. Весьма вероятно, что в следующем десятилетии для всех терминалов и карт с оффлайновым режимом работы (offline capable), поддержка CDA станет обязательной. Пока планы системы MasterCard состоят в том, чтобы уже с января 2011 г. сделать обязательной поддержку метода CDA для всех новых offline capable терминалов и метода DDA — для всех новых offline capable карт.

Поскольку аутентификация карты является важным элементом принятия эмитентом решения по результату авторизации транзакции, эмитент должен иметь возможность проверки факта выполнения терминалом аутентификации карты. Это требуется для того, чтобы избежать обмана со стороны недобросовестного торгового предприятия или обслуживающего банка, утверждающих, что аутентификация карты была выполнена, хотя это действительности не соответствует. Причиной для обмана может быть экономия средств торгового предприятия или обслуживающего банка на поддержку функции аутентификации карты на POS-терминале. Механизм проверки факта выполнения терминалом аутентификации карты в стандарте EMV существует (Data Authentication Code для случая статической аутентификации и ICC Dynamic Number для случая динамической аутентификации карты).

Очевидно, МПК является микрокомпьютером, способным обрабатывать входные данные, полученные от терминала и (или) эмитента карты. Обработка данных сводится к выполнению ряда проверок, по результатам которых карта принимает решение о результате обработки транзакции. Иногда карта просто «озвучивает» решение, полученное от эмитента. В некоторых случаях карта самостоятельно принимает решение, делегированное ей эмитентом с помощью соответствующей конфигурации приложения карты.

Примерами выполняемых картой проверок являются проверка картой PIN-кода держателя карты, проверки, связанные с управлением рисками (card risk management), аутентификация эмитента карты, проверки, подтверждающие целостность полученной от эмитента информации.

В случае оффлайновой транзакции эмитент полностью делегирует карте функцию принятия решения по результату выполнения операции. Очевидно, что только решениям карты, подлинность которой доказана, можно доверять. Поэтому так важна ее надежная аутентификация.

Аутентификация карты осуществляется терминалом и (или) эмитентом карты. В оффлайновых операциях аутентификация карты осуществляется только терминалом. В случае онлайновой транзакции аутентификация карты может осуществляться и терминалом и эмитентом (для терминалов, работающих только в режиме реального времени, так называемого online only terminal, разрешается, чтобы аутентификация карты проводилась только ее эмитентом).

Очевидно, аутентификация карты является эффективным средством борьбы с поддельными картами (counterfeit). Именно поэтому платежные системы ввели сдвиг ответственности chip liability shift, формулируемый следующим образом. Если мошенничество вида «поддельная карта» случилось в терминале, поддерживающем только карты с магнитной полосой, по МПК, то ответственность за мошенничество несет обслуживающий терминал банк. Сдвиг ответственности имеет пока внутрирегиональный характер (он действует в случае, когда обслуживающий банк и эмитент карты — резиденты одного региона платежной системы). Однако движение в сторону глобализации сдвига ответственности в крупнейших платежных системах уже началось.

2. В процессе выполнения онлайновой транзакции МПК взаимодействует со своим эмитентом. Эмитент сообщает карте свое окончательное решение по авторизации операции (отклонить или одобрить операцию). Кроме того, эмитент может направить карте команды, с помощью которых будут модифицированы отдельные данные приложения карты либо будет заблокировано приложение карты или даже вся карта. Команды эмитента, модифицирующие данные карты, очевидно, используются не только во время выполнения транзакции, но и на этапе персонализации карты.

Для того, чтобы повысить доверие к решениям эмитента (избежать подлога решения эмитента третьей стороной), требуется предусмотреть выполнение картой аутентификации ее эмитента. Аутентификация эмитента обеспечивается проверкой картой специального элемента данных (ARPC), получаемого картой из авторизационного ответа эмитента, а также проверкой картой величин message authentication code (MAC), содержащихся в командах, поступающих на карту от эмитента.

3. МПК гарантирует эмитенту невозможность держателю его карты отказаться от результата выполненной операции (non-repudiation). Это обеспечивается тем, что по каждой операции эмитент получает в свое распоряжение специальную прикладную криптограмму, представляющую собой подпись наиболее критичных данных транзакции, сделанную с использованием ключа карты. Соответствие прикладной криптограммы данным транзакции и ключу карты подтверждает факт ее выполнения с использованием карты эмитента.

4. МПК позволяет обеспечить проверку целостности обмена данными между картой и эмитентом, а также картой и терминалом. Обеспечение целостности информационного обмена между эмитентом и картой осуществляется за счет использования величины MAC, содержащейся в командах, направляемых эмитентом карте. Целостность обмена данными между картой и терминалом обеспечивается с помощью процедуры комбинированной генерации прикладной криптограммы и динамической аутентификации карты (combined dynamic data authentication, application cryptogram generation). Благодаря этой процедуре появляется возможность электронным образом подписывать наиболее критичные данные информационного обмена карты с терминалом.

5. МПК позволяет обеспечить конфиденциальность данных в информационном обмене между картой и эмитентом, картой и терминалом. Конфиденциальность данных, циркулирующих между картой и эмитентом, обеспечивается шифрованием секретных данных, содержащихся в командах эмитента, с помощью симметричного алгоритма шифрования (3DES). Конфиденциальность значения PIN-кода при его проверке картой в режиме offline обеспечивается с помощью асимметричного алгоритма шифрования (RSA).

Реальная безопасность микропроцессорных карт

В настоящем разделе мы попытаемся дать оценку реальной безопасности операций, выполненных с использованием МПК. Эта оценка будет получена с учетом того факта, что сегодня в мире значительная часть терминального оборудования для обслуживания карт (73 % POS-терминалов и 84 % банкоматов по данным на II квартал 2007 г.) принимает только карты с магнитной полосой и большая часть эмитированных карт является картами только с магнитной полосой (около 83 % по данным на 2-й квартал 2007 г.). Этот факт оказывает значительное влияние на безопасность карточных операций хотя бы потому, что многие операции, по-прежнему, обрабатываются с использованием уязвимой с точки зрения безопасности технологии магнитной полосы.

Действительно, если обозначить через A долю микропроцессорных карт, а через B — долю терминалов, способных обслуживать МПК, то в качестве грубой оценки количества операций, выполненных с использованием чипа, можно использовать величину AB. Например, если A = B = 70 % (значения A и B демонстрируют достаточно зрелую стадию миграции на чип), то только для примерно половины операций будут ощущаться преимущества технологии микропроцессорных карт с точки зрения повышения их безопасности.

Ниже будет рассказано и о других формах влияния «смешанного» характера сегодняшнего карточного мира, в котором присутствуют карты и терминалы, поддерживающие только магнитную полосу, на безопасность карточных операций.

Анализ будет проводиться в виде оценки безопасности операций в разрезе упомянутых ранее основных видов мошенничества.

Поддельные микропроцессорные карты

Начнем с самого распространенного вида мошенничества — поддельных карт. Уже говорилось о том, что методы динамической аутентификации карты (онлайновые и оффлайновые) наносят сокрушительный удар по этому виду фрода. Не зная соответствующего ключа карты или эмитента или системы, на уровне криптостойкости алгоритма RSA в случае оффлайновой динамической аутентификации карты и алгоритма 3DES для онлайновой аутентификации чиповую карту подделать невозможно.

В то же время, при неправильной персонализации карт или выборе слабого метода ее аутентификации мошенничества вида «поддельная карта» возможны. Ниже мы попытаемся систематизировать возможные способы подделки карты.

Итак, представим, что в левой руке у нас имеется реальная гибридная карта, эмитированная банком — участником некоторой платежной системы, а в правой руке — «чистая» заготовка для гибридной карты или карты с магнитной полосой. Кроме того, как у всякого уважающего себя мошенника, у нас имеются программатор для используемого на заготовке карты чипа, средства персонализации магнитной полосы карты, а также машина для персонализации пластика (печать, эмбоссирование и т. п.).

В зависимости от того, какая карта находится в нашей левой руке, мы предложим различные способы мошенничества вида «Поддельная карта», при которых на основе данных карты левой руки в правой руке у нас появится карта, которую при определенных обстоятельствах можно будет успешно использовать в платежной сети.

В первую очередь все возможные способы мошенничества разобьем на два класса: подделка чипа и подделка магнитной полосы карты.

Подделка магнитной полосы. Возможные схемы подделки магнитной полосы гибридной карты показаны на рис. 3.

Случай 1, вариант 1. Service code 2xx. В правой руке у нас карта только с магнитной полосой, на которую перенесена информация с магнитной полосы карты, расположенной в левой руке. Мы пытаемся использовать карту в гибридном терминале, принимающем микропроцессорные карты и карты с магнитной полосой. Терминал должен проверить значение кода обслуживания (service code) на магнитной полосе, и если оно равно 2XX, он должен требовать выполнения транзакции с использованием чипа.

Терминал не должен допускать операции по магнитной полосе, если значение кода обслуживания равно 2XX и терминал не принимал решения о переходе в режим Fallback после попытки использовать для выполнения операции чип карты. Необходимо иметь ясную инструкцию для кассира и четкое сообщение на дисплее терминала о том, что транзакция должна быть обязательно выполнена с использованием чипа или быть отвергнута.

В некоторых реализациях приложения терминала, несмотря на предупреждения, продавец все-таки имеет возможность обойти сформулированное выше правило и провести операцию с использованием магнитной полосы. В этом случае ответственность за возможное мошенничество с точки зрения платежной системы лежит на обслуживающем банке.

Несмотря на то, что ответственность в рассматриваемом случае лежит на обслуживающем банке, эмитенту все-таки рекомендуется отвергать транзакции, в которых в терминах MasterCard элемент данных POS data (DE 061) указывает на то, что терминал может выполнить операцию по чипу, но проводит ее по магнитной полосе и при этом POS Entry mode (DE022) не равен 80X (случай fallback), а равен, например, 90Х (магнитная полоса) или 05Х (чип).

Рассмотрим теперь «Случай 1. Вариант 1. Магнитный терминал». В правой руке у нас та же карта, что и в предыдущем случае. На карте в этом случае для большей убедительности может дополнительно находиться неперсонализированный чип. Мы пытаемся использовать эту карту в терминале, принимающем только карты с магнитной полосой.

Если транзакция была авторизована эмитентом, то случится мошенничество, и отвечать за него будет:

• обслуживающий банк, если этот банк и эмитент поддельной карты расположены в зоне принятого в платежной системе сдвига ответственности chip liability shift;

• эмитент — во всех остальных случаях.

Для защиты от мошенничества, когда на поддельной карте нет чипа, на дисплее магнитных терминалов в случае появления карты с service code=2XX должно появиться сообщение о необходимости проверки кассиром торгового предприятия наличия на карте чипа. Если чипа нет, кассир должен отклонить прием карты.

Случай 1, вариант 2. Service code 1xx. На карту только с магнитной полосой копируются данные первой и второй дорожек гибридной кредитной карты с изменением значения кода обслуживания на 1XX. Карта используется в оффлайновом режиме для выполнения подлимитных операций (размер операции меньше значения (terminal floor limit). Использование карты в режиме реального времени имеет мало шансов на успех, поскольку при изменении кода обслуживания нарушается целостность записи второй дорожки магнитной карты, и проверка значения CVV/CVC в процессинговом центре эмитента этот факт обнаружит. В этом случае есть все возможности успешно использовать поддельную карту независимо от того, является ли терминал гибридным или принимает только карты с магнитной полосой.

Если поддельная карта используется в гибридном терминале, то вся ответственность за мошенничество лежит на эмитенте карты. Это на сегодняшний день самая серьезная брешь в концепции миграции на чип.

Действительно, и карта и терминал поддерживают новую технологию, и все-таки подделка карты возможна без каких-либо нарушений правил приема карты со стороны торгового предприятия. Чтобы избежать этого вида мошенничества, платежные системы ввели правило, в соответствии с которым все транзакции по картам с магнитной полосой в терминалах, поддерживающих онлайновый режим работы, должны направляться на авторизацию к эмитенту.

Если поддельная карта используется в терминале, принимающем только карты с магнитной полосой, то за мошенничество отвечает:

• обслуживающий банк, если этот банк и эмитент карты, которая был поддельна расположены в зоне принятого в платежной системе сдвига ответственности;

• эмитент — во всех остальных случаях.

Случай 2. Гибридная карта с «кривым» чипом (инициализация Fallback на поддельную магнитную полосу). Используется заготовка гибридной карты с «кривым» (например, сожженным или неправильно персонализированным) чипом. В этом случае заготовка будет стоить дороже (примерно на 50 центов), но на магнитную полосу можно наносить информацию, скопированную с магнитной дорожки реальной гибридной карты, и использовать ее как в магнитном, так и в гибридном терминале.

Если поддельная карта используется в гибридном терминале, то вся ответственность за мошенничество лежит на эмитенте карты.

Если терминал принимает только карты с магнитной полосой, то за мошенничество отвечает:

• обслуживающий банк, если этот банк и эмитент карты которая была поддельна, расположены в зоне принятого в платежной системе сдвига ответственности;

• эмитент — во всех остальных случаях.

Единственная контрмера для борьбы с этим видом мошенничества — организация в процессинговом центре эмитента мониторинга количества fallback-транзакций, выполненных по каждой карте эмитента. Если число fallback-операций для некоторой карты оказалось выше порогового значения, то это является сигналом эмитенту провести расследование для того, чтобы убедиться в том, что операции были выполнены законным держателем карты.

Платежные системы также предпринимают меры по ограничению использования режима Fallback в странах, где уровень соответствия терминалов и карт стандарту EMV, достаточно высокий. В частности, в Европе уже сегодня от этого режима отказались при обработке банкоматных транзакций. В ближайшем будущем сегодня обязательное требование по поддержке fallback в POS-терминалах станет опциональным и на страновом уровне будет определяться, считать ли резервную авторизацию по магнитной полосе обязательной, или нет.

Подделка чипа. Клонированная карта — это карта, выпущенная неавторизованным лицом от имени авторизованного эмитента платежной системы. При этом факт того, что карта является клонированной, терминал в случае обработки транзакции в оффлайновом режиме определить не может.

Для клонирования SDA-карты всего лишь требуется иметь микропроцессорную карту с программатором к ней и общее знание стандарта EMV. В качестве карты может рассматриваться, например, широкодоступная карта с микропроцессором PIC16F84.

Далее на «чистую» микропроцессорную карту «переносятся» данные с реальной SDA-карты, включая данные FCI template, AIP, AFL и записи из файлов, определенные в AFL. Среди данных линейных файлов имеется объект signed static application data, представляющий собой подписанные эмитентом критичные данные карты.

Карта стандартным образом поддерживает команды SELECT, GET PROCESSING OPTIONS, READ RECORD. В ответ на команду VERIFY карта всегда отвечает подтверждением правильности введенного PIN-кода.

В ответ на команду GENERATE AC карта отвечает следующим образом:

• если терминал просит ARQC или AAC, карта отвечает криптограммой AAC, в качестве которой берется произвольное шестнадцатеричное 16-ти разрядное число;

• если терминал просит TC, карта отвечает ТС и в качестве криптограммы использует произвольное шестнадцатеричное 16-ти разрядное число.

Таким образом, если терминал считает, что транзакция может быть одобрена в оффлайновом режиме, транзакция клонированной картой будет одобрена. Во всех остальных случаях клонированная карта будет настаивать на отклонении транзакции в оффлайновом режиме. Отсюда следует, что клонированная карта не может быть заблокирована эмитентом через процедуру script processing.

Стоимость клонирования одной карты составляет несколько долларов (необходимо приобрести заготовки и программатор к выбранной для клонирования микросхеме). Данные реальных карт, необходимые для клонирования, могут собираться на POS-терминалах ровно тем же способом, каким они собираются сегодня для карт с магнитной полосой.

Отметим следующее. Предположим, что карта клонирована с реальной карты, поддерживающей оффлайновую динамическую аутентификацию.

В этом случае на клонированную карту переносятся те же данные, что используются при клонировании SDA-карты. Очевидно, что если такая клонированная карта используется в терминале, поддерживающем только метод SDA, то у нее имеется 100 % шанс на успех при условии одобрения терминалом транзакции в оффлайновом режиме. Именно поэтому платежные системы сделали поддержку метода DDA на POS-терминалах обязательной (исключение составляют «Online Only»-терминалы, для которых поддержка оффлайновой аутентификации карты необязательна).

Аналогичным образом, если DDA/CDA-карта клонирована на SDA-карту и терминал вообще не поддерживает оффлайновую аутентификацию карты, то в случае отсутствия поддержки картой механизма проверки факта ее аутентификации эмитентом терминал может обмануть эмитента, заявив о проведении оффлайновой динамической аутентификации карты, в действительности не выполнив ее. При этом обман со стороны торгового предприятия совершается не с целью мошенничества, а для того, чтобы подтвердить выполнение требования платежной системы. Этим обманом могут воспользоваться мошенники, успешно используя в таких терминалах клонированные карты.

Тогда возникает другой вопрос: «Возможно ли клонирование DDA/CDA-карты на карту со статической аутентификацией при использовании клонированной карты в терминале, поддерживающем методы динамической аутентификации DDA/CDA?» Ответ на этот вопрос в общем случае отрицательный, поскольку для клонирования DDA/CDA-карты при условии ее использования в упомянутых условиях необходимо знать секретный ключ карты.

В то же время в некоторых случаях клонирование DDA/CDA-карты возможно. Если, например, DDA/CDA-карта напрямую (через AIP) поддерживает метод SDA и не поддерживает (не содержит в своей файловой структуре) объекта данных SDA tag list, то такая карта может быть клонирована. Действительно, имея в своем распоряжении открытые данные карты, на клонированной карте легко модифицировать объект AIP, указав в нем, что карта поддерживает только метод SDA. В этом случае клонированная карта будет успешно использоваться при оффлайновой обработке транзакции. Заметим, что модификация объекта AIP пройдет для терминала незамеченной, поскольку объект AIP не попадает в список подписываемых данных, целостность которых проверяется в рамках процедуры аутентификации карты по методу SDA. Напомним читателю, что объект данных AIP (‘82’) может попасть в список подписываемых данных только через объект SDA tag list.

Заметим, что во избежание клонирования DDA-карты, лучше, когда такая карта напрямую не поддерживает метод SDA (косвенно SDA поддерживается в процессе проверки сертификата ключа карты), т. е. в частности не содержит объекта signed static application data! В этом случае даже если карта не содержит элемент SDA tag list, клонировать ее на SDA-карту невозможно, поскольку для этого отсутствуют необходимые данные (signed static application data).

Следует отметить, что отсутствие прямой поддержки картой метода SDA не скажется на ее распространнености, поскольку все терминалы поддерживает DDA.

Несмотря на то, что DDA-карты при правильной персонализации не допускают клонирования, они не обеспечивают целостности информационного обмена между картой и терминалом. Возможны атаки, получившие название «атаки двумя чипами» и состоящие в следующем. Используется печатная плата, содержащая два чипа: один чип — банковский, а другой — чип-эмулятор. Банковский чип является микросхемой, персонализированной банком для DDA-карты. Чип-эмулятор контролирует обмен данными между банковским чипом и терминалом, при необходимости модифицируя диалог карты с терминалом. Именно этот чип вставляется в карт-ридер терминала и обменивается с терминалом информацией. Он анализирует данные команд, полученных от терминала, и при необходимости модифицирует их выгодным для мошенника образом.

Приведем самые простые примеры возможной модификации данных. Если терминал в команде GENERATE AC запросил криптограмму TC, а карта в лице банковского чипа принимает решение транзакцию обработать в онлайновом режиме или отвергнуть в оффлайновом режиме, то чип-эмулятор меняет незащищенные данные cryptogram information data таким образом, что карта отвечает терминалу криптограммой TC. Таким образом, транзакция одобряется притом, что решением эмитента она должна быть либо отвергнута, либо передана эмитенту на авторизацию.

Другой пример. Чип-эмулятор, получив от терминала значение размера транзакции, меняет его на меньшую величину, при которой карта готова одобрить транзакцию в оффлайновом режиме авторизации.

Такой чип-эмулятор в литературе получил название wedge device. Нужно сказать, что устройство wedge device может быть внедрено не только в печатной схеме карты, но и на POS-терминале. Главное, чтобы оно выполняло функцию посредника информационного обмена между картой и терминалом.

Проблема обеспечения целостности информационного обмена карты с терминалом решается с помощью использования CDA-карт. Такие карты поддерживают целостность наиболее важной информации, циркулирующей между картой и терминалом в ходе обработки транзакции. Поэтому модифицировать информационный обмен незаметным для терминала способом нельзя.

Кроме того, CDA-карты демонстрируют более высокую производительность (меньшее время выполнения транзакции) в сравнении с DDA-картами. Это объясняется тем, что для оффлайновой аутентификации карты не используется команда INERNAL AUTHENTICATE, что сокращает обмен данными терминала с картой.

Обеспечение целостности информационного обмена с терминалом и более высокая производительность делает CDA-карты привлекательными для бесконтактных платежей. В частности, в стандарте MasterCard PayPass в качестве способа динамической аутентификации рассматривается только метод CDA.

В то же время у CDA-карт отмечается ряд слабостей. Во-первых, размер модуля ключа CDA-карты может не превышать 205 байтов. На сегодняшний день это ограничение не является обременительным, поскольку в основном используются ключи карты меньшего размера. Однако в будущем отмеченное ограничение может стать чувствительным. Платежные системы уже распространяют свои ключи размером 248 байтов (максимальный размер ключа в соответствии со стандартом EMV), давая возможность эмитентам и картам использовать ключи сравнимых размеров.

Во-вторых, при неаккуратном со стороны обслуживающего банка (платежной системы) управлении загрузкой ключей системы на терминалы может случиться так, что обслуживающий банк не загрузил (точнее, не загрузил вовремя) на своих терминалах какой-то из ключей системы. В этом случае все CDA-карты эмитентов, ключи которых сертифицированы на отсутствующем в терминале ключе системы, просто не смогут на таком терминале обслуживаться.

Действительно, получив от карты ответ на команду GENERATE AC терминал не сможет восстановить данные из signed dynamic application data и вынужден будет отклонить транзакцию. Это произойдет, даже если карта в ответе на команду GENERATE AC направит терминалу криптограмму ARQC для обработки транзакции в режиме реального времени. Без знания ключа системы невозможно восстановить криптограмму ARQC из объекта signed dynamic application data, и транзакцию придется отклонить.

Заметим, что в случае DDA-карты транзакция при отсутствии на терминале соответствующего ключа системы могла бы быть выполнена в онлайновом режиме. Метод CDA в случае провала аутентификации карты в отличие от других методов аутентификации лишает ее возможности обращаться за авторизацией к эмитенту.

Обобщая сказанное выше, перечислим ниже способы клонирования гибридной карты для ее использования в оффлайновом режиме авторизации транзакции:

1) если гибридная карта является SDA-картой, то она легко клонируется в SDA-карту;

2) если мы имеем дело с DDA/CDA-картой, поддерживающей также напрямую метод SDA (на карте присутствует объект данных signed static application data), то такую карту можно клонировать на SDA-карту:

• изменив профиль карты (объект application interchange profile), что останется незаметным для терминала, при условии отсутствия на ней объекта SDA tag list таким образом, что профиль карты будет указывать на поддержку картой только метода SDA;

• при использовании клонированной карты в терминалах, поддерживающих в нарушение правил платежных систем только метод аутентификации карты SDA или не поддерживающих никакого метода оффлайновой аутентификации;

• при использовании карты эмитированной с использованием ложного ключа системы в терминале, на который ложный ключ системы был предварительно загружен;

3) DDA-карту можно «модернизировать», создав на ее основе печатную плату, использующую наряду с чипом реальной карты второй чип-симулятор, действующий по схеме атаки двумя чипами.

Еще раз заметим, что подделка чипа практически возможна только с помощью его клонирования — переноса данных реального чипа на чип, используемый для производства мошеннической карты. Действительно, для того, чтобы изменить данные на уже персонализированном чипе можно воспользоваться двумя способами: попытаться это сделать средствами процедуры script processing или в режиме персонализации карты.

В процедуре script processing для изменения записей и отдельных объектов данных используются команды PUT DATA и UPDATE RECORD. Эти команды применяются с использованием кодов MAC и при необходимости — шифрования данных. Кроме того, эти команды чаще всего выполняются после аутентификации картой эмитента.

Поэтому во время выполнения процедуры script processing мошенничества возможны только при компрометации секретных ключей карты/эмитента, используемых для формирования криптограммы и обеспечения целостности обмена данных (формирования кодов MAC).

Ключи, используемые на этапе персонализации и в процедуре Script Processing, разные.

Подделка данных чипа в режиме персонализации карты также возможна только в результате компрометации ключей карты (эмитента) производителя карты.

Производитель чипов присваивает каждой микросхеме ее серийный номер (chip serial number) и заводит в чип секретный ключ поставщика карт, который выводится из ключа поставщика карт с использованием серийного номера чипа и идентификатора ключа в качестве диверсификационной моды.

Далее поставщик карт после имплементации чипа в пластик карты выполняет процедуру предперсонализации карты. В начале процедуры карта должна аутентифицировать поставщика карты с использованием заведенного ранее производителем чипа секретного ключа карты, известного только карте и ее поставщику. Только после успешной аутентификации поставщика карты он имеет возможность выполнить ее предперсонализацию.

В проекции на безопасность карты процедура предперсонализации состоит в том, что на карту заводятся ключи, которые выводятся из секретного ключа эмитента карты и элемента KEY DATA, включающего в себя серийный номер чипа и идентификатор ключа эмитента. Эти ключи предназначены для вывода сессионных ключей карты, используемых на этапе ее персонализации для взаимной динамической аутентификации карты и машины персонализации карт, а также для обеспечения конфиденциальности и целостности данных, передаваемых с машины персонализации на карту.

Таким образом, на этапе персонализации используется отдельный комплект ключей, отличающийся от аналогичных ключей, применяемых при выполнении транзакции.

Из сказанного выше следует, что на этапе персонализации карты возможны мошенничества только при компрометации секретных ключей карты (эмитента).

Недавно в печати появилась информация о схеме виртуального клонирования карты в режиме реального времени. Схема применима к любым картам (SDA, DDA, CDA), в том числе поддерживающим проверку защищенного PIN-кода. Идея заключается в том, что у мошенников имеется контролируемый ими терминал, расположенный, скажем, в ресторане, а также карта с приложением, работающим по контактному интерфейсу (ISO 7816) и бесконтактному радиоинтерфейсу (vicinity-интерфейс, например, в соответствии с ISO 15 693, ISO 18 000). Назначение приложения мошеннической карты состоит в том, чтобы поддерживать обмен данными с реальным POS-терминалом и оборудованием мошенника в режиме ретрансляции данных.

Схема выглядит следующим образом. Мошенник с рюкзаком за плечами приходит, например, в ювелирный магазин, выбирает украшение за 2000 евро и ждет звонка от сообщника в ресторане. В это время ничего неподозревающий посетитель ресторана решает расплатиться по карточке за обед стоимостью 20 евро. Сообщник мошенника с рюкзаком звонит последнему и тот направляется в кассу ювелирного магазина, чтобы заплатить за украшение с помощью своей мошеннической карты.

Далее мошенническая карта вставляется в ридер реального POS-терминала, и карта начинает транслировать через радиоинтерфейс в оборудование мошенника, расположенное в рюкзаке, команды, получаемые от реального терминала. Оборудование мошенника в свою очередь перетранслирует эти команды на контролируемый мошенниками POS-терминал, который доставляет команды на карту ни о чем неподозревающего клиента ресторана. Ответы карты клиента ресторана передаются на реальный терминал ювелирного магазина в обратной последовательности. Схема мошенничества показана на рис. 4.

Очевидно, что мошенническая транзакция может производиться как в режиме реального времени, так и в оффлайновом режиме. Более того, по завершении транзакции клиент ресторана получит чек с реквизитами своей карты на 20 евро. Единственная проблема будет состоять в том, что в общем случае реальный терминал распечатает чек с реквизитами карты пострадавшего посетителя терминала. Но и здесь не все потеряно. Во-первых, не каждый кассир сверяет данные чека с данными, напечатанными (эмбоссированными) на поверхности карты. Во-вторых, в ресторане имеются и завсегдатаи, реквизиты карт которых можно заранее нанести на мошенническую карту.

Украденные (потерянные, неполученные) микропроцессорные карты (lost, stolen, NRI)

Микропроцессорная карта является также и мощным инструментом в борьбе с таким видом мошенничества, как украденные (потерянные, неполученные) карты. Использование подхода Chip&PIN, принятого сегодня в Великобритании и рассматриваемого международными платежными системами в качестве наиболее предпочтительного метода аутентификации держателя карты, позволяет существенным образом сократить перечисленные виды мошенничества. Метод DDA/CDA + PIN Offline — наиболее надежный из всех известных способов защиты от карточных мошенничеств.

Здесь важно отметить, что внедрение подхода Chip&PIN должно осуществляться с двух сторон — как со стороны эмитента, так и со стороны обслуживающего банка. Для стимулирования обслуживающего банка к установке терминалов, поддерживающих PIN offline, платежные системы вводят сдвиг ответственности Chip&PIN liability shift, а также другие правила, вносящие элемент экономической привлекательности использования таких терминалов.

Чтобы сформулировать сдвиг ответственности Chip&PIN liability shift введем следующие определения. Будем называть микропроцессорную карту Chip&PIN-картой, если метод проверки PIN-кода PIN offline (независимо от способа передачи PIN-кода — в защищенном или незащищенном виде) является самым приоритетным в списке CVM list в условиях выполнения данной операции. Будем также говорить, что терминал поддерживает метод PIN Offline, если он поддерживает защищенную и открытую передачу PIN-кода на карту.

Тогда сдвиг ответственности Chip&PIN Liability Shift формулируется следующим образом: если Chip&PIN-карта используется в терминале, не поддерживающем PIN Offline, то вся ответственность за потерянные (украденные) (lost, stolen) карты и неполученные карты (NRI) переносится на обслуживающий банк.

Мошенничество в области CNP-транзакций

С миграцией на чип (особенно в версии Chip&PIN) будет наблюдаться уменьшение мошенничеств типа «Поддельная карта», «украденные (потерянные, неполученные) карты» и увеличение мошенничеств видов CNP и ID Theft. К сожалению, использование микропроцессорных карт пока мало что дает для борьбы с этими видами мошенничества, если не считать предоставления удобной возможности аутентификации держателя карты в транзакции, выполненной по протоколу 3D Secure, сервером эмитента access control server (технология chip authentication program/dynamic passcode authentication). Технология CAP позволяет генерировать одноразовые пароли, которые являются также средством борьбы с кражей идентификационных данных держателя карты.

Мошенничество со стороны недобросовестного торгового предприятия

Одной из серьезных «дыр» в модели безопасности операций, выполненных с использованием МПК, является практическая возможность заведения мошенником ложного открытого ключа системы. Изготовив под ложным ключом сертификаты ключа эмитента, можно выпустить поддельные карты, которые будут успешно работать в терминалах с загруженным ложным ключом.

Естественным способом борьбы с такого рода мошенничеством является создание подписи вводимых в терминал ключей системы на ключе обслуживающего банка (возможно симметричном ключе). Такая подпись обеспечивает целостность ключевой информации системы на терминале. В этом случае, не обладая ключом обслуживающего банка, невозможно успешно завести (использовать) ложный открытый ключ системы.

К сожалению, чтобы обойти упомянутую защиту открытых ключей системы мошенник может и не идти по пути компрометации секретного ключа обслуживающего банка. Для совершения мошенничества, ему достаточно загрузить на терминал фальшивый исполняемый модуль, который, в отличие от приложения обслуживающего банка, не станет проверять подпись используемого ключа. В этом случае описанная выше защита не работает.

Чтобы лишить мошенника возможности замены приложения терминала, требуется подключить ресурсы операционной системы и криптопроцессора терминала. Мы не будем здесь останавливаться на проблеме обеспечения целостности приложения терминала. Отметим только, что для терминалов, принимающих микропроцессорные карты, эта проблема решается с использованием специальной микропроцессорной карты, выполняющей функцию контроля доступа к операциям, например, удаления/загрузки исполняемых файлов.

В то же время заметим, что проблема обеспечения целостности приложения терминала не является надуманной. По мнению экспертов в области безопасности карточных операций по мере повышения защищенности карт, внимание мошенников во все возрастающей степени будет обращаться на среду их обслуживания. Терминал является близким окружением карты, и потому, несомненно, станет мишенью для атак. Поскольку терминал сегодня фактически представляет собой персональный компьютер, то для атак будут использоваться те же методы. В частности, применение специальных программ (аналог программ spyware, Trojan horse, keyboard (screen) logger, вирусов) позволит мошеннику получать интересующую его информацию о карте (например, запись второй дорожки магнитной полосы карты, значение случайной последовательности терминала и случайного числа карты, используемых для шифрования PIN-блока, значение зашифрованного PIN-блока и т. п.).

Важна также и проблема подмены настоящего POS-терминала банка терминалом, установленным мошенниками. Стоимость терминала невелика — 400–600 долл. Поэтому подобная подмена является весьма правдоподобной при сговоре мошенника с кассиром торгового предприятия (известны случаи установки даже ложных банкоматов!). Возможны также случаи, когда торговое предприятие использует POS-терминал только с целью сбора информации о картах.

В случае применения ложного терминала может записываться не только содержимое магнитной дорожки карты, но и значение PIN-кода держателя карты. С учетом использования на практике гибридных карт, имеющих магнитную полосу, получив информацию о магнитной дорожке карты и значение его PIN-кода, мошенник может изготовить «белые» карты для их употребления в банкомате.

Для решения проблемы ложного терминала при обработке операций в онлайновом режиме необходимо повсеместно внедрять коды MAC для сообщений, циркулирующих между терминалом и хостом обслуживающего банка. Это обеспечит целостность информационного обмена и аутентификацию POS-терминала.

Между тем использование кодов MAC позволяет эффективно решить проблему только для онлайновых операций. Информация об оффлайновых транзакциях, выполненных на терминале, также может подписываться для передачи в обслуживающий банк. Однако мошеннический терминал может и не передавать эту информацию в банк достаточно долго или вообще никогда. В случае, когда терминал действует в оффлайновом режиме, к сожалению, кроме организационных мер для борьбы с подобного рода мошенничествами, предложить пока нечего.

Достаточно эффективным способом борьбы с заменой терминалов стало бы введение в стандарт EMV процедуры взаимной аутентификации карты и терминала. Заведение на терминал пары секретного и открытого асимметричных ключей обслуживающего банка и сертификата этого ключа на ключе системы, а также поддержка картой процедуры аутентификации терминала и хранение на карте хэш-функций открытых ключей системы позволит исключить подмену терминала. Хранение на карте хэш-функций открытых ключей системы необходимо для того, чтобы избежать ситуации, когда мошенник сам придумывает ложный ключ системы и генерирует для заведения в терминал пару ключей обслуживающего банка с сертификатом, вычисленным на ложном ключе системы.

Конечно, хранение хэш-функций ключей системы (очевидно, что придется хранить информацию о ключах, сгенерированных впрок, чтобы не получилось так, что во время жизненного цикла карты на терминалах появятся ключи системы, неизвестные карте) накладывает ограничения на размер памяти EEPROM. Терминал должен хранить до 6 ключей системы. Поэтому с учетом ключей, заводимых впрок, и размера значения хэш-функции SHA-1, равного 20 байтам, потребуется зарезервировать около 200 байтов памяти EEPROM для одной платежной системы.

Остановимся еще на одном виде мошенничества, возможного со стороны недобросовестного торгового предприятия. В упрощенном виде мошенничество выглядит следующим образом.

Когда в торговое предприятие за покупкой обращается держатель микропроцессорной карты, торговое предприятие любое решение терминала (карты) завершает отклонением транзакции. При этом держатель карты либо уходит из торгового предприятия ни с чем, либо расплачивается за товар наличными.

Далее мошенническое торговое предприятие отправляет обслуживающему банку данные по неуспешной транзакции, как об операции, успешно выполненной в оффлайновом режиме. При этом обслуживающему банку предъявляются все доказательства того, что транзакция была выполнена успешно: подделанное значение cryptogram information data, указывающее на завершение операции генерацией картой криптограммы TC, значение криптограммы, которое не зависит от своего типа (TC, ARQC, AAC), значение ICC dynamic number. Все эти данные за исключением cryptogram information data могли быть сформированы только реальной микропроцессорной картой.

Обслуживающий банк на основе полученных данных формирует презентменты, которые отправляет в платежную систему, и возмещает торговому предприятию средства по «выполненным» в нем операциям.

Через некоторое время некоторые держатели карт инициируют чар-джбэки по мошенническим операциям, выполненным с использованием их карт. Однако эмитенту будет сложно их инициировать, поскольку обслуживающий банк предъявил в презентменте или по запросу эмитента (сообщение retrieval request) криптограмму TC.

В данном случае разобраться в ситуации сможет платежная система, которая через некоторое время обнаружит, что возникшая странная ситуация, когда клиенты жалуются, клиринговые сообщения, переданные обслуживающим банком, выглядят убедительно, необыкновенно часто случается в одной торговой точке. Чтобы разобраться в такой ситуации, платежной системе потребуется время. За это время мошенники успеют скрыться.

Другой способ борьбы с описанным выше мошенничеством — использование для оффлайновой аутентификации карты метода CDA и требования к торговому предприятию, которое состоит в том, что предприятие предоставляет в распоряжение обслуживающего банка элемент signed dynamic application data, а не просто криптограмму. В этом случае обслуживающий банк извлекает из элемента signed dynamic application data правильное значение cryptogram information data и описанная ранее схема совершения мошенничества не работает.

Борьба с банкоматным мошенничеством

При использовании микропроцессорной карты в онлайновом режиме знание PIN-кода и любых других данных карты, доступных терминалу, недостаточно для успешного выполнения операции мошенником. Необходимым условием в этом случае является знание недоступного мошеннику секретного ключа карты, который используется для генерации криптограммы. Ключ необходим для взаимной аутентификации карты и эмитента, без успешного выполнения которой транзакция будет отклонена (мы не рассматриваем достаточно редкий на сегодня случай, когда эмитент не поддерживает обработку «чиповых» данных карты).

Таким образом, в мире, в котором все карты являются микропроцессорными, а терминалы поддерживают EMV, скимминг через банкоматы ничего мошенникам не дает.

Заключение

Резюмируя сказанное выше, можно сделать вывод о том, что с увеличением количества микропроцессорных карт и расширением инфраструктуры их приема уровень карточного фрода неукоснительно снижается. Однако эффективность борьбы с карточным мошенничеством с помощью перехода на использование EMV-карт зависит от синхронности миграции банков на чип. Даже если банки какой-то страны полностью мигрируют на чип, но останутся страны, в которых процесс идет медленно, мигрировавшие на чип банки будут страдать от менее продвинутых с точки зрения миграции стран. Поэтому европейские страны, достигшие значительных результатов в миграции на чип, не может не беспокоить ситуация с положением дел в США. Действительно, все усилия европейского банка, выпустившего микропроцессорную карту, аннулируются возможностью выполнения операции по мошеннической карте, изготовленной на основе данных магнитной полосы этой микропроцессорной карты в «магнитном» терминале (терминале, принимающем только карты с магнитной полосой) американского банка.

То же утверждение о важности синхронности миграции банков на чип верно и для отдельно взятой страны. Не смотря на то, что внутри страны может действовать упоминавшийся выше сдвиг ответственности, и банк, заменивший свои карты микропроцессорными (гибридными) картами, всю ответственность за фрод по поддельной гибридной карте в магнитных терминалах перемещает на обслуживающий банк, моральный ущерб, наносимый держателю карты, а также

Обозначения:

I — фрод произойдет и ответственность за него лежит на стороне эмитента;

A — фрод произойдет и ответственность за него будет нести обслуживающий банк;

0 — фрод не произойдет.

Заметим, что мы считаем, что если мошенническая карта EMV применяется в EMV-терминале, то вероятность фрода равна 0. Это утверждение верно с оговорками, поскольку:

• в EMV-терминале можно успешно использовать украденную/потерянную EMV-карту, если на карте не используется оффлайновая проверка PIN-кода (мы предположили, что на картах в нашем банке такая проверка выполняется, но отдаем себе отчет в том, что эта ситуация не является типичной);

• можно получить данные с магнитной полосы EMV-карты и перенести их на заготовку мошеннической карты, изменив при этом код обслуживания на 1 и используя карту в оффлайновом режиме авторизации (подлимитная операция).

Возьмем типовые значения параметров модели для продвинутого с точки зрения эмиссии карт банка (40 % карт EMV-совместимы): a = 0,96, b = 0,03, c = 0,01, f 1 = 6 bp, f 2 = 40 bp, f 3= 60 bp, A = 0,4, B = 0,1.

Тогда в результате миграции банка на чип уровень фрода упадет с примерно 7,56 bp до 4,5 bp. При A = 0,6 уровень фрода с точки зрения эмиссии упадет до 3 bp.

Конечно, приведенная выше модель не учитывает многих аспектов, в частности, миграцию фрода в регионы со слабо развитой инфраструктурой обслуживания микропроцессорных карт. В то же время с ее помощью можно оценить страновой уровень мошенничества отдельно по эмиссии и обслуживанию карт.

Миграция банков на использование микропроцессорных карт уже доказала свою эффективность с точки зрения борьбы с мошенничеством. Великобритания, осуществившая практически полную миграцию на технологию чиповых карт, поддерживающих офлайновую проверку ПИН-кода, стала ярким тому примером. По данным за 2005 г., совокупный годовой объем потерь от карточного мошенничества в стране снизился на 13 % по сравнению с 2004 г., а если принимать во внимание все категории фрода, кроме CNP-операций, то потери английских банков от действий преступников уменьшились на 28 %! В частности, объем фрода по поддельным картам уменьшился на четверть, а по украденным (потерянным) картам — на 22 %!

В качестве другого примера эффективности борьбы с фродом путем миграции на технологию микропроцессорных карт можно рассматривать азиатско-тихоокеанский регион (АТР). По данным Frost&Sullivan карточный фрод в этом регионе в 2005 г. достиг 600 млн долл. Миграция на микропроцессорные карты уменьшила уровень мошенничества до 3 базисных пунктов, что более чем в 2 раза ниже среднемирового значения.

Уровень фрода по внутристрановым транзакциям во Франции, где уже более 15 лет внутри страны используются микропроцессорные карты, равен 3.3 базисным пунктам, что также является выдающимся результатом, подтверждающим эффективность технологии МПК.

Очевидно, криминальные структуры не смирятся с потерей своих доходов и будут адаптироваться к новым условиям жизни в мире чиповых карт. К сожалению, для этого у них остается не мало возможностей.

В первую очередь, следует отметить, что ближайшие 10–15 лет на карточном рынке будут присутствовать магнитные (гибридные) карты и магнитные терминалы (терминалы, не работающие с чипом). В результате чего у мошенников будет возможность использовать плохо защищенную магнитную полосу для совершения таких преступлений, как:

• использование данных магнитной полосы карты (в том числе и гибридной карты) для создания поддельной карты с последующим ее применением в магнитном терминале в оффлайновом режиме;

• использование гибридных карт в магнитных терминалах;

• подделывание гибридных карты (неправильная персонализация чипа и использовование fallback на магнитную полосу или менять кода обслуживания карты при переносе данных на заготовку с магнитной полосой и использование карты в режиме floor limit).

Значительную брешь в операциях с микропроцессорными картами создает использование банками режима Fallback. Платежные системы уже обязали банки отказаться от этого режима в банкоматных транзакциях (Fallback разрешается под ответственность обслуживающего банка). Более того, в ближайшее время сегодня обязательное использование режима Fallback в POS-терминалах будет заменено на опциональное решение для страновых рынков. В этом случае в странах, где уровень соответствия стандартам международных платежных систем высокий, банки откажутся от использования резервной авторизации по магнитной полосе.

 

Организационные процедуры управления рисками при эмиссии и эквайринге банковских карт

Общий подход к управлению рисками при эмиссии банковских карт с магнитной полосой

Несмотря на введение платежными системами чиповых или микропроцессорных технологий в процесс обслуживания банковских карт, задача обеспечения безопасности при использовании карт с магнитной полосой остается актуальной. Это связано с тем, что темпы эмиссии карт на микропроцессорные технологии не столь высоки, как хотелось бы, из-за значительной стоимости проектов по миграции карт банка с технологии магнитной полосы на ЧИП-технологию. Поэтому банки продолжают эмиссию банковских карт с магнитной полосой, успокаивая себя тем, что с точки зрения рисков для них практически ничего не изменилось. Разве что, упускается возможность сократить свои потенциальные потери. В этом смысле стратегия банка оправдана, ведь это его право выбирать инструмент управления рисками: технологически (микропроцессор, магнипринт, биометрия, онлайновый мониторинг и т. д.) или организационно (службы поддержки клиентов, службы мониторинга, привлечение услуг страхования и т. д.). С другой стороны, ни одна платежная система не гарантирует 100 % защиты микропроцессорных карт от подделки в перспективе, это только вопрос времени и средств, вкладываемых мошенниками для производства поддельных карт. Поэтому средства банка, вложенные в организацию системы управления рисками при использовании карт с магнитной полосой, не пропадут, а уже существующий потенциал Банка с успехом может быть использован и при применении ЧИП-технологий.

В общем случае управление рисками при эмиссии сводится к минимизации влияния рисковых факторов использования банковских карт на доходность бизнеса в целом. Вопрос заключается в поиске компромисса между возможными потерями от мошенничества и теми средствами, которые затратит банк при реализации собственных проектов по предотвращению мошенничества с банковскими картами. С другой стороны, действует всеобщий закон сохранения энергии, материи и т. д.: избыточные меры по обеспечению безопасности операций с банковским картами неизбежно ведут к конфликту с процессом развития бизнеса и качеством обслуживания клиентов и, наоборот, безоглядное развитие бизнеса ведет порой к катастрофическим потерям. Поэтому задача выбора стратегии при минимизации риска мошеннических операций с картами носит актуальный характер.

Рассмотрим выбор стратегии банка в зависимости от этапа развития бизнеса банковских карт в банке:

1) банк только начал эмиссию (до 20 тыс. карт). Страховка. Стандартные отчеты платежной системы — требование страховых компаний;

2) банк достиг среднего уровня — 100 тыс. карт. Страховка, формирование собственной службы мониторинга, подготовка EMV миграции (если не начали сразу);

3) банк достиг уровня массового выпуска и обслуживания карт. Собственная служба мониторинга, call-center, система предотвращения мошенничества, основанная на определенных жестких правилах, которым она следует в режиме онлайн (on-line rule-based), система страхования, система мобильного информирования клиентов, формирование технологических инструментов (услуг), позволяющих клиентам самостоятельно управлять рисками.

1 этап эмиссионной программы — начало эмиссии

Очевидно, что при старте программы эмиссии издержки банка и так значительны, чтобы вкладывать серьезные средства в организацию мер по предотвращению потерь от мошенничества. Тем более, что базовые функции обеспечения безопасности уже заложены платежной системой в процесс эмиссии при сертификации Банка, как участника платежной системы. Довольно часто программное обеспечение процессингового центра (ПЦ, собственный или процессор третьей стороны (third party)) уже в базовом комплекте содержит набор средств по управлению рисками, часть из которых является обязательными в соответствии с требованиями платежной системы. С другой стороны, уровень использования банком инструментов управления рисками зависит от его стратегии развития бизнеса, ведь это подразумевает привлечение дополнительных человеческих ресурсов. А увеличение штата сотрудников на первом этапе развития бизнеса всегда является непопулярным. Именно поэтому довольно часто можно встретить банки с эмиссией более 50 тыс. карт, где за вопросы безопасности и мониторинга операций с банковскими картами отвечает один, максимум два сотрудника. И руководство банка можно понять, ведь на его основной вопрос: «А каковы наши риски?», к сожалению, редко можно дать сколько-нибудь аргументированный ответ, особенно при старте эмиссии, когда Банк еще не сталкивался с проблемами такого рода. Ведь ссылки на прессу, пугающую массовыми подделками карт, и статистику платежных систем об убытках банков, разбиваются о «железные аргументы» в виде следующих вопросов руководства с соответствующими комментариями: «Сколько карт мы выпустим в течение первого года? Каков будет средний остаток средств на каждой карте или клиентскому сегменту? Какова вероятность изготовления подделки для каждого сегмента? А теперь посчитайте каков может быть максимальный ущерб банку и сравните с затратами на привлечение дополнительных сотрудников и организацию технологии предотвращения мошенничества.».

По итогам беседы в лучшем случае будет предложено поднять этот вопрос в следующем году. Существует и еще более неприятный вопрос руководства: «Что даст организация мониторинга операций по банковским картам на предмет выявления мошенничества?» Ответ, что мы сможем увидеть, когда у клиента уже похитили со счета все средства (а так обычно и бывает, карточку редко «щиплют» по чуть-чуть, изо дня в день) вряд ли убедит руководство в необходимости создания службы по предотвращению мошенничества с банковскими картами. Единственным сильным аргументов является требование платежных систем выполнять предписанные Банку мероприятия по минимизации рисков, а именно соответствовать стандартам мониторинга и выполнять требования платежных систем по отчетности и регламентным мероприятиям по реагированию на предупреждения, поступающие из платежных систем. Кстати, не помешает упомянуть про возможные штрафные санкции со стороны платежных систем, если будет выявлено несоответствие Банка требованиям по предотвращению мошенничества.

Учитывая вышесказанное, при старте программы эмиссии необходимо убедить руководство банка в необходимости уделить внимание развитию направления обеспечения безопасности операций с банковскими картами. Чтобы быть более убедительным, предложите руководству план развития подразделения в зависимости от уровня эмиссии банковских карт. Для этого можно запросить региональное подразделение платежной системы о рекомендациях и так называемые «лучшие практики» (best practice) по организации подразделений безопасности по банковским картам и зависимости численности подразделения от уровня эмиссии карт. Получив от платежной системы рекомендации и, чтобы не шокировать руководство необходимостью нанять «армию» специалистов по обеспечению безопасности операций с банковскими картами, лучше всего предложить компромиссное решение в лице страховой компании. Тем самым вы уберете неопределенность в процессе решения управления рисками — уплатив страховую премию, банк будет уверен в возмещении оговоренной в договоре суммы по мошенническим операциям. С другой стороны вы получаете еще один стимул в развитии подразделения по обеспечению безопасности. Страховая компания по каждому страховому случаю будет требовать от банка предоставить доказательства того, что банк предпринял все необходимое, чтобы предотвратить потери, связанные с мошенничеством по банковским картам. А сюда как раз и относятся результаты мониторинга и документированные действия банка по предотвращению мошенничества (блокировка карты, отчеты системы мониторинга и т. д.).

Страхование рисков — дело недешевое и соизмеримо с убытками, которые может понести банк от мошенничества. При эмиссии до 20 тыс. карт банк может уложиться в страховую премию до 20 тыс. долл. США в зависимости от условий страхования. При этом покрыто будет практически 100 % рисков. Однако с ростом эмиссии страховая премия начинает принимать пугающие значения, значительно превышающие потери банка за предыдущий период, поэтому необходимо искать пути оптимального сочетания страхования с применением иных методов управления рисками.

2 этап — эмиссия до 100 тыс. карт

При эмиссии до 100 тыс. карт количество потихоньку начинает переходить в иное качество. Все чаще возникают случаи мошенничества, и, если служба мониторинга не заметила и не отреагировала должным образом, то возможны конфликты со страховой компанией. Учитывая значительный объем страховой премии, приходится перераспределять финансовой бремя борьбы с мошенничеством между страховой компанией, содержанием службы мониторинга и организацией технологической поддержки.

Обычно банки идут по пути включения в пакет страховых услуг различных франшиз, посредством которых значительно сокращается страховая премия, а банк осознанно страхуется только от крупных потерь. Тем самым банк принимает на себя риск потерь, попадающих под франшизу и, как следствие, возрастают требования к подразделению, ответственному за обеспечение безопасности платежей. Размер страховой премии так же стимулирует принятие решение об организации более высокого уровня технологической поддержки службы по предотвращению мошенничества — онлайновый мониторинг, службы поддержки клиентов и проч.

3 этап — массовая эмиссия карт

Конечно страхование рисков остается актуальным, однако с ростом эмиссии Банк начинает понимать, что затраты на страховку несоизмеримы с реальными потерями Банка от мошеннических операций по банковским картам. При значительных объемах эмиссии все разумные пределы франшизы уже израсходованы, и Банк вынужден искать новые пути минимизации рисков. Как и говорилось ранее, Банк идет по пути развития службы мониторинга и инструментов, позволяющих на ранней стадии идентифицировать попытки мошеннического использования карт. Однако, на определенном этапе развития Банк понимает, что никакие системы онлайнового мониторинга, включая чрезвычайно дорогие «нейронные сети», не дают ожидаемого результата. Становится ясно, что без применения качественно иного подхода к управлению рисками нельзя обеспечивать требуемую доходность бизнеса.

Платежная система предлагает переход на микропроцессорную или чиповую технологию. Безусловно, это многократно снизит потери Банка от мошенничества. Но необходимо помнить, что затраты на миграцию на микропроцессорные карты многократно перекроют убытки от мошенничества, даже потенциальные. Переход на ЧИП будет оправдан, если Банк будет рассматривать переход на новую технологию не только как повышение уровня защиты карты, а в основном как процесс, вызванный потребностями бизнеса. Размещение на ЧИПе различных бизнес приложений: программы лояльности, бонусные программы, возможность оптимального офлайнового управления операциями значительно повышают потребительские свойства карты и могут значительно снизить затраты банка, связанные с онлайновой авторизацией. Это является достаточно сильными аргументами для перехода на микропроцессорную технологию.

Так как к этому моменту Банк обычно подходит к аналогичной ситуации в развитии бизнеса, а именно к поиску новых каналов продаж и коммуникации с клиентами (CRM-система), возникает мысль о симбиозе бизнеса и безопасности. Наиболее интересным является Интернет и мобильный банкинг, с помощью которых осуществляется информирование клиента и обеспечивается «обратная» связь с клиентом. Естественно, такой механизм коммуникации с клиентом, необходимо дополнить неким юридическим аспектом, перекладывающим на клиента ответственность за убытки от мошеннических операции в случае невыполнения им оговоренных в Соглашении по использованию дополнительных сервисов условий. Естественно, действия клиентов должны быть должным образом замотивированы со стороны банка.

Минимизация влияния рисковых факторов использования банковских карт: взаимодействие банка и клиента

В основу процесса минимизации может быть положена среднестатистическая модель поведения клиента-держателя карты, характеризующаяся рядом параметров, отклонение от которых система онлайнового мониторинга может воспринимать как мошенничество и отказывать в проведении операции. Однако построение адекватной статистической модели поведения клиента требует значительного времени и больших вычислительных ресурсов. Построение подобных статистических моделей поведения клиента хорошо зарекомендовало себя в установившихся системах банковского обслуживания, а при становлении рынка банковских услуг эта задача весьма сложная и вряд ли выполнима для всего спектра клиентов, так как использование карт клиентами в основном носит недетерминированный характер.

Для решения задачи предотвращения мошенничества целесообразно передать часть функций управления рисками непосредственно держателям карт. А именно, на стадии выпуска и функционирования карты держатель карты сможет сам определять стандартную для себя модель поведения. Для этого банк должен обеспечить держателя карты возможностью оперативно изменять параметры модели использования карты. Такой подход требует со стороны банка определенных ресурсных затрат на доработку программного обеспечения, разработку новых технологий по управлению параметрами функционирования карты, доработку программного обеспечения Call Center и организацию соответствующей рекламной компании в среде держателей карт.

Большое значение имеет обеспечение клиента возможностью оперативно, по запросу, получать информацию о состоянии счета, оперативно блокировать (разблокировать) карту, оперативно получать информацию о проведении (попытках) проведения операций.

К параметрам, определяющим модель поведения клиента можно отнести следующие:

• регион использования карты с детализацией до конкретной страны (чем регион меньше, тем меньше риск успешного использования поддельной карты);

• лимиты на сумму и количество операций выдачи наличных и покупки (на 1 день, на 3 дня, неделю, месяц и т. д.);

• определение категорий торговых точек (группы МСС), где карта не будет использоваться (например, Интернет, заказы по почте и т. д.);

• определение МСС, для которых будет разрешено использование карты, (например, 6010 и 6011).

Управление параметрами риска клиент может осуществлять через:

• 24-часовую службу помощи;

• автоматизированную службу помощи, позволяющую получать информацию по счету и блокировать (разблокировать) карту.

• систему мобильный банк, позволяющую в режиме онлайн: получать смс-сообщения о любом движении по счету; узнавать остаток по счету; блокировать (разблокировать) карту; устанавливать регион использования карты.

Для усиления мотивации клиентов в установке региона использования карты можно ввести некоторые ограничения на использование карты в странах повышенного риска использования банковских карт, соответствующим образом оповестив об этом клиентов. Установка региона использования карты позволит снимать ограничения на использование карты в этих странах на определенный срок, а за одно, можно порекомендовать клиенту на будущее установить регионы использования карты.

Введение ограничений на использование карты самим клиентом в значительной степени повышает эффективность работы систем офлайнового мониторинга банка и позволяет без финансовых потерь, на ранней стадии выявить случаи подделки карт.

В этом разделе будут рассмотрены проблемы управления рисками при обслуживании операций с банковскими картами, связанные только с внешними факторами воздействия на систему «банк-держатель карты», а именно:

• для случаев утраченных/украденных карт;

• для случая мошеннических операций типа «возврат покупки»;

• для случаев транзакций по поддельным картам.

Утраченные (украденные) карты

Этот тип мошенничества приносит наибольшие убытки банкам и, к сожалению, слабо поддается минимизации. Если карта попадает в руки злоумышленников, то время ее использования не превышает 2–3 часов. В среднем по статистике утраченные (и украденные) карты используются не более 3-х дней. Таким образом, самое главное в процессе минимизации потерь банка от этого типа мошенничества — максимально быстрое блокирование карты. Для этого необходимо обеспечить держателя карты соответствующими пособиями, объясняющими его действия в случае утраты карты. Со стороны банка должна быть организована доступная, круглосуточная служба поддержки, отвечающая на телефонные запросы держателей карт. Желательно, в этой службе выделить отдельный телефонный номер для блокировки карт. Можно организовать автоматическую службу поддержки клиентов, позволяющую клиенту по телефону в автоматическом режиме, указав номер карты и кодовую последовательность самостоятельно блокировать карту.

Предоставление клиентам услуги «мобильный банк» позволяет блокировать карту, послав соответствующие смс-сообщение на номер банка или выбрав в меню мобильного телефона пункт блокировки карты. Воспитание у клиента привычки держать карту заблокированной и разблокировать карту, используя «мобильный банк» на время покупки, позволит избежать потерь при утрате карты.

Как превентивную меру от потерь можно рекомендовать клиентам использовать систему лимитов на операции (дневные лимиты, недельные и т. д.).

Применение офлайнового мониторинга позволяет выявить случаи мошеннического использования утраченных карт, однако это не приносит ощутимого финансового результата.

Мошеннические операции «возврат покупки»

Этот вид мошенничества характеризуется тем, что на счет клиента поступает операция «возврат покупки» и увеличивает доступный баланс, а через определенный промежуток времени поступает операция списания на ту же сумму и из той же торговой точки. Если за этот интервал времени доступный баланс будет израсходован то, соответственно, на счете клиента возникнет неразрешенный овердрафт. Обычно для этой схемы используются карты, держатели которых введены в заблуждение мошенниками и возмещение ущерба вызывает большие проблемы. Сама процедура возникновения подобных пар («возврат покупки»- операция списания) может происходить по двум причинам:

• мошенник работает в торговой точке. Тогда процессирование сначала кредитной операции, а затем через определенный промежуток времени, дебетовой операции не отражается на балансе предприятия;

• мошенник — хакер и использует несовершенство технологии возврата покупки в некоторых интернет-магазинах. Осуществляется мошенническая операция покупки товара в интернет-магазине (например, по чужой карте) и затем оформляется возврат покупки, но для возврата подставляется нужный номер карты, и деньги снимаются в банкомате. После урегулирования претензий держателя карты, с которой была списана мошенническая транзакция, интернет-магазин соответственно дебетует номер «подставной карты» и на счету возникает овердрафт.

Для исключения подобного рода проблем необходимо организовать автоматическую процедуру сопоставления всех входящих операций «возврат покупки» с транзакциями, проведенными по счетам клиентов. Сопоставление необходимо осуществлять за определенный промежуток времени и, начиная с определенной суммы, исключив из него ряд стандартных операций возврата: возврат НДС (VAT — value added tax) и т. д. по усмотрению банка. Сопоставление осуществляется по номеру карты, имени и типу торговой точки при условии не превышения суммы возврата сумме платежа. Если операция «возврат покупки» не сопоставилась, то осуществляется автоматическое блокирование суммы на счету клиента до окончания проведения расследования по этому случаю.

Операции по поддельным картам

Операции по поддельным картам наносят большой ущерб банкам. В последнее время отмечается рост подобного мошенничества. Это связано с высоким технологическим уровнем устройств, позволяющих копировать магнитную полосу карты и доступностью средств производства высококачественного поддельного пластика. Единственным способом, которым может эффективно ответить банк-эмитент в этом случае, является отказ на авторизационный запрос на проведение какой-либо операции. Но как банк может принять решение, какой запрос одобрять, а какой отклонять? Речь, конечно, не идет о банальной ситуации, когда карта заблокирована или когда не достаточно средств для проведения операции. Какой инструмент может использовать банк для управления рисками? В идеале, это онлайн-система, которая на основе статистических данных поведения каждого клиента сама определяет уровень валидности авторизационного запроса и принимает решение. На практике такие системы чрезвычайно дороги и полностью переложить принятие решения на систему не рискнет ни один банк — ведь это огромный риск конфликта с клиентом. В конечном итоге, даже онлайн-системы, основанные на технологии «нейронных сетей», эффективны только для сбора и анализа информации о модели поведения клиента, а принятие решения в онлайн-режиме по конкретному авторизационному запросу осуществляется на основе свода правил, устанавливаемых для конкретного клиента или группы клиентов. Создание этого свода правил и применение к различным группам клиентов и является основной задачей группы обеспечения безопасности операций по банковским картам.

Правила авторизации операций

Как определить правила принятия банком решения по авторизации операций с банковскими картами?

1. Необходимо постоянно осуществлять мониторинг параметров всех случаев мошенничества с картами в банке и информации, поступающей из платежных систем, с целью формализации угроз банку. Таким образом, можно будет определить страны повышенного риска использования карт, рисковые категории торгово-сервисных точек, а также конкретные торгово-сервисные точки с большим риском проведения мошеннических операций.

2. Зная, откуда исходит угроза банку, можно определить адекватные меры противодействия мошенничеству. Конечно, уровень противодействия в основном определяется степенью готовности процессинговой системы анализировать параметры авторизационного запроса и принимать решение. Эффективность управления рисками определяется сочетанием двух факторов: количеством параметров авторизационного запроса, доступных для управления, и возможностью применения различных правил одобрения запроса к различным группам клиентов, вплоть до отдельного клиента. Таким образом, можно заблокировать использование карты для конкретного клиента в определенной рисковой среде использования карты. Из соображений гуманности по отношению к клиенту, целесообразно использовать так называемые «мягкие коды отказа», а именно «01 — свяжитесь с банком-эмитентом». При получении такого кода торговая точка для оформления покупки вынуждена будет связаться со своим обслуживающим банком для получения инструкций. Конечно, ситуация не очень красивая по отношению к клиенту, но это намного лучше чем просто «отказ», или того хуже, «изъять карту». В этой ситуации при настойчивости клиента он все-таки получит товар (услугу), связавшись самостоятельно или через банк-эквайрер с банком-эмитентом. Банк-эмитент, получив сообщение через платежную систему или от клиента по телефону, идентифицирует его и, изменив параметры авторизации для этого клиента, сделает доступным возможность проведения авторизации.

3. Правила могут всеобщими, т. е. для всех клиентов банка, применимые к группе клиентов, и применимые к конкретному клиенту.

К всеобщим правилам можно отнести, например, запрет использования карты в сети Интернет (если конечно это оговорено в правилах использования карты). Активация этой услуги происходит лишь после обращения клиента с соответствующей просьбой в банк. Это могут быть ограничения по использованию карты в странах повышенного риска. В этом случае банк уведомляет клиентов через выписки о действующих ограничениях в странах из списка. Например, часто используется такой сценарий: сумма покупки в этих странах не может превышать эквивалент 200 долл. США в день, запрещены получение голосовой авторизации по транзакции, зато разрешены аренда автомобилей и оплата отелей, авиабилетов, а также доступны без ограничений рестораны и т. д. При попытке провести операцию, превышающую установленные общие лимиты, торговая точка получит сообщение «01 — свяжитесь с банком эмитентом». Как показывает опыт, большинство клиентов, побывав в так называемых рисковых странах, ни разу не сталкиваются с установленными лимитами, а Банк, в свою очередь, минимизирует риск мошеннического использования карты.

К групповым правилам можно отнести такое ограничение, как установление лимита для корпоративных карт на снятие наличных в конкретной стране или запрет на их использование в казино и т. д. Конечно, банк должен иметь инструмент для управления этим параметром и исключать карту из групповых правил по необходимости.

Правила, применимые к конкретному клиенту, это основной инструмент управления рисками. Возможность установления правил использования карты в разрезе каждого клиента позволяет очень гибко управлять рисками, не нанося ощутимых неудобств клиенту. Например, получив сообщение от клиента о проблемах с использованием карты в рисковой стране или получив данные мониторинга о попытках использования карты в рисковой стране и убедившись, что клиент действительно находится там, можно снять на определенный срок (обычно на две недели) все ограничения на использование карты. После окончания действия снятия ограничений в рисковой стране желательно для таких клиентов принудительно устанавливать режим использования карты — «только в России», соответствующим образом уведомив об этом клиента. Это связано с тем, что мошенничество с банковскими картами носит интернациональный характер и, зачастую, мошенническое использование карты начинается совсем в другом регионе через 7-15 дней после того, как клиент покинул страну повышенного риска. В этом случае операции без ограничений будут разрешены только в России, а во всем остальном мире карта будет работать по приведенному выше сценарию (весь мир, кроме России превратится в рисковый регион), и мошеннические авторизации из других стран будут отклоняться. Теперь клиент будет вынужден уведомлять банк о своих перемещениях по странам, с целью установки соответствующего региона использования карты. Например, можно на определенный срок установить определенную группу стран, которую собирается посетить клиент. Естественно, по желанию клиента должна существовать возможность снятия всех наложенных ограничений. Как показывает опыт, в начале использования такой методики управления рисками клиенты воспринимают ее агрессивно, рассматривая как ограничение своих свобод. Однако со временем и при должной информационной подготовке со стороны банка и средств массовой информации приходит понимание необходимости данных мероприятий и конфликты исчезают.

Управление рисками как общая задача клиенториентированных подразделений банка

Очевидно, что все мероприятия, связанные с управлением риском связаны с большими затратами со стороны банка по организации поддержки клиентов, мониторинга операций и обработки информационных потоков. Ежедневно служба мониторинга банка осуществляет:

• контроль всех авторизационных запросов и операций, поступающих из стран повышенного риска по картам, для которых страна не была открыта клиентом, или клиент уже покинул страну. Формируются запросы в подразделения банка, ответственные за работу с клиентами. Цель запроса — получить подтверждение (опровержение) законности авторизационного запроса или определить местонахождение клиента. Если по косвенным признакам клиент находится в стране повышенного риска (можно проследить маршрут клиента по транзакциям из duty free магазинов, одиночным успешным операциям из банкоматов и т. д.), но связаться с ним не удалось, то принимается решение о снятии ограничений на определенный срок для исключения неудобств, вызванных ограничениями, установленными для этой страны;

• всем клиентам, побывавшим в странах повышенного риска или торговых точках повышенного риска, направляется уведомление о том, что для карты установлен регион использования Россия и о том, что для сокращения риска мошеннического использования карты клиент может выбрать любой регионы использования карты. Например, Россия, Турция, Египет или Россия и вся Европа и т. д. Соответственно необходимо обрабатывать обратный поток информации, поступающий из бизнес-подразделений о необходимости установки для клиента региона использования карты;

• для карт, у которых установлен регион использования, осуществляется мониторинг транзакций и авторизационных сообщений, поступающих из стран, которые не входят в регион использования. Это делается для выявления попыток мошеннического использования карт и для снятия ограничений, в случае если клиент действительно находится в этой стране, но забыл проинформировать банк и испытывает затруднения в использовании карты.

Управление рисками — это сложная, трудоемкая работа, требующая вовлечения всех клиентоориентированных подразделений Банка. Необходимо отдавать себе отчет, что мы только минимизируем риски, а не стараемся 100 % их исключить, так как сие невозможно. Поэтому необходимо помнить, что процедура по идентификации клиента при отработке кода «01 — свяжитесь с банком-эмитентом» или при снятии ограничений на использование карты должна быть максимально упрощена. Сочетание двух факторов: фиксация авторизационной системой кода «01» и звонок клиента о проблеме в использовании карты вполне достаточно, чтобы принять решение о снятии ограничений. Не нужно утомлять и раздражать клиента допросом о его номере паспорта, девичьей фамилии матери, адресе и т. д. Нужно отдавать себе отчет, что ни один мошенник не будет ждать завершения процедуры «свяжитесь с банком-эмитентом» и если в Банк поступил звонок, будьте уверены, что это проблемы у клиента банка, а не у мошенника. И ему нужно как можно быстрее помочь. Конечно, можно ввести некоторые процедуры на авторизацию крупных покупок, но они все равно требуют более длительного оформления и в магазине, а несколько вопросов от банка не повредят.

Как уже отмечалось, эффективным способом уменьшения потерь банка является сочетание ограничения функциональности карты с мониторингом активности, а также подключение клиентов к услуге «мобильный банк». Данная услуга позволяет клиенту быстро среагировать на первую мошенническую операцию и заблокировать карту, однако ущерб от одной операции может оказаться значительным. Оптимальным является пропаганда в среде держателей карт, пользующихся услугой «мобильный банк», возможности разблокировки карты только на период проведения операции (все остальное время карта должна быть заблокирована).

В среде держателей карт, не подключенных к услуге «мобильный банк», целесообразно рекламировать возможность ограничения региона использования карты с целью минимизации риска проведения мошеннических операций. Особенно важно это делать для клиентов, посетивших страны повышенного риска мошеннического использования банковских карт. Таким клиентам необходимо рекомендовать установить для карты регион ее использования, например Россию. И, в случае, выезда клиента в другой регион, ему будет необходимо позвонить в службу поддержки клиентов и открыть для карты требуемую страну, регион.

Эквайринг

В отличие от управления рисками при эмиссии карт управление рисками при обслуживании торгово-сервисной сети требует повышенного внимания с момента старта проекта любого масштаба (даже если это одна торговая точка). Это потребует от банка дополнительных ресурсов по организации мониторинга сети и проверке торгово-сервисных точек. Возникает такая же коллизия с руководством банка, как и при эмиссии карт — а зачем все это нужно, каковы наши риски? Действительно, если не учитывать риск «перехода ответственности на банк-эквайрер» при обслуживании по магнитной полосе карт с ЧИПом, финансовый риск потерь невелик. Однако, отсутствие мотивации у банка-эквайрера в проведении мероприятий по борьбе с мошенничеством не могло остаться без внимания со стороны платежных систем. Как «переход ответственности по ЧИП картам на банк-эквайрер» стимулирует развитие сети терминальных устройств, принимающих ЧИП карты, так административные меры контроля уровня мошенничества со стороны платежных систем заставляют Банк уделять внимание этому вопросу. Система предупреждений и штрафов со стороны платежных систем, с последующим отзывом лицензии не оставляет сомнений в необходимости проведения мероприятий по минимизации рисков мошеннических операций в торгово-сервисной сети Банка.

Управление рисками при обслуживании торгово-сервисной сети заключается в реализации комплекса организационных и технологических процедур направленных на ограничение возможности проведения несанкционированных платежей и создание устойчиво-непривлекательного имиджа торгово-сервисной сети банка у мошенников.

Организационные методы направлены на повышение уровня образованности сотрудников торгово-сервисной сети по приему карт и методам противодействия мошенничеству. Особое внимание необходимо уделять наглядным пособиям и четкости инструкций по противодействию мошенничеству. При заключении с торгово-сервисной точкой соглашения по приему карт необходимо тщательным образом проверить ее на предмет проведения возможных мошеннических операций. Должно насторожить желание предприятия как можно быстрее ускорить заключение соглашения с банком, уклонение от инспекции торговых площадей и предоставления документов по аренде или на право собственности на торговые помещения. С точки зрения мошенников, подложная торговая точка очень выгодное предприятие, если оно еще и работает в сотрудничестве с поставщиками поддельных/украденных карт. Фальшивые карты в огромных количествах используются в такой точке без риска повстречаться с правоохранительными органами. Банк воспринимает высокую активность новой точки как нормальную, и исправно перечисляет на счет мошенников средства по проведенным транзакциям за якобы проданный товар или оказанные услуги. Полученные средства ежедневно переводятся со счетов мошеннической фирмы и обналичиваются. Особенно популярны в этом плане кассы продаж авиа (железнодорожных) билетов, так как не требуют больших затрат на организацию, а 20–30 транзакций в день по поддельным картам на общую сумму 8-10 тыс. долл. США выглядят с точки зрения мониторинга вполне правдоподобно. В дополнение ко всему сказанному, нужно помнить, что мошенники могут заключить соглашения с другими банками и работать параллельно на терминальных устройствах этих банков, тем самым многократно увеличивая доходность этого «бизнеса». Ведь речь идет о фиктивном (неработающем) предприятии, ничто не мешает проводить мошеннические операции. Во всех банках эта точка естественно будет фигурировать под разными наименованиями с вполне адекватными показателями активности. Тревожные сигналы могут поступить через месяц, два в виде уведомлений из платежной системы о проведенных мошеннических операциях. К этому времени мошенники переведут все средства со счетов предприятия и прекратят свою деятельность, переключившись на другие банки. Как с этим бороться?

1. Осуществлять регулярные, частые проверки предприятия в начальной стадии его работы, под разными предлогами: проверка оборудования, рекламные материалы, инструктаж и т. д.

2. Установить на начальный период работы, например на 6 месяцев, задержку в перечисление средств предприятию на 14 рабочих дней с момента транзакции и по достижению определенной суммы.

3. Осуществлять мониторинг предприятия, с установкой параметров, которые предполагают повышенный уровень генерации запросов на подтверждение операций в банки-эмитенты.

При возникновении подозрений, немедленно блокировать работу предприятия для проведения расследования.

Технологические процедуры предотвращения мошенничества:

• 100 % авторизация всех операций в торгово-сервисной сети (конечно, это не относится к специфическим сетям с микро-платежами и пр.);

• принудительный ввод на терминале последних 4 эмбоссированных цифр номера карты при формировании авторизационного запроса и автоматическое сопоставление их с данными на магнитной полосе. В случае если данные не совпали, операция не разрешается. Это защитит банк от мошенничества с поддельными картами, когда на магнитную полосу валидной карты, принадлежащей мошеннику, записывается магнитная полоса другой валидной карты ничего не подозревающего добропорядочного клиента банка, скопированная в торгово-сервисной сети;

• лимит на максимальную сумму покупки, на максимальное количество операций, максимальную сумму операций по одной карте и т. д. При превышении лимита авторизационная система банка-эквайрера направляет в торговую точку сообщение «01 — свяжитесь с банком» для проведения дополнительной проверки держателя карты. Сотрудники службы мониторинга должны иметь возможность оперативно изменять значения лимитов, отменять их вообще на какой-то период времени или количество транзакций. Использование этого метода требует от банка дополнительных ресурсов по организации службы по обслуживанию запросов «01», поступающих из торговой сети и инициированных системой мониторинга банка. Сценарий действий банка по ситуации «01» может варьироваться от «симуляции» инициации запроса по держателю карты в банк-эмитент, до реального запроса в банк-эмитент по подтверждению личности держателя карты. Это все зависит от политики банка. Вообще, смысл всех действий заключается в разумном компромиссе между безопасностью и бизнесом. Лимиты, оптимально установленные предприятиям, оперативность банка в принятии решения по собственному коду «01» должны минимизировать влияние этого процесса на время обслуживания клиента, в то же время возможность применения кода «01» отпугнет мошенника. Трудно вообразить человека с поддельной картой, который спокойно будет ждать завершения процедуры «01-запрос в банк-эмитент», когда будут сверяться данные предъявленной карты и документов с информацией, хранящейся в Банке-эмитенте. Поэтому, если торгово-сервисная точка дозвонилась в банк по коду «01», который был инициирован собственной системой мониторинга, вероятность того, что карту предъявил мошенник, мала, и можно значительно упростить процедуру идентификации клиента, вплоть до ее симуляции. И наоборот, если уровень запросов «01» будет высок, предприятие может отказаться от работы с банком. Поэтому, настройка системы мониторинга таким образом, чтобы минимизировать воздействие на бизнес обеспечив разумную нагрузку на службу авторизации при заданном максимально допустимомый уровне мошенничества в торгово-сервисной сети банка — это своего рода искусство;

• процедура сопоставления операции «возврат покупки». Все операции «возврат покупки» сопоставляются с операциями в торговой точке за определенный период. В случае если операция не сопоставлена по определенному алгоритму, она откладывается из обработки до окончания расследования. Конечно, нет смысла расследовать все случаи не сопоставленных операций, разумным является применение пороговых лимитов: сумма операции, сумма операций за день, неделю. Все случаи превышения лимитов можно отправлять на расследование и по результатам, процессировать операции.

Мониторинг операций в торгово-сервисной сети

Мониторинг операций в торгово-сервисной сети позволяет выявить подозрительные и мошеннические операции на ранней стадии, контролировать положение с мошенничеством в торгово-сервисной сети банка на предмет соответствия стандартам платежной системы по критерию допустимого уровня мошенничества. Набор обязательных отчетов системы мониторинга Банка регламентирован стандартами платежных систем. По результатам мониторинга необходимо проводить мероприятия по расследованию случаев возможного мошенничества для создания у торговых точек устойчивого ощущения постоянного контроля со стороны банка. Естественно, степень расследования должна быть адекватна размерам мошенничества, иногда достаточно одного телефонного звонка в торгово-сервисную точку о необходимости подготовить документы по конкретной операции, чтобы предотвратить возможные мошеннические действия в будущем.

 

Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт

Противоправные деяния с использованием банковских карт являются для России относительно новым видом преступления. До 1996 г. в Уголовном кодексе РФ (УК РФ) отсутствовало упоминание о каких-либо картах. В Уголовном кодексе РФ, вступившим в действие с 1997 г. появилась ст. 187 УК РФ — единственная статья, прямо предусматривающая ответственность за противоправные действия с кредитными либо расчетными картами. Однако данная статья сформулирована крайне неудачно и, в связи с новизной и достаточной сложностью технологии функционирования платежных карт многими специалистами в области уголовного права, трактуется неоднозначно и противоречиво.

Изготовление или сбыт поддельных кредитных либо расчетных карт

Проанализируем некоторые проблемы, возникающие при квалификации преступлений по ст. 187 УК РФ.

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

13 июня 1996 г.

№ 63-Ф3

<…>

Статья 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов

1. Изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, —

<… >

Первая трудность возникает при определении предмета преступления: современная нормативно-правовая база содержит существенный пробел в определении, какие карты являются кредитными и расчетными.

Единственным документом, содержащим данные определения, является Положение ЦБ РФ № 266-П. Но данный документ не распространяется на карты эмитентов, не являющихся кредитными организациями, предназначенные для получения физическими лицами, юридическими лицами и индивидуальными предпринимателями предварительно оплаченных товаров (работ, услуг, результатов интеллектуальной деятельности). Вместе с тем, помимо банковских карт, существуют и иные карты, которые можно определить как кредитные или расчетные.

Кредитные и расчетные карты могут быть платежными То есть с их помощью осуществляются платежи между покупателем и продавцом или они используются для получения наличных денежных средств. Платежные карты могут быть как банковскими (Visa, MasterCard), так и небанковскими (American Express, Dinners Club).

Деление на кредитные или расчетные зависит от характера договорных отношений между эмитентом карты и клиентом. В случае наличия кредитного договора операции с использованием карт осуществляются за счет заемных средств, — такие карты являются кредитными. При осуществлении операций за счет денежных средств клиента, находящихся на его банковском счете, или кредита, предоставляемого кредитной организацией, — карты будут расчетными.

Однако, дополнительно к вышеназванным существуют также и неплатежные кредитные и расчетные карты. Такие карты используются для оплаты проезда в транспорте (транспортные), оплаты телефонных разговоров (телефонные), топлива на АЗС (топливные), товаров в магазинах (торговые). При использовании таких карт происходит подтверждение полномочий держателя. В случае применения схем с использованием авансовых платежей — они являются расчетными, при работе по кредитной схеме — кредитными.

В любом случае, при расследовании преступления, предусмотренного ст. 187 УК РФ необходимо провести исследование и установить, что карта является именно кредитной или расчетной, а не какой-либо иной (например, клубной, дисконтной, идентификационной и пр.).

Поскольку, нормативно наиболее полно определены банковские платежные карты, в дальнейшем в данной работе будут рассмотрены именно они.

Заметим, что клиентом кредитной организации может быть юридическое лицо, физическое лицо или индивидуальный предприниматель. В то же время держателем карты всегда является физическое лицо, в том числе и корпоративных карт, поскольку карта — это индивидуализированный инструмент доступа к банковскому счету (в случае корпоративных карт счет принадлежит юридическому лицу).

Получается, что характеристика платежной карты (кредитная или расчетная) определяется не какими-то внешними параметрами (реквизиты, дизайн, защитные элементы и др.), а договором между клиентом и эмитентом.

Согласно нормам Положения ЦБ РФ № 266-П:

ПОЛОЖЕНИЕ

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

№ 266-П

24 декабря 2004 г.

ОБ ЭМИССИИ БАНКОВСКИХ КАРТ И ОБ ОПЕРАЦИЯХ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ

<…>

Расчетная (дебетовая) карта предназначена для совершения операций ее держателем в пределах установленной кредитной организацией — эмитентом суммы денежных средств (расходного лимита), расчеты по которым осуществляются за счет денежных средств клиента, находящихся на его банковском счете, или кредита, предоставляемого кредитной организацией — эмитентом клиенту в соответствии с договором банковского счета при недостаточности или отсутствии на банковском счете денежных средств (овердрафт).

(В ред. Указания ЦБ РФ от 21 сентября 2006 г. № 1725-У)

<… >

Кредитная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах установленного лимита в соответствии с условиями кредитного договора.

Означает ли это, что для доказательства подделки кредитной или расчетной карты необходимо наличие банковского договора, который бы определял характер подлинной платежной карты, которая была подделана? Со всей очевидностью можно сказать, что нет. Это обусловлено технологией функционирования платежных банковских карт. Дело в том, что можно изготовить поддельную кредитную или расчетную карту, подлинного аналога которой не существует, но с помощью такой поддельной карты можно совершить операцию оплаты. Для пояснения данного утверждения можно провести аналогию с подделкой денежных средств.

Например, можно изготовить поддельные денежные знаки номера и серии, которых никогда не выпускались «Госзнаком», но при достаточно хорошем уровне подделки такие денежные знаки вполне могут быть сбыты и пущены в обращение.

Аналогичная ситуация возможна и с поддельными кредитными и расчетными картами.

Например, в торговых предприятиях возможно совершение так называемых подлимитных операций. Устанавливается определенный предел суммы транзакции, по которой торгово-сервисное предприятие может не запрашивать авторизацию (разрешение на совершение операции), сумма определяется эквайрером в договорах с предприятием, зависит от региона, категории торговой точки, карточного продукта и других условий). В результате таких операций, запрос на авторизацию (разрешение) эмитенту не направляется, но операция оплаты совершается. В таком случае могут производиться операции оплаты с использованием несуществующих номеров карт (т. е. данному номеру карты нет соответствующей реальной карты, следовательно, нет и никакого договора между клиентом и банком) либо по картам срок действия которых еще не истек, но договор с клиентом по каким-либо причинам расторгнут и банковский счет закрыт.

Таким образом, поддельная кредитная или расчетная карта — это не только копия или имитация подлинной платежной карты, которая связана с каким-либо кредитным договором или с договором банковского счета, но и любая карта, которая может быть использована в технологии функционирования платежной системы в качестве кредитной или расчетной.

Таким образом поддельная кредитная или расчетная карта — карта, выпущенная (эмитированная) не эмитентом, но с помощью которой, можно составить документы на бумажном носителе и (или) в электронной форме, являющиеся основанием для осуществления расчетов и (или) служащие подтверждением совершения операции с использованием такой карты.

Поддельная кредитная, расчетная карта —

а) карта, выпущенная (эмитированная) не эмитентом и не платежной системой, но имеющая такие технические характеристики и (или) внешний вид, которые позволили бы ее использование в безналичных расчетах и она может быть воспринята участниками платежной системы в качестве кредитной или расчетной;

б) карта, выпущенная эмитентом (платежной системой) и несанкционированно модифицированная таким образом, что позволило бы ее использование в безналичных расчетах, и она может быть воспринята участниками платежной системы в качестве кредитной или расчетной.

Дополнительно Положение ЦБ РФ № 266-П ЦБ РФ вводит понятие предоплаченной карты, которое обособлено от кредитных и расчетных карт. В то же время карты, в том числе предоплаченные, не являются платежными документами, согласно п. 1.4 данного Положения — это инструмент безналичных расчетов:

ПОЛОЖЕНИЕ

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

№ 266-П

24 декабря 2004 г.

ОБ ЭМИССИИ БАНКОВСКИХ КАРТ И ОБ ОПЕРАЦИЯХ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ

<… >

1.4. На территории Российской Федерации кредитные организации — эмитенты осуществляют эмиссию банковских карт, являющихся видом платежных карт как инструмента безналичных расчетов, предназначенного для совершения физическими лицами, в том числе уполномоченными юридическими лицами (далее — держатели), операций с денежными средствами, находящимися у эмитента, в соответствии с законодательством Российской Федерации и договором с эмитентом.

<… >

Таким образом, предоплаченные карты в качестве предмета преступления не попадают под действие ст. 187 УК РФ. В связи с этим, при квалификации преступлений по данной статье необходимо обязательно установить, что платежная банковская карта является кредитной или расчетной, но не предоплаченной.

Вторая проблема данной статьи заключается в отсутствии четкого определения понятия сбыта поддельных кредитных, расчетных карт или иных платежных документов.

До недавнего времени по поводу сбыта поддельных кредитных или расчетных карт существовали довольно противоречивые мнения.

Одни авторы считали, что: «…целесообразно считать сбытом применительно к ст. 187 УК РФ только отчуждение самой пластиковой карты.» [161]Кожевников И. Н. Расследование преступлений в сфере экономики: Руководство для следователей. М.: Спарк, 1999. С. 311.
«Под сбытом в данном случае понимается продажа, дарение, мена, совершение иных сделок с платежным документом, предполагающим переход кредитной карточки к иному (нежели изготовитель поддельного документа) владельцу ».

Существует и иная точка зрения: «Под сбытом предметов преступления понимают любые возмездные, так и безвозмездные формы их введения в оборот .» «Моментом окончания сбыта поддельных платежных документов следует считать: момент получения денег или услуг по поддельной карте; момент оплаты товаров с помощью поддельных документов ;».

Подтверждение второй точки зрения можно найти и в судебной практике.

Так 3 ноября 2005 г. судья Тверского районного суда г. Москвы С. (Дело № 1-661), рассмотрев в открытом судебном заседании в особом порядке принятия судебного решения уголовное дело в отношении Б., обвиняемого в совершении преступлений, предусмотренных ст. ст. 33 ч. 5 -187 ч. 1 (9 эпизодов), 159 ч. 2 (23 эпизода), 30 ч. 3, 159 ч. 2 УК РФ, установил (извлечение):

Подсудимый Б. виновен в том, что совершил пособничество в изготовлении в целях сбыта поддельных расчетных карт.

Так он (Б.), имея преступный умысел, направленный на пособничество в изготовлении поддельной расчетной карты в целях ее последующего незаконного использования, в марте 2004 г., находясь в г. Москве, вступил с не установленным следствием лицом с псевдонимом «Triada» (Триада) в преступный сговор, распределив между собой преступные роли. Действуя во исполнение намеченной преступной цели, он (Б.), совместно с не установленным следствием лицом с псевдонимом «Triada» (Триада), разработал план совершения преступлений, согласно которому между соучастниками были четко распределены преступные роли. Согласно разработанному плану совершения преступлений и распределению ролей, его не установленный следствием соучастник с псевдонимом «Triada» (Триада) при оказании им (Б.) содействия при изготовлении в целях сбыта поддельной расчетной карты, заключающимся в передаче им своих анкетных данных, должен был изготовить поддельную расчетную карту международной платежной системы Виза на имя B. (Б.), которую затем передать ему (Б.), в целях последующего незаконного использования им лично. Используя предоставленные им (Б.) анкетные данные, не установленный следствием соучастник с псевдонимом «Triada» (Триада) при не установленных следствием обстоятельствах в конце марта 2004 г. изготовил поддельную расчетную карту международной платежной системы Виза № 4562 __3816 на имя B. (Б.), не соответствующую стандартам международной платежной системы Виза, но имеющую существенное сходство по форме, размеру, цвету и другим основным реквизитам с находящимися в обращении подлинными расчетными картами международной платежной системы Виза, после чего, в конце марта 2004 г., согласно ранее достигнутой договоренности, при не установленных следствием обстоятельствах, не установленное следствием лицо с псевдонимом «Triada» (Триада) передало ему (Б.) вышеуказанную поддельную расчетную карту.

Вина подсудимого, помимо признания им своей вины, подтверждается собранными по делу доказательствами, полученными в соответствии с нормами УПК РФ, совокупность которых дает суду основание прийти к выводу о виновности Б. и действия его квалифицировать по ст. ст. 33 ч. 5, 187 ч. 1 УК РФ (по девяти эпизодам преступной деятельности), так как он совершил пособничество в изготовлении в целях сбыта поддельных расчетных карт,

приговорил:

Б. признать виновным в совершении преступлений, предусмотренных ст. ст. 33 ч. 5 — 187 ч. 1 УК РФ по девяти эпизодам преступной деятельности, ст. 159 ч. 2 УК РФ по двадцати трем эпизодам преступной деятельности, ст. ст. 30 ч. 3,159 ч. 2 УК РФ и назначить ему наказание: за каждое из девяти преступлений, предусмотренных ст. ст. 33 ч. 5 — 187 ч. 1 УК РФ в виде двух лет лишения свободы со штрафом в сумме 100 000 (сто тысяч) рублей.

На основании ст. 73 УК РФ назначенное Б. наказание в виде лишения свободы считать условным.

Данный приговор не является единичным случаем.

25 сентября 2006 г. судья Приморского районного суда г. Санкт-Петербурга Ц. (Дело № 1-959/06), рассмотрев в открытом судебном заседании в особом порядке материалы уголовного дела в отношении А., обвиняемого в совершении преступлений, предусмотренных ст. ст. 327 ч. 2, 187 ч. 1, 30 ч. 3, 159 ч. 1 УК РФ, установил (извлечение):

А. Совершил изготовление в целях сбыта и сбыт поддельной расчетной карты с целью дальнейшего её использования в корыстных целях в неустановленное время в период не позднее 27.07.2005 г. в неустановленном месте незаконно изготовил расчетную банковскую карту международной платежной системы Visa № 4921 __1129 на имя С., принадлежащую ирландскому банку Allied Irish Bank, затем 27.07.2005 г. около 20 часов 35 минут, находясь в магазине «М», выбрал товар — ноутбук фирмы «Samsung» стоимостью 32 390 рублей, выписал на него у продавца товарный чек, после чего предъявил к оплате на расчетно-кассовом узле товарный чек вместе с поддельной банковской картой международной платежной системы Visa № 4921 __1129 на имя С., принадлежащей ирландскому банку Allied Irish Bank, тем самым осуществив сбыт расчетной карты.

Приговорил:

Признать А. Виновным в совершении преступлений, предусмотренных ст. ст. 327 ч. 2, 187 ч. 1,159 ч. 1 УК РФ и назначить ему наказание:

— по ст. 187 ч. 1 УК РФ — в виде 2 (двух) лет лишения свободы без штрафа.

Наказание считать условным.

Следует заметить, что имеет место некоторая неопределенность в данном вопросе. Завидов Б. Д. несколько противоречит самому себе: в п. 4 своего комментария ст. 187 УК РФ говоря, что «Определения понятия «изготовление в целях сбыта» — см. в п. 8 комментария к ст. 186 УК» [165]Завидов Б. Д., Попов И. А., Сергеев В. И. Уголовно-правовой анализ преступлений в сфере экономической деятельности (комментарий Уголовного Законодательства России) (постатейный). Текст подготовлен для СПС «КонсультантПлюс».
, т. е. признавая аналогию понятия в ст. 186 и ст. 187 УК РФ, но в п. 5 комментария считая, что «Аналогию со сбытом поддельных денег и ценных бумаг здесь проводить нельзя… Действия, заключающиеся в использовании поддельной карты самим изготовителем для получения по ней наличных денежных средств или оплаты товаров и услуг, следует рассматривать в качестве мошенничества .» Такую же неясность можно обнаружить еще в одном комментарии ст. 187 УК РФ А. В. Наумова: «Под сбытом указанных карт и других платежных документов должно бы в принципе пониматься как их отчуждение (реализация), так и использование в качестве платежного средства, т. е. для оплаты товаров и услуг. Вместе с тем следует признать правильной точку зрения, выражающуюся в том, что при оплате кредитной картой сама карта остается во владении изготовителя или приобретателя поддельной пластиковой карты» [167]Наумов А. В. Практика применения Уголовного Кодекса Российской Федерации: комментарий судебной практики и доктринальное толкование, (постатейный) / под ред. Г. М. Резника. М.: Волтерс Клувер, 2005.
. Наличие неопределенности по рассматриваемому вопросу можно проследить и в комментариях к Уголовному кодексу РФ под редакцией Председателя Верховного Суда Российской Федерации В. М. Лебедева. Если в комментарии к ст. 187 УК РФ 2000 г. говорится, что: «Определение понятий «изготовление» и «сбыт поддельных платежных документов» — см. п. 5, 7 комментария к ст. 186 УК.». То уже в комментарии 2005 г. понятия «изготовление» и «сбыт» не упоминаются совсем.

Представляется, что некоторая определенность в данном споре была внесена постановлением Пленума Верховного Суда РФ от 27 декабря 2007 г. № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» (далее — Постановление ВС РФ от 27 декабря 2007 г. № 51). Классификация хищения денежных средств путем использования похищенной или поддельной кредитной (расчетной) карты (см. п. 13) в банкоматах, пунктах выдачи наличных (ПВН) кредитных организаций, торгово-сервисных предприятиях (ТСП) дана либо как кража (ст. 158 УК РФ), либо как мошенничество (ст. 159 УК РФ).

Однако, Постановление ВС РФ от 27 декабря 2007 г. № 51 ставит больше вопросов, чем дает ответов. Рассмотрим некоторые из них.

Почему-то в данном Постановлении отсутствует определение понятия «сбыт»? Хотя, например, в Постановлении Пленума Верховного Суда РФ от 28 апреля 1994 г. № 2 «О судебной практике по делам об изготовлении или сбыте поддельных денег и ценных бумаг» (далее — Постановлении ВС РФ от 28 апреля 1994 г. № 2) данное понятие определено достаточно четко.

Проанализируем п. 14 Постановления ВС РФ от 27 декабря 2007 г. № 51:

«Изготовление лицом поддельных банковских расчетных либо кредитных карт для использования в целях совершения этим же лицом преступлений, предусмотренных частью 3 или частью 4 статьи 159 УК РФ…»,

т. е. в целях совершить мошенничество:

• с использованием своего служебного положения;

• в крупном размере;

• организованной группой;

• в особо крупном размере

«…следует квалифицировать как приготовление к мошенничеству »

При этом не разъяснено следующее:

1) как квалифицировать изготовление поддельных небанковских расчетных либо кредитных карт, например, American Express, Diners Club, JCB в тех же целях?

2) как квалифицировать изготовление поддельных банковских расчетных либо кредитных карт в целях «хищения чужих денежных средств», «если выдача наличных денежных средств осуществляется посредством банкомата»? Поскольку в п. 13 этого же постановления хищение денежных средств с использованием банкоматов квалифицируется не как мошенничество, а как кража. Под данный вид поддельных карт попадает так называемый «белый пластик», использование, которого в последнее время отмечено во всё возрастающих объемах;

3) дополнительно следует отметить, что в связи с тем, что доказать приготовление к хищению денежных средств в крупном или особо крупном размере при изготовлении поддельных банковских расчетных либо кредитных карт иностранных банков эмитентов крайне сложно, так как практически нереально получить от иностранного банка информацию о размере банковского счета, с которого осуществлялось приготовление к хищению денежных средств, то и квалифицировать данным образом такое преступление будет также невозможно. При этом в настоящий момент на территории России в большей части похищаются денежные средства со счетов держателей карт иностранных эмитентов.

Далее в п. 14 Постановление ВС РФ от 27 декабря 2007 г. № 51 указано, что «Сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, заведомо непригодных к использованию, образует состав мошенничества и подлежит квалификации по соответствующей части статьи 159 УК РФ».

Здесь также возникает ряд вопросов.

1. Кто и на каком этапе уголовного преследования определяет, что карта заведомо непригодная к использованию?

Понятие поддельной или подлинной кредитной или расчетной карты является юридическим, следовательно, вывод об этом должен делать следователь. Однако следователь не обладает специальными познаниями и самостоятельно сделать вывод, что карта поддельная и пригодна к использованию не может. Помочь следователю в этом вопросе должна экспертиза, которая даст необходимые и достаточные данные для признания карты подлинной или поддельной. Но в настоящий момент в России не создана единая методика осуществления экспертиз поддельных кредитных, расчетных карт. Работы над ней еще только ведутся. Нет даже четкого и единообразного понимания, определения понятий «поддельная кредитная», «поддельная расчетная» карта. В России не создана система институтов производства экспертизы поддельных кредитных, расчетных карт. Специалисты экспертно-криминалистических подразделений МВД РФ не обладают всей полнотой информации, необходимой для производства экспертиз. Так как основная информация, на основании которой возможно проведение исследования в отношении подлинности кредитных, расчетных карт, например международных платежных систем VISA и MasterCard, является конфиденциальной и доступной только банкам членам данных систем.

2. Какие карты являются заведомо непригодными к использованию?

Если посмотреть на оборотную сторону международных банковских карт VISA и MasterCard, а именно их подделывают в наибольшем количестве, то можно прочитать следующую надпись «Not valid unless signed» «Недействительна без подписи». Правила приема и обработки платежных карт для менеджеров и кассиров торговых точек также гласят, что карты без образца подписи клиента к обслуживанию не принимаются. Следует ли из этого, что изготовление с целью сбыта поддельных кредитных или расчетных карт, даже очень высокого качества, но без подписи держателя не образует состава преступления по ст. 187 УК РФ, так как такие карты будут заведомо непригодными к использованию и в этом случае сбыт таких карт необходимо классифицировать как мошенничество? Для этого необходимо выяснить — кому могут быть сбыты поддельные кредитные либо расчетные карты, в том числе и заведомо непригодные к использованию, если под сбытом понимать только физическое отчуждение таких карт?

Банковские карты предназначены для осуществления безналичных расчетов. Согласно п. 3 ст. 861 ГК РФ «безналичные расчеты производятся через банки, иные кредитные организации», а Положение ЦБ РФ № 266-П регламентирует совершение операций с использованием расчетных, кредитных карт по банковскому счету, что эмиссию (выпуск) расчетных, кредитных банковских карт могут осуществлять только банки (кредитные организации). Причем держатель карты не является её собственником (при выдаче карт банки их не продают и не дарят), карта остается в собственности банка. Для получения карты, клиент должен заключить договор с банком. Расчетные и кредитные карты привязываются к конкретному счету в банке, по стандартным условиям договора между банком и клиентом карту нельзя передавать для совершения операций другим лицам, в случае передачи карты другому лицу, происходит нарушение условий договора. Получается, что единственным местом, где держатель может законно получить кредитную или расчетную банковскую карту является какое-либо отделение банка. Более того, данный факт получения карты — это единственный законный способ её отчуждения, единственный легитимный способ сбыта (если под сбытом понимать физическое отчуждение карты). Все другие способы сбыта (в смысле отчуждения карты) просто не предусмотрены технологий обращения банковских кредитных, расчетных карт.

Поэтому непонятно, о каком обмане приобретателя карты и его роли в качестве потерпевшего может идти речь, если кредитную или расчетную банковскую карту в России можно получить только в банке.

«При сбыте поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, лицом, их не изготавливавшим, необходимо осознание факта поддельности предмета преступления .» Если кто-то приобретает кредитную или расчетную банковскую карту не в банке, то он явно осознает, что она поддельная и предназначена для незаконного доступа к какому-либо банковскому счету, с целью хищения находящихся там денежных средств, так как согласно Положению ЦБ РФ № 266-П кредитной или расчетной карте обязательно должен сопутствовать какой-либо договор банка с клиентом (кредитный, банковского счета, др.).

Получается нелепая ситуация: лицо, которое использует или сбывает поддельную карту, может заявить, что само является жертвой обмана. Так как считало, что приобрело (скорее всего, у неизвестного лица) кредитную карту, с помощью которой рассчитывало осуществить покупки, а его грубо обманули — карта оказалась поддельной. Данный абсурд характеризует непонимание технологии обращения и оборота платежных карт, непонимание, что карта не является платежным документом и сама по себе ценности не представляет. Нельзя на улице или в Интернете за 100 долл. купить настоящую кредитную карту, по которой доступно 1000 долларов. Такое предлагают некоторые web-сайты, которые как раз и продают поддельные карты. Это все равно, что за 100 руб. купить 1000-рублевую купюру. Более того, собственно по карте невозможно определить является она кредитной, расчетной или предоплаченной, так как данная характеристика не связана с физическим носителем (собственно кусочком пластика). Данный признак связан с договорными отношениями между банком и клиентом и как следствие с характером банковского счета, доступ к которому обеспечивает карта.

Таким образом, легальный сбыт кредитной или расчетной карты, предполагающий её отчуждение, может быть произведен только в виде выдаче её кредитной организацией держателю в пользование (владение). Отчуждение поддельных кредитных либо расчетных карт в ином виде может происходить только при их незаконном обороте, когда и сбытчик (продавец) и приобретатель (покупатель) прекрасно осознают, что карты поддельные. Если же были сбыты заведомо непригодные к использованию поддельные карты, то потерпевшим, которому причинен ущерб, будет лицо, приобретающее поддельные карты, осознающее это, но рассчитывающее, что данные карты являются пригодными для хищения денежных средств. Парадокс ситуации заключается в том, что абзац третий п. 14 Постановления ВС РФ от 27 декабря 2007 г. № 51 от защищает интересы лиц, которые сознательно приобретают поддельные карты.

При ответе на вопрос: может ли представленная на экспертизу пластиковая карта быть воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной на определенную дату или период времени? — необходимо учитывать, что платежные системы обладают следующими особенностями по совершению платежных операций с помощью банковских карт:

• офф-лайн транзакции;

• транзакции без ПИН-кода;

• транзакции с использованием терминалов самообслуживания;

• осуществление транзакции с использованием информации как с 1-й, так и со 2-й дорожки;

• транзакции с использованием импринтера.

Поддельная кредитная или расчетная карты может быть предназначена для использования её только определенным образом, например, в качестве «белого пластика», либо с использованием импринтера, либо на подлимитных операциях и др., а не в качестве полноценного банковского продукта.

Чтобы определить, что пластиковая карта может быть воспринята платежной системой в качестве кредитной или расчетной, необходимо заключение эксперта о возможности («пригодности») использования исследуемой карты определенным образом в определенный момент времени в технологии платежных карт, в том числе «белого» пластика и карт, имеющих номера, которые еще никому не выдавались.

В отношении же сбыта неподписанных поддельных кредитных либо расчетных карт можно сделать следующие выводы. Некоторые товары обладают такими свойствами, что для их нормального потребительского использования приобретатель должен самостоятельно дополнительно проделать определенные действия. Например, приобретая телевизор, покупатель самостоятельно подключает его к телевизионной антенне. Подлинная банковская карта, которую держатель легально получает в банке, также выдается без подписи, клиент самостоятельно должен расписаться на карте и только после этого карта будет принята для обслуживания в ТСП. Поэтому отсутствие подписи на карте не может говорить о её непригодности. Во-первых такую карту можно использовать, например в банкоматах или в терминалах самообслуживания. Во-вторых, если бы подлинная карта без подписи считалась бы непригодной, то клиент на основании Закона РФ от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей» (в ред. Федеральных законов от 9 января 1996 г. № 2-ФЗ, от 17 декабря 1999 г. № 212-ФЗ, от 30 декабря 2001 г. № 196-ФЗ, от 22 августа 2004 г. № 122-ФЗ, от 2 ноября 2004 г. № 127-ФЗ, от 21 декабря 2004 г. № 171-ФЗ, от 27 июля 2006 г. № 140-ФЗ, от 16 октября 2006 г. № 160-ФЗ, от 25 ноября 2006 г. № 193-ФЗ, от 25 октября 2007 г. № 234-ФЗ) (далее — Закон РФ № 2300-1) от мог бы заявить, что кредитная либо расчетная карта была ему выдана ненадлежащего качества и потребовать соразмерного уменьшения покупной цены (п. 1 ст. 18 Закона РФ № 2300-1). Это в настоящий момент не возможно, так как подлинная кредитная или расчетная карта без подписи держателя считается, выдавшим её эмитентом, продуктом надлежащего качества, т. е. «пригодной».

Подводя итог вышесказанному, можно сделать вывод, что не являются уголовным преступлением следующие деяния:

1) изготовление с целью сбыта и сбыт поддельных предоплаченных платежных (в том числе банковских) карт;

2) изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения этим же лицом не квалифицированного мошенничества, а также мошенничества группой лиц по предварительному сговору или с причинением значительного ущерба гражданину;

3) в связи с трудностью получения информации от иностранных банков невозможно будет квалифицировать как преступное действие изготовление поддельных банковских расчетных либо кредитных карт иностранных банков эмитентов в целях хищения чужих денежных средств, в крупном или особо крупном размере.

Почему возникают такие проблемы при квалификации по ст. 187 УК РФ. Видимо из-за непонимания технологии обращения платежных кредитных, расчетных карт.

Обратимся к Постановлению ВС РФ от 28 апреля 1994 г. № 2:

«В тех случаях, когда явное несоответствие фальшивой купюры подлинной, исключающее ее участие в денежном обращении, а также иные обстоятельства дела свидетельствуют о направленности умысла виновного на грубый обман ограниченного числа лиц, такие действия могут быть квалифицированы как мошенничество.»

То есть, отграничение классификации по ст. 186 УК РФ от мошенничества происходит на основании критерия возможности участия подделки в денежном обращении. Оборот наличных денежных средств происходит при различных способах их отчуждения. Совершенно иначе обстоит дело с обращением кредитных и расчетных карт. Нельзя комментировать ст. 187 УК РФ, не учитывая или не зная особенностей и технологии функционирования платежных систем.

Законодатель не совсем корректно сформулировал ст. 187 УК РФ, по смыслу приравняв кредитные и расчетные карты к платежным документам. Что негативно отразилось и на мнении некоторых юристов: «Кредитные и расчетные карты — это электронные платежно-расчетные документы, используемые их держателями (клиентами кредитных организаций и их уполномоченными представителями) в безналичных расчетах» [174]Уголовное право Российской Федерации. Особенная часть: учеб., изд. исправ. и доп. / под ред. Л. В. Иногамовой-Хегай, А. И. Рарога, А. И. Чучаева. М.: Инфра-М; Контракт, 2006.
. В действительности же сами карты никакими платежными документами не являются. Так в Положении ЦБ РФ № 266-П банковская карта определяется как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами. Карта — это не платежный документ. Карта является лишь средством, инструментом осуществления безналичных расчетов. Сама по себе карта имеет незначительную стоимость, ценность представляют денежные средства, к которым с помощью карты можно получить доступ. Этот доступ осуществляется путем направления в банк документов (составленных с использованием платежных карт или их реквизитов) на бумажном носителе и (или) в электронной форме. «Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения.» [175]Положение ЦБ РФ от 24 декабря 2005 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» // Вестник Банка России. 2005. № 17. 30 апр.

Никакое торговое предприятие не отпустит товар в обмен на карту, в отличии, например, от денег. Если держатель карты желает оплатить покупку картой, то он предъявляет ее кассиру, который с использованием данной карты формирует электронный или бумажный расчетный (платежный) документ и карта возвращается клиенту. Составленный таким образом документ направляется в обслуживающий торговое предприятие банк эквайрер для возмещения суммы покупки (оплаты платежного документа) за вычетом суммы торговой уступки.

Данная технология кардинально отличается от оборота наличных денежных средств. Действительно, если покупатель хочет расплатиться наличными, то ему придется отдать кассиру свои денежные средства, а не делать, допустим, с них копии, чтобы предложить их в качестве средства оплаты. В связи с этим, нельзя приравнивать понятие оборота поддельных денег, как их физическое отчуждение, к обороту поддельных кредитных, расчетных карт таким же образом.

Поскольку законодатель не определил, что же является сбытом поддельных кредитных и расчетных карт, то необходимо проанализировать ст. 187 УК РФ с точки зрения общих понятий уголовного законодательства.

В п. 1 ст. 14 УК РФ дается следующее определение «преступления»:

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

13 июня 1996 г. № 63-Ф3

<… >

Статья 14. Понятие преступления

1. Преступлением признается виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания.

<… >

Деяние «сбыт», предусмотренное ст. 187 УК РФ, должно быть общественно опасным. В чем же заключается эта опасность, каким общественным отношениям оно угрожает? Как уже было отмечено «общественная опасность преступления заключается в том, что оно посягает на основы экономической безопасности и финансовой устойчивости государства, нормальный порядок безналичных расчетов и полноценное функционирование рыночных институтов» [176]Комментарий к Уголовному кодексу Российской Федерации. 3-е изд., перераб. и доп. / отв. ред. А. А. Чекалин; под. ред. В. Т. Томина, В. В. Сверчкова. М.: Юрайт-Издат, 2006. С. 610.
.

Получается, что факт сбыта поддельных кредитных и расчетных банковских карт должен, например, нарушать нормальный порядок безналичных расчетов. Но сбыт поддельных кредитных, расчетных карт заключающийся в «дарении, даче взаймы, продаже и любом другом способе отчуждения» [177]Комментарий к Уголовному кодексу Российской Федерации. 3-е изд., перераб. и доп. / отв. ред. А. А. Чекалин; под. ред. В. Т. Томина, В. В. Сверчкова. М.: Юрайт-Издат, 2006. С. 611.
сам по себе не несет общественной опасности основам экономической безопасности и финансовой устойчивости государства, нормальному порядку функционирования безналичных расчетов. Представляется, что подделка банковских карт имеет меньшую степень общественной опасности, чем их использование. Изготовление поддельной банковской карты хотя и нарушает правоотношения в сфере эмиссии карточных продуктов, но не причиняет реального имущественного ущерба. Материальный ущерб — следствие использования подделки [178]Потапенко Н. С. О проблемах уголовной ответственности за преступления с использованием банковских карт // Уголовное право. 2007. № 4.
™.

Поддельная кредитная, расчетная карта в отрыве от денежных средств, к которым с помощью неё можно получить доступ, не имеет ценности ни для преступников, ни для банков, ни для торговых предприятий. Опасность представляют изготовленные с использованием таких карт и направленные в банки расчетные (платежные) документы. «Изготовление поддельных пластиковых карт (кредитной или расчетной) означает изготовление карты, использование которой связывается с возможностью незаконного получения или незаконного расходования денежных средств.» [179]Наумов А. В. Практика применения Уголовного кодекса Российской Федерации: комментарий судебной практики и доктринальное толкование, (постатейный) / под ред. Г. М. Резника. М.: Волтерс Клувер, 2005.

Качество изготовленной поддельной кредитной и расчетной карты большого значения не имеет. Дело в том, что поддельные платежные карты, даже очень низкого качества, при наличии на них копии информации с подлинной карты, позволяют с их помощью изготовить поддельный расчетный (платежный) документ и направить его в банк. Например, с использованием «белого пластика» можно получить наличные денежные средства в банкомате. В данном случае платежные документы, изготовленные с использованием таких карт, банк не в состоянии идентифицировать как поддельные.

Обращение кредитных, расчетных карт с точки зрения участников платежных систем заключается не «в дарении, даче взаймы, продаже и любом другом способе отчуждения», как в случае с наличными денежными средствами, а в использовании их как «инструмента безналичных расчетов, предназначенного для совершения… операций с денежными средствам ». Следовательно, нельзя трактовать понятие «сбыт» в его узком значении, только как отчуждение предмета сбыта. Таким образом, общественно опасный сбыт поддельных кредитных и расчетных карт может быть двух видов:

1) когда предметом оборота являются собственно поддельные карты, т. е. лицо, сбывающее подделку, не скрывает, что карта поддельная, в этом случае имеет место незаконный оборот таких карт (вне платежных систем и кредитных организаций).

2) когда поддельные карты вводятся в законный оборот, т. е. с их использованием формируются платежные и иные документы, осуществляются расчеты и др. В этом случае осуществляется отчуждение не самих карт, а отчуждение нанесенной на них информации (её копирование, передача), формирование на её основе расчетных (платежных) документов, которые направляются в кредитные организации для оплаты.

Именно эти действия являются общественно опасными, посягают на основы экономической безопасности и нормальный порядок безналичных расчетов.

Так как цель любого экономического преступления состоит в получении материальной выгоды, то конечной целью изготовления поддельной банковской карты является ее использование в качестве инструмента доступа к банковскому счету и хищение денежных средств. Сама по себе поддельная карта никакой ценности не представляет. Например, даже очень хорошая подделка, не дающая доступ к банковскому счету с денежными средствами (счет заблокирован или баланс нулевой), ничего не будет стоить. Мошенник просто ее выбросит, если только не продаст (путем обмана) другому мошеннику как действующую. Совершенно логичным выглядит умысел преступников при изготовлении поддельных карт, как изготовление инструмента (орудия) хищения денежных средств.

Заместитель Председателя Верховного Суда РФ В. П. Верин считает, что объективная сторона преступления по ст. 187 УК РФ отличается от объективной стороны состава, предусмотренного ст. 186 УК РФ, лишь предметом преступления. То есть понятие сбыта вполне можно трактовать и как незаконное приобретение лицом чужого имущества в результате совершенных им операции с поддельными кредитными или расчетными картами.

Мошенничество

Несмотря на вышеприведенные аргументы, на практике сотрудники банков очень часто сталкиваются с ситуацией, когда при использовании поддельных карт в предприятиях торговли, правоохранительными органами возбуждаются уголовные дела не по ст. 187 УК РФ, а по ст. 159 УК РФ (мошенничество).

Рассмотрим, какие же сложности возникают при квалификации преступления по данной статье Уголовного кодекса.

Сложность данной статьи в применении к платежным картам заключается в пересечении сразу трех областей знания — уголовного права, гражданского права и карточных технологии.

Прежде чем анализировать ст. 159 УК РФ рассмотрим обобщенную технологию осуществления расчетов с использованием платежных карт. В общем случае платеж осуществляется следующим образом (рис. 1).

1. Держатель при оплате товаров (услуг) предъявляет платежную карту (либо ее реквизиты), используя которую, предприятие торговли формирует расчетный документ (бумажный либо в электронном виде) и направляет этот документ в банк-эквайрер.

2. Эквайрер через платежную систему (ее расчетный банк) направляет расчетный документ в банк-эмитент.

3. Расчетный банк списывает средства со счета банка-эмитента и зачисляет их на счет банка-эквайрера.

4. Эквайрер, получив денежные средства, зачисляет их на счет предприятия торговли.

5. На основании полученного документа, эмитент производит списание со счета владельца (в случае дебетовой карты) или выставляет клиенту счет (при кредитной карте).

Рассмотрим ст. 159 УК РФ.

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

13 июня 1996 г.

№ 63-Ф3

<…>

Статья 159. Мошенничество

(В ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ)

1. Мошенничество, т. е. хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием, —

<… >

Поскольку мошенничество является одним из видов хищения, то ему присущи общие признаки, названные в Примечании 1 к ст. 158 УК РФ (Кража).

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

13 июня 1996 г.

№ 63-Ф3

Статья 158. Кража

<… >

Примечания. 1. Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.

<… >

Причинение ущерба собственнику или иному владельцу является обязательным признаком хищения. Иными словами, если нет ущерба, то нет и преступления. В случае наличия мошеннических операций по банковским картам в эквайринговой сети многие банки не заявляют о причиненном им ущербе, так как на основании правил платежных систем они получают (как правило) возмещение по данным операциям и финансовая ответственность возлагается на эмитентов. Поскольку нет ущерба, то правоохранительные органы не возбуждают уголовные дела и уголовное преследование и наказание виновных лиц не происходит. Такое положение порождает элемент безнаказанности в данной преступной среде.

Уголовный кодекс РФ не определяет, что такое убытки, но данное понятие есть в ст. 15 ГК РФ.

ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

30 ноября 1994 г.

№ 51-ФЗ

<… >

Статья 15. Возмещение убытков

<… >

2. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

<… >

Мошенничество, т. е. хищение чужого имущества совершенное путем обман или злоупотребления доверием признается оконченным с момента когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению.

В связи с данным определением момента окончания преступления, представляется весьма спорной позиция некоторых специалистов, которые квалифицируют деяние не по окончании совершения преступления, а по последующим событиям, не зависящим от виновного лица, делая попытки установить, кому в конечном итоге причинен ущерб и, в связи с этим, по разному квалифицируя одно и тоже событие. Что противоречит ч. 2 ст. 9 УК РФ.

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

13 июня 1996 г.

№ 63-Ф3

<… >

Статья 9. Действие уголовного закона во времени

<… >

2. Временем совершения преступления признается время совершения общественно опасного действия (бездействия) независимо от времени наступления последствий.

<… >

Представляется, что ошибку совершают также и те, кто пытается определить — кому же в результате мошеннического использования банковской карты в конечном итоге причинен ущерб: торговому предприятию, банку-эквайреру, банку-эмитенту, клиенту или страховой компании? Дело в том, что исходя из конкретных обстоятельств дела, правил платежных систем (которые могут меняться, например, перенос ответственности), квалификации сотрудников банков по претензионной работе, в конечном итоге, убытки может понести любой из перечисленных субъектов. Причем, в ходе претензионной работы сторона, несущая убытки, может меняться (возврат платежа, повторное представление документа, предарбитраж, арбитраж). При этом виновное лицо давно уже изъяло имущество в свою пользу и не имеет ни какого отношения к рассматриваемым гражданско-правовым событиям.

Еще раз обратимся к классической схеме преступления. Мошенник с использованием поддельной банковской карты произвел оплату товаров (работ, услуг) в организации торговли (услуг). При стандартном подходе в правоохранительные органы должно поступить заявление от лица, которому нанесен ущерб. Если опираться на технологию расчетов с использованием банковских карт, то получаем следующую ситуацию: предприятие торговли составляет расчетный документ и направляет его в банк-эквайрер, тот в свою очередь через платежную систему адресует его банку-эмитенту. И уже здесь, исходя из договора банковского счета (кредитный или дебетовый), норм местного законодательства, наличия договоров со страховыми компаниями и т. п., ущерб может быть нанесен держателю, эмитенту или страховой компании. Если карта была эмитирована иностранным банком, то получить заявление в российские правоохранительные органы практически не реально.

Чтобы выполнить требование правоохранительных органов о заявлении ущерба, рассмотрим ситуацию с мошенническим использованием платежной карты в эквайринговой сети несколько под другим углом, а именно с точки зрения российского гражданского законодательства.

Положение ЦБ РФ № 266-П не рассматривает все гражданско-правовые вопросы функционирования платежных карт. Более того, комплексное законодательное регулирование по данному вопросу в России отсутствует. В связи с этим, технология функционирования платежных карт регулируется отдельными договорами. В нашем случае обратим внимание на договор между эквайрером и торгово-сервисными предприятиями (договор об эквайринге).

Предметом данного договора со стороны предприятия является составление документов на бумажном носителе и (или) в электронной форме с использованием платежных карт или их реквизитов при совершении держателями покупок; а со стороны эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт (см. п. 1.9. Положения ЦБ РФ № 266-П). Иными словами эквайрер оплачивает предприятию суммы операций с использованием платежных карт за вычетом своей комиссии (торговой уступки). Согласно данному договору, эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила расчетный документ с использованием платежной карты и представила данный документ в банк-эквайрер для оплаты, то у банка возникает обязательство перечислить предприятию денежные средства по документу. Это обязательство не зависит от исполнения другими участниками платежной системы своих обязательств перед эквайрером. Например, если банк эмитент по каким-либо причинам не перечислил денежные средства эквайреру (например, ввиду переноса ответственности), последний все равно обязан рассчитаться с организацией торговли (услуг). Это позволяет рассматривать договор на эквайринговое обслуживание между банком и предприятием в отрыве от всей остальной платежной системы. Тогда, представленная выше, классическая мошенническая ситуация будет выглядеть следующим образом.

В организации торговли мошенник, выдавая себя за законного держателя банковской карты, составил расчетный документ. Данный расчетный документ был направлен в банк, который перечислил по нему денежные средства предприятию. Умысел злоумышленника направлен на обман банка эквайрера с тем, что бы тот за счет своих собственных средств (согласно договору на эквайринговое обслуживание) оплатил товар (услуги) и перечислил денежные средства на счет организации торговли. Таким образом, путем обмана (мошенник не является законным держателем карты) было совершено хищение безналичных денежных средств банка эквайрера. Так как эквайрер понес определенные расходы, связанные с оплатой представленного документа, на основании ст. 15 ГК РФ ему нанесен ущерб. Документом, подтверждающим ущерб, будет платеж банка-эквайрера организации торговли (услуг) по операции с платежной картой.

Данная схема была реализована на практике.

В одном из магазинов были произведены операции покупки товаров по поддельной банковской карте. В правоохранительные органы поступило от банка заявление:

«Согласно требованию п. 5.10. Положения ЦБ РФ от 9 апреля 1998 г. № 23-П на предприятии торговли в качестве платежа были составлены расчетные документы с использованием банковской карты принадлежащей банку N. (Барселона, Испания): в электронной форме и на бумажном носителе в виде квитанций терминала. На основании Договора о проведении расчетов при реализации товаров (работ, услуг) с использованием банковских карт между банком и предприятием торговли данные расчетные документы были приняты банком и денежные средства по данным операциям были перечислены предприятию. В связи с этим неустановленное лицо в магазине с использованием банковской карты совершило обманные действия, в результате которых в банк поступили поддельные платежные документы, которые были оплачены банком. Общий ущерб составил… рублей. В связи с вышеизложенным, прошу Вас провести проверку данного факта и возбудить уголовное дело.»

Правоохранительные органы установили лицо, совершившее операции с использованием поддельной банковской карты. По данному заявлению было возбуждено уголовное дело:

«Принимая во внимание, что имеются достаточные данные, указывающие на признаки преступления, предусмотренного ч. 2 ст. 159 УК РФ, руководствуясь ст. 140, 145, 146 (147) и частью первой ст. 156 УПК РФ,

ПОСТАНОВИЛ:

1. Возбудить уголовное дело в отношении Б. по признакам преступления, предусмотренного ч. 2 ст. 159 УК РФ.»

Банк был признан потерпевшим и от имени банка был заявлен гражданский иск:

«Из материалов данного уголовного дела следует, что Б. совершил хищение принадлежащих банку денежных средств в сумме… Прошу Вас признать банк в моем лице гражданским истцом по уголовному делу №… и принять необходимые меры к возмещению причиненного нашему банку материального ущерба.»

Гражданину Б. было предъявлено обвинение:

«Б. совершил мошенничество, т. е. хищение чужого имущества путем обмана и злоупотребления доверием, группой лиц по предварительному сговору.

25 июля 2004 г., примерно в 15 час. 31 мин., находясь в МАГАЗИНЕ, процессируемом БАНКОМ, он (Б.), действуя в группе лиц по предварительному сговору согласно распределению ролей и в осуществление единого преступного умысла со своим не установленным следствием соучастником с псевдонимом «Triada» (Триада), направленного на совершение мошенничества, т. е. хищения чужого имущества путем обмана и злоупотребления доверием, под видом добросовестного клиента, предъявил кассиру указанного салона поддельную расчетную карту Виза № 4 на имя B (Б), выдавая себя за законного держателя указанной карты, с целью похитить жидкокристаллическую панель фирмы «Тошиба», стоимостью 112.900 руб. После чего, кассир, будучи неосведомленным о поддельности расчетной карты Виза № 4 на имя B (Б), провел транзакцию по указанной расчетной карте, в результате чего с карточного счета № 4 были списаны денежные средства в сумме 112.900 руб. По завершении транзакции по расчетной карте Виза № 4 на имя B (Б), он (Б) исполнил свою подпись в чеке POS-терминала с кодом авторизации 844 735 и возвратил его кассиру, который, в свою очередь, передал ему (Б.) панель и возвратил указанную расчетную карту.

Таким образом, он (Б.), действуя в составе группы лиц по предварительному сговору, совершил хищение чужого имущества на сумму 112.900 руб., чем причинил материальный ущерб БАНКу на указанную сумму, т. е. совершил преступление, предусмотренное ч. 2 ст. 159 УК РФ.»

На судебном процессе банком было поддержано обвинение и заявленный гражданский иск. В данном судебном процессе приведенный случай был лишь одним из эпизодов. Выдержка из приговора суда:

«Гражданские иски потерпевших, заявленные в стадии предварительного следствия и поддержанные в судебном заседании представителями указанных потерпевших, которые подсудимый признал полностью, с учетом доказанности вины подсудимого и размеров заявленных исков подлежат удовлетворению в полном объеме.»

Таким образом, банк, действуя по описанной выше схеме, на совершенно законных основаниях может заявлять ущерб в случае мошеннических операций по поддельным картам в его эквайринговой сети. Если же к моменту судебного процесса банк-эквайрер, на основании правил платежной системы, возместит убытки за счет эмитента, то эквайрер заявляет, что гражданский иск он хочет рассмотреть в гражданском судопроизводстве. И, таким образом, при вынесении решения по уголовному делу, банку-эквайреру ущерб не возмещается.

В заключении необходимо подчеркнуть, что при квалификации уголовных преступлений при использовании поддельных банковских карт в торговой сети, определять кому нанесен ущерб необходимо с точки зрения уголовного права, а не гражданского. На момент окончания противоправного действия ущерб наносится банку-эквайреру, так как именно он оплачивает незаконную операцию (денежные средства перечисляются со счета эквайрера на счет торгового предприятия). Дальнейшие имущественные взаимоотношения между эквайрером, эмитентом, торговцем, держателем происходят в рамках гражданских правоотношений и не должны влиять на уголовную квалификацию преступления. Еще одним важным моментом при квалификации незаконных операций с использованием банковских карт в эквайринговой сети является информация о том, что операции не были санкционированы подлинным держателем. Поскольку эквайрер не имеет взаимоотношений с настоящим держателем, то такую информацию он может получить только от эмитента, используя документы, предусмотренные в рамках взаимодействия членов платежных систем.

Изготовление или сбыт поддельных платежных документов

В связи с описанными выше сложностями, возникающими при квалификации преступлений с использованием поддельных банковских карт, определенный интерес представляет норма ст. 187 УК РФ, в которой упомянуты «иные платежные документы».

Пункт 3.1 Положения ЦБ РФ № 266-П регламентирует.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

24 декабря 2004 г.

№ 266-П

ПОЛОЖЕНИЕ

ОБ ЭМИССИИ БАНКОВСКИХ КАРТ И ОБ ОПЕРАЦИЯХ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ

<…>

3.1. При совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения.

<… >

Является ли документ по операциям с использованием платежной карты платежным документом? В Положении ЦБ РФ № 266-П ответа на этот вопрос нет.

Рассмотрим другие нормативные документы Центрального Банка России. В Положении ЦБ РФ от 3 октября 2002 г. № 2-П «О безналичных расчетах в Российской Федерации» (в ред. Указаний ЦБ РФ от 3 марта 2003 г. № 1256-У, от 11 июня 2004 г. № 1442-У, от 2 мая 2007 г. № 1823-У, от 22 января 2008 г. № 1964-У) в Приложении 20 описание поля 39 платежного ордера дано как «Шифр платежного документв» (Проставляется условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации). А в Положение ЦБ РФ № 205-П один из кодов данного шифра обозначен как «13 — Расчеты с применением банковских карт».

Таким образом, при расчетах с применением банковских карт формируются платежные документы.

Это позволяет сделать вывод, что документ по операции с использованием банковской карты — является платежным документом.

Дополнительное подтверждение данного вывода можно найти в Письме МНС России от 28 февраля 2002 г. № 03-2-06/543/24-з951: «не подлежат обложению налогом на добавленную стоимость выполнение действий, связанных с приемом от продавцов электронных платежных документов, сформированных покупателями.».

То есть электронный платежный документ формируется в торговом предприятии покупателем и направляется в процессинг. Определим, что представляет платежный документ по операциям с использованием платежных карт.

Это документ на бумажном носителе и (или) в электронной форме, являющийся основанием для осуществления расчетов по указанным операциям и (или) служащий подтверждением их совершения.

Платежный документ по операциям с платежными картами составляется на бумажном носителе (чек ПОС-терминала или слип импринтера) и (или) в электронном виде и содержит обязательные реквизиты, указанные в п. 3.3 Положения ЦБ РФ № 266-П.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

24 декабря 2004 г.

№ 266-П

ПОЛОЖЕНИЕ

ОБ ЭМИССИИ БАНКОВСКИХ КАРТ И ОБ ОПЕРАЦИЯХ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ

<… >

3.3. Документ по операциям с использованием платежной карты должен содержать следующие обязательные реквизиты:

идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт;

вид операции;

дата совершения операции;

сумма операции;

валюта операции;

сумма комиссии (если имеет место);

код авторизации;

реквизиты платежной карты.

Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты и подпись кассира при его составлении в помещении для совершения операций с ценностями кредитной организации и ее структурных подразделений, а также в организации и ее структурных подразделениях, осуществляющих операции по приему или выдаче наличных денежных средств с использованием платежных карт в случаях, предусмотренных законодательством Российской Федерации (далее — пункт выдачи наличных (ПВН)).

В случае использования АСП при составлении в ПВН документа по операциям с использованием платежной карты требования о наличии подписи держателя платежной карты и подписи кассира считаются выполненными в отношении копии указанного документа, составленного на бумажном носителе.

<… >

Рассмотрим, что же является подделкой такого документа.

Федеральная Таможенная Служба определяет поддельные документы, как полностью изготовленные фиктивные документы или подлинные документы, в которые внесены искаженные сведения (например, путем исправления или уничтожения части текста, внесения в него дополнительных данных, проставления оттиска поддельного штампа или печати, замены целой страницы на другую с текстом, отличным от исходного, и т. п.) (Письмо от 30 июля 2005 г. № 01–06/21 925).

Фонд социального страхования Российской Фдереаици считает, что фиктивные документы — это составленные задним числом от лица организаций и граждан, которые их не подписывали (Письмо от 6 апреля 2000 г. № 02–18/05-2322).

По мнению некоторых юристов:

«Действия по подделке или использованию подложного документа весьма разнообразны (исправление или уничтожение части текста, внесение дополнительных данных, проставление чужой подписи, нанесение поддельной печати или штампа, предъявление или представление фальсифицированных документов и т. п.)… данные действия являются юридически равнозначными, каждое из них образует подлог документов» [189] .

Подделка (юрид.) документов, см. Подлог.

Подлог: ложь, извращение и сокрытие истины в формально правильном правительственном или частном акте (например, совершение акта задним числом, составление акта от вымышленного лица и т. д.).

Подделка документов — в уголовном праве родовое понятие, обозначающее изготовление подложных документов путем полной фальсификации документа или фальсификации отдельных его элементов. Иногда П. д. обозначают термином «подлог».

Подлог — материализованное (овеществленное) искажение истины, т. е. не соответствующие действительности сведения, выраженные в объективной форме на определенных носителях информации.

Фальсификация (лат. — подделывать) — 1) подделывание чего-либо; искажение, подмена чего-либо подлинного ложным, мнимым.

На основании изложенного можно сделать вывод, что поддельным платежным документом может быть:

• подлинный платежный документ, в который были внесены несанкционированные изменения;

• полностью изготовленный платежный документ;

• платежный документ в том числе формально подлинный, от лица держателя карты, который не санкционировал или не инициировал изготовление данного документа.

То есть подделать документ можно не только технически (техническая подделка), но и логически — например, когда документ составляется неверным числом, когда в документе фиксируется событие, которого не было и др. Мнение, что мошенники с использованием банковских карт изготавливают поддельный документ, имеющий признак интеллектуального подлога, также высказано в монографии В. Б. Вехова — доцента кафедры организации следственной работы факультета повышения квалификации Волгоградской академии МВД России.

Попробуем применить обозначенные выше определения к некоторым стандартным ситуациям противоправного использования платежных карт.

Использование поддельной карты

1. Изготовление на импринтере слипа с использованием поддельной карты. В результате имеем бумажный документ, который отличается от подлинного (если бы на том же импринтере был изготовлен платежный документ с использованием подлинной карты) — подпись на слипе не соответствует подписи законного держателя; возможно несоответствие фамилии держателя и при некачественном изготовлении подделки расположения отпечатавшихся эмбоссированных символов. Налицо подделка документа.

2. Изготовление на электронном терминале квитанции терминала и электронного платежного документа с использованием поддельной карты (распоряжение держателя заверено собственноручной подписью, ПИН-код не вводится). На квитанции подпись и возможно фамилия законного держателя не будут соответствовать истинным. Если электронный платежный документ изготовлен с использованием скопированной с подлинной карты второй дорожки, то он ничем не будет отличаться от подлинного. Данный документ означает распоряжение законного держателя на осуществление платежа. Поскольку держатель такого распоряжения не выдавал, подпись на квитанции не соответствует истинной, то и электронный платежный документ является фиктивным, подложным, т. е. он был подделан.

3. Операция на электронном терминале или на банкомате с использованием поддельной карты заверяется ПИН-кодом (на квитанции фамилия держателя не распечаталась). Поскольку ПИН-код в данном случае является аналогом собственноручной подписи, то получаем, что электронный платежный документ подписан аналогом собственноручной подписи (ч. 3 ст. 847 ГК РФ). Так как законный держатель не подписывал данный электронный платежный документ аналогом собственноручной подписи и не давал распоряжения на проведение операции, то такой документ является поддельным (фиктивным, подложным).

Во всех трех рассмотренных ситуациях для изготовления поддельного платежного документа была использована поддельная банковская карта. Представляется логичным, что при использовании поддельного платежного инструмента (карты) всегда будет получен поддельный платежный документ (продукт изготовления). Аналогичная точка зрения приведена Николаем Потапенко:

«Фактически в результате применения поддельной банковской карты составляется поддельный платежный документ, включенный в предмет преступления, ответственность за которое установлена ст. 187 УК РФ.» [192] .

Подтверждение того, что документы не только на материальных носителях, но и на электронных могут быть поддельными, можно найти в описании В. Б. Веховым тактики осмотра документа на машинном носителе. Где одной из целей осмотра является обнаружение признаков подделки электронного документа.

Несанкционированное использование подлинной карты

Определенный интерес представляет использование неуполномоченным лицом подлинной банковской карты (в случае ее кражи или потери). Платежный документ в данном случае формируется с помощью подлинного платежного инструмента. Но поскольку законный держатель карты не выдавал своего распоряжения на проведение операции и не подписывал собственноручной подписью квитанцию POS-терминала (слип импринтера) или аналогом собственноручной подписи электронный документ терминала или банкомата, то созданные таким образом платежные документы также будут поддельными (фальсифицированными, подложными).

Несанкционированное использование реквизитов банковской карты Как правильно заметил в своей работу Н. Н. Федотов при квалификации преступлений по ст. 187 УК РФ рассматриваются только преступления в которых поддельные карты используются в виде твердых копий, но использование реквизитов банковских карт для осуществления незаконных операций оплаты через Интернет, по почте или телефону не подпадает под объективную сторону состава преступления, так как в этом случае отсутствует собственно поддельная кредитная или расчетная карта, как вещь. Такие противоправные действия квалифицируются только как мошенничество (ст. 159 УК РФ). Однако, если мы обратимся к понятию «иные платежные документы», то увидим, что с использованием реквизитов банковских карт формируются платежные документы, являющиеся основанием для списания денежных средств с банковского счета. В случае, если законный держатель карты не санкционировал данные операции, то созданные таким образом платежные документы также будут поддельными.

Определение момента окончания преступления

Состав преступления по ст. 187 УК РФ является формальным. Для определения момента окончания преступления достаточно факта изготовления поддельного платежного документа с целью сбыта, сам сбыт не является обязательным.

Изготовление поддельного платежного документа будет оконченным при получении всех обязательных реквизитов, кроме случая, оговоренного в п. 3.5 Положения ЦБ РФ № 266-П. Все перечисленные реквизиты, кроме кода авторизации, формируются в авторизационном запросе. Но код авторизации может быть получен только при удачной транзакции в ответе на запрос.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

24 декабря 2004 г.

№ 266-П

ПОЛОЖЕНИЕ

ОБ ЭМИССИИ БАНКОВСКИХ КАРТ И ОБ ОПЕРАЦИЯХ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ

<… >

3.5. Если документ по операциям с использованием платежной карты составляется без осуществления процедуры авторизации, но при этом возникает обязательство эмитента перед эквайрером по исполнению этого документа, код авторизации в нем не указывается.

<… >

Отсюда следует, что неудачные попытки незаконного использования платежных карт, по которым получены отказы (недостаток средств, не верный ПИН-код и др.) и, следовательно, не получен код авторизации, не будут представлять из себя изготовления поддельных платежных документов, а только покушение на преступление (ст. 30 УК РФ).

На практике иногда приходится сталкиваться с мнением, что при изготовлении поддельного платежного документа с использованием платежных карт субъектом данного преступления не является лицо, использующее поддельную или чужую карту, так как платежный документ формируется банкоматом или электронным терминалом. Представляется, что данная точка зрения неверна. Это все равно что при убийстве из пистолета, заявить, что преступник только нажал на курок, а удар по капсюлю патрона, воспламенение пороха, выталкивание пули из ствола и ее направление к цели и, собственно, нанесение повреждений человеческому организму, которые привели к смерти, он не совершал, а все это проделало само огнестрельное оружие. Так и в нашем случае без явно выраженной воли и действий злоумышленника, выразившихся, например, во введении карты в считывающее устройство банкомата (терминала), наборе запрашиваемой суммы и ПИН-кода, никакой платежный документ самостоятельно банкоматом (терминалом) изготовлен не был бы.

Изложенная позиция, относительно изготовления поддельных платежных документов с использованием банковских карт, нашла понимание в Управлении «К» (Бюро специальных технических мероприятий (БСТМ) МВД РФ) и в следственном отделе при ОВД района Хамовники г. Москвы. В 2005 г. в банкомате были произведены операции по снятию наличных денежных средств с использованием поддельной банковской карты. Начальнику БСТМ МВД РФ было направлено заявление о представлении в банк поддельных платежных документов, составленных в банкомате неизвестным лицом с использованием поддельной банковской карты.

Ниже приведен примерный текст поступившего заявления.

К данному заявлению прилагалась копия электронного платежного документа.

Данный электронный платежный документ и являлся поддельным. Следователь, принимая во внимание, что имеются достаточные данные, указывающие на признаки преступления, предусмотренного ч. 1 ст. 187 УК РФ, постановил возбудить уголовное дело.

Данная квалификация была также применена в уголовном деле № 248 114 от 11 декабря 2006 г. следователем по особо важным делам Следственного комитета при МВД России М. как один из эпизодов преступной деятельности обвиняемых, использовавших поддельные банковские карты для совершения операций оплаты в торгово-сервисных предприятиях.

Судебная экспертиза поддельных банковских карт

Важное значение для расследования преступлений, связанных с незаконным оборотом платежных банковских карт, повышения его качества и эффективности играет применение в расследовании данных преступлений специальных познаний.

С 1 июня 1999 г. действует изданное Министром внутренних дел Российской Федерации распоряжение «О формировании и ведении в ЭКЦ МВД России Федерального учета поддельных пластиковых платежных карт и дорожных чеков», созданного в целях установления общности происхождения поддельных пластиковых платежных карт и дорожных чеков по способу и технологии изготовления, а также для выявления лиц, занимающихся их изготовлением. Однако, в настоящий момент в России не создана единая методика осуществления экспертиз поддельных кредитных, расчетных карт. Работы над ней еще только ведутся. Нет даже четкого и единообразного понимания, определения понятий «поддельная кредитная», «поддельная расчетная» карта. В России не создана система институтов производства экспертизы поддельных кредитных, расчетных карт. На сегодняшний момент автору известны только три организации, в которых выполняется экспертиза карт. Это Экспертный криминалистический центр МВД РФ, ООО «Газкардсервис» и ЗАО «Компания объединенных кредитных карточек». При этом две последние — являются коммерческими структурами и производство экспертиз не входит в перечень их основных задач и функций, поэтому выполняется безвозмездно и на добровольных началах, а специалисты ЭКЦ МВД РФ не обладают всей полнотой информации, необходимой для производства экспертиз. Так как основная информация, на основании которой возможно проведение исследования в отношении подлинности кредитных, расчетных карт, например международных платежных систем Visa и MasterCard, является конфиденциальной и доступной только банкам-членам данных систем.

Данный раздел книги имеет своей целью предложить некоторые возможные направления решения сложных вопросов в данной сфере.

Часть 2 ст. 195 Уголовно-процессуального кодекса РФ (УПК РФ) гласит:

УГОЛОВНО-ПРОЦЕССУАЛЬНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

18 декабря 2001 г.

№ 174-ФЗ

<… >

Статья 195. Порядок назначения судебной экспертизы

<… >

Судебная экспертиза производится государственными судебными экспертами и иными экспертами из числа лиц, обладающих специальными знаниями.

<… >

Таким образом, повышается роль банков членов платежных систем, их конкретных сотрудников, которые могли бы проводить экспертизы подлинности банковских карт, так как именно они обладают специальными познаниями, позволяющими определить, что представленная на исследование карта является поддельной.

Цель экспертизы: помочь установить следователю, что пластиковая карта является поддельной кредитной или расчетной картой.

Уголовно-процессуальный кодекс РФ разрешает проведение экспертизы после возбуждения уголовного дела (см. Приложение 117 УПК РФ — Постановление о назначении экспертизы, в котором необходимо указать номер уголовного дела). В результате образуется коллизия: для того, чтобы установить, что пластиковая карта является поддельной кредитной или расчетной, необходимо провести экспертизу, но вынести постановление о такой экспертизе, возможно только после возбуждения уголовного дела, т. е., у следователя еще до момента проведения экспертизы, которая установит поддельность кредитных, расчетных карт, уже должны появиться основания считать данные карты поддельными и возбудить уголовное дело. Для того чтобы такие основания появились, необходимо провести исследование пластиковых карт у специалиста, которым скорее всего будет компетентный сотрудник банка или платежной системы. На основании выводов специалиста о поддельности, представленных на исследование карт, и о классификации их как кредитных или расчетных, возможно возбуждение уголовного дела и повторное направление карт для исследования, но уже эксперту в рамках возбужденного уголовного дела.

Объектом, направляемым следователем на исследование, является пластиковая карта, в том числе таким объектом может быть «белый пластик» (заготовка карты). Так как до получения заключения эксперта, следователь не может самостоятельно определить, что карты являются кредитными, расчетными, банковскими, платежными либо какими-либо иными (см. данные выше определения).

Необходимо несколько пояснить, что понимается под картой выпущенной или эмитированной не эмитентом. Данное определение означает, что истинный эмитент не давал разрешения на выпуск карты. В технологии обращения карт эмитенты могут изготавливать и персонализировать карты не самостоятельно, а, прибегая к услугам сторонних организаций, например, независимых персонализационных бюро, или банк-агент изготавливает карты у банка-спонсора. Однако распоряжение на изготовление карт (санкцию на их выпуск) дает именно эмитент. Если же изготовитель карт по каким-либо причинам выпустит карты без санкции эмитента (например, продублирует карты), то хотя такие карты будут соответствовать всем требуемым стандартам, но с точки зрения платежной системы (банка-эмитента) карта-дубликат будет являться поддельной и ее обращение в системе расчетов нелегитимно.

Кто и на основании чего делает вывод о поддельности карты?

В связи с тем, что понятия поддельной или подлинной кредитной или расчетной карты являются юридическими, то вывод об этом должен делать следователь. Экспертиза же должна дать необходимые и достаточные данные для признания карты подлинной или поддельной. По существу, исходя из приведенного определения поддельной карты, в ходе исследования необходимо установить следующие факты:

1) санкционировал ли эмитент выпуск данной карты;

2) если карта эмитирована эмитентом, то не была ли она модифицирована;

3) возможно ли использование карты в безналичных расчетах;

4) может ли карта быть воспринята участниками платежной системы в качестве кредитной или расчетной.

Если эксперт или специалист не являются сотрудниками эмитента, то в определенных случаях ответить на первый вопрос будет весьма сложно, а порой и невозможно (например, при выпуске персонализатором карт-дубликатов). Поэтому для решения вопроса о поддельности карты, необходимо классифицировать виды поддельных карт, чтобы, исходя из конкретных обстоятельств дела, правильно поставить вопросы эксперту.

Виды поддельных платежных банковских карт

1. Полностью изготовленная поддельная карта — карта, имитирующая настоящую карту, включая внешний вид и запись информации на магнитную полосу. В пластик карты может быть также вмонтирована микросхема, но использование ее при проведении незаконных операций в настоящее время не осуществляется и информация на нее не записывается. Такие карты предназначены для обмана персонала предприятий торговли, принимающего карты, относительно их подлинности и проведения платежных операций в данных торговых предприятиях.

2. Поддельная карта, изготовленная путем частичной подделки.

2.1. Подделка карты, выпущенной законным эмитентом, производителем, платежной системой.

2.1.1. Карта, изготовленная путем изменения эмбоссированных реквизитов карты, например номера карты. Может использоваться для операций, осуществляемых с помощью импринтера. В этом случае информация, записанная на магнитную полосу и микросхему, не имеет для злоумышленника никакого значения.

2.1.2. Карта, изготовленная путем изменения информации, записанной на магнитную полосу карты. Может использоваться для операций, осуществляемых с помощью электронного терминала. Информация, физически нанесенная на карту (номер, срок действия), отличается от информации, записанной на магнитную полосу. В случае нанесения на карте не полного номера (Visa Electron), возможен подбор реквизитов для магнитной полосы, совпадающих с нанесенными на пластике.

2.1.3. Комбинация двух выше названных методов.

2.2. «Белый пластик» — заготовка карты (исходник), не обязательно белого цвета, предназначена для совершения мошеннических операций, как правило, хищения денежных средств в торговых точках при соучастии с кассиром (продавцом) или в банкоматах, терминалах самообслуживания. В качестве «белого пластика» могут быть использованы любые пластиковые карты со стандартно расположенной магнитной полосой — дисконтные, клубные, идентификационные, подарочные, транспортные, сувенирные, рекламные и т. п.

2.2.1. Карта, изготовленная путем эмбоссирования реквизитов карты (номер, срок действия, имя держателя). Такие карты предназначены для проведения операций с использованием импринтера. В торговом предприятии операции можно совершить только при пособничестве кассира.

2.2.2. Карта, изготовленная путем нанесения информации с подлинных карт на магнитную полосу. Возможно несколько вариантов использования.

2.2.2.1. Проведение операций на электронных торговых терминалах в предприятиях торговли. При этом необходим сговор с кассиром.

2.2.2.2. Совершение операций в торговых (сервисных) терминалах самообслуживания (автоматы по продаже автобусных или железнодорожных билетов, счетчики на автомобильных стоянках, автоматические терминалы на АЗС, телефоны, платные дороги и др.). При данных операциях существует ограничение по максимальной разрешенной сумме.

2.2.2.3. Совершение операций в банкоматах. Необходимо знание ПИН-кода.

Исходя из вида поддельных карт, необходимо формирование конкретных вопросов, которые ставятся на разрешение эксперту. Помочь в этом следователю может специалист.

Для облегчения работы по выявлению поддельных банковских карт со стороны следствия сделаем некоторые предположения:

• при эмиссии банковских карт каждый банк под определенный карточный продукт получает уникальный БИН (банковский идентификационным номер), по которому банк участник платежной системы легко может определить название эмитента и тип карты;

• при изготовлении поддельных банковских карт злоумышленники не соблюдают соответствие номера БИН названию банка и карточному продукту (делается это либо не незнанию, либо в целях снижения себестоимости изготовления поддельной карты, либо намеренно, так как на поддельных картах магнитная полоса зачастую используется от банковских карт иностранных банков, а дизайн самой пластиковой карты выполняется как эмитированной российским банком — это вызывает меньше подозрений у кассиров);

• таких поддельных карт — непопадающих в БИН абсолютное большинство.

На основании данных предположений можно использовать следующую методику проведения исследования поддельных банковских карт Visa и MasterCard, которая позволит достаточно быстро и эффективно организовать проведение экспертиз сотрудниками экспертно-криминалистических подразделений МВД РФ или банков.

Для исследования поддельных банковских карт назначается технико-криминалистическая судебная экспертиза пластиковых карт.

В постановлении о назначении экспертизы необходимо поставить следующие вопросы.

1. Соответствует ли номер, представленной на экспертизу карты, названию банка-эмитента и типу карточного продукта?

2. Может ли быть представленная на экспертизу карта воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной?

Ответы на вышеназванные два вопроса являются необходимым и достаточным условием ответа на вопрос — является ли исследуемая пластиковая карта поддельной кредитной или расчетной картой?

В случае получения от эксперта отрицательного ответа на первый вопрос и положительного на второй (при этом ответ эксперта должен определить карту как кредитную или расчетную) следователь обосновано может сделать вывод, что данная карта является поддельной кредитной или расчетной.

Представляется ошибочной постановка перед экспертом следующего вопроса:

Соответствует ли предоставленная на экспертизу карта образцам аналогичной продукции, выпускаемой (эмитируемой) предприятиями (эмитентами) платежных систем либо стандартам платежной системы?

Так как ответ на данный вопрос не позволяет определить поддельная карта или подлинная. Дело в том, что платежные банковские карты изготовливаются на основании, определенных платежными системами стандартов. В случае проведения экспертизы эксперт пользуется именно этими стандартами (если только он не является работником эмитента). Однако констатация факта, что представленная на экспертизу карта не соответствует стандартам платежных систем, не позволяет следователю сделать вывод, что такая карта является поддельной. Эмитенты сами могут отходить от принятых в платежной системе стандартов как намеренно (например, социальная карта москвича), так и ненамеренно (в результате брака).

Производство экспертизы

Более подробно рассмотрим вопросы проведения экспертизы карт на примере банковских карт платежных систем VISA и MasterCard.

Для производства экспертизы необходимо следующее оборудование:

1) считыватель магнитной полосы (1 и 2 дорожки) с соответствующим программным обеспечением. Используется для считывания информации с магнитной полосы карты;

2) ультрафиолетовая лампа. Используется для определения ультрафиолетовых элементов на карте;

3) лупа с 10-кратным увеличением или более. Используется для определения элементов на карте, выполненных микрошрифтом;

4) измеритель линейных размеров. Используется для определения физических размеров карты;

5) считыватель микропроцессора карты с соответствующим программным обеспечением. Данное оборудование необходимо для анализа информации записанной в микропроцессор карты. Однако в настоящий момент подделка именно микропроцессоров платежных банковских карт еще не является сколь-нибудь заметным явлением. Микропроцессорные карты, как продукт, подделывают, не затрагивая непосредственно микросхему. Поэтому в приведенной ниже методике анализ информации записанной на микросхему не рассматривается, так как для полноценной экспертизы карт вполне допустимо его не проводить.

Методика проведения экспертизы [198]Описана методика только для карт VISA и MasterCard. При обращении к источникам информации необходимо использовать актуальные издания платежных систем.

Экспертиза карты заключается в осуществлении следующих основных исследований, по результатам которых можно сделать вывод о поддельной кредитной или расчетной карте, представленной на экспертизу.

1. Определение типа платежной системы, банка эмитента и банковского продукта.

Тип платежной системы определяется по логотипу и первым цифрам нормера карты.

Номера карт платежной системы Visa начинаются с цифры «4», платежной системы MasterCard — с цифры «5» (кроме карт типа Maestro, которые начинаются с цифр «50», «56–58», «60–69»; номер карт Maestro закодирован на магнитной полосе и может отличаться от номера, нанесенного графическим способом на карте).

Для платежной системы VISA информация о банке-эмитенте содержится в электронной базе данных Visa interchange directory (VID). Данная база регулярно обновляется и рассылается банкам принципиальным членам платежной системы. Информация о карточном продукте (кредитная или расчетная, а также ее тип — Electron, Classic, Gold и др.) содержится в таблицах БИН (BIN tables), которые находятся в процессинговых центрах, подключенных к сети VISA, ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра.

Для платежной системы MasterCard информация о банке-эмитенте содержится в электронной базе данных Member information directory (MIM — Member information manual). Данная база регулярно обновляется и рассылается банкам принципиальным членам платежной системы. Информация о карточном продукте (кредитная или расчетная, а также ее тип — Maestro, Mass, Gold и др.) также содержится в таблицах БИН (BIN tables), которые находятся в процессинговых центрах, подключенных к сети MasterCard, ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра.

В случае несоответствия информации графически нанесенной на пластиковой карте с сведениями из баз данных платежных систем — название банка эмитента и (или) карточного продукта, то данная карта является поддельной. По БИН таблицам определяется принадлежность карты к кредитной или расчетной. По дате действия карты определяется возможность проведения операций до определенного момента времени или за определенный временной промежуток (в случае если на карте нанесена дата начала действия карты).

Данный этап исследования позволяет выявлять полностью изготовленные поддельные карты (вид 1) и эмбоссированный «белый пластик» (вид 2.2.1). Однако на карте может быть нанесена не вся информация, например, отсутствует имя держателя, срок действия, часть номера карты или поддельная карта изготовлена в виде неэмбоссированного «белого пластика» (вид 2.2.2). Как уже было отмечено, подавляющее большинство поддельных карт изготавливается для проведения операций на электронных терминалах. В связи с этим необходимо провести следующий этап исследования.

2. Анализ информации, закодированной на магнитной полосе карты.

Для платежной системы VISA анализ производится на основе стандартов, изложенных в актуальной версиих следующих документов:

• Visa payment technology standards manual. В приложениях А и В (appendix A, B) описаны данные содержащиеся на первой (А) и второй (В) дорожках магнитной полосы карты.

Для платежной системы MasterCard анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов.

• Authorization system manual. В разд. 9 «Authorization Services Detail» в пунктах «Layout for Encoding Track 1» и «Layout for Encoding Тгаck 2» находится описание расположения данных записываемых на первой (Track 1) и второй (Track 2) дорожках магнитной полосы карты;

• Security rules and procedures. Пункт 3.6.3 valid service codes описывает значения полей сервис кода;

Более подробно рассмотрим информацию, записанную на магнитной дорожке. Мы не будем анализировать все значения, а выделим только значимые для проведения экспертизы.

На первой дорожке (трек 1), состоящей из 76 буквенно-цифровых символов, значимой для эксперта является следующая информация:

• номер карты — длина 16 цифр, начинается с третьего символа. Для карт Maestro длина номера карты может составлять 19 цифр;

• имя держателя — длина от 2 до 26 символов, начинается за номером карты после разделительного знака;

• дата действия карты — 4 символа, начинается за именем держателя после разделительного знака в формате ГГММ;

• сервис код — 3 символа, начинается сразу за датой действия карты без разделительного знака.

На второй дорожке (трек 2) значимой для эксперта является следующая информация:

• номер карты — длина 16 цифр, начинается со второго символа. Для карт Maestro длина номера карты может составлять 19 цифр.

• дата действия карты — 4 символа, начинается за номером карты после разделительного знака в формате ГГММ.

• сервис код — 3 символа, начинается сразу за датой действия карты без разделительного знака.

Значения сервис кода:

Карты VISA.

1 цифра:

1 — международная карта.

2 — международная карта с микропроцессором.

5 — для локального использования.

6 — для локального использования с микропроцессором.

2 цифра:

0 — нормальная авторизация.

2 — «позитивная» авторизация: разрешение на проведение транзакции, полученное от эмитента или от альтернативного процессингового центра.

3 цифра:

0 — требование ПИН.

1 — нормальная верификация (проверка).

2 — только товары и услуги в POS (не наличные).

3 — действительна только для сети Plus.

6 — запрашивать ПИН если есть пин-пад.

Карты MasterCard .

1 цифра:

1 — международная карта.

2 — международная карта с микропроцессором.

5 — для локального использования.

6 — для локального использования с микропроцессором.

7 — для карт частных или ограниченных сетей.

2 цифра:

0 — нормальная авторизация.

2 — «позитивная» онлайновая авторизация.

3 цифра:

0 — требование ПИН.

1 — нормальная верификация (проверка), без ограничений.

2 — нормальная верификация (проверка) только товары и услуги в POS (не наличные).

3 — только банкомат, требование ПИН.

5 — требование ПИН только товары и услуги в POS (не наличные).

6 — запрашивать ПИН если есть пин-пад.

7 — запрашивать ПИН если есть пин-пад только товары и услуги в POS (не наличные).

Другие значения, например, коды PVV, CVV, CVC не являются значимыми для экспертизы, так как проверить их может только эмитент.

Полученная с магнитной полосы информация позволяет получить недостающие реквизиты карты в случае отсутствия их графического нанесения и провести сравнение с графически нанесенной информацией. В случае несовпадения реквизитов карты, нанесенных графически и закодированных в электронном виде, кроме карт Maestro, имеем перекодированную поддельную карту (вид 2.1.2). Возможность проведения электронных операций с использованием терминалов устанавливается с использованием трека 2 по номеру карты, дате действия, сервис коду. Номер карты, записанный на втором треке, позволит также определить название банка эмитента, тип карточного продукта и отнести карту к кредитной, расчетной или предоплаченной, аналогично вышеописанной методике в п. 1 указанном ранее). Данный анализ позволяет идентифицировать «белый пластик» как поддельные кредитные, расчетные карты (вид 2.2.2) и выявлять перекодированные карты. В случае перекодированной карты встает вопрос: карту какого банка подделали — согласно физическим реквизитам или закодированным на магнитной полосе? Чтобы ответить на данный вопрос, необходимо понять, зачем модифицировали карту. Ответ лежит на поверхности — для проведения операции по магнитной полосе с использованием электронного терминала. Если с использованием такой карты совершить операцию, то в платежной системе отразится номер карты, записанный на магнитную полосу, и банк эмитент именно этот номер занесет в отчет о мошенничестве (fraud report) как операцию по поддельной карте.

3. На основании данных, полученных в п. 1 и 2 эксперт может ответить на вопросы.

• Соответствует ли номер, представленной на экспертизу карты, названию банка-эмитента и типу карточного продукта?

• Может ли быть представленная на экспертизу карта воспринята в технологии функционирования платежной системы в качестве кредитной?

Данная методика позволяет быстро и просто установить поддельность кредитных, расчетных карт для подавляющего количества подделок. Исключения составят полностью изготовленные поддельные карты (п. 1), которые попадают в БИН (название банка эмитента и карточный продукт поддельной карты соответствует информации из базы данных платежных систем), и карты, изготовленные путем изменения эмбоссированных реквизитов (при этом БИН банка и тип карты сохраняются). Вероятность исследования таких карт настолько мала, что не имеет большого практического значения. Если же все таки имеются основания считать, что предметом исследования является именно такая карта, то необходимо провести дополнительное исследование.

4. Анализ физических параметров, графических и защитных элементов карты исходя из дизайна карты в платежных системах VISA и MasterCard.

Для платежной системы VISA анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов.

• Visa international card and Marks Specification. Данный документ содержит описание физических параметров (спецификации) карточных продуктов и дизайна.

• Visa Product Brand Standards. Данное название объединяет несколько документов, содержащих описание физических параметров (спецификации) и дизайна карточных продуктов нового дизайна.

• Visa international operating regulations, Volume I — General rules. Раздел 10 «Card and Marks Requirements» содержит описание требований элементов дизайна и безопасности общих для карточных продуктов по всему миру.

Visa regional operating regulations, Central and Eastern Europe, Middle East, and Africa. В разделе 10 «Card and Marks Specifications» уточнение требований элементов дизайна и безопасности общих для карточных продуктов региона CEMEA (Центральная и Восточная Европа, Ближний Восток, и Африка), к которому относится Россия.

Для платежной системы MasterCard анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов:

• Card design standard system. Данный документ содержит описание физических параметров (спецификации) карточных продуктов и дизайна.

• Security rules and procedures. В разделе 2 «MasterCard Card Production Standards» и разд. 3 «MasterCard Card and TID Design Standards» содержатся дополнительные данные по элементам дизайна и безопасности карточных продуктов.

Руководства по требованиям исполнения дизайна и защитных элементов платежных карт доступны банкам принципиальным членам платежной системы.

Этапы экспертизы:

1) следователь готовит постановление о назначении судебной экспертизы;

2) передача постановления и объекта (объектов) экспертизы эксперту;

3) проведение экспертизы экспертом;

4) подготовка заключения и сопроводительного письма экспертом.

При ответе на вопрос: может ли представленная на экспертизу пластиковая карта быть воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной на определенную дату или период времени? — необходимо учитывать, что поддельная кредитная или расчетная карты может быть предназначена для использования её только определенным образом, а не в качестве полноценного банковского продукта. Чтобы определить, что пластиковая карта может быть воспринята платежной системой в качестве кредитной или расчетной, необходимо заключение эксперта о возможности («пригодности») использования исследуемой карты определенным образом в определенный момент времени в технологии платежных карт, в том числе «белого» пластика и карт, имеющих номера, которые еще никому не выдавались.

После производства исследований эксперт составляет письменное заключение и удостоверяет его своей подписью. В заключении эксперта должны быть отражены: время и место производства экспертизы; основания назначения экспертизы; данные об органе или лице, назначившем экспертизу; сведения об эксперте, которому поручено ее производство; предупреждение эксперта в соответствии с действующим законодательством об ответственности за отказ и уклонение от дачи заключения и за дачу заведомо ложного заключения; вопросы, поставленные перед экспертом; объекты и материалы дела, представленные ему и подлежащие исследованию; содержание и результаты экспертных исследований с указанием примененных методов, а также кто конкретно эти исследования проводил, если работала комиссия экспертов; оценка результатов исследования, обоснование и формулировка выводов по поставленным вопросам.

Выводы, к которым приходит эксперт при даче заключения, могут быть категорическими и вероятными (положительными и отрицательными). Категорическое заключение эксперта является источником доказательств, а фактические данные, изложенные в заключении, доказательствами по делу. Вероятное заключение не является источником доказательств; оно намечает лишь дальнейшую направленность расследования. Вероятное заключение играет оперативно-тактическую роль и, естественно, не может быть положено в основу приговора.

В тех случаях, когда в заключении делаются вероятные выводы или вывод о невозможности решения вопросов, эксперт обязан подробно изложить причины, приведшие его к такому результату. Категорическое заключение эксперта, являясь доказательством по делу, оценивается судом, судьей, прокурором, следователем, лицом, производящим дознание, с точки зрения его обоснованности, достоверности, полноты, надежности примененных методов исследования, соблюдения всех процессуальных положений, установленных для производства экспертизы.

Неправомерный доступ к компьютерной информации

В сфере рассматриваемого вопроса представляет интерес абз. 1 ч. 1 ст. 272 УК РФ.

УГОЛОВНО-ПРОЦЕССУАЛЬНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

18 декабря 2001 г.

№ 174-ФЗ

<… >

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —

<… >

Предметом неправомерного доступа к охраняемой законом компьютерной информации, является деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Статья 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: информация — сведения (сообщения, данные) независимо от формы их представления ;

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Неправомерным считается доступ к компьютерной информации, если:

• субъект не имеет прав доступа к этой информации;

• субъект имеет права доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.

При этом по отношению к этой информации должны приниматься меры защиты, ограничивающие к ней доступ.

Статья 272 УК РФ защищает компьютерную информацию, где бы она ни была представлена.

Под переработкой (модификацией) программы для ЭВМ или базы данных понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, т. е. внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.

Сотрудниками правоохранительных органов г. Ижевска совместно с сотрудниками Альфа-банка было осуществлено задержание гражданина, использовавшего подделанные банковские карты для оплаты товара в организации торговли. Было возбуждено и доведено до суда уголовное дело по ст. 272 УК РФ (Приговор Глазовского городского суда Удмуртской Республики по делу № 1-686/2004 67/415 от 28 декабря 2004 г.). При этом использовалась следующая аргументация:

Сервер банка эмитента (содержит компьютерную информацию — данные карт, данные операций, данные остатка и другую служебную информацию) — компьютерная база данных ограниченного пользования, доступ к которой строго регламентирован. Информация, размещенная на сервере, имеет конфиденциальный характер и допуск к ней имеет ограниченный список уполномоченных лиц в соответствии с должностными обязанностями.)

Авторизация покупки — уменьшение платежного лимита, (т. е. модификация (изменение) состояния электронных данных на (авторизационном) сервере банка-эмитента).

При квалификации противоправных действий по данной статье необходимо учитывать, что компьютерная информация, к которой осуществляется неправомерный доступ, должна защищаться законом. В случае рассмотрения банковских карт такой информацией является информация о счете клиента — доступный баланс, который в результате несанкционированной операции с использованием поддельной, утраченной карты либо с использованием реквизитов карты изменяется (уменьшается на величину операции, т. е. модифицируется). Однако, предоставить доказательства, подтверждающие данное изменение может только банк эмитент, в котором ведется счет держателя. В связи с этим, незаконные операции по картам иностранных эмитентов квалифицировать по данной статье будет практически невозможно.

Скимминг

Копирование магнитной полосы обычно осуществляется с целью изготовления поддельных карт. При этом, полученная информация может использоваться как самостоятельно, так и с целью её продажи. Конечной целью изготовления поддельных карт является хищение денежных средств и незаконное копирование магнитной полосы можно было бы квалифицировать как приготовление к данному виду преступления. Но возможно ли привлечь к уголовной ответственности злоумышленников на данном этапе их деятельности?

Уголовная ответственность наступает только в случае приготовления к тяжкому и особо тяжкому преступлениям (ч. 3 и ч. 4 ст. 159 УК РФ — с использованием своего служебного положения, в крупном размере, организованной группой, в особо крупном размере). В связи с этим предъявить обвинение по данной статье будет крайне сложно, так как до момента самого хищения или покушения на хищения невозможно определить размер ущерба, а квалифицирующие признаки служебное положение и организованная группа лиц могут отсутствовать. Поэтому необходимо рассмотреть другие статьи Уголовного кодекса РФ.

Вернемся к ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», в ней особый интерес представляет неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло её копирование (перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации). Так как при использовании скиммеров либо других устройств или технологий происходит именно данное действие — компьютерная информация на машинном носителе (информация, записанная в электронном виде на магнитной полосе карты) копируется на другое устройство памяти. Необходимо удостоверится, что копируемая информация охраняться законом. Как уже упоминалось, на магнитной полосе банковской карты на первом треке записана фамилия держателя и номер карты, а на втором треке — номер карты. Каким же законом защищается данная информация?

Согласно ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

ФЕДЕРАЛЬНЫЙ ЗАКОН

от 27 июля 2006 г.

№ 152-ФЗ

«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

<… >

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

<… >

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

<… >

Пункт 3.3 положения ЦБ РФ № 262-П гласит, что

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

19 августа 2004 г.

№ 262-П

ПОЛОЖЕНИЕ

ОБ ИДЕНТИФИКАЦИИ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ КЛИЕНТОВ И ВЫГОДОПРИОБРЕТАТЕЛЕЙ В ЦЕЛЯХ ПРОТИВОДЕЙСТВИЯ ЛЕГАЛИЗАЦИИ (ОТМЫВАНИЮ) ДОХОДОВ, ПОЛУЧЕННЫХ ПРЕСТУПНЫМ ПУТЕМ, И ФИНАНСИРОВАНИЮ ТЕРРОРИЗМА

<…>

3.3. При совершении сделок с использованием платежных (банковских) карт идентификация осуществляется на основе реквизитов платежной (банковской) карты, а также кодов (паролей).

<…>

То есть информация о номере банковской карты идентифицирует (определяет) для банка держателя (физическое лицо). Следовательно, такая информация является персональными данными и охраняется законом. Неправомерный доступ к такой информации, если она представлена в компьютерном виде и это повлекло её копирование, будет составлять объективную сторону преступления, предусмотренного ст. 272 УК РФ.

Незаконное получение сведений, составляющих банковскую тайну

В случае использования поддельной или утраченной карты для проверки доступного баланса (остатка наличных денежных средств) происходит несанкционированный доступ к информации составляющей банковскую тайну.

Определение банковской тайны дано в ст. 857 ГК РФ и в ст. 25 Федерального закона № 395-1-ФЗ.

ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ЧАСТЬ ВТОРАЯ

№ 14-ФЗ

26 января 1996 г.

<… >

Статья 857. Банковская тайна

1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

<… >

ФЕДЕРАЛЬНЫЙ ЗАКОН

2 декабря 1990 г. № 395-1

«О БАНКАХ И БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ»

<…>

Статья 25. Банковская тайна

Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

( В ред. Федерального закона от 23 декабря 2003 г. № 181-ФЗ)

<… >

Согласно ст. 183 УК РФ:

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

13 июня 1996 г.

№ 63-Ф3

<…>

Статья 183 Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

(В ред. Федерального закона от 7 августа 2001 г. № 121-ФЗ)

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом —

наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до двух лет.

(В ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ)

<… >

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.

(В ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ)

<… >

Объект преступления — общественные отношения в сфере обращения информации, составляющей банковскую тайну. Данная информация составляет предмет преступного посягательства.

В итоге, получение незаконным способом (например, в результате скимминга, покупки через Интернет дампов вторых дорожек или использования фишинга) сведений, составляющих банковскую тайну (номера банковских карт), будет составлять объективную сторону преступления, предусмотренного ст. 183 УК РФ.

Данная квалификация находит свое подтверждение на практике. Так 13 мая 2007 г. в г. Екатеринбурге были задержаны иностранные граждане Б. и И., которые установили на двух банкоматах специальные устройства:

1) накладную ПИН-клавиатуру для записи ПИН-кодов держателей;

2) скиммер для копирования информации с магнитных дорожек банковских карт. Было возбуждено уголовное дело, Б. и И. предъявлены обвинения в совершении умышленных преступлений, предусмотренных, в том числе, ч. 2 ст. 272 и ч. 3 ст. 183 УК РФ.

Совокупность преступлений

При незаконных операциях с использованием поддельных, утраченных банковских карт, а также при несанкционированном использовании их реквизитов имеет место, как правило, сложный состав преступления, влекущий совокупность нескольких преступлений

Опишем в качестве примера стандартную ситуацию: с использованием поддельной или утраченной карты была осуществлена операция оплаты товара в торговом предприятии. В результате данного противоправного действия имели место следующие преступления:

1) изготовление поддельного платежного документа в электронном виде и на бумажном носителе (чек торгового терминала). Поддельный электронный платежный документ направлен (произведен сбыт) в банк эквайрер. Данное действие образует объективную сторону преступления ст. 187 УК РФ — изготовление и сбыт поддельного платежного документа, не являющегося ценной бумагой;

2) в результате успешной электронной транзакции на сервере (компьютере) банка эмитента, который содержит информацию о состоянии счета клиента о доступном балансе денежных средств, которая является банковской тайной, произошло уменьшение платежного лимита, (т. е. модификация (изменение) охраняемой законом компьютерной информации).

Данное действие образует объективную сторону преступления ст. 272 УК РФ — неправомерный доступ к компьютерной информации;

3) в результате направления в банк эмитент поддельного платежного документа произошло списание со счета денежных средств, т. е. их хищение. Банк, обрабатывая данный документ, считает, что он исходит от истинного клиента и воспринимает его как распоряжение о перечислении денежных средств. Поскольку данное распоряжение формируется другим лицом, которое выдает себя за настоящего держателя карты, то в этом выражен обман. Действие образует объективную сторону преступления ст. 159 УК РФ мошенничество.

Представляется, что мошеннические хищения, произведенные с использованием различных банковских карт и в различных торговых предприятиях (ПВН или банкоматах), но одним лицом (или одной группой лиц), составляют либо единое продолжаемое хищение, либо совокупность отдельных преступлений, квалификация будет зависеть от единообразия способа и умысла хищения.

По смыслу Положения ЦБ РФ № 266-П банковская платежная карта — это инструмент безналичных расчетов, достоверно устанавливающий соответствие между реквизитами платежной карты и соответствующим счетом физического лица, юридического лица, индивидуального предпринимателя (клиентом банка). То банковская платежная карта указывает на реквизиты банковского счета и данная информация является банковской тайной.

 

Банкоматное мошенничество

Первый в мире банкомат (далее — АТМ) был разработан Де Ля Рю (De La Rue) и установлен в The Town (Church Street) № 20 в северном районе Лондона Enfield 27 июня 1967 г. банком Barclays Bank. Это изобретение приписывают Джону Шеферду-Бэррону (John Shepherd-Barron), хотя Лютер Джордж Симджан (Luther George Simjian) еще в 1939 г. получил соответствующий патент в Нью Йорке (США), а Дон Ветцель (Don Wetzel) и еще два инженера из компании Docutel получили патент 4 июня 1973 г. Шеферд-Бэррон в 2004 г. был удостоен Ордена Британской империи за заслуги в развитии банковского дела. Идея хранения ПИН-кода на физической карте и сравнения его с вводимым значением при снятии денег была предложена британским инженером Джеймсом Гудфеллоу (James Goodfellow) в 1965 г., который также обладает соответствующими патентами. Первые банкоматы принимали одноразовые перфорированные пластинки или пропитанные Carbon 14 (изотоп углерода) бумажные чеки. Использование магнитной полосы на банкоматных картах началось с 1969 г. в банкоматах фирмы Docutel. Магнитная полоса на банковских платежных картах NABANCO (c 1977 г. Visa USA) появилась в 1972 г., а в 1973 г. Американская банковская ассоциация сделала ее своим стандартом. В настоящий момент в мире насчитывается более 1,5 млн банкоматов.

В последнее время значительно возрос уровень мошенничества при использовании банкоматов.

Банкоматное мошенничество — противоправные деяния в отношении банкоматов (их технологической инфраструктуры), направленные на хищение денежных средств и информационных ресурсов (в том числе приготовление к такому хищению).

Потери от данного вида мошенничества в США составили 2,79 млрд долл. за год на конец мая 2005 г. (Gartner), в Великобритании за 2006 г. — 61,9 млн ф. ст. В Латинской Америке АТМ мошенничество с 2001 г. по 2005 г. выросло на 15 %.

Факторы угроз, с которыми сталкивается ATM-индустрия:

• небрежность и неосведомленность держателей карт;

• соучастие в преступлениях инсайдеров;

• трансграничность преступлений;

• появление новых угроз в связи изменениями, как в технологии карточной индустрии так и с развитием общества в целом;

• развитие высокотехнологичных форм преступления, требующих специальных знаний;

• повышение уровня угроз со стороны традиционной преступности.

Особенности преступлений в отношении банкоматов:

• закрытость информации относительно преступлений против ATM;

• нет систематизации по данному виду преступлений;

• преступления против ATM квалифицируются как грабеж, кража, мошенничество или совсем не попадают под понятие уголовного преступления;

• отсутствие полных и достоверных данных о преступлениях против ATM;

• отсутствие криминалистических исследований в данной области;

• отсутствие согласованных действий в данной области со стороны правоохранительных органов, производителей кредитных организаций, процессинговых центров.

Преступления, связанных с банкоматами классифицируются следующим образом.

1. Направленные на держателей карт:

• ограбление держателя карты при получении или внесении денежных средств;

• получение держателем карты денежных средств под принуждением со стороны преступника;

• мошенничество со стороны легитимных держателей карт.

2. Направленные на денежные средства:

• хищение банкомата вместе с денежными средствами;

• взлом сейфа банкомата с целью хищения денежных средств;

• хищение денежных средств путем монтажа дополнительных устройств на механизм выдачи купюр;

• ограбление при инкассации.

3. Направленные на карту и/или ее реквизиты:

• копирование магнитной полосы карты;

• заедание карты в считывающем устройстве (ридере) с целью ее дальнейше-го незаконного изъятия;

• подмена или присвоение карты незаметно для держателя после выполнения операции на банкомате;

• фальшивые банкоматы;

• кибератака — информация о реквизитах карты присваивается путем незаконного доступа в систему банкоматов или к каналам связи.

4. Направленные на ПИН-код карты:

• подглядывание через плечо;

• скрытые видеокамеры;

• накладные клавиатуры;

• увеличительные оптические приборы (бинокли и т. п.);

• фальшивые банкоматы;

• криптографические атаки;

• модификация или неавторизованный доступ в систему банкоматов;

• запись тональных сигналов при наборе ПИН-кода, которые далее расшифровываются.

5. Направленные на банкомат (технологию) — нарушение целостности, конфиденциальности или доступности системы (технологии) ATM посредством несанкционированного кибервторжения.

6. Другие (например, фишинг).

Методы совершения злонамеренных действий при банкоматном мошенничестве

Если попробовать классифицировать методы, с помощью которых мошенники пытаются добыть наличность из банкомата, то их достаточно много — мы насчитали восемнадцать. Рассмотрим каждый из методов подробнее, некоторые проиллюстрируем случаями из практики.

1. Одна из главных проблем заключается в том, что многие держатели платежных карт записывают свой ПИН-код прямо на карте или на каком-либо носителе (лист бумаги, записная книжка, мобильный телефон), хранимом вместе с картой. Если карта утеряна или украдена (обычно вместе с бумажником, барсеткой, сумочкой), то у вора оказывается и карта, и персональный код. В таком случае мошенникам совсем нетрудно получить наличные деньги. Согласно информации опубликованной APACS (Association for payment clearing services-ассоциация систем клиринговых платежей — Великобритания) за 2006 год 8 % английских держателей карт не могут запомнить свой ПИН-код, поэтому записывают его. Еще более печальные цифры приводит английский банк Abbey National: 55 % держателей забывали свой ПИН-код, 39 % — записывают. По данным социологического опроса Национального Агентства Финансовых Исследований (НАФИ) 11,6 % россиян хранят ПИН-код вместе с картой, в Москве данный показатель составляет 13,8 %. При этом 19,8 % российских держателей теряли свою карту (Россия). Таким образом, получаем, что 2,29 % держателей платежных карт в России утрачивают карту вместе с ПИН. Представляется, что с увеличением количества карт в России (наличие нескольких карт у одного человека), процент держателей, записывающих свои ПИН-коды, будет неуклонно расти.

2. Часто сотрудники банка при расследовании случаев мошенничества обнаруживают, что речь идет о «дружественном» мошенничестве. Член семьи, близкий друг, коллега по работе берет карту без разрешения ее законного владельца (иногда в сговоре с ним) и получает деньги из банкомата. Далее законный держатель карты отказывается от проведенных операций. В России 9,9 % держателей передавали свою карту третьим лицам (по данным НАФИ), в Великобритании 7 % держателей говорили кому-либо свой ПИН-код (по данным APACS). Основным способом борьбы с «дружественным» мошенничеством служит установка видеонаблюдения в местах расположения банкоматов.

3. «Подглядывание из-за плеча». Мошенник может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, выполняя банкоматные операции по карте. При этом могут использоваться специальные оптические приборы. После получения мошенником ПИН-код карта может быть просто похищена у держателя либо при использовании карты одновременно производится несанкционированное копирование магнитной полосы, для изготовления в последующем «белого пластика».

Данная угроза увеличится при введении ПИН-кодов по смарт картам и картам Maestro в торговых предприятиях. Показателен всплеск мошеннических операций по снятию наличных в банкоматах после введения требования ввода ПИН-кода в предприятиях торговли по всем картам MasterCard и VISA в Украине в 2002 г.

В январе 2004 г. в Японии были арестованы преступники, которые установили камеры видеонаблюдения в гольф-клубе таким образом, чтобы записывать коды цифровых замков на шкафчиках для переодевания. При этом они обосновано полагали, что эти коды будут совпадать с ПИН-кодами платежных карт клиентов клуба. Узнав коды шкафчиков, мошенники вскрывали их, копировали магнитные полосы карт, изготавливали «белый пластик» и снимали деньги в банкоматах (ПИН-код соответствовал коду на шкафчике). Таким способом денежные средства были похищены со счетов более 150 держателей карт. Всего в 2004 г. в Японии было совершено 411 инцидентов с банкоматным мошенничеством и потери составили 968 млн йен.

В Великобритании, где каждый держатель имеет в среднем 4 карты, 27 % используют один и тот же ПИН-код для всех карт, а 20 % никогда не закрывают ПИН-код при его использовании (APACS).

4. «Ливанская петля» (траппинг). Злоумышленник вставляет внутрь прорези для считывания карт (картридер) кусок 35-мм фотопленки, которая разрезана таким образом, что карта застревает и не возвращается назад (П-образный обратный клапан). Находящийся снаружи кусок фотопленки приклеен к банкомату и выглядит как его часть. Ничего не подозревающий держатель банковской карты вводит карту в банкомат в попытке получить наличные средства. Карта застревает в «ливанской петле» и транзакция не происходит. Мошенник «оказывается» неподалеку и предлагает свою помощь держателю банковской карты. Он рекомендует вновь ввести ПИН-код, а когда из этого ничего не получается, спрашивает у держателя карты ПИН-код и вводит его сам, говоря при этом, что он уже видел такие случаи и что при повторном вводе ПИН-кода карта возвращалась. Карта, конечно, не возвращается, а мошенник совершенно искренне рекомендует держателю банковской карты связаться с банком с самого раннего утра на следующий день. После того как клиент уходит, пленка вместе с картой извлекается из банкомата. Таким образом, у злоумышленника оказывается в руках и действующая карта, и надлежащий ПИН-код. В результате можно в любом банкомате получить наличные денежные средства.

5. Подмена или хищение карты. При проведении операции по карте в банкомате перед тем как карта должна выйти обратно мошенники отвлекают держателя и либо похищают карту, либо её подменяют в момент выдачи банкоматом. Обычно они действуют в группе, один отвлекает, другой забирает карту. Часто для отвлечения внимания используется красивая девушка для держателей мужчин либо на землю (пол) роняют денежную купюру и говорят держателю, что это он её обронил, человек наклоняется за купюрой, карта исчезает. ПИН-код похищенной карты подсматривается «из-за плеча» (см. способ 3).

6. «Щипачество». На банкоматах установлены датчики, которые позволяют убедиться, что деньги с лотка банкомата взяты. При оставлении в лотке хотя бы одной купюры датчик дает сигнал, что деньги не были забраны. В этом случае банкомат посылает в банк сообщение об аннулировании операции снятия денег со счета, поскольку деньги не были взяты физически. Мошенник забирает себе деньги и подает в банк претензию о неполучении в банкомате всей суммы. Неполученная держателем сумма блокируется, но если за период инкассации таких операций было несколько, в том числе действительно неполученные суммы денежных средств, то установить истину очень сложно.

7. Известны случаи установки фальшивых накладок на окна выдачи наличных денежных средств банкоматов — cash trapping. После запроса законным держателем денежных средств купюры задерживаются данным устройством и не выдаются держателю. Далее мошенник снимает накладку вместе с наличными средствами.

Согласно данным Европейской группы по безопасности банкоматов (European ATM security team — EAST) в 2005 г. в Европе зафиксировано 850 случаев мошенничества типа «ливанская петля», «щипачество», захват купюр и общие потери составили 2,37 млн долл.

8. «Фальшивые» банкоматы. В последнее время преступники воспользовались ростом числа банкоматов и стали применять «фальшивые» банкоматы. Мошенники разрабатывают и производят новые фальшивые банкоматы либо переделывают старые, которые выглядят как настоящие. Первый зарегистрированный случай установки поддельного АТМ произошел в 1993 г., когда преступная группа известная как Buckland Boys установила такой банкомат в торговом центре Манчестера. В наше время данный способ мошенничества продолжает существовать.

Например, 7 мая 2005 г. румынские преступники полностью собрали фальшивый банкомат для выдачи денег. Как передает CNN, в конструкции не имелось только емкости для купюр, а все остальное, в том числе устройства для считывания кодов с карточки было в наличии. Фальшивый банкомат несколько раз устанавливали в разных кварталах Бухареста. В 2007 г. полиция Швеции разработала специальную инструкцию для держателей карт, когда обнаружилось, что в Стокгольме появились деревянные банкоматы. К настоящему банкомату прикреплялась передняя панель, изготовленная из дерева, за которой скрывалось устройство считывания информации с магнитной карточки, а также мини-камера, снимавшая ПИН-код.

9. Недобросовестные владельцы банкоматов. В ряде стран (например, США, Канада и др.) любой гражданин может свободно купить банкомат, заключить соответствующие договоры на его обслуживание, установить и получать прибыль. То же самое могут сделать и мошенники. После введения карты и ПИН-кода мошенники копируют информацию с магнитной полосы карты и сам ПИН-код. Затем они могут использовать утерянные, украденные карты или «белый пластик» для изготовления поддельных карт. Такие карты можно использовать в настоящих банкоматах, поскольку информация на магнитной полосе действительна, а ПИН-код верен.

В США в декабре 2003 г. был арестован мошенник, который купил и установил в Калифорнии, Флориде и Нью-Йорке порядка 55 банкоматов. В результате этого он получил информацию о более чем 21 тыс. номеров банковских карт 1400 различных банков на сумму более 3,5 млн долл. США.

10. Кибератаки. В сентябре 2006 г. телекомпания WAVY-TV сообщила об одном инциденте когда хакер получил права администратора на АТМ и изменил номиналы загруженных купюр на 5 долларовые вместо 20 долларовых. Это стало возможно, в результате того, что пароли доступа в систему были оставлены по умолчанию.

В 2006 г. на Украине были отмечены очень высокотехнологичные атаки на инфраструктуру банкоматных сетей. Злоумышленники избрали своей целью банкоматы подключенные с использованием радиорелейных каналов связи, при этом банки не использовали ни VPN-каналы, ни функцию МАС. Путем сканирования радиоэфира определялась частота канала связи банкомата. Далее осуществлялся перехват банкомата на мошеннический эмулятор хост-системы процессинга. Мошенники вставляли карту в банкомат и направляли запрос на выдачу наличных денежных средств. Но данные запросы не попадали к эквайреру, а перехватывались эмулятором хоста мошенников, который на все запросы выдавал положительную авторизацию. В то время как банкомат выдавал мошенникам денежные средства, эквайрер думал, что с банкоматом просто отсутствует связь.

11. Мошеннический ПИН-ПАД. Держателю карты может быть предложено, ввести ПИН-код не в настоящий ПИН-ПАД (терминал), а в ложное устройство, его эмулирующее, которое запомнит ПИН-код либо в модифицированный терминал (ПИН-ПАД) (устройство, помимо выполнения штатных процедур, несанкционированно записывающее ПИН-код). В разгар летнего туристического сезона 2006–2007 гг. такой вид мошенничества был отмечен российскими банками на территории Турции. Держателям карт предлагалась услуга получения по карте наличных денежных средств, но не в отделениях банка, а в торговых точках. Часто на них были вывески post-office. При этом операция для банка эмитента представлялась как покупка в предприятии торговли, а не выдача наличных денежных средств. У держателя карты при проведении транзакции запрашивали ПИН-код. Только ПИН-код не направлялся на проверку эмитенту, а негласно копировался вместе с магнитной полосой карты. Через некоторое время из банкоматов производились операции по поддельной карте.

12. Физические нападения на банкоматы — кражи банкоматов, взлом сейфов.

13. Вандализм. В последнее время, в связи с усилением угрозы терроризма, отмечены случаи использования мест установки банкоматов для организации взрывов.

25 августа 2004 г. в южном турецком городе Дертйол взорвалась бомба, заложенная перед банкоматом. В результате взрыва ранены семь человек.

14. Ограбления держателей карт. После получения запрошенной суммы держателями карт в банкоматах, преступники нападают на них и в результате ограбления или разбоя завладевают денежными средствами. Оборудование банкоматов тревожными кнопками иногда ожесточало нападавших и приводило к более тяжелым последствиям для потерпевших, вплоть до смертельного исхода. В США более 2000 банкоматов оборудованы кнопкой «911». По данным страховых компаний в США порядка 82 % страховых случаев держателей карт наступают в результате принудительного изъятия карты преступниками.

15. «Фишинг» (phishing). Классический фишинг — рассылка электронных писем для того, чтобы пользователи Интернет посетили веб-сайты, похожие на сайты электронной коммерции, различных фирм и банков, но созданные и контролируемые мошенниками. По данным Международной ассоциации по борьбе с фишингом (APWG) в 2006 г. было зарегистрировано 268 126 сообщений о фишинговых атаках (734 атаки в день).

Одна из разновидностей фишинга — фарминг (pharming). В данном случае пользователь Интернет, набирая в адресной строке правильный адрес, все равно перенаправляется на мошеннический сайт. Атака возможна как на самом компьютере пользователя с использованием «троянцев» (изменяется таблица соответствия DNS имён и цифровых IP-адресов), так и непосредственно на DNS сервера, при этом затронуты будут уже большее количество пользователей.

В июле 2006 г. было сообщение об атаке клиентов калифорнийского банка Santa Barbara с помощью использования технологии передачи голоса через интернет VoIP, получившей название вишинг (vishing). Летом 2007 г. держатели карт в Москве получали ложные смс-сообщения о задолженности с их стороны по банковским кредитам. Для выяснения ситуации необходимо было перезвонить в банк по указанному телефону. При звонке по ложному телефону, подставной «сотрудник банка» выяснял у держателя номер банковской карты, срок её действия и другую информацию. Полученная таким образам информация, позволяла злоумышленника осуществлять Интернет транзакции.

В результате массовости и больших масштабов фишинга (51 % англичан не контролируют изменение в адресной стоке интернет броузера с http на https и 25 % раскрывали свой ПИН-код кому-либо) и скимминга (несанкционированного копирования информации с магнитной полосы карты) происходит симбиоз данных направлений мошенничества. Фишинг дает большую базу данных номеров карт с ПИН-кодами, а скимминг — базу со вторыми дорожками магнитных карт. В итоге мошенники из обеих групп обмениваются информаций и получают возможность изготовить поддельную банковскую карту с известным ПИН-кодом. На кардерских сайтах идет активный обмен информацией (купля-продажа) о номерах банковских карт, сроках действия и ПИН (без второго трека), что подтверждает реализацию фишинговых атак банкоматными мошенниками.

16. Устройства копирующие магнитную полосу. Перед ридером банкомата монтируется устройство, считывающее информацию с магнитной полосы карты при ее введении в банкомат (скиммер).

17. Накладные клавиатуры. Предназначены для перехвата вводимого ПИН-кода. В простейшем случае злоумышленник может совсем не использовать никаких дополнительных устройств. Достаточно протереть ПИН-клавиатуру, а после введения ПИН-кодом держателем, когда он отойдет от банкомата, посыпать её тальком. В результате мошенник получает цифры из которых состоит ПИН-код, остается только подобрать их порядок (существует всего лишь 24 комбинации перебора всех вариантов). Учитывая технологию некоторых процессинговых центров, при которой неверные попытки набора ПИН-кодом сбрасываются, если в один день не превышен общий порог количества неверных попыток, то подобрать значение ПИН-кода очень легко.

18. Миниатюрные видеокамеры. Развитие электронных технологий привело к появлению на рынке недорогих миниатюрных видеокамер, которые могут работать от автономных источников электроэнергии несколько часов и передавать видеосигнал по радиоканалу (стоимость такой камеры в Москве менее 2 тыс. руб.). Устанавливая её незаметно и маскируя под какое-либо устройство, злоумышленник может дистанционно получать информацию о вводимых держателями ПИН-кодах.

Цель установки скиммеров, накладных клавиатур и мини видеокамер — считать закодированную на магнитной полосе информацию и персональный код держателя банковской карты. Похищенная таким способом информация может быть нанесена на другие карты и использована вместе с соответствующими персональными идентификационными номерами для получения денег в банкоматах. Зачастую это происходит уже не в тех странах, где была получена информация о подлинных картах и персональных кодах пользователя.

28 февраля 2000 г. в Брюсселе был задержан российский компьютерщик, подделывавший банковские магнитные карточки. Мошенник сконструировал миниатюрный сканнер, считывающий информацию с банковских магнитных карточек. Сканнер вставлялся в банкомат. Ничего не подозревающий очередной клиент набирал код доступа к своему счету, получал некую сумму и уходил. Затем следивший за ним на расстоянии мошенник извлекал устройство из банкомата и переписывал информацию на чистую пластиковую карту. Он также использовал миниатюрную видеокамеру, которая размещалась рядом с банкоматом — с помощью нее можно было снять набор пароля карточки.

Аналогичные устройства были зафиксированы правоохранительными органами в Канаде, Соединенных Штатах Америки, Бразилии, Японии, Малайзии. По данным Европейской группы по безопасности банкоматов в Европе в 2005 г. отмечено 3143 случаев скимминга на банкоматах, потери составили 52,3 млн долл.

В декабре 2002 г. была произведена установка скрытых видеокамер на банкомат в г. Москве.

22 апреля 2003 г. московским правоохранительным органам удалось задержать группу мошенников, похитивших с банковских счетов граждан более 700 тыс. долл. через банкоматы. Специальное устройство вставлялось в устройство приема карточки банкомата. В момент, когда держатель снимал деньги, устройство считывало параметры его карты. Кроме того, мошенники изготовили миниатюрную видеокамеру, которая позволяла им увидеть ПИН-код.

Осенью 2004 г. и весной 2005 г. подобные устройства были обнаружены в Волгограде.

В марте и мае 2006 г. были обнаружены скиммеры и минивидеокамеры на банкоматах в Санкт-Петербурге.

В декабре 2006 г. январе 2007 г. на нескольких банкоматах Москвы и Санкт-Петербурга были зафиксированы следы установки накладных клавиатур и скиммеров. Некоторые устройства были изъяты. В мае 2007 г. в Екатеринбурге были задержаны лица, устанавливающие аналогичные устройства на банкоматы города.

Летом 2007 г. подобные устройства были обнаружены в любимых россиянами местах отдыха — в Пхукете и Ялте. В сентябре 2007 г. на банкомате в г. Омске были обнаружены устройства аналогичные изъятым в Ялте, что говорит о международном размахе в деятельности преступных элементов. В ноябре 2007 г. скиминговое устройство и накладную клавиатуру злоумышленники установили на одном из банкоматов на Олимпийском проспекте в г. Москве.

В Интернете на кардерских сайтах можно встретить предложения о продаже скиммеров для банкоматов по цене от четырех до 6 тыс. долл. США. Одно из таких устройств имеет следующие характеристики:

• считывает 1-ю и 2-ю дорожки;

• хранит до 2000 треков;

• содержит перезаряжаемую внутреннюю батарею, работающую от 53 до 54 часов непрерывной работы;

• все считываемые данные имеют метку времени: год, месяц, день, час, минута, секунда;

• двунаправленное считывание дорожки (скиммер считывает данные как при вставке карты в банкомат, так и при ее возврате);

• доступ к считанным данным защищен паролем — это удобно для случаев, когда вы работаете с партнерами, которым не доверяете;

• поставляется с ПО и полной инструкцией;

• задняя часть слота скиммера более широкая, поэтому не возникает проблем с обратным ходом карты;

• внутренность устройства заполнена твердой эпоксидной смолой для предотвращения выхода из строя электронных компонент и размыкания контактов;

• скиммер устойчив к дрожанию карты.

Производители банкоматов, обеспокоенные данным явлением, стали производить дополнительные устройства для защиты банкоматов от данного вида устройств.

Компания Wincor Nixdorf приступила к поставке на рынок специальных антискимминговых модулей, разработанных для защиты банкоматов от мошеннических действий. Модуль безопасности, устанавливаемым на банкомат, оборудован специальными датчиками для контроля области картоприемника, позволяя выявлять несанкционированную установку на банкомат любых посторонних устройств. При подозрении на подобное подключение модуль подает сигнал оповещения в соответствующие службы, ответственные за обеспечение безопасности банкоматов, одновременно останавливая работу подвергнувшегося атаке АТМ.

Компания Diebold разработала систему S. A. F. E. — Secure Anti-Fraud Enhancements (повышенная безопасность против мошенничества). Призвана обеспечить защиту от большинства видов мошенничества. Специальная округленная форма вокруг считывателя карт, затрудняющая монтаж скиммеров. Джиттер обеспечивает неравномерность движения при поступлении карты в считыватель. В наличии имеется датчик против ливанской петли. Осуществляется постоянный контроль считывателя карты, когда он не используется. Зеркала позволяют держателю видеть обстановку за спиной. Углубленное расположение клавиатуры и монитора осложняют действия подглядывающего из-за плеча.

Компания NCR сообщила о разработанном ею новом продукте для противодействия банкоматному мошенничеству. По словам разработчиков Intelligent Fraud Detection (интеллектуальное обнаружение мошенничества) объединяет лучшие решения в данном направлении и предназначен для обнаружения любых посторонних устройств, монтируемых на банкомате (задерживающих в ридере карту, видеокамер, скимминговых считывателей).

Влияние микропроцессорных карт на банкоматное мошенничество

Наиболее слабым звеном с точки зрения безопасности карт с магнитной полосой является собственно сама магнитная полоса. Её легко скопировать, легко изготовить подделку (т. е. записать информацию на другую карту или заготовку), наибольшие потери для банков приносит скимминг. Переход на МПК влечет за собой неоспоримое преимущество: труднее изготовить поддельный микропроцессор. Тем самым обеспечивается высокий уровень безопасности финансовых операций и сокращение потерь от мошенничества. Однако, это касается «чистых» МПК без магнитной полосы.

EMV миграция предполагает постепенный переход от карт с магнитной полосой к картам с микропроцессором. Для обеспечения совместимости двух технологий на время переходного периода появляются комбинированные карты и с магнитной полосой и с микропроцессором.

В настоящий момент можно найти описание различных атак на МПК, но, несмотря на имеющиеся уязвимости МПК и реальность осуществления их взлома, представляется, что в настоящий момент усилия мошенников будут направлены не на взлом «чистых» МПК, а на использование уязвимости комбинированных карт (магнитная полоса + микропроцессор).

Как это не парадоксально звучит, но на время переходного периода использование комбинированных карт с магнитной полосой и с микропроцессором увеличивает уязвимость технологии платежных карт.

Угрозы МПК + угрозы полосы = новые угрозы!

Чтобы доказать данное утверждение, рассмотрим опыт Великобритании. Такой выбор обусловлен тем, что в данной стране, во-первых, 97 % карт эмитировано с МПК, 98 % терминалов поддерживают чип, и вероятность обслуживания карты по чипу составляет более 95 %, а, во-вторых, APACS в открытом доступе регулярно публикует многочисленные статистические материалы, которые позволяют рассмотреть процессы в их историческом развитии (рис. 1–3).

Почему же на общем фоне снижения уровня потерь из-за мошенничества банкоматное мошенничество наоборот не только не останавливается, но имеет явно выраженную тенденцию к росту? Дело в том, что с появлением МПК и развитием технологии платежных карт появляются новые источники компрометации ПИН. А именно, появилась программа «ЧИП и ПИН» — проведение операций в торгово-сервисных предприятиях по чипу с использованием ПИН. На картах только с магнитной полосой ПИН (кроме карт Maestro) использовался только в банкоматах, поэтому его компрометация могла произойти в ограниченных точках: при совершении операций в банкоматах; посредством фишинга; с использованием «человеческого фактора».

Человеческий фактор (несоблюдение мер безопасности) весьма сложно поддается влиянию со стороны банков, требует усилий по обучению держателей и достаточно большого временного интервала, чтобы результаты обучения, сказались на практике.

Одной из эффективных мер противодействия фишингу со стороны эмитентов является запись на магнитную полосу карты для проверки ПИН-код значения PVV (четыре цифры — 10 000 значений) и CVV/CVC (три цифры — 1000 значений). Держатель не знает эти данные и не может их сообщить в результате фишинговой атаки. Чтобы изготовить карту и получить по ней деньги в банкомате (зная её номер и срок действия, считаем, что сервис код также известен мошеннику), необходимо получить комбинацию из семи десятичных цифр (10 000 000 вариантов). Следствием применения такой технологии будет соответствие стандарту безопасности PCI DSS (PVV не хранится у эмитента) и отсутствие у держателей возможности менять ПИН-код (что делает его случайным и более безопасным, чем, если бы ПИН-код они выбирали бы самостоятельно).

Если рассмотреть динамику мошеннических операций по видам, то представится следующая картина (рис. 4).

Программа «ЧИП и ПИН», которая предполагает введение ПИН-кода при операциях в торговых предприятиях по микропроцессорным картам, призвана привести к снижению мошенничества в двух наиболее весомых сегментах:

1) по поддельным картам уровень мошенничества с 2001 г. (160,4 млн ф. ст.) к 2006 году (99,6 млн ф. ст.) снизился в 1,61 раза;

2) по утраченным картам уровень мошенничества с 2001 г. (114 млн ф. ст.) к 2006 году (68,4 млн ф. ст.) снизился в 1,67 раз.

Если бы использовались карты только с микропроцессором (без магнитной полосы), то данная программа себя оправдывала бы. В реальности получается, что от программы «ЧИП и ПИН» стратегические потери гораздо больше тактических кратковременных выгод. Дело в том, что мошенники, используя данную программу, копируют в торгово-сервисных предприятиях ПИН-код держателя и магнитную полосу карты, а не микропроцессор (подделывать микропроцессор экономически не целесообразно). В результате изготавливается поддельная карта, с помощью которой снимаются денежные средства в банкоматах, не умеющих работать с микропроцессорными картами. Таких банкоматов на сегодняшний день большое количество — это рынок США, который еще даже не собирается переходить на микропроцессорные карты. Последствия такой атаки гораздо болезненней, чем выгода от программы «ЧИП и ПИН».

Мошеннические операции по поддельным микропроцессорным картам проводятся по магнитной полосе или с использованием ее реквизитов (МО/ТО, Интернет). В связи с тем, что мошеннические операции производятся по магнитной полосе, то метод верификации держателя карты, определенный эмитентом в Cardholder verification method Type не имеет значения. Верификация держателя происходит согласно service code — 201 (МПК, нормальная авторизация, нормальная верификация). Получается, что сокращение мошенничества по поддельным картам с МПК происходит не за счет введения в торгово-сервисных предприятиях (далее — ТСП) ПИНа, а за счет применения ЧИПа. Если при обслуживании МПК по ЧИПу верификацию держателя производить по подписи, то мошенничество по поддельным картам не увеличится относительно верификации по ПИН-коду. Для обеспечения влияния ПИН-код на сокращение мошенничества по поддельным картам необходимо требование ввода ПИН-кода в ТСП при операциях и с магнитной полосой, чего в настоящий момент нет (кроме карт Maestro). При попытке расплатиться в ТСП украденной или утерянной картой с микропроцессором по технологии «ЧИП и ПИН», если терминал поддерживает ЧИП, необходимо ввести ПИН. Поскольку мошенник его не знает, то проведение операции невозможно (если не вывести из рабочего состояния микропроцессор и потом провести операцию fallback). Следовательно, сокращение мошенничества по утраченным картам с МПК происходит за счет ПИНа, но до момента уведомления держателем эмитента об утрате ответственность по таким операциям (согласно договорам обслуживания карт) лежит на клиенте. Возможные потери эмитента — только оффлайновые операции, совершенные после уведомления клиентом об утрате карты. Таким образом, если отказаться от технологии «ЧИП и ПИН» потери банков по поддельным и утраченным картам не увеличатся, а банкоматное мошенничество сократится.

Представляется, что программа «ЧИП и ПИН» на переходный период для комбинированных карт является стратегической ошибкой. Необходимо при обслуживании комбинированных карт в предприятиях торговли оставить, использовавшийся ранее на картах с магнитной полосой, способ верификации держателя по подписи. Для банков-эмитентов это не приведет к увеличению потерь, так как при проведении мошеннической операции по магнитной полосе МПК, абсолютно не важно, как была запрограммирована верификация держателя на микропроцессоре, в результате же использования мошенниками утраченных карт, потери эмитентов будут невелики, так как ответственность по таким операциях до момента уведомления лежит на клиенте. Потери по оффлайновым операциям можно снизить за счет настроек параметров безопасности микропроцессора.

При совершении операций по МПК в ТСП вводится ПИН-код. Это влечет:

• увеличение точек ввода ПИН-кода (количество POS-терминалов во много раз превышает АТМ);

• места установки POS-терминалов отличаются от мест установки АТМ (при вводе ПИН-кода рядом с держателем находится кассир и другие клиенты — нет зоны безопасности);

• POS-терминал является менее защищенным устройством по сравнению с АТМ;

• POS терминал менее контролируем со стороны эквайрера чем АТМ (отключение от процессинга, модернизация, подмена и др.).

Негативные последствия программы «ЧИП и ПИН»:

• увеличение количества компрометаций ПИН-кодов за счет появления новых потенциальных точек (ТСП);

• увеличение потерь по банкоматному мошенничеству. Потери по скомпрометированной карте в АТМ больше чем в ТСП;

• неготовность банков к противодействию мошенническим операциям в АТМ. Если с мошенничеством в предприятиях торговли банки уже научились бороться (вплоть до разрыва договорных отношений и заявления в правоохранительные органы о возбуждении уголовного дела), то в случае если у банка-эквайера в его банкоматах идут операции по поддельным картам, не совсем ясно, что же делать (отключать банкомат не будет никто);

• компрометация ПИН-код как аналога собственноручной подписи, как следствие — мошенничество со стороны легитимных держателей. Данный вид мошенничества ставит под сомнение собственно ПИН-код как аналог собственноручной подписи держателя, а следовательно, и легитимность операций, в том числе и законных держателей, подтвержденных ПИН-кодом. Негативные последствия данной дискредитации ПИН-кода для банков-эмитентов будут очень болезненны;

• появляются новые атаки на уровне терминала (мошеннический ПИН-ПАД).

Все вышеизложенное находит свое практическое подтверждение.

Май 2006 г. компания SHELL в Великобритании прекратила использовать на безозаправочных терминалах приема платежных карт технологию «чип и пин» после того как мошенники украли более 1 млн ф. ст. Шестьсот терминалов были модифицированы мошенниками в целях несанкционированного копирования 2 трека магнитной полосы и ПИН-кода и поддельные карты использовались в не чиповых банкоматах.

Июль 2006 г. Банк Lloyds-TSB заявил о возросшем уровне мошенничества по МПК из банкоматов в других странах.

Август 2006 г. Монреаль. Модернизация торговых терминалов с целью копирования магнитной полосы и ПИН (18 тыс. карт).

Август 2006 г. Копенгаген. В книжном магазине у держателей копировалась магнитная полоса и ПИН-код (509 карт за 3 дня). Далее снимались денежные средства в банкоматах.

2007 г. Уведомление от MasterCard (Ref Number: 200702_001) об атаках в Австрии, Германии, Швейцарии, Швеции, выразившихся в замене подлинных терминалов ложными с функцией перехвата ПИН-кодов.

Рассмотрим подробнее угрозы, которые появляются с использованием технологии «ЧИП и ПИН».

• «Подглядывание из-за плеча». Мошенник может узнать персональный код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, выполняя операции в ТСП. При этом магнитная полоса может негласно копироваться либо позднее карта похищается. В банкоматах данная угроза также существует, но уровень ее существенно ниже. При грамотной установке банкоматов они имеют так называемую зону безопасности, пространство, которое отделяет держателя карты, пользующегося банкоматом, от остальных людей в очереди. В торговом предприятии такую зону создать невозможно, дополнительно рядом с держателем присутствует кассир, который также может видеть вводимый ПИН-код.

• Подмена криптографического ключа. В торговый терминал (пин-пад) загружается известный злоумышленнику криптографический ключ ТМК (терминальный мастер ключ). После осуществляется перехват вторых дорожек и ПИН-блоков (транзакции с он-лайн проверкой ПИН-кода проходить не будут (не верный ПИН-код), но мошенник перехватывает нужную ему информацию). В результате мошенник получает вторые дорожки карт и зашифрованные известным ему криптографическим ключом ПИН-блоки. Далее изготавливается «белый пластик» и деньги снимаются в настоящем банкомате. Если в торговом терминале реализована оффлайновая проверка чистого ПИН-кода, и терминал с пин-падом являются различными физическими устройствами (подключены соединительным проводом), то возможна замена криптографического ключа, на котором зашифровывается пин-блок при передаче от пин-пада к терминалу. Если этот пин-блок перехватить, то очень легко можно получить значение ПИН-кода. При этом торговый терминал будет нормально работать, а эквайрер не будет знать о подмене ключа. Проверка зашифрованного ПИН не решит проблему. Так как ключ шифрования ПИН-блока известен (открытый ключ карты) и возможна атака полным перебором (10 000 вариантов).

• Мошенничество со стороны персонала ТСП.

До технологии «ЧИП и ПИН» недобросовестный сотрудник торгового предприятия мог только скопировать магнитную полосу карты (скимминг). Теперь же он получает возможность дополнительно узнать и ПИН-код как обычным подглядыванием за его вводом, так и с использованием технических средств (например видеокамер). В результате эффективность деятельности мошенников увеличивается и растут потери банков. Поскольку, похитив только информацию с магнитной полосы карты, необходимо изготовить поддельную карту, что требует определенных затрат. Далее с такой картой нужно прийти в магазин и осуществить покупку. Мошенник не знает доступный на карте баланс, всегда есть риск, что персонал торговой точки определит поддельность карты и злоумышленника задержат правоохранительные органы. В случае же копирования второго трека полосы карты и получения ПИН-кода, затраты на изготовление «белого пластика» минимальны. Использование такой карты в банкомате влечет значительно меньший риск быть задержанным по сравнению с предприятием торговли и есть возможность снять все денежные средства, доступные на карточном счете.

К уязвимостям стандарта EMV следует отнести, во-первых, легкую доступность ПИН-кода (учитывая, что магнитная полоса остается на смарткартах, по ним возможно проведение не чиповых операций, что увеличивает риск компрометации карт). Во-вторых, EMV предполагает аутентификацию карты и эмитента, но не предусматривает аутентификацию подлинности терминала, в связи с чем усилятся атаки на сам терминал — от простой подмены, до модернизации. Что уже сейчас подтверждается данными. Так, исследователи Кембриджского университета 5 января 2007 г. перепрограммировали «ЧИП и ПИН»-терминал, превратив его в игровую приставку для игры в «тетрис».

Появились новые атаки на уровне терминала (разновидность мошеннического ПИН-ПАДа) — атака трансляцией. Данный вид атаки позволяет злоумышленнику с использованием относительно недорогого оборудования (при реализации затраты комплектующих составили 442 долл. США) осуществить перехват и трансляцию всего трафика между подлинной МПК картой и подлинным торговым терминалом. При этом подлинные карта и терминал географически находятся в разных точках и осуществляют взаимодействие через поддельные терминал и карту соответственно, которые имеют удаленную связь между собой.

Для уменьшения потерь от банкоматного мошенничества из-за компроментации ПИН-кода в торговых предприятиях для верификации (проверки) держателя необходимо использовать верификацию держателя по подписи chip-and-signature (ЧИП и подпись). Для повышения общего уровня безопасности ПИН-кодом требуется соблюдение требований PCI DSS и усиление криптографической безопасности — переход с криптографического алгоритма DES на 3DES с ключами двойной длины; поточное шифрование, создание VPN-туннелей при подключении терминальных устройств к процессинговым центрам; использование функции макирования (МАС) на всех терминальных устройствах; внедрение технологии удаленной загрузки терминальных мастер ключей (Remote Key Management).

Уязвимости банкоматов

Другой угрозой наиболее сильно влияющей в последнее время на банкоматное мошенничество, особенно в России, являются физические нападения на банкоматы. Связано это с тем, что первоначально в России развитие карточного бизнеса начиналось с зарплатных проектов. Как следствие банкоматы в большинстве своем ставили на территории предприятия и доступ к ним со стороны посторонних лиц был либо существенно затруднен, либо банкомат находился под контролем местной охраны. С развитием розницы в карточках, ориентации на клиентов «с улицы», а так же при высокой конкуренции между банками, количество общедоступных банкоматов увеличивается. При этом, если при зарплатном проекте администрация предприятия, на котором установлен банкомат, понимает, что данное устройство обеспечивает выдачу заработной платы её работникам и это, таким образом выгодно и самому предприятию, следовательно, предпринимает необходимые меры по его охране и безопасности. В случае же установки большинства общедоступных банкоматов в условиях конкурентной борьбы банков предприятие, предоставляющее в аренду площадь для установки банкомата, не заинтересовано в дополнительных затратах на его безопасность. Вместе с тем при физическом нападении на банкоматы используются традиционные криминальные методы, которые уже отработаны на протяжении достаточно длительного периода времени и имеют своих подготовленных исполнителей. То есть для физического нападения на банкомат не требуются новые высокотехнологические технологии, а применяются давно известные способы кражи или вскрытия сейфов. На новую отрасль банковской индустрии в настоящее время обращает свое внимание традиционный криминал. С его точки зрения банкомат — это сейф с деньгами. И этот сейф может быть установлен не в специально оборудованном средствами инженерно-технической защиты помещении, а в свободном доступе.

В 2003 г. за полгода в Японии было совершено 49 ограблений банкоматов при помощи экскаваторов. Ущерб составил несколько миллионов долларов. В связи с тем, что для строительной техники используется один ключ для всей серии, ее очень легко угнать с ближайшей стройки.

В США в основном похищают небольшие по габаритам и весу (low-end) банкоматы из магазинов не оборудованных сигнализацией. В Нью-Йорке январе-июле за 2004 г. изъято 23 банкомата, в штат Иллинойс за 2004 г. изъято 27 банкоматов, в Филадельфии декабрь 2003 г. — май 2004 г. более 30 банкоматов.

По данным Европейской группы по безопасности банкоматов (EAST) с января по сентябрь 2004 г. в Европе было зафиксировано 600 случаев данного вида преступлений, общий ущерб составил 6 млн евро; в 2005 г. — 1572 случая данного вида инцидентов, общий ущерб составил 20,2 млн долл. США.

В 2005 г. в США было украдено 200 банкоматов, в Великобритании — более 125.

В Нидерландах в 2005 г. отмечено 17 физических нападений на банкоматы. Из них 10 с использование тяжелых транспортных средств, 5 — газообразных взрывчатых веществ (в сейфе отверстие, заполняется газом и взрывается, банкноты не повреждаются).

В США 80 % страховых случаев с физическими нападениями на банкоматы — это кражи. Согласно данным, опубликованным компанией Diebild, в 4,5 млн долл. в год — обходятся в США физические нападения на банкоматы.

В России только в Санкт-Петербурге в 2005–2006 гг. было совершено 11 нападений на банкоматы, общая сумма ущерба составила 12 545 899 руб. В целом по стране статистика тоже малоутешительна (см. далее хронику банкоматного мошеничества в Приложение 1 к настоящему разделу).

Преступники взламывают сейфы банкоматов, разрезают их сваркой или «болгаркой», похищают с места установки. Способы хищений самые разнообразные — тайные, разбойные, путем обмана под видом сотрудников банка, осуществляющих плановую замену банкомата и т. п.

В связи с этим банкам необходимо разработать внутренние регламентирующие документы по выбору мест установки банкоматов. Приведенные ниже рекомендации являются шаблоном для собственной методики, которая должна учитывать особенности бизнеса конкретного банка.

При выборе места установки банкомата необходимо учитывать:

1) безопасность держателей карт при пользовании банкоматом;

2) безопасность работников, осуществляющих инкассацию;

3) возможность хищения банкомата;

4) возможность вскрытия банкомата в целях хищения денежных средств или оборудования, находящегося внутри;

5) возможность вандализма по отношению к банкомату;

6) криминогенную обстановку в данной местности;

7) наличие инженерно-технических средств защиты (охранная сигнализация, видеонаблюдение и др.).

Рекомендуется ввести категории безопасности мест установки банкоматов (I — самая безопасная).

I. В помещениях кредитной организации.

II. В помещениях других предприятий (организаций, учреждений) с ограниченным доступом (пропускной режим).

III. В помещениях других предприятий (организаций, учреждений) со свободным доступом.

IV. В стенах (проемах) зданий для обслуживания клиентов со стороны улиц.

В зависимости от категории места разрабатываются различные требования к ним. Разумеется, приведенный список является примерным и может изменяться или добавляться в зависимости от специфики конкретного банка (например, дополнительно можно ввести следующие категории — в помещениях железнодорожных вокзалов; на метрополитене).

Общие рекомендации по установке банкомата:

1) пространство перед банкоматом должно быть освещено, в том числе в темное время суток, если режим работы банкомата предполагает обслуживание клиентов в это время.

2) должен быть обеспечен подъезд инкассаторского автомобиля на максимально близкое расстояние ко входу в помещение, где установлен банкомат.

3) расположение банкомата должно позволить бригаде инкассации своевременно принять необходимые меры в случае нападения как на пути следования к банкомату, так и во время его обслуживания.

4) все банкоматы оснащаются системами видеорегистрации.

5) запрещается установка банкоматов рядом с зеркальными поверхностями, в том числе под зеркальными потолками, позволяющими со стороны увидеть процесс ввода ПИН-кода.

Далее необходимо разработать конкретные требования для каждой категории.

ПРИМЕР

I категория

1. Место установки банкомата должно хорошо просматриваться службой местной охраны, работающим персоналом или клиентами либо находиться под контролем системы видеонаблюдения.

2. Должна быть предусмотрена так называемая «зона безопасности», чтобы держатель мог без опасений ввести ПИН-код и забрать наличные денежные средства.

3. Помещение, где установлен банкомат, должно быть оборудовано охранной сигнализацией с выводом сигнала срабатывания на пульт охраны одной из ниже перечисленных структур: собственной службы безопасности, вневедомственной охраны (ПЦО), дежурной части органа внутренних дел, частного охранного предприятия.

4. Помещение, где установлен банкомат, должно быть оборудовано системой видеозаписи с архивом хранения не менее 45 дней.

II категория

1. Пункты 1–3, относящиеся к категории I.

2. Договор с предприятием должен предусматривать согласование с банком любых перемещений банкомата, в том числе его вывоз на техническое обслуживание.

3. К банкомату должен обеспечиваться доступ бригад инкассации и технических специалистов, в том числе при нештатных ситуациях (пожар, инженерно-технические аварии и т. п.) в нерабочее время.

III категория

1. Пункты 1–3, относящиеся к категории I, пункты 2, 3, относящиеся к категория II.

2. Банкомат устанавливается вдали от застекленного внешнего периметра зданий (например, витрин магазинов).

3. Необходимо наличие инженерных сооружений, обеспечивающих невозможность прямого доступа автотранспорта к банкомату.

IV категория

1. Пункты 2, 3, относящиеся к категории II, пункт 4, относящийся к категории III.

2. Стена, через которую установлен банкомат, должна быть достаточной прочности.

3. Помещение, через которое осуществляется доступ к тыльной части банкомата должно быть оборудовано охранной сигнализацией с выводом сигнала срабатывания на пульт охранных структур (пункт 3, относящийся к категории I).

Дополнительные меры безопасности:

1) оборудование банкомата охранной сигнализацией с выводом сигнала срабатывания на пульт охранных структур;

2) страхование банкомата и наличных денежных средств, находящихся в сейфе;

3) крепление банкомата к основанию;

4) оборудование банкомата системой слежения (указание места нахождения банкомата в случае его кражи);

5) система задымления помещения в случае несанкционированного открытия банкомата (система должна срабатывать только в нерабочее время, когда в помещении нет клиентов и персонала);

6) устройство приведения денежных банкнот в негодность в случае несанкционированного доступа (банкноты заливаются краской).

При этом необходимо отметить, что с точки зрения безопасности дополнительные меры п. 1 и 2 являются скорее основными. Именно они позволят обеспечить высокий уровень безопасности банкоматов и минимальные финансовые потери в случае физического нападения. Но требования бизнеса по минимизации затрат и увеличению прибыльности зачастую не дает возможности использовать их в качестве основных.

Для уменьшения потерь от банкоматного мошенничества помимо мер, принимаемых со стороны банков, платежных систем, производителей, правоохранительных органов необходимо обращать внимание на держателей карт. От их правильного, безопасного использования своих платежных карт так же зависит успешное противостояние преступным посягательствам на финансовые средства. Необходимо разработать рекомендации по пользованию банкоматами, которые должны быть легко доступны клиентам. При появлении различных мошеннических схем эту информацию с предоставлением рекомендаций необходимо доводить до держателей. Особенно эффективно использовать при этом возможности средств массовой информации. (рекомендации держателям банковских карт при совершении ими операций в банкоматах и Интернет см. приложение 2 к настоящему разделу).

ПРИЛОЖЕНИЕ 1

Хроника банкоматного мошенничества в России (2004–2007 гг.)

2 февраля 2004 г. в Хабаровске преступники похитили 300-килограммовый банкомат с 600 тыс. руб. Около часа ночи двое неизвестных якобы для того, чтобы снять деньги, вошли в здание Хабаровского отделения Дальневосточной железной дороги. Они ударили сторожа, сотрудника вневедомственной охраны, металлической трубой, после чего связали его скотчем и унесли банкомат.

2 февраля 2004 г. в Калининграде преступники украли банкомат. Несколько преступников накинулись на стоящего у входа охранника, ударили его тяжелым предметом по голове и связали скотчем. После принялись за банкомат — используя физическую силу, они оторвали его от пола, погрузили в микроавтобус и увезли.

24 ноября 2004 г. в Сургуте из здания по улице Лермонтова 11/5 был похищен банкомат с тремя миллионами рублей. По версии следствия, преступление совершила группа неизвестных, которые к моменту кражи находились внутри здания. Охраны, кроме пожилой женщины, не было.

1 декабря 2004 г. в Петрозаводске похищен банкомат. Неизвестные воры проникли накануне ночью в супермаркет, где находился банкомат, и вынесли его со всем содержимым.

22 мая 2005 г. в Сургуте похищен банкомат. Двое неизвестных вошли в помещение городского магазина и, представившись сотрудниками технического отдела одного из банков, обманным путем похитили банкомат. В банкомате находились 3 миллиона 965 тысяч рублей, а также 300 долларов.

14 ноября 2005 г. в городе Осе Пермской области совершено дерзкое разбойное нападение, в ходе которого из гостиницы «Нефтяник» был похищен банкомат с 3,7 млн рублей. Примерно в 4.00 четверо неизвестных через балкон третьего этажа проникли в гостиницу. Угрожая пистолетом администратору, преступники связали женщину, забрали банкомат Diebold с деньгами, погрузили его в автомобиль «Иж» и скрылись.

7 декабря 2005 г. в Санкт-Петербурге в магазине «Снарк» взлом путем механического спиливания двери сейфа банкомата, установленного через стену. Ущерб 545 650 руб.

9 декабря 2005 г. в Санкт-Петербурге по адресу Кондратьевский проспект, д. 2 с 1 этажа похищен банкомат со свободным режимом доступа. Ущерб 253 700 руб.

16 декабря 2005 г. в Санкт-Петербурге проникновение в «Театр Сатиры», нападение на охранника, взлом банкомата, ущерб 1 466 712 руб.

26 января 2006 г. в Санкт-Петербурге в помещении Политехнического Университета нападение на охранника, взлом путем механического спиливания двери сейфа банкомата, ущерб 605 600 руб.

16 марта 2006 г. в Санкт-Петербурге по адресу Московский просп., д. 194 взлом путем механического спиливания двери сейфа банкомата, установленного в холле, ущерб 3131164 руб.

25 марта 2006 г. в Санкт-Петербурге на почте взлом путем механического спиливания двери сейфа банкомата, установленного через стену, ущерб 80 350 руб.

18 апреля 2006 г. в Санкт-Петербурге на территории Петропавловской крепости взлом двери сейфа банкомата, ущерб 764 700 руб.

6 мая 2006 г. в Санкт-Петербурге проникновение в Академию постдипломного педагогического образования, нападение на охранника, взлом банкомата, ущерб 1 800 000 руб.

18 мая 2006 г. в Санкт-Петербурге проникновение в бизнес-центр по адресу 11-я линия Васильевского острова, д. 38, нападение на охранника, взлом путем механического спиливания двери сейфа банкомата, ущерб 3 112 200 руб.

5 июня 2006 г. в Санкт-Петербурге в НИПНИ им. Бехтерева по адресу: ул. Бехтерева, д. 3, нападение на вахтера, покушение на взлом сейфа банкомата. Группа лиц, совершивших нападение, задержана на месте преступления.

8 июня 2006 г. в городе Великие Луки Псковской области грабители похитили из магазина банкомат. В момент ограбления в устройстве находилось 548 тысяч рублей. Неизвестные злоумышленники взломали дверь магазина на Вокзальной улице и вынесли банкомат.

19 июля 2006 г. в Перми с территории закрытого завода имени Кирова, который является одним из ведущих разработчиков и производителей зарядов твердого топлива к двигателям ракет класса «воздух-воздух», похитили банкомат. Около 4 утра по местному времени злоумышленники проникли на территорию завода и вынесли банкомат массой полтонны.

20 марта 2007 г. в г. Томске был разрезан сварочным аппаратом банкомат, расположенный в отделении связи № 62 (Иркутский тракт, 102), похищено 1 626 900 руб.

14 августа 2007 г. в Тихвине неизвестный злоумышленник газосварочным аппаратом вскрыл банкомат, расположенный в помещении ЗАО «Комфорт». По предварительной информации, из банкомата пропало более 3,7 млн руб.

12–13 сентября 2007 г. на улице 40 лет ВЛКСМ в Красноармейском районе г. Волгограда на территории нефтеперерабатывающего завода вскрыт банкомат, злоумышленники похитили 3 млн руб. Неизвестные, связав женщину-сторожа предприятия, вскрыли банкомат при помощи газосварки, похитили деньги и скрылись.

8–9 октября 2007 г. в поселке Рощино Выборгского района Ленинградской области взломали банкомат, похищено свыше 550 тыс. руб. Неизвестные, взломав дверь черного хода, проникли в здание поселковой администрации. Преступников не смогло остановить даже то, что банкомат был подключен к сигнализации частного охранного предприятия.

11 октября 2007 г. в Санкт-Петербург по адресу: набережная реки Карповки д. 5 кор. 16 был похищен банкомат, расположенный на территории предприятия за постом охраны. Неустановленные лица проникли на территорию организации, произвели нападение на охранника, после чего вывезли банкомат с территории. Приезд тревожной группы не застал грабителей на месте преступления.

16–17 октября 2007 г. в помещении магазина Фрунзенского района г. Санкт-Петербурга был похищен банкомат. Неустановленные лица, в количестве 3-х человек, в комбинезонах организации, обслуживающей банкоматы, зашли в магазин, где был установлен банкомат, для производства работ по его обслуживанию. В это время четвертый сообщник разбивает бутылки с прилавка магазина. Охранники кинулись на место «события» разбираться в произошедшем. Пока сотрудники охраны разбирались с «неуклюжим человеком», который причинил магазину ущерб, заставляя его заплатить и извиниться, в это время банкомат был вывезен с территории магазина.

ПРИЛОЖЕНИЕ 2

Памятка держателю карты по использованию банкоматов

Старайтесь пользоваться одними и теми же банкоматами, которые Вам хорошо известны.

В случае необходимости использовать новый банкомат, выбирайте хорошо освещенный и установленный в удобном месте.

Прежде чем подойти к банкомату, осмотрите окружающее пространство. В случае нахождения поблизости подозрительных людей, воспользуйтесь другим банкоматом.

Перед тем как подойти к банкомату, достаньте свою карточку и держите ее в руках. Не открывайте бумажник, кошелек, сумку, барсетку непосредственно около банкомата или в очереди к нему.

Перед использованием банкомата осмотрите его внешний вид. Если Вы обнаружите наличие каких-либо посторонних изделий, предметов, проводов, следов конструктивных изменений, воспользуйтесь другим банкоматом.

Будьте особенно осторожны, если кто-то посторонний предлагает Вам около банкомата помощь, даже если у Вас застряла карточка или возникли проблемы с проведением операции. Не набирайте ПИН-код на виду у «помощника», не позволяйте себя отвлечь, так как в этот момент мошенники могут забрать из банкомата Вашу карточку или выданные денежные средства.

Если у банкомата за Вами находится очередь, убедитесь, что никто не может увидеть Ваш ПИН-код.

При вводе ПИН-кода находитесь как можно ближе к банкомату, вводите ПИН-код средним пальцем руки, второй рукой закройте клавиатуру.

Вводите ПИН-код только после того как банкомат попросит Вас об этом.

Не применяйте физическую силу, чтобы вставить карточку в банкомат.

Всегда сохраняйте все распечатанные банкоматом квитанции.

Если Вам кажется, что банкомат работает неправильно, нажните кнопку «отмена», заберите свою карточку и воспользуйтесь другим банкоматом.

После получения денежных средств, положите наличность и карточку в бумажник, кошелек, сумку и т. п. и только после этого отходите от банкомата.

Запомните свой ПИН-код. Если Вы его запишите, всегда будет вероятность, что кто-нибудь сможет его узнать.

Никогда и ни при каких обстоятельствах не сообщайте никому свой ПИН-код, в том числе родственникам, знакомым, сотрудникам банка или правоохранительных органов.

Если банк-эмитент позволяет Вам изменять ПИН-код, то не выбирайте легкие значения (1111, 1234 или даты рождения), периодически меняйте ПИН-код.

Обратитесь в свой банк и установите ежедневный лимит снятия денежных средств. Если Вам понадобится снять сумму, превышающую разрешенную, всегда можно позвонить в банк и на время повысить или совсем снять лимит.

Подключитесь к системе информирования об операциях по карточке по мобильному телефону при помощи смс-сообщений, если в Вашем банке есть данная услуга. Это позволит не только сразу же узнать о несанкционированной Вами операции по карте, но и самостоятельно ее сразу же заблокировать. Дополнительно Вы можете самостоятельно управлять лимитами снятия.

Ежемесячно проверяйте выписки по Вашему карточному счету.

Относитесь к хранению карточки также как Вы относитесь к наличным денежным средствам.

При пользовании карточкой в торговых предприятиях, следите, чтобы карточка не исчезала из Вашего поля зрения. При необходимости ввести ПИН-код, закройте клавиатуру рукой так, чтобы ни продавец, ни находящиеся рядом с Вами клиенты не видели введенных цифр. Если кто-то увидит Ваш ПИН-код, после этого карточку могут украсть и быстро снять все денежные средства в банкомате.

Запишите и всегда храните с собой, но отдельно от карточки, номер Вашей карты, номер телефона Вашего банка, кодовое слово, по которому банк аутентифицирует Вас как законного держателя. Эта информация будет необходима Вам в случае возникновения каких-либо проблем с карточкой, например в случае ее утраты.

Меры безопасности при использовании банковской карты в сети Интернет

Не отвечайте на электронные письма, в которых якобы от имени банка, просят Вас предоставить персональную информацию. Свяжитесь с Банком по номеру телефона, который известен Вам как истинный, чтобы выяснить подлинность письма.

Никогда не следуйте по ссылкам в таких письмах (даже на сайт банка), так как они могу вести на мошеннические сайты.

Никогда не раскрывайте персональную информацию или информацию по карте (счету) через Интернет ресурсы такую как: ПИН-код, пароли доступа к ресурсам банка, кредитные лимиты, историю операций, данные паспорта или водительских прав, данные по карте.

При оплате покупок в Интернете при помощи банковской карты лучше использовать отдельную карту, предназначенную только для данной цели. Денежные средства на нее рекомендуется переводить непосредственно перед намерением совершить покупку в объеме немногим больше планируемых расходов.

Пользуйтесь услугами только известных и проверенных торговых предприятий. Предпочтение необходимо отдавать предприятиям, подключенным к программам Verified by Visa (Проверено Визой) и Secure Code (Безопасный Код).

Убедитесь, что у вас есть возможность связаться с торговцем в случае спорной ситуации или вопроса. Убедитесь в правильности адресов (телефонов), данных на странице.

Проверяйте адреса Интернет-сайтов, к которым вы подключаетесь, так как злоумышленники могут использовать похожие названия для создания мошеннических ресурсов.

Избегайте пользоваться услугами Интернет-ресурсов сомнительного содержания; зачастую они создаются специально для получения информации о банковских картах и последующего ее неправомерного использования.

Если есть какие-либо подозрения по странице, или вы не хотите предоставлять детали по карте или персональные сведения, то покиньте страницу, сообщите о подозрениях в банк, произведите покупку в другом месте.

Контролируйте свою электронную почту, не открывайте сообщения от неизвестных адресатов, не передавайте свои личные данные. В случае необходимости передать свою персональную информацию доверенному получателю используйте средства криптографической защиты, так как обычные почтовые послания могут быть перехвачены и использованы для нанесения вам вреда.

Установите на свой компьютер антивирусное программное обеспечение и регулярно производите его обновление и обновление других используемых вами программных продуктов (операционной системы и прикладных программ), это защитит Вас от вирусов и других деструктивных программ.

Установите на компьютер межсетевой экран (firewall), который поможет предотвратить неавторизованный доступ к вашему компьютеру.

Совершайте покупки только со своего компьютера, не пользуйтесь Интернет-кафе и другими доступными средствами, где могут быть установлены программы-шпионы, запоминающие вводимые вами конфиденциальные данные.

Выбирайте пароли, которые не связаны с вашим днем рождения или другими персональными данными. Если возможно, выбирайте символьно-цифровые пароли. Не записывайте пароли и никому не сообщайте их.

 

Безопасность операций с платежными картами. Оценка рисков и мониторинг транзакций в платежной системе

Общие положения

В соответствии с Положением ЦБ РФ № 266-П на территории Российской Федерации кредитные организации — эмитенты осуществляют эмиссию банковских карт, являющихся видом платежных карт как инструмента безналичных расчетов, предназначенного для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у эмитента, в соответствии с законодательством Российской Федерации и договором с эмитентом.

Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных карт, кредитных карт и предоплаченных карт. Кредитные организации — эквайреры осуществляют расчеты с организациями торговли (услуг) по операциям, совершаемым с использованием платежных карт, и (или) выдают наличные денежные средства держателям платежных карт, не являющихся клиентами указанных кредитных организаций (эквайринг). Кредитная организация вправе одновременно осуществлять эмиссию банковских карт, эквайринг платежных карт, а также распространение платежных карт. Эмиссия банковских карт, эквайринг платежных карт, а также распространение платежных карт осуществляются кредитными организациями на основании внутрибанковских правил, разработанных кредитной организацией в соответствии с законодательством Российской Федерации, нормативными актами Банка России, и правилами участников расчетов, содержащими их права, обязанности и порядок проведения расчетов между ними. Внутрибанковские правила, помимо прочего, должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска.

Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» содержит рекомендации по управлению операционным риском в кредитных организациях.

Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее — Стандарт). В соответствии со Стандартом информационная безопасность организации банковской системы Российской Федерации есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

Платежная система банка (ПС) — система обмена транзакциями и взаиморасчетов (клиринга), организованная банком на основе платежных карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом. Для полноты далее будем рассматривать банк, осуществляющий деятельность по обоим обозначенным направлениям.

Платежная система представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а, значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту.

Обеспечение информационной безопасности ПС должно соответствовать принципу комплексности. Под комплексностью вообще понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). В смысле обеспечения информационной безопасности далее будем, говоря о комплексности, иметь в виду всеобщую комплексность.

Далее мы будем рассматривать информационную безопасность ПС только с точки зрения злоумышленных воздействий, направленных на несанкционированное использование платежной карты в ПС.

С точки зрения банка, осуществляющего деятельность по эмиссии и эквайрингу одновременно, возможно несанкционированное использование банковских карт, эмитированных самим банком, и платежных карт в эквайринговой сети банка. Поскольку рассматривается информационная безопасность банков, то аспекты обеспечения безопасности небанковских продуктов, таких как карты American Express, мы также выводим за границы рассмотрения.

Будем исследовать информационную безопасность ПС банка одновременно в части эмиссии и эквайринга.

Мошенничество с банковскими картами

Банковская карта является видом платежных карт как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Если злоумышленник получает саму карту, ее данные или реквизиты, подделывает ее, то он имеет возможность совершать мошеннические операции со счетом в банке, средством доступа к которому является данная карта. Мошеннической операции (с точки зрения банка, а не уголовного законодательства) дадим следующее определение.

Мошенническая операция — это операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Классификация видов мошенничества:

утерянные и украденные карты (lost and stolen cards);

• неполученные карты (never-received-issue — NRI);

• поддельные карты(counterfeit cards);

• карта не присутствует (card not present);

• несанкционированное использование персональных данных держателя карты и информации по счету (Card ID theft — application fraud, account take-over);

• другие виды мошенничества (miscellaneous).

Основными способами компрометации банковской карты (данных магнитной полосы, реквизитов, ПИН-кода) являются:

• скимминг — несанкционированное считывание и сохранение данных с магнитной полосы карты;

• фишинг — получение у держателя карты информации о реквизитах карты и (или) ПИН-коде путем обмана (рассылка электронных писем, ссылки на мошеннические сайты и т. д.);

• установка специальных технических средств на терминальные устройства или поблизости от них с целью фиксирования вводимого держателем карты ПИН-кода;

• подглядывание реквизитов карты и (или) ПИН-кода злоумышленником;

• ненадлежащие хранение и обработка информации по транзакциям в нарушение установленных правил МПС, стандарта PCI DSS (payment card industry data security standard);

• разглашение информации со стороны работников банка.

Международная платежная система (далее — МПС) Visa сообщает о потерях банков от мошенничества в своей системе в 2005 г. в 2,2 млрд долл., во II квартале 2006 г. — 196 млн долл. Во втором квартале 2006 г. потери по эквайрингу в России составили 539 065 долл., по эмиссии — 329 867 долл.

По оценкам агентства Frost&Sullivan потери от мошенничества с банковскими картами к 2009 г. могут достигнуть 15,5 млрд долл. Кроме того, по оценкам Visa, 100 долл. прямых потерь в результате мошенничества влекут 200 долл. дополнительных косвенных потерь (запросы документов, претензионная работа, расходы на сотрудников, программное обеспечение и др.).

Постоянный рост числа операций по банковским картам сопровождается также увеличением объемов мошеннических операций и возрастанием финансовых потерь. Это обуславливает необходимость применения комплексного подхода к обеспечению безопасности платежной системы банковских карт для защиты от мошенничества.

Для противодействия мошенничеству недостаточно применить хорошее технологическое решение, необходимо соответствующим образом организовать и скоординировать работу МПС, банков, правоохранительных органов, повысить уровень осведомленности держателей карт о различных видах мошенничества. Банк со своей стороны должен руководствоваться следующими базовыми принципами:

• наличие политики обеспечения информационной безопасности и четко сформулированной стратегии в области управления рисками в ПС;

• наличие команды квалифицированных специалистов для расследования и пресечения мошенничества;

• применение современных технологических решений.

МПС VISA и MasterCard приняли стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством:

• Visa regional operation regulations (May 2007);

• MasterCard security rules and procedures (January 2006).

Эти стандарты предусматривают контроль авторизационных и клиринговых транзакций. Однако требования не обязывают осуществлять проверки в реальном времени. Фактически, необходимо в конце дня либо в иные установленные интервалы времени подготавливать отчеты в специальном формате, принимать необходимые решения и оповещать других участников МПС о фактах мошенничества. Для обеспечения безопасности МПС созданы специальные программы.

Visa

• FRS (Fraud Reporting System). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС VISA.

• RIS (Risk Identification Service). Это служба идентификации рисков, предупреждающая банк эквайрер о подозрительной или мошеннической активности обслуживаемой им торговой точки.

• NMAS (National Merchant Alert Service). Национальная служба оповещения об отключенных торговых точках, предоставляет эквайрерам доступ к информации о торговых точках, которые были уличены в мошеннической деятельности другими участниками МПС VISA.

MasterCard

• SAFE (System to Avoid Fraud Effectively). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС MasterCard.

• RAMP (Risk Assessment Management Program). Программа предназначена для проверки участников на соответствие требованиям и рекомендациям платежной системы по безопасной обработке транзакций и контролю рисков. Программа включает в себя обязательные и дополнительные проверки участников персоналом МПС.

• MATCH (Member Alert to Control High-Risk). Это система оповещения членов платежной системы по управлению рисками в торговых предприятиях. Банки-эквайреры используют систему для доступа к базе данных по мошенническим или скомпрометировавшим себя торговым точкам и их владельцам.

Для разработки повышенных требований к обеспечению безопасности данных о платежных картах был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International. Стандарт PCI DSS vl.1 определяет требования безопасности для защиты информации, относящейся к платежной карте и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Стандарт устанавливает требования по следующим шести категориям:

• построение и обеспечение безопасности сети;

• защита данных о держателях карт;

• обеспечение программы менеджмента уязвимостей;

• реализация строгих механизмов контроля доступа;

• регулярный мониторинг и тестирование сетей;

• обеспечение политики информационной безопасности.

Всего определяется двенадцать основных требований по всем категориям:

• установить и поддерживать конфигурацию межсетевого экранирования;

• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;

• защищать хранимую информацию;

• шифровать передаваемые данные о держателях карт по открытым каналам;

• использовать и регулярно обновлять антивирусное программное обеспечение;

• разрабатывать и поддерживать безопасные системы и приложения;

• ограничивать доступ к данным на основе принципа необходимого знания;

• назначить уникальный идентификатор каждому субъекту доступа к информации;

• ограничить физический доступ к данным о держателях карт;

• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;

• регулярно тестировать системы и процессы безопасности;

• поддерживать политику информационной безопасности.

В настоящее время указанный стандарт обязателен для процессинговых центров, в дальнейшем его требования будут распространяться на всех участников платежных систем.

Риски банка, связанные с мошенничеством

Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:

• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;

• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.

• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.

Сбор статистики — необходимый процесс для оценки рисков

Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.

Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.

Эмиссия

1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.

2. Число мошеннических операций — общее, по типам продуктов, по регионам.

3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.

4. Статистические профили держателей карт.

5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.

6. Статистическая обработка совершенных мошеннических операций.

Эквайринг

1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.

2. Число мошеннических операций — общее, по категориям ТСП, по регионам.

3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.

4. Статистические профили ТСП.

5. Статистическая обработка совершенных мошеннических операций.

Оценка рисков

Обязательные требования МПС

Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.

VISA определяет следующие нарушения, за которые предусмотрены санкции:

1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций:

• 200 опротестований;

• 200 транзакций;

• уровень опротестованных транзакций составляет 2 %.

После попадания в программу эквайрер платит по 100 долл. за каждую опротестованную транзакцию по каждому ТСП торгово-сервисной компании, попавшей в программу. Штраф может быть установлен VISA в 200 долл., если не предпринимаются меры по исправлению ситуации.

2. Несоответствие эмитента требованиям риск мониторинга. Эмитент, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA раздел 2.7, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.

3. Несоответствие эквайрера требованиям риск мониторинга. Эквайрер, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA разд. 2.6, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.

4. Превышение уровня мошенничества по эквайреру. К ниме относятся эквайреры, у которых квартальные потери от мошенничества превышают 50 000 долл. и уровень мошенничества выше 0,35 % (не учитываются мошеннические операции получения наличных, мошеннические операции по неполученным картам и картам, выданным по поддельным заявлениям). В течение первых четырех кварталов штраф составляет 5000 долл., за пятый, шестой и седьмой — 50 000 долл., далее Комитет CEMEA рассматривает вопрос об отзыве эквайрерской лицензии.

5. Нарушение правил обработки транзакций электронной коммерции. Если ТСП осуществляет транзакции электронной коммерции, получая данные по сети Интернет, не осуществляет необходимой обработки полей, относящихся к транзакциям электронной коммерции (electronic commerce indicator), то данное ТСП попадает в программу, а эквайрер начинает получать письменные оповещения от Visa о необходимости корректной обработки транзакций электронной коммерции.

Через четыре месяца с эквайрера взимается штраф в 5000 долл., через пять — 10 000 долл., через шесть — 25 000 долл.

6. Нарушение обработки транзакций по онлайн сервисам азартных игр (On-line gambling). Visa запрещает несоответствующее использование кредитных ваучеров для выплат выигрышей победителям и использование для сервисного предприятия, предоставляющего онлайн сервис азартных игр, следующих значений полей в транзакции: Merchant Category Code (MCC) 7995, POS condition code 59. В первом случае с эквайрера берется штраф в 50 долл. за кредит свыше 5 % от установленного порога. Во втором — 25 000 долл. за первые шесть месяцев, рассмотрение вопроса и приостановлении работы в следующие шесть месяцев, рассмотрение вопроса об отзыве лицензии после тринадцати месяцев.

7. Нарушение ограничений защиты бренда Visa. За участие ТСП в распространении детской порнографии через Интернет Visa применяет санкции к эквайреру, если тот не прекращает работу ТСП в установленное время. Штраф составляет 50 000 долл., либо 250 000 долл., либо налагается запрет на заключение новых договоров с Интернет торговцами, либо обязательное прекращение всех действующих договоров электронной коммерции, либо отзыв лицензии.

8. Трансграничный эквайринг. За нарушение эквайрером п. 4.11 Операционных правил VISA по региону CEMEA взимается штраф в 1000 долл. за транзакцию.

9. Неучастие в программе Сервиса информирования о мошенничестве по региону CEMEA (Fraud Information Service). Сервис CFIS был создан в 2004 г. с целью обмена информацией по мошенничеству и мерам противодействия для управления рисками. Если участник платежной системы VISA не участвует в этой программе, то штраф составляет 1000 долл. за первые шесть месяцев, и 5000 долл. за последующие.

MasterCard определяет следующие нарушения, за которые предусмотрены санкции.

1. Несоответствие стандартам отчетов по системе SAFE. MasterCard по своему усмотрению проводит дополнительную проверку RAMP (стоимостью

15 000 долл.), начиная со второго случая выявленного несоответствия, взимает штраф в размере 15 000 долл. ежеквартально, кроме того, после третьего случая дополнительно вопрос может быть вынесен на Комитет по аудиту MasterCard.

2. сформирование отчетов по системе SAFE по опротестованным операциям по причине мошенничества с определенными кодами. Для каждой транзакции, которую эмитент опротестовал по причине мошенничества с кодами 4837, 4840, 4847 и 4862, и не сообщил об этом в системе SAFE, будет взиматься штраф в размере 1000 долл.

3. Несоответствие стандартам управления потерями от мошенничества. После назначенной проверки RAMP банк получит письменный отчет с требованиями, которые должны быть удовлетворены в установленные сроки для достижения соответствия требованиям безопасности по управлению мошенничеством. Если же участник MasterCard не предпринимает предписанных действий, то могут последовать следующие санкции:

• приостановка права страхования потерь от подделки карт;

• наложение штрафов (25 000, 50 000, 75 000, 100 000 долл. (евро) в месяц за первый, второй, третий и последующие кварталы несоответствия требованиям);

• отзыв лицензии члена MasterCard — несмотря на возможность подачи апелляции в MasterCard, окончательное решение будет неизменным.

Из обозначенных требований МПС следует, что банк должен предпринять меры для соблюдения этих минимальных требований, в противном случае могут последовать финансовые санкции, нарушение репутации и, в худшем случае, прерывание бизнеса (отзыв лицензии).

Оценка финансового риска

1. Оценка числа клиентов, пренебрегающих правилами безопасного использования банковской карты:

оценка числа клиентов, хранящих ПИН-код вместе с картой;

• оценка числа держателей, не установивших лимиты для операций по карте.

2. Оценка эффективности сервиса смс управления картой. Для проведения оценки необходимо проанализировать данные по использованию сервиса его клиентами, при этом следует учесть следующее:

• число клиентов, не использующих все доступные возможности сервиса по управлению картой (например, на основании заявлений клиентов о мошеннических операциях, уведомления по которым они получали, но не могли отправить команду на блокировку карты; также можно проанализировать типы команд, используемых клиентами для управления ограничениями по своим картам);

• сравнение двух интервалов времени — среднего времени между мошенническими операциями (отдельно в случае компрометации реквизитов карты, данных магнитной полосы, ПИН-кода) и времени реагирования подключенного к сервису клиента (отправка SMS команды управления, звонок в банк).

3. Оценка финансового риска для держателя карты, группы держателей карт с учетом:

• остатка по счету; лимитов по счету (снятие наличных, покупки в ТСП, общий лимит на все операции);

• подключения к сервису смс управления картой и эффективности его использования;

• соблюдения требований безопасного использования карты;

• статистического профиля.

ПРИМЕР

Держатель карты не установил лимиты на операции по своей карте и не подключился к услуге смс управления картой. В этом случае для оценки величины финансовых потерь S в результате кражи карты [тип мошенничества «утерянные и украденные карты» (lost and stolen cards)] необходимо провести следующее вычисление:

S = Остаток на счету × Вероятность кражи карты × Вероятность хранения ПИН-кода вместе с картой.

При этом вероятность кражи карты можно рассчитать на основе статистической обработки информации по украденным картам банка.

Оценка репутационного риска

1. Оценка числа клиентов, считающих сервисы ПС банка небезопасными. Данная оценка потребует проведения исследования с привлечением ресурсов бизнес подразделений банка.

2. Оценка числа клиентов, отказавшихся от сервисов ПС банка из-за недостаточного обеспечения безопасности. Данная оценка потребует проведения аналитической работы с привлечением ресурсов бизнес подразделений банка.

3. Оценка влияния успешного взаимодействия с правоохранительными органами по фактам мошенничества на репутацию банка. Данная оценка потребует проведения исследования с привлечением ресурсов подразделений банка, обеспечивающих взаимодействие с правоохранительными органами и СМИ.

4. Оценка репутации банка по направлению противодействия мошенничеству сторонними банками, МПС.

Обработка рисков

Обработка риска включает в себя проведение мероприятий по его исключению, снижению, переносу или принятию.

1. Соблюдение обязательных требований. Необходимо руководствоваться обязательными требованиями и рекомендациями МПС, международных и российских стандартов, нормативных документов Банка России для обеспечения информационной безопасности ПС.

2. Страхование рисков. Все большее распространение получает в России практика переноса рисков ПС на страховые компании. Необходимо рассмотреть имеющиеся возможности по страхованию и использовать эту возможность совместно с другими принимаемыми мерами.

3. Претензионная работа. Качественное проведение претензионной работы позволит уменьшить суммы от мошенничества, относимые на убытки банка, клиентов или страховые компании.

4. Мониторинг. Своевременное выявление мошенничества и принятие адекватных и эффективных мер на основе системы мониторинга в ПС должно являться инструментом управления рисками в ПС.

Постановка задачи мониторинга транзакций

Мощным решением проблемы мошенничества является внедрение системы мониторинга транзакций по банковским картам, позволяющей анализировать все операции, выявлять подозрительные с точки зрения мошенничества и принимать оперативные действия для минимизации рисков.

Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для минимизации рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системы банковских карт и должны проводиться в рамках мероприятий по управлению рисками в банке.

Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПС и принятие решений по подозрительным с точки зрения мошенничества операциям с целью минимизации рисков.

Классификация систем мониторинга транзакций

По скорости реагирования системы мониторинга подразделяются на следующие классы:

1. Онлайновые (on-line). Такие системы работают в реальном времени, имеется возможность влиять на результат авторизации операции.

2. Псевдо-онлайновые. Анализ операций проводится в реальном времени, но невозможно вмешаться в процесс авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.

3. Оффлайновые (off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.

По типу принятия решений.

1. Автоматические. Решение по операции принимается системой автоматически без участия человека.

2. Автоматизированные. Система предоставляет уполномоченному сотруднику информацию для принятия им решения по данной транзакции.

По объему информации, используемой при анализе.

1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название ТСП, категория ТСП, страна и т. д.

2. Системы, привлекающие для анализа историю операций по карте/торговой точке. При анализе используется история по прошедшим операциям по данной карте/торговой точке.

3. Системы мониторинга, использующие модели поведения держателей карт и торгово-сервисных предприятий. Система строит и/или использует модели поведения держателей карт и торгово-сервисных предприятий. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной.

По используемому для анализа математическому аппарату.

1. Системы на основе простых логических проверок. Логические проверки включаются операции >, <, =, ≠.

2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.

3. Системы, привлекающие методы Data Mining (без привлечения нейронных сетей). Методы Data Mining, применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.

4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее неизвестные типы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).

По типу анализируемых транзакций подразделяются на два класса.

1. Эмиссионные.

2. Эквайринговые.

Система мониторинга транзакций является инструментом управления рисками, связанными с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банковских карт банка.

Выбор той или иной системы мониторинга должен основываться на анализе существующих рисков. Система должна быть управляемой и эффективной с целью минимизирования финансовых потерь банка и держателей карт, недовольства клиентов и повышения доверия к банку.

Обязательные критерии мониторинга со стороны международных платежных систем

Международные платежные системы VISA и MasterCard сформулировали ряд критериев для обязательного мониторинга операций для эквайеров и эмитентов. Невыполнение требований по обязательному мониторингу влечет за собой санкции и штрафы со стороны МПС.

Мониторинг операций эквайером

Данные по транзакциям анализируются для каждой торговой точки, обслуживаемой эквайрером, отдельно по финансовым (клиринговым) транзакциям и авторизационным транзакциям. Для оценки активности используются данные по всем МПС, с которыми работает эквайрер.

Мониторинг авторизационных транзакций

Эквайрер должен отслеживать все авторизационные запросы, как успешные, так и неуспешные (табл. 1). В ходе мониторинга должны анализироваться следующие данные:

• сумма транзакции;

• количество транзакций;

• код ответа на авторизацию;

• номер карты;

• время и дата транзакции;

• параметры приема карты.

Мониторинг клиринговых транзакций

Эквайрер должен осуществлять мониторинг транзакций следующих типов (табл. 2):

• авторизационные запросы и ответы;

• покупки;

• операции кредитования и возврата;

• снятие наличных;

• опротестование операций с кодами причин.

Мониторинг операций эмитентом

Мониторинг позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по картам банка и принимать меры для уменьшения рисков (табл. 3).

По требованиям MasterCard эквайрер должен предпринимать дополнительные меры контроля потерь от мошенничества, если уровень мошенничества в базисных точках (basis points) в 2 раза превышает средний по MasterCard и годовые потери превышают 200 000 долл.

MasterCard рекомендует также осуществлять мониторинг следующих событий и параметров:

• атаки по сгенерированным номерам карт;

• отрицательные результаты проверок CVC1 и CVC2;

• операции по картам с истекшим сроком действия;

• транзакции по неверным номерам карт;

• CAT транзакции;

• транзакции в возможных точках компрометации;

• операции кредитования и отмены авторизации торговой точкой;

• списки неиспользуемых карт.

Требования МПС относятся, прежде всего, к off-line мониторингу, иные варианты мониторинга в настоящий момент не являются обязательными. В связи с этим банк должен разработать собственную политику управления рисками в ПС и выбрать ту систему мониторинга, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. Кроме того, необходимо добиться допустимого баланса между следующими показателями:

• принятие неадекватных решений по ограничению операций для не мошеннических операций;

• пропуск мошеннических операций;

• число сообщений, генерируемых системой мониторинга, об операциях, не являющихся мошенническими;

• величины рисков в ПС с учетом работы системы мониторинга и принимаемых на ее основе решений.

Особенности мониторинга некоторых операций

1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью системы мониторинга. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:

• расстояние между городами совершения операции;

• минимальное время, за которое можно переместиться между двумя точками.

Если времени между операциями оказывается слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.

2. Неавторизованные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам являются своеобразным «подарком» со стороны мошенников — сам факт мошенничества может быть выявлен системой мониторинга и будут приняты меры, при этом счет клиента не пострадает.

3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций по снятию наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты получаются в рамках зарплатных проектов. Поэтому нередко бывает так, что карта используется клиентом как своеобразная «сберегательная книжка» — деньги просто накапливаются на счете, а затем снимаются в банкоматах за небольшой интервал времени. С точки зрения нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.

Вывод

Система мониторинга транзакций ПС должна быть необходимым элементом комплекса мер, принимаемых для обеспечения информационной безопасности. Для управления рисками в ПС, связанными с мошенничеством, необходимо организовать непрерывный процесс сбора и анализа статистики, на основе которой можно проводить оценку рисков, предпринимать меры для их обработки и формально оценивать влияние принимаемых решений на величины рисков.

 

Применение численных методов для оценки риска при мониторинге

Мониторинг, несомненно, является весьма эффективным способом контроля мошенничества и снижения потенциальных убытков банков. Согласно требованиям международных платежных систем (МПС) эмитенты и эквайеры обязаны ежедневно генерировать и периодически анализировать данные по мониторингу.

В частности, Visa CEMEA предписывает эмитентам генерировать 16 запросов только по авторизациям и 23 запроса — эквайерам по авторизациям (9) и транзакциям (14).

Если строго формально и непредвзято исполнять требования МПС, то даже при относительно небольшом количестве карт (ТСП) количество запросов и отчетов будет составлять несколько десятков в день, что неизбежно приведет к чудовищному росту ненужных бумаг и персонала.

Практически все известные на данный момент программные решения для карточного бизнеса в той или иной мере реализуют требования Visa CEMEA в части обязательного мониторинга, предлагая клиентам генерировать 39 и даже более отчетов, которые действительно соответствуют всем параметрам, но ужасно неудобны в работе!

В данном разделе предлагается ознакомиться с оригинальным методом использования балльных оценок (скоринга) для одновременного успешного решения нескольких задач:

1) формального удовлетворения требований МПС;

2) минимизации трудозатрат и документооборота;

3) построения системы мониторинга и отчетности, которая действительно работает и позволяет своевременно выявлять подозрительные операции.

Поскольку в современном мире подавляющее большинство операций по картам совершается в режиме реального времени (выполняются авторизации), исключительно для целей усвоения основной идеи численного метода оценки предлагается сосредоточиться на мониторинге именно авторизаций, что, впрочем, ничуть не уменьшает обязательства банков в отношении мониторинга транзакций. Соответственно, хотя далее будут приводиться примеры из мониторинга авторизаций банка-эмитента, описываемые численные методы абсолютно аналогично могут быть реализованы и для эквайринга, за единственным исключением: если в эмиссии практически везде используются абсолютные значения, то в эквайринге МПС предписывают использовать в некоторых случаях отношения абсолютных величин к средним за период не менее 90 календарных дней. С точки зрения вычислений расчет средних за период не составляет никакого труда, поэтому численные методы оценки легко могут быть реализованы как по эмиссии, так и по эквайрингу — для анализа авторизаций и для транзакций.

Итак, в чем же проблема? Согласно требованиям МПС банкам, работающим с картами, необходимо ежедневно генерировать и анализировать несколько десятков отчетов, что является само по себе непростой задачей, особенно в части анализа. Представьте себе, даже при небольшом портфеле (2–3 тысячи активных карт), какой хорошей памятью нужно обладать сотруднику, анализирующему отчеты, чтобы заметить, что карта с одним и тем же номером попала, предположим, в отчеты под номерами 1, 5 и 12? А если активных карт сотни тысяч? Как быть?

Решение — довольно простое, но работающее, проверенное и доказавшее свою эффективность и удобство.

Напомним, что эмитенты должны «пропускать» каждую карту через 16 запросов — общая сумма операций, общее число операций, анализ response code (ISO), МСС, рисковых стран, количество отказов, операций в одном ТСП, анализ POS Entry Mode (PEM), cross-border и проч.

Давайте попробуем по результатам прохождения карты через каждый запрос присваивать ей определенное количество баллов. Логика — понятна и проста: предположим, если по карте была 1 операция, присвоим этой карте 1 балл (или 10 — как больше нравится), если 2 — то 2 (или 20, 25, 50), если 3 — то 3 (или 30, 50, 100 — сколько угодно).

Основная идея: чем больше операций — тем больше баллов. Чем больше сумма операции — тем больше баллов. Чем больше отказов — тем больше баллов. Зависимость вовсе не должна быть линейной, но обязана быть прямой (с ростом числа (сумм) авторизационных запросов (отказов) растет сумма баллов, набираемых картой).

По эквайрингу — полная аналогия, но только вместо номеров карт будут выступать номера терминальных устройств (банкоматов, электронных терминалов, импринтеров).

Таким образом, если мы пропустим карты через все 16 обязательных запросов и присвоим каждой карте по результатам работы каждого запроса некоторое количество баллов, исходя из принципа «чем хуже, тем больше баллов», а потом просуммируем все 16 полученных значений для каждой карты, наибольшие суммы наберут карты, наиболее «неблагоприятные», требующие внимания и анализа.

ПРИМЕР

Представим, что в нашем портфеле целых 5 карт, и вчера по ним были следующие авторизации (неважно, успешные или нет) (табл. 1).

Можно просто вычислять сумму баллов для такого запроса как некий процент от авторизованной суммы, а можно создать таблицу весов, в которой задавать пары минимальных и максимальных значений и соответствующие им веса, например:

Если сумма (эквивалент в долларах) авторизационного запроса по карте приходится между минимумом и максимумом какой-то строки, такой операции присваивается вес, находящийся в этой же строчке таблицы!

Тогда, если построить запрос на выборку с учетом данных из табл. 1 и 2, на выходе получим запрос 1 (табл. 3).

Обратите внимание на то, что при работе с переменными типа real (к каковым относятся суммы операций), необходимо учитывать, что в таблицах весов одни и те же наперед заданные значения будут находиться в разных столбцах (минимум и максимум) последовательных записей; поэтому при построении запросов на вычисление веса нужно использовать строгое равенство с одной стороны и нестрогое с другой.

Например, в табл. 2 число 200 находится в 3 строке (максимум) и в 4 (минимум).

В зависимости от выбранной модели присваивания веса, карта наберет либо

10 баллов, либо 15 (как в нашем примере).

Другой пример — теперь уже из области целых чисел. Будем анализировать количество авторизационных запросов по картам за период времени.

ПРИМЕР

Предположим, с нашими картами вчера происходили следующие события (табл. 4).

Мы умышленно опускаем тему вычисления количества операций (авторизационных запросов) по карте за период времени как очевидно легкая и не представляющую интереса (владеющие даже азами работы с базами данных и SQL искренне рассмеются, прочитав этот абзац). Придумаем табличку весов, в которой постараемся осознанно назначить число баллов количеству авторизационных запросов, — например, следующий вариант (табл. 5).

Тогда при реализации запроса, в котором число операций по карте из табл. 4 сопоставляется с наперед заданными значениями (параметрами) табл. 5, на выходе получим запрос 2 (табл. 6).

Обратите внимание, что в табл. 6 содержатся целые числа (тип integer или long), и поэтому они не повторяются в столбцах минимума и максимума; поэтому при построении запроса необходимо будет использовать нестрогие равенства с обеих сторон.

Точно таким же образом строятся все остальные обязательные запросы, связанные с анализом сумм авторизационных запросов и их количества. Рекомендуется использовать для анализа сумм авторизаций эквивалент в единой валюте, для чего следует подобрать соответствующее поле из авторизационного сообщения, хранимого в таблице фронтальной программы. Как показывает опыт, для мониторинга эмиссии лучше использовать эквивалент суммы авторизационного запроса в долларах США (поскольку карты одного банка могут побывать практически в любой точке планеты), для мониторинга эквайринга — российский рубль (поскольку все ТСП на территории Российской Федерации ведут расчеты в рублях).

Совершенно аналогично назначаются веса для таких запросов, как анализирующих количество отказов и суммы операций по карте в терминалах, POS Entry Mode которых отличается от «90» (формально это некоторое отступление в сторону расширения от требования к запросам МПС, в которых говорится, что следует выявлять лишь операции, совершенные с POS entry mode = «02» или «01» в процентном отношении).

Как же быть с реализацией запросов, в которых требуется анализировать активность карт в странах и ТСП с МСС повышенного риска? Решить эту проблему предлагается следующим образом. Необходимо завести соответствующие таблицы — например, tblMCC и tbiCountries, примерная структура которых приводится ниже (табл. 7, 8).

Само собой разумеется, что значения МСС и кодов ISO стран в соответствующих таблицах должны быть уникальными (не допускаются повторения).

Списки стран и МСС повышенного риска представлены в соответствующих изданиях МПС и ежеквартально направляются эмитентам и эквайерам с обновлениями. Именно ежеквартальные данные МПС служат надежным источником обновления таблиц весов МСС и стран повышенного риска.

Предположим, если наши «учебные» карты побывали, предположим, вчера, в нижеследующих ТСП и странах (табл. 9).

В результате прохождения соответствующих запросов им будут присвоены следующие веса (табл. 10 и 11).

Точно так же реализуются все остальные формальные требования МПС в части генерации обязательных отчетов: для каждого из них делается запрос, на выходе которого получается два столбца — первый содержит номер карты, второй — набранную для каждой карты сумму баллов по данному запросу.

На базе этих базовых запросов, каждый из которых содержит на выходе два столбца с одинаковыми названиями (например, CardNo и Weight) формируется один-единственный итоговый запрос, на выходе которого также два столбца — номера карт и суммы баллов, набранных в первичных запросах! Столбцы сортируются по убыванию сумм баллов, набранных картами при прохождении первичных запросов.

Наглядный пример (по результатам запросов 1–5) (табл. 12).

ПРИМЕР

Как легко можно увидеть, в самых верхних (первых) позициях оказываются номера карт, набравшие наибольшее количество баллов, т. е. самые «подозрительные», требующие анализа и подтверждения со стороны клиента.

На базе этого последнего, итогового запроса и разрабатывается один-единственный отчет, содержащий номера карт и соответствующие авторизационные запросы за анализируемый период, причем карты следуют в порядке убывания набранных баллов. Очевидно, что задача сотрудника, отвечающего за мониторинг, существенно упрощается: гораздо легче работать с одним отчетом, содержащим в себе квинтэссенцию всех 16 формально необходимых, чем одновременно или поочередно с шестнадцатью!

Как реализовать эту методику

Рекомендуется использовать для работы среду MS Access как наилучшим образом отвечающую потребностям данной задачи. По опыту, следует использовать подключение к авторизационной БД или ее суточной копии на резервном сервере через ODBC.

Для работы и вывода в отчет нам потребуются следующие поля базы данных авторизаций:

1) дата авторизации;

2) время авторизации;

3) номер карты;

4) сумма авторизации;

5) оригинальная валюта совершаемой операции;

6) тип операции (прямая или reversal);

7) эквивалент суммы авторизационного запроса в долл. США;

8) код авторизации (если был);

9) response code (ISO);

10) МСС;

11) POS Entry Mode (PEM);

12) BIN эквайера;

13) номер терминального устройства;

14) наименование ТСП;

15) город ТСП;

16) страна ТСП.

Это — необходимый минимум. Именно эти данные следует включать в итоговый отчет — они позволяют наглядно представлять картину операций по карте. По желанию и при наличии возможностей перечень может быть дополнен — например, такие поля, как STAN, RRN, Expiry Date, валюта СКС, момент времени по UTC также могут оказаться весьма полезными при детальном анализе событий.

При мониторинге эмиссии в качестве объектов анализа выступают номера карт банка; при мониторинге эквайринга таковыми являются номера терминальных устройств. Следовательно, при построении базовых запросов и итогового запроса при реализации данного метода в мониторинге эквайринга в левом столбце всегда будут номера терминалов (вне зависимости от типа устройства — банкомат, POS или импринтер).

Каждый базовый запрос должен на выходе содержать всего два столбца с одинаковыми названиями. На базе этих базовых запросов выполняется один итоговый запрос, на выходе которого также два столбца — номера карт (эмиссия) или номера терминальных устройств (эквайринг) и сумм набранных баллов (по убыванию).

Помимо стандартных (формально обязательных) отчетов МПС совершенно нелишне разработать свои. Например, во многих банках успешно используется в качестве одного из базовых запрос, анализирующий код ответа (RC) — при мониторинге эквайринговой активности частые RC, отличные от «00», служат верным признаком проблем в ТСП: либо неисправно оборудование, либо мошенники облюбовали его для проверок ворованных карт или даже для совершения покупок по ним.

MS Access позволяет генерировать самые разнообразные отчеты с использованием всего спектра шрифтов, установленных в системе. Неплохой идеей является использование шрифтов типа Arial Narrow для экономии пространства.

Также полезным является размещение отчета в альбомной (Landscape) ориентации на странице, причем в два столбца. Хорошей практикой является использование пониженного расхода тонера (economy mode) при печати на лазерном принтере и вывод на печать с обеих сторон листа — при значительных объемах эмиссии (эквайринга) даже отчеты в два столбца могут занимать несколько десятков страниц.

В MS Access предусмотрена возможность экспорта отчетов в файлы особого формата — snapshot (.snp): такие файлы невозможно редактировать, но можно просматривать с различным увеличением (вплоть до 200 %) и выводить на печать. Кроме того, они прекрасно архивируются.

Разумным является хранение ежедневных отчетов в файле формата snapshot и размещение их на сетевом ресурсе, доступном для чтения соответствующим сотрудникам (службам банка). По наступлении нового месяца файлы за прошлый месяц следует архивировать и продолжать хранить архивы не менее 180 дней.

При работе с отчетом вполне допустимо просматривать файл с экрана, выводя на печать только страницы отчета, необходимые для проведения расследований, что позволяет существенно экономить ресурсы принтеров и бумагу.

Помимо вышеизложенных достоинств данный метод обладает еще одним весьма важным свойством: он позволяет численно выразить степень риска, что, в свою очередь, открывает широкие возможности для формализации процедур. Можно принять обоснованное решение, что и как делать с картами, набравшими определенное количество баллов, например, см. табл. 13.

Конечно же, табл. 13 приведена только для примера, и число строк в ней может и должно быть расширено — по усмотрению банка.

При работе с отчетами следует анализировать поведение держателя, обращая внимание на время, место, сумму и количество операций, режим ввода номера карты (POS entry mode), коды ответа (RC), географическое расположение ТСП, МСС. Можно также оформить документально некоторое решение, регулирующее обязательность анализа всех транзакций по картам, набравшим определенную сумму баллов — предположим, обязать сотрудника, отвечающего за данное направление, связываться с законным держателем карты и запрашивать у него подтверждения совершения этих операций.

Безусловно, отдельной важной темой является проблема назначения весов в базовых таблицах. Наилучшим решением будет прямой поиск: следует создать свои уникальные таблицы, задать в них некоторые эмпирические значения и в течение некоторого времени понаблюдать, насколько состоятельными и представительными получаются отчеты. По прошествии некоторого периода следует попробовать поэкспериментировать, незначительно изменяя значения весов в базовых таблицах, наблюдая за тем, как меняется число баллов в итоговых запросах и фиксируя наиболее оправданные решения.

Очень важным является метод ретроспективного анализа. Предположим, в банке известно, что по некоторой карте была мошенническая операция (авторизованная) — следует «пропустить» эту авторизацию через настроенные на текущий момент таблицы, чтобы можно было понять, «видно» ли мошенничество при существующих параметрах.

Рекомендуется соблюдать некие наперед заданные максимальные значения весов для базовых таблиц: например, можно принять, что предельный максимальный вес никогда не должен быть более 100. Вообще говоря, вопрос параметризации и нормализации базовых весов сам по себе является очень важной и интересной темой для исследования.

Заключение

Численный метод оценки риска позволяет осуществлять мониторинг в строгом соответствии с требованиями МПС, предлагая дополнительные удобства и возможности, существенно расширяя и диапазон процедур обработки подозрительных операций по картам.

 

Действующие платежные системы

Российские карточные платежные системы

Если на начало 2001 г., по данным ЦБ РФ в обращении на территории России находились свыше 7 млн пластиковых карт, из которых на российские межбанковские платежные системы приходилось свыше 46 % действующих карт и еще 10 % приходились на 141 российскую одноэмитентную систему, то в 2007 г., при совокупной эмиссии российскими банками 94 млн карт, на российские платежные системы приходится только около 20 %. К явным лидерам среди российских карточных платежных систем следует отнести «Золотую Корону» (около 5,8 % от общей эмиссии по стране), «Сберкарт» около 4,2 % от общей эмиссии по стране), СТБ (около 3,6 % от суммарного выпуска карт), «Юнион кард/NCC» около 3,7 %. На остальные российские платежные системы приходится в общей сложности 2,7 % эмиссии карт. Таким образом, сегодня российские платежные системы уже не составляют доминирующий сегмент российского же рынка пластиковых карт.

В то же время карты международных систем продолжают укреплять свои позиции на российском рынке. В основном это происходит за счет сокращения доли небольших локальных платежных систем, так как в последние годы крупные банки активно внедряют карты международных платежных систем, которые считаются более технологичными и безопасными. Однако значительное влияние на рост международных карт также оказывает и фактор привлечения новых клиентов. Следует отметить и возрастающую популярность международных кредитных карт, связанную с тем, что с их помощью российские банки все активнее кредитуют население.

Некоторые российские платежные системы для противодействия экспансии международных систем и недопущения сокращения собственной клиентской базы осуществляют слияния в целях укрупнения и, соответственно, увеличение инфраструктуры и сокращения издержек на обслуживание (примером тому могут служить компании Union Card и NCC), другие выпускают совместные карты с международными платежными системами («Золотая Корона» — MasterCard). Однако подавляющее число региональных платежных систем и поныне ограничиваются рамками небольших зарплатных проектов на предприятиях — клиентах банка и служат для организации внутренней системы безналичных расчетов.

Согласно данным Центрального банка РФ, лидерами по выдаче банковских карт являются обе российские столицы: Москва (включая Московскую область) — 36 млн карт и Санкт-Петербург — 4,5 млн карт. Следующие позиции самых «карточных» регионов заняты областями Уральского федерального округа, среди которых лидирует Свердловская область. Банками этого региона выдано 2,7 млрд карт — это третий по величине показатель на российском рынке. На четвертом месте находится Тюменская область с показателем 2,5 млн карт. Меньше всего карт выпущено в Республике Ингушетия — всего около 7 тыс. карт.

Прирост карт за 2006 г. составил 8,8 %, и если такие темпы выдачи карт населению сохранятся, то к началу 2008 г. количество банковских карт будет соответствовать численности россиян трудоспособного возраста.

Все более широкое распространение в России получают карты с микропроцессором, которые позволили предлагать держателям не только финансовые услуги, но и различные программы лояльности со своими небанковскими партнерами (страховыми компаниями, автосалонами, социальными и транспортными муниципальными службами, торгово-сервисными предприятиями и пр.).

Появление и стремительное развитие российского сегмента всемирной информационной сети Интернет, повлекшее за собой возникновение в ее среде услуг электронной коммерции, привело и к технологическму усовершенствованию традиционных карточных платежных систем. По мере модернизации информационных и криптографических технологий в России в начале тысячелетия возникли платежные системы, в которых пластиковые карты являются не единственным, а всего лишь одним из основных платежных инструментов.

Представленный ниже обзор охватывает действующие российские платежные системы, использующие различные технологические подходы, но расчеты в которых организованы с использованием пластиковых карт.

Объединенная платежная система NCC/UC

В 2005 г. в результате приобретения ЗАО «Национальные кредитные карточки» (Платежная система NCC, г. Тольятти) 100 % пакета акций ЗАО «Процессинговая компания «Юнион Кард» (Платежная система UNION CARD, Москва) была образована объединенная российская платежная система NCC/UC.

Таким образом, закончился этап существования платежных систем «Юнион Кард» (Union Card) и Национальные кредитные карты (NCC) как отдельных платежных систем. Прежде чем рассказать читателям о сегодняшних показателях NCC/UC, напомним предысторию объединенной платежной системы.

Платежная система «Юнион Кард»

Весной 1993 г. Автобанк и Инкомбанк выступили учредителями платежной системы «Юнион Кард». С самого начала эта платежная система создавалась как межбанковская, ориентированная на развитие развернутой инфраструктуры. Впоследствии к этим банкам-учредителям присоединяется еще ряд банков, и к началу 1999 г. в систему входят уже свыше 100 региональных процессинговых центров.

Основная масса эмиссии банков платежной системы приходится на карты с магнитной полосой, но в ряде проектов наряду с магнитной полосой задействованы и чипы. Такие комбинированные карты называется РИК (Российская интеллектуальная карта) и создаются совместно с зеленоградским заводом ОАО «Ангстрем» и НТЦ «Атлас». Криптомодуль карты, сертифицированный ФАПСИ, позволяет реализовывать следующие алгоритмы шифрований: DES, 3DES и ГОСТ-28 147-89.

С середины 2000 г. была произведена адаптация карточного продукта для интернет-платежей. При обслуживании операций по картам банки — члены платежной системы «Юнион Кард» могли использовать как собственное (или приобретенное в сторонней компании) сертифицированное программное обеспечение, так и программные продукты компании «Программные системы и технологии», входящей в структуру группы компаний данной платежной системы.

В рамках единого платежного пространства при совершении трансрегиональных транзакций каждый из банков — членов платежной системы обменивался информацией с главным процессинговым центром «Юнион Кард» (Москва), т. е. все внутренние операции банков совершались на региональном уровне, а финансовые сообщения о межбанковских операциях обрабатывались в главном процессинговом центре и представлялись для клиринга в центральный клиринговый банк системы.

Технологически платежная система «Юнион Кард» представляла из себя совокупность отдельных процессинговых центров, подключенных к главному процессинговому центру с двухшаговой схемой взаимодействия: первый шаг — автозизация операции, второй шаг — расчеты (рис. 1).

В функции центрального клирингового банка системы входит определение позиции по текущим ежедневным задолженностям для каждого банка — члена платежной системы. Кроме того, существует система уполномоченных банков, которые являются клиринговыми для тех банков, которые выбрали их для себя в качестве расчетных. До сентября 2000 г. центральным клиринговым банком системы был Автобанк, затем им стал банк «Еврофинанс».

ЗАО «Национальные кредитные карточки» — платежная система National Credit Cards (NCC) было создано в августе 1994 г. Основной задачей на тот момент стало создание платежной системы пластиковых карт и ее развитие в городе Тольятти и Поволжском регионе. Первая пластиковая карточка платежной системы NCC была эмитирована 12 июля 1995 г. В дальнейшем значительную динамику развитию ЗАО «'Национальные кредитные карточки» придала реализация проекта выдачи заработной платы работникам тольяттинского автогиганта ОАО «АВТОВАЗ» с использованием пластиковых карт.

Первое соглашение о присоединении к системе было заключено с КБ ПотенциалБанк в 1996 г., в 1997 г. началось сотрудничество с КБ ФИА-Банк. Постепенно к системе присоединились еще 10 банков, в числе которых и филиалы московских банков, представленных в Самарской области. C их помощью активно расширялась география использования пластиковой карты NCC в городах Самара, Сызрань. На начало 2007 г. в платежную систему NCC входило 15 коммерческих банков, объем эмиссии превышал 500 000 карт.

По картам NCC держатели могли не только снимать наличные или расплачиваться за продукты и услуги в предприятиях торговли и сервиса, но и оплачивать телефонные счета и отдельные виды коммунальных услуг.

Платежная системе NCC/UC сегодня

Объединенная платежная система NCC\UC соединила воедино практический опыт и развитую инфраструктуру платежной системы Union Card с передовыми банковскими наработками платежной системы NCC. В первом полугодии 2007 г. были завершены основные работы по технологическому объединению платежных систем NCC и Union Card — формированию единого процессингового центра, и в настоящее время центр способен не только на предоставление процессинговых услуг для банков в России, но и обеспечивает взаимодействие по картам NCC, Union Card и Visa в качестве TPP Visa International и имеет право осуществлять персонализацию и процессинг карт VISA. В ближайших планах компании — сертификация в международной платежной системе MasterCard.

Высокий технологический уровень системы позволяет говорить о ней как об одной из перспективных платежных систем, стратегия которой направлена на развитие доступного и многопрофильного российского карточного продукта. В первой половине 2007 г. система предоставила новые возможности в сфере безналичных платежей, которые были дополнены к уже существующим услугам для держателей карт: коммунальные платежи, мобильная связь и смс-услуги, телевидение, Интернет, налоговые платежи, перевод денег с карты на карту, с карты на вклад, услуги овердрафта по карте, оплата услуг посредством сайта.

Свою миссию система NCC/UC видит в создании платежной системы всероссийского масштаба, ориентированной на российские стандарты розничного финансового обслуживания.

По данным системы на конец II квартала 2007 г. совокупная эмиссия карт NCC и Union Card по России достигла 7 млн карт, а ежегодный совокупный оборот в системе NCC/UC составил почти 170 млрд руб. Процессинг системы обслуживает более 11 000 банкоматов и 27 000 торгово-сервисных предприятий. Число участников системы достигает 300 банков.

Платежная система «Сберкарт»

Основу системы карточных платежей крупнейшего розничного банка России — Сбербанка составляют технологическая платформа DUET. Особенностями собственной платежной системы «Сберкарт» являлось наличие Главного центра эмиссии, а также распределенный процессинг между территориальными банками. Основные операции по картам (снятие наличных или оплата товаров и услуг) проводятся в любом периферийном устройстве в режиме офлайн по всей территории России. К выпуску собственных карт «Сберкарт» в качестве пилотного проекта Сбербанк приступил в Москве и Санкт-Петербурге в 1993 г., а уже в 1995 г. карты системы внедрялись в 16 регионах России. С 1997 г. началась поэтапная реализация карточных проектов во всех остальных отделениях Сбербанка. В 2001 г. Сбербанк выпустил в обращение уже миллионную карту собственной платежной системы, а обслуживание этих карт осуществлялось в 2600 филиалах банка по всей стране.

В конце 2005 г. Сбербанк РФ принял решение об открытии платежной системы для всех заинтересованных в сотрудничестве организаций и банков. Таким образом было положено начало работы платежной системы «Сберкарт» в новом качестве: в виде Российской межбанковской платежной системы (РПС). РПС «Сберкарт» имеет очень прочную основу в виде проверенных опытом технологий и карточного продукта, а также хорошие перспективы развития за счет присоединения к системе других участников рынка. Оператором системы стало специально созданное ЗАО «Сберкарта», а основным расчетным банком — Сбербанк России. Перед платежной системой были поставлены следующие цели:

1) объединение усилий российских банков для создания российской платежной системы, ориентированной на массовые повседневные платежи населения;

2) охват подавляющей части населения карточками и обеспечение возможности использовать карту в качестве инструмента безналичной оплаты повсеместно и практически за все приобретаемые товары и потребляемые услуги на территории страны;

3) перевод значительной доли наличного денежного оборота в безналичные операции;

4) активное участие платежной системы в реализации ряда государственных проектов, связанных с внедрением безналичных платежей в различные сферы экономической и социальной жизни государства.

В качестве технологической платформы системы используется многофункциональная микропроцессорная карта, позволяющая размещать наряду с банковскими платежными приложениями целый спектр небанковских приложений. Ориентация на офлайновое обслуживание в торгово-сервисной сети позволяет использовать в системе недорогие портативные терминальные устройства.

По данным платежной системы, организационно РПС «Сберкарт» представляет собой совокупность следующих элементов (рис. 2).

• ЗАО «Сберкарта» — Оператор Системы. Юридическое лицо, выполняющее функции координации и обеспечения деятельности РПС «Сберкарт» в целом. Оператор системы обеспечивает информационное и технологическое взаимодействие членов системы. В частности Оператор осуществляет: разработку, внесение изменений и контроль выполнения общих правил работы Системы, управление процессом вступления (исключения) субъектов системы и проверку членов системы на соответствие требованиям РПС «Сберкарт», разработку спецификаций общесистемных решений, проверку поставщиков оборудования и решений на соответствие требованиям РПС «Сберкарт», управление эмиссией, управление общесистемными справочниками, лимитами, стоп-листом и другой общесистемной информацией, оказание членам системы процессинговых услуг.

• Сбербанк России — Расчетный Банк. Кредитная организация, уполномоченная Оператором Системы осуществлять Клиринговые расчеты.

• Члены Системы (принципиальные и ассоциированные):

• принципиальный член РПС «Сберкарт» — член системы, осуществляющий расчетное взаимодействие с расчетным банком напрямую, и открывший для этих целей в Расчетном Банке Корреспондентский счет и счет Обеспечительного депозита. Принципиальный член Системы может быть уполномочен оператором системы выполнять функции уполномоченного банка в отношении конкретного перечня Ассоциированных членов, при этом он в полном объеме отвечает по финансовым обязательствам этих Ассоциированных членов перед РПС «Сберкарт». Принципиальный член размещает в расчетном банке обеспечительный депозит для обеспечения выполнения, как своих обязательств, так и обязательств ассоциированных с ним членов перед РПС «Сберкарт». Принципиальный член системы может иметь собственный процессинговый центр или использовать процессинговые услуги оператора системы или провайдера;

• ассоциированный член РПС «Сберкарт» — член системы, осуществляющий расчетное взаимодействие с расчетным банком опосредованно, через одного из принципиальных членов системы, уполномоченного оператором выполнять функции уполномоченного банка. Ассоциированный член не может иметь собственный процессинговый центр и использует процессинговые услуги оператора системы или провайдера;

• провайдер — юридическое лицо (процессинговая компания), уполномоченное оператором системы на предоставление принципиальным членам системы (не менее одного) и связанным с ними ассоциированным членам системы отдельных процессинговых услуг исключительно по операциям эквайринга. Провайдер предоставляет процессинговые услуги по эквайрингу только для тех Ассоциированных членов, которые осуществляют расчетное взаимодействие в РПС «Сберкарт» через принципиального члена, выполняющего функции уполномоченного банка (также пользующегося услугами данного провайдера). Финансовые гарантии межбанковских расчетов по всем операциям, процессируемым провайдером, обеспечивает соответствующий принципиальный член системы.

Технологической платформой РПС «Сберкарт» является автоматизированная система расчетов DUET. Основными особенностями этой системы являются:

• симметричный алгоритм 3 DES;

• унифицированная технология сессионного соединения карта-карта и карта-хост;

• 112-битный ключ;

• статическая диверсификация ключей на карте;

• единый центр доверия в системе;

• многоуровневые расчетные схемы, используются микропроцессорные карточки Gemplus MPCOS EMV.

В настоящий момент РПС «Сберкарт» — одна из крупнейших российских платежных систем.

На конец лета 2007 г. объем эмиссии карт в системе превышает 3,2 млн штук. Операции по обслуживанию карт СБЕРКАРТ проводятся в более чем 9,3 тыс. пунктах выдачи наличных, 9,8 тыс. банкоматах, оплата товаров и услуг осуществляется в 21,6 тыс. предприятиях торговли и сферы обслуживания в 65 регионах Российской Федерации.

Платежная система СТБ КАРТ

Пластиковая карта STB Card (первая транзакция по карте состоялась в 1993 г.) и компания «СТБ КАРТ» (основанная в 1992 г.) были пионерами в создании системы расчетов на основе российских пластиковых карт, стратегия которой направлена на создание общенациональной системы безналичных расчетов. Единую национальную карту на основе своей пластиковой карты STB Card хотел создать банк «Столичный». Однако в то время для воплощения в жизнь подобного плана у банка не хватило ни сторонников, ни финансовых и иных средств (в частности очень слабо была развита инфраструктура обслуживания и приема карт даже в Москве) (рис. 3).

В 1994 г. банк «Столичный» осуществил совмещение STB Card с Cirrus/Maestro, что позволило держателям карты использовать карту в сети Cirrus/Maestro, а с момента «слияния» с Агропромбанком и последующим образованием банка «СБС-Агро» последний получил около 1200 филиалов и отделений на территории России и в сравнительно короткий период времени осуществил массовую эмиссию карт STB Card, дав тем самым толчок активной экспансии платежной системы в регионах.

Для восстановления системы межбанковских расчетов в платежной системе после кризиса 1998 г. была образована небанковская кредитная организация «Объединенная расчетная система» (НКО ОРС), учредителем которой с полным контролем стала процессинговая компания «СТБ КАРД». Системным интегратором и генеральным подрядчиком выступила компания «Платежные технологии». В это же время фактическим преемником банка «СБС-Агро» становится банк «Первое ОВК».

Структуру платежной системы СТБ также составляли (см. рис. 3):

• участники — эмитенты и эквайреры — юридические лица, обеспечивающие эмиссию, распространение карт платежной системы СТБ, а также обслуживание держателей карт. Эмитенты и эквайреры могут быть подключены к одному из сервис-провайдеров платежной системы СТБ;

• сервис-провайдеры — обеспечивают процессинг транзакций, инициируемых держателями карт в терминальных устройствах, а также обеспечивают поддержание функционирования и безопасности своего сегмента платежной системы;

• расчетный агент — обеспечивает на основании результатов ежедневно проводимого платежной системой СТБ клиринга взаиморасчеты между участниками;

• ЗАО «СТБ — платежная система» отвечает за управление платежной системой СТБ, проведение процессинга транзакций, маршрутизацию транзакций между банками-участниками, сервис-провайдерами и платежной системой, поддержание функционирования и безопасности системы, а также принятие решений по развитию и совершенствованию платежной системы СТБ.

В момент своего расцвета карты платежной системы обслуживались в 580 городах и районах 82 субъектов России, а с 2001 г. по STB Card стало возможным получать наличные в системе международных расчетов MoneyGramm Payment (около 35 тыс. пунктов выдачи наличных по всему миру).

Однако после продажи группы «ОВК» Росбанку процессинговые мощность системы СТБ Кард перешли в ведение процессинговой компании UCS, в связи с чем дальнейшее будущее карт STB представляется не очень оптимистичным. Следует отметить, что банки — участники системы в основном уже переводят своих держателей карт STB на карты международных платежных систем.

По состоянию на вторую половину 2007 г. к крупным эмитентам, обслуживающим карты STB CARD можно отнести банки АкБарс (65 000 карт), Аки Банк (181 000 карт).

Платежная система «Золотая корона»

«Золотая корона» — крупнейшая российская межбанковская платежная система, основанная на использовании микропроцессорных карт, создана летом 1994 года. Система «Золотая Корона» входит в группу компаний «Центр Финансовых Технологий» — лидера на рынке разработок IT-технологий для финансового сектора.

Сегодня платежная система «Золотая Корона» объединяет 220 банков из 75 регионов России. Общий объем эмиссии к концу 2007 г. превысил 5,35 млн карт. РПС «Золотая Корона» располагает широкой платежносервисной сетью обслуживания, которая охватывает 75 регионов России, а также страны СНГ и ближайшего зарубежья.

Конкурентными преимуществами системы являются использование многофункциональных микропроцессорных и магнитных карт в рамках единой инфраструктуры, при этом микропроцессорные карты составляют 82,2 % от общего объема эмиссии «Золотой Короны».

В настоящее время «Золотая Корона» работает с максимально широким спектром услуг в области наличных и безналичных платежей:

• банковские карты (дебетные, кредитные, оптовые, бензиновые, корпоративные карты);

• карты водителя;

• денежные переводы, включая переводы через устройства самообслуживания;

• прием платежей и гашение кредитов наличными и по картам (в кассах, банкоматах, киосках);

• удаленное управление карточным счетом;

• транспортные карты;

• социальные карты;

• бонусные и дисконтные программы для держателей карт.

Ежемесячный оборот в системе составляет более 20 млрд руб. Следует отметить тот факт, что объем операций по картам этой платежной системы в предприятиях торговли и сервиса достигает 35 % (табл. 1).

Взаимодействие «Золотой Короны» с банками-участниками построено на 3-уровневой бизнес-модели: партнер + процессор и единый расчетный центр + консультант.

Партнер. В партнерстве с банками «Золотая Корона» нацелена на продвижение комплексного пакета финансовых продуктов для физических лиц. При этом права по выпуску карт, определению тарифов для физических лиц и предприятий торговли, определению процентных ставок по счетам принадлежат банкам-участникам платежной системы.

Процессор и единый расчетный центр. Система базируется на крупнейшей защищенной межбанковской сети передачи данных, которая объединяет 72 региональных процессинговых центра и более 30 % банков, работающих на территории России.

Консультант. Консалтинговое подразделение «Золотой Короны» обеспечивает банки информацией и технологиями, позволяющими повышать уровень сервиса с минимальными затратами.

Маркетинговая политика системы нацелена на продвижение многофункциональной чиповой банковской карты, которая дает возможность картхолдерам пользоваться комплексным пакетом финансовых услуг, включающим депозиты, кредиты и их гашение, денежные переводы, безналичную оплату коммунальных услуг, услуг проводной и беспроводной связи, Интернет, и т. д.

Основной акцент в модели коммуникации «клиент — банк» «Золотая Корона» делает на максимальное использование удаленных каналов коммуникации — интернет-банк, банкоматы, кэш-ины, киоски самообслуживания и платежные терминалы. Для эффективной работы с банкоматами и кэш-инами система разработала многофункциональный интерфейс, который позволяет банкам оказывать через эти устройства практически все розничные финансовые услуги.

За все 14 лет развития системы по картам «Золотая Корона» не совершено ни одной успешной мошеннической операции, поскольку каждая платежная операция в «Золотой Короне» имеет комплексную систему высокой степени защиты. Общее управление средствами обеспечения безопасности осуществляет главный процессинговый центр системы. При этом если какой-либо участник игнорирует требования системы защиты, то он повышает только собственные риски, но не имеет возможности повлиять на защищенность других участников. Платежная система имеет все необходимые лицензии на эксплуатацию, установку и оказание услуг по шифрованию для своих участников.

В рамках формируемой ЦБ РФ сети специализированных расчетных организаций, у которых был бы существенно снижен финансовый риск проводимых операций, с 2001 г. в «Золотой Короне» начал функционировать единый расчетный центр системы — РНКО «Платежный центр». Он оснащен технологией интернет-банкинга и предоставляет банкам-участникам услуги удаленного управления счетом, посредством которых все проводки осуществляются в режиме реального времени.

До 1997 г. в платежной системе «Золотая корона» использовались карты Е3744 компании Soliac, с 1998 г. имеют хождение карты MPCOS-EMV, позволяющие размещать на одной карте несколько финансово-информационных приложений. С июня 2000 г. на микропроцессорных картах стало возможно размещать приложения различных эмитентов, в результате чего банки-эмитенты смогли предоставлять ресурс карт сторонним организациям, в том числе в рамках проектов лояльности. Платежная система предлагает банкам два варианта программного обеспечения — Btrieve и Oracle release, которые работают на платформах UNIX и WINDOWS. В зависимости от масштабов реализуемого проекта банки могут выбрать наиболее подходящий для себя вариант.

Система «Золотая Корона» активно развивает технологии, позволяющие внедрять и использовать банковские решения в транспортной отрасли и в сфере государственных социально-ориентированных проектов.

Транспортная карта «Золотая Корона» — система организационно-технических решений по автоматизации системы учета и оплаты проезда в пассажирском транспорте.

Социальная карта «Золотая Корона» — технологичное решение для персонифицированного учета и адресного предоставления мер социальной поддержки различным категориям населения.

Социальные и транспортные проекты на основе карт «Золотая Корона» успешно реализованы уже более чем в 10 регионах России. Транспортные карты «Золотой Короны» работают по технологии единого «электронного кошелька» для всех видов транспорта, в том числе для метрополитена и коммерческих перевозчиков. Достижения платежной системы по автоматизации систем оплаты проезда и обслуживанию социальных и транспортных карт удостоены почетных наград ряда крупных международных выставок.

Отдельно следует отметить линейку ко-брендиговых проектов «Золотой Короны», среди которых наиболее значимыми стали «Золотая Корона — MasterCard», «Золотая Корона — ITSC» и разнообразные проекты с представителями ритейла, в которых банковская карта выполняет также функции карты лояльности (рис. 4).

Платежная система CyberPlat ® (КиьберПлат)

Весной 1998 г. на рынке банковских услуг банком «Платина» была представлена банковская платежная система безналичных расчетов для электронной коммерции в реальном времени CYBERPLAT. В начале 2000 г. для ведения электронной коммерции (включая процессинг платежей и закрытый документооборот в режиме онлайн) и предоставления инфраструктурных услуг была создана компания CYBERPLAt. COM, продуктом которой является универсальная интегрированная мультибанковская платежная система CyberPlat®, а целью — ее превращение в национальную платежную систему для электронной коммерции и достижение уровня, необходимого для конкуренции на международных рынках.

Платежная система CyberPlat® использует следующие технологии:

• CyberCheck® — защищенный документооборот по совершению сделок и их онлайновой оплате. CyberCheck® обеспечивает конфиденциальность, надежность и юридическую чистоту взаимодействия сторон, а также полное отсутствие отказов от заявленных платежей. Зарегистрированный в системе покупатель получает возможность совершать покупки в интернет-магазинах и оплачивать их в онлайн-режиме либо со своего счета в банке, либо по своей банковской кредитной карточке, зарегистрированной в системе, и получать выписки и результаты платежей. Зарегистрированные в системе клиенты-покупатели могут непосредственно через Интернет оформить платежное поручение, позволяющее выполнить банковский перевод на любой счет в любом российском банке. При этом перевод осуществляется со счета клиента в банке-участнике. Таким образом, можно перевести средства из системы CyberPlat® на свой счет в любой другой банк или оплатить типовые услуги, например, операторов сотовой связи или интернет-провайдеров.

• CyberPOS® — эквайринговая подсистема обслуживания платежей по пластиковым картам международных и российских платежных систем, в том числе VISA, EuroCard/MasterCard, Diners Club, JCB, Union Card, а также единых карт e-port. В системе CyberPOS предусмотрены два варианта платежей по банковским кртаам: стандартный платеж и платеж подтвержденной картой (технология CyberPlatPay). Стандартный платеж не требует регистрации клиента в системе CyberPlat®, в то время как для платежа подтвержденной картой необходимо зарегистрироваться и получить код подтверждения.

Технология CyberPOS® позволяет подключать банки через шлюз системы к авторизационному серверу, в том числе по стандарту ISO 8583-87, благодаря чему банк-эквайрер может предоставлять своим клиентам дополнительные услуги по расчетам через Интернет. При присоединении банков по технологии CyberCheck® клиенты получают возможность осуществления расчетов по интернет-сделкам непосредственно со своих банковских счетов.

Данные технологии позволяют реализовать следующие четыре инструмента, которые сейчас применяются в среде Интернет:

• решение В2С, основанное на авторизации банковских кредитных карт через платежный сервер;

• решение В2В, основанное на использовании защищенного документооборота;

• решение Internet Banking — платежные поручения — «банк-клиент» в Интернете;

• решения для банков, позволяющие им стать участниками системы и предоставлять своим клиентам услуги интернет-расчетов.

В 2001 г. компания CYBERPLAt.COM получила сертификат Internet Processor Provider от международной платежной системы Diners Club (рис. 5).

Сформировав заказ, покупатель выбирает форму оплаты «с помощью кредитной карты» (1). Магазин переадресует информацию с атрибутами заказа на авторизационный сервер CyberPOS® (2). Авторизационный сервер предлагает покупателю заполнить защищенную форму для безопасной передачи данных о реквизитах платежной карты на авторизацию (3). Технологией предусмотрена двухуровневая авторизация:

• проверка параметров платежа по внутренним критериям CyberPOS®;

• авторизация карты в соответствующих платежных системах.

При положительном результате первого этапа авторизации CyberPOS® переходит к передаче информации в процессинговый центр банка-партнера (4), где и происходит авторизация карты (5). Полученный от процессингового центра результат авторизации CyberPOS передает участникам сделки (6).

В случае успешной авторизации магазин оказывает услугу, и производится операция снятия средств с личного счета покупателя (7) непосредственно банком-партнером. Средства перечисляются на соответствующие счета в банке-партнере (8). Банк-партнер уже на этой стадии зачисляет сумму покупки на счет продавца за вычетом комиссии системы (9).

В 2006 г. CyberPlat® открыла исходные коды своих программ для всех желающих. Открытые коды позволили дорабатывать приложения под различные требования пользователей. В том же году CyberPlat® разработала технологию, которая позволяет генерировать и подписывать с использованием ЭЦП (электронной цифровой подписи) документ любого формата непосредственно на мобильном телефоне. Внедрение технологии позволило пользователю обходиться в работе — например, при генерации платежных поручений, только своим мобильным телефоном, что предоставляет существенный комфорт. Благодаря ЭЦП с длиной ключа 512 бит, интегрированной в программу, документы, создаваемые при ее помощи и пересылаемые адресату, обладают полной юридической силой и признаются российскими судами и являются неоспоримыми. Новая технология используется при проведении платежей, формировании запросов на получение выписки из банка, операциях с валютами и ценными бумагами, подписании сверхсрочных документов и во многих других случаях.

Значительное внимание CyberPlat® уделяет развитию приема платежей за услуги операторов в онлайн-режиме, в том числе с использованием кассовых терминалов. Для проведения операций используется принципиально новая платежная схема В2В2С, объединяющая возможности существующих схем межкорпоративных интернет-расчетов и электронных платежей физических лиц (рис. 6).

1. Абонент при оплате товаров на кассе сообщает кассиру о намерении внести желаемую сумму на номер своего мобильного телефона. Например, компании оператора сотовой связи. Кассир вводит необходимые данные.

2. Программно-аппаратное устройство (POS-терминал, кассовый аппарат) пункта приема платежей по защищенному интернет-протоколу SSL пересылает запрос на проверку телефонного номера на сервер CyberPlat®. При этом запрос заверяется электронно-цифровой подписью (ЭЦП) дилера.

3. С сервера запрос отправляется на сервер расчетного банка системы CyberPlat® с целью проверки наличия необходимых для осуществления платежа средств на счете дилера. Использование защищенных интернет-протоколов SSL и электронно-цифровой подписи гарантирует абсолютную безопасность.

4. Сервер банка отправляет на сервер CyberPlat® ответ о наличии либо недостатке средств на счете дилера.

5. При положительном ответе банка запрос на проверку номера, подписанный ЭЦП, с сервера CyberPlat® по SSL-протоколу отправляется в биллинговую систему оператора.

6. Биллинг оператора проверяет наличие данного телефонного номера и отправляет разрешение на платеж на сервер CyberPlat®.

7. Сервер CyberPlat® отправляет разрешение на платеж на рабочее место операциониста в пункт приема платежа дилера.

8. Операционист пункта приема платежей принимает от абонента денежные средства в размере суммы платежа и подтверждает платеж. Платеж отправляется на сервер CyberPlat®.

9. Сервер CyberPlat® отправляет на сервер расчетного банка команду (электронный платежный документ) на списание внесенной в кассу суммы со счета дилера.

10. На сервер CyberPlat® отправляется подтверждение о снятии денежной суммы.

11. Платеж с сервера CyberPlat® отправляется в биллинг оператора, после чего происходит пополнение лицевого счета абонента в биллинге оператора.

12-13. Биллинг оператора отправляет подтверждение о получении средств, которое приходит на рабочее место кассира пункта приема платежа дилера, что видят и кассир и покупатель.

14. Кассовый аппарат печатает и выдает абоненту фискальный чек со всеми параметрами совершенного платежа (оператор связи, дата, сумма, номер телефона).

15. Биллинг оператора отправляет СМС-сообщение на сотовый телефон абонента с подтверждением пополнения лицевого счета.

16. Денежные средства со счета компании-дилера в расчетном банке переводятся на счет оператора.

Используемая при этом технология электронного документооборота CyberCheck® характеризуется скоростью и безопасностью, гарантируемой обязательным использованием электронных цифровых подписей сторон. С технологической точки зрения решение CyberPlat® является универсальным и многофункциональным. Схема работы по приему платежей не требует материальных затрат со стороны компании дилера. Особо следует отметить, что CyberPlat® имеет соответствующие лицензии Федеральной Службы Безопасности России, Федеральной службы по техническому и экспортному контролю (табл. 2).

Платежная система CyberPlat® является членом всемирной GSM Ассоциации. Весной 2007 г. платежная система стала лауреатом премии CNews AWARDS «За создание и развитие рынка электронных платежей в России», которая является общенациональной наградой в области высоких технологий и Интернета, поощряющей выдающиеся заслуги компаний-лидеров в области информационных технологий и электронных коммуникаций, государственных и общественных организаций, бизнес-структур, а также отдельных деятелей, внесших значительный вклад в развитие российского IT-рынка.

На данный момент сеть пунктов приема платежей CyberPlat® действует в 4 странах (Россия, Казахстан, Украина и Узбекистан).

Платежная система ACCORD

Российская межбанковская платежная система ACCORD учреждена ОАО «УРАЛСИБ» в 1995 г. Все расчеты осуществляются через единый расчетный центр в ОАО «УРАЛСИБ».

Платежная система реализована на основе технологии ЗАО «СканТек сервис», все расчеты в ней осуществляются с использованием многофункциональной микропроцессорной карты стандарта PCOS. В качестве программного обеспечения применяется система безналичных расчетов «SmartPay». Используемое оборудование: устройства чтения карт СКАТ-200 и VeriFone CM-450, чек-принтеры VeriFone P350, платежные терминалы Nurit-3000, Nurit-3010, банкоматы ProCash-2000, ProCash-2050, Ulysse 4f4, Ulysse 4r4, Ulysse 4f3.

Основные виды предоставляемых услуг:

• внедрение зарплатных проектов;

• реализация дисконтных и клубных программ в торгово-сервисной сети;

• организация небанковских платежных систем в сетях АЗС;

• организация локальных расчетных систем;

• решение социальных программ (предоставление товарных кредитов, пособий по безработице, детских пособий, отпуск и учет лекарств по бесплатным и льготным рецептам, оплата коммунальных услуг, медицинское страхование).

Виды карт ACCORD, предлагаемые платежной системой, для реализации услуг:

• для физических лиц;

• зарплатные;

• корпоративные;

• клубные;

• бензиновые.

В рамках зарплатного проекта платежная система ACCORD обеспечивает разработку и внедрение следующих дополнительных услуг:

• талонной системы;

• автоматизированной системы обслуживания в пунктах общественного питания;

• расходно-лимитной схемы;

• системы доступа в помещения.

С использованием банковских карт данной платежной системы можно получить информацию в банкоматах о состоянии своего пенсионного счета, воспользоваться услугой кредитования по карточному счету, управлять этим счетом через Интернет и телефон.

В настоящее время смарт-карты ACCORD обслуживают 11 российских банков. География платежной системы ACCORD насчитывает около 100 российских городов в следующих регионах России: Республика Башкортостан; Кемеровская область; Удмуртская республика.

Несмотря на то, что ОАО «УРАЛСИБ» — крупнейший спонсор и признанный лидер в области спонсорских программ для банков в международных платежных системах Visa и MasterCard, летом 2007 г. он анонсировал свое решение продолжать эмиссию карт ACCORD на новой технологической платформе микропроцессорных карт последнего поколения по стандартам международной платежной системы MasterCard.

Платежная система «Рапида»

Это одна из наиболее динамично развивающихся российских платежных систем, основное направление деятельности которой — предоставление банкам и их клиентам услуг в сфере розничных расчетов Платежными инструментами, посредством которых платежная система «Рапида» предлагает свои услуги физических лицам, являются пластиковые карты двух видов: предоплаченные карты «Рапида», получившие уже достаточно широкое распространение на российском карточном рынке, и карты международных или локальных систем банков — участников платежной системы. Платежная система позволяет не только проводить традиционные платежи, характерные для виртуального рынка, но и предоставляет возможность удаленно управлять банковскими счетами и осуществлять денежные переводы в адрес физических и юридических лиц (при этом не важно, входят ли реципиенты в платежную систему или нет).

Организатором платежной системы является компания «Платежная интернет-система Рапида», имеющая свой собственный процессинговый центр.

Через процессинговый центр система обеспечивает доступ пользователей к таким каналам доставки транзакций, как Интернет, телефонные сети (телефон с тоновым набором), СМС. Все перечисленные каналы обеспечивают возможность оплачивать товары и услуги 24 часа в сутки, семь дней в неделю.

Расчетным центром системы и эмитентом одного из ее платежных инструментов — карт «Рапида» — является небанковская кредитная организация «Платежная система Рапида» (ранее — «НКО МЭРП»), не проводящая активных банковских операций, а следовательно, свободная от кредитных рисков.

Кроме платежей в адрес предприятий — участников системы, каждое из которых имеет в системе уникальный трехзначный код платежа, пользователь может сделать платеж по произвольным реквизитам. Для этого он должен лишь правильно внести банковские реквизиты получателя платежа в предлагаемую форму (при перечислениях в адрес участников системы этого делать не придется) (рис. 7).

Предоплаченная номинальная карта «Рапида» является универсальной, объединяя в себе возможности оплаты доступа в Интернет, междугородных переговоров, покупок в интернет-магазинах и др. Безноминальная карта «Рапида» позволяет дистанционно управлять текущими банковскими счетами своих пользователей.

Банк — участник системы «Рапида», эмитирующий пластиковые банковские карты, может также предложить своим клиентам карту «Рапида», которая дополняет возможности пластиковых продуктов, покрывая сегмент дистанционной оплаты товаров и услуг. Держатель банковской карты может, например, удаленно производить оплату коммунальных услуг, а также рассчитываться в Интернете, не передавая в сеть данные о своей банковской карте и тем самым существенно снижая риск возможного мошенничества.

Кроме обеспечения частным лицам, банкам, торговым и сервисным предприятиям возможностей дистанционного платежного сервиса, в том числе удаленного управления банковскими счетами, платежная система «Рапида» осуществляет и денежные переводы. Она предлагает несколько возможностей перевести деньги в адрес физических лиц.

Первый способ — перевод денег при помощи предоплаченной карты «Рапида». Этим способом можно перевести деньги в адрес любого физического лица при соблюдении следующих условий:

• если получатель имеет текущий или депозитный счет в любом российском банке, отправитель должен указать в специальной форме на интернет-сайте системы «Рапида» точные реквизиты этого счета;

• если у получателя нет банковского счета, он может получить деньги в офисе любого банка — участника системы после идентификации личности. Сделать перевод можно, внеся наличные деньги в офисе банка — участника системы.

При приеме перевода денежные средства клиента списываются с корреспонденского счета банка в расчетной системе НКО «Платежная система Рапида» и зачисляются на специальный транзитный счет. В этот же момент перевод регистрируется в базе данных. Как только получатель перевода обращается в любой из банков — участников системы «Рапида», деньги, необходимые для выплаты перевода, зачисляются на корреспонденского счета этого банка.

В настоящее время Платежная система «Рапида» предлагает клиентам также воспользоваться сетью банковских (около 3000 отделений) и почтовых отделений (более 40 000), терминалов самообслуживания (более 5000 точек).

Платежная система ASSIST

ASSIST — мультибанковская система платежей, предназначенная для процессинга пластиковых и виртуальных карт через Интернет. Пользователями ASSIST являются как интернет-магазины, так и покупатели. Интернет-магазины получают возможность принимать через интернет пластиковые карты и электронную наличность без приобретения специального программно-аппаратного комплекса, покупатели приобретают безопасный способ оплаты.

Платежная система ASSIST была запущена в эксплуатацию компанией «Рек-софт» в рамках проекта «Озон» в 1998 г. Полный коммерческий запуск системы состоялся в 1999 г. В 2000 г. Assist подключился к ОАО «Альфа-Банк» и банкам, обслуживаемым процессингом «СТБ-Кард». Совместно с платежной системой ASSIST применил технологию SET™ для проведения платежей через интернет.

Весной 2002 г. ASSIST выделился в отдельную компанию, в течение 2002–2003 гг. подключил ведущих российских систем электронной наличности, таких как WebMoney, Яндекс. Деньги, e-port и CreditPilot и добавил к Visa и MasterCard электронные кошельки, позволяющие решить вопрос микроплатежей.

В 2003 г. ASSIST стала первой российской системой электронных платежей, которую VISA. сертифицировала по новой технологии 3D-Secure, в результате чего система смогла выступать в качестве независимого провайдера услуг по программе Verified by Visa.

В мае 2006 г. ASSIST успешно прошел аудиторскую проверку по сертификации на соответствие всем требованиям безопасности (MasterCard site data protection (SDP) и Visa account information security), установленным основными платежными системами Visa и MasterCard.

В системе ASSIST безопасность платежей обеспечивается использованием SSL протокола для передачи конфиденциальной информации от клиента на сервер системы ASSIST для дальнейшей обработки. Дальнейшая передача информации осуществляется по закрытым банковским сетям высшей степени защиты. Обработка полученных конфиденциальных данных клиента (реквизиты карты, регистрационные данные и т. д.) производится в процессинговом центре. Таким образом, никто, даже продавец, не может получить персональные и банковские данные клиента, включая информацию о его покупках, сделанных в других магазинах. В качестве клиентского программного обоеспечения может быть использован любой web-броузер. Расчеты производятся по следующей схеме (рис. 8).

1. Покупатель через Интернет подключается к web-серверу магазина, формирует корзину товаров и выбирает форму оплаты по кредитным картам;

2. Магазин формирует заказ и переадресует покупателя на авторизационный сервер системы ASSIST, одновременно на авторизационный сервер передаются код магазина, номер заказа и его сумма;

3. Авторизационный сервер ASSIST устанавливает с покупателем соединение по защищенному протоколу (SSL 3.0) и принимает от покупателя параметры его кредитной карты (номер карты, дата окончания действия карты, имя держателя карты в той транскрипции, как оно указано на карте). Информация о карточке передается в защищенном виде только на авторизационный сервер и не предоставляется магазину при операциях покупателя;

4. Авторизационный сервер ASSIST производит предварительную обработку принятой информации и передает ее в расчетный банк системы (далее — банк).

5. Банк проверяет наличие такого магазина в системе, проверяет соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет (или разрешение) на проведение авторизации транзакции в карточную платежную систему.

6. При запрете авторизации:

• банк передает авторизационному серверу ASSIST отказ от проведения платежа;

• авторизационный сервер передает покупателю отказ с описанием причины;

• авторизационный сервер передает магазину отказ с номером заказа.

7. При разрешении авторизации запрос на авторизацию передается через закрытые банковские сети банку — эмитенту карты покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом.

8. При положительном результате авторизации, полученном от карточной платежной системы:

• банк передает авторизационному серверу ASSIST положительный результат авторизации;

• авторизационный сервер передает покупателю положительный результат авторизации;

• авторизационный сервер передает магазину положительный результат авторизации с номером заказа.

9. При отказе в авторизации:

• банк передает авторизационному серверу «Ассист» отказ от проведения платежа;

• авторизационный сервер передает покупателю отказ с описанием причины;

• авторизационный сервер передает магазину отказ с номером заказа.

10. Банк осуществляет перечисление средства на счет магазина в соответствии с существующими договорными отношениями между банком и магазином.

11. Магазин оказывает услугу (отпускает товар).

Платежная система «МИРКАРТ»

Платежная система «МИРКАРТ» создавалась в качестве локальной платежной системы для обслуживания операций безналичных расчетов сотрудников компании АК «АЛРОСА». В качестве расчетного банка системы выступил мирнинский банк — МАК-банк (дочерняя структура компании «АЛРОСА»). В 1997 г. платежная система приступила к реализации пилотного проекта. В это же время к банку присоединился Главный информационно-вычислительный центр (ГИВЦ Москвы). В результате объединения материальных и интеллектуальных ресурсов ГИВЦ Москвы и МАК-банка создана процессинговая компания «Прокард», которая стала обслуживать операции по картам данной платежной системы.

По результатам пилотного проекта руководство АК «АЛРОСА» приняло решение о запуске платежной системы «МИРКАРТ» на основе технологии DUET компании BGS Smartcard Systems AG в городе Удачный с численностью населения 17,5 тыс. человек. С весны 1999 г. платежная система заработала в городе Мирный, а затем и в других городах Западной Якутии. В 2001 г., после вступления в нее банка Югпищебанк (Москва) платежная система «МИРКАРТ» становится межбанковской.

В 2004 г. система совершила переход на новую версию — DUET MF, поддерживающую несколько финансовых приложений на одной карте, что позволило участникам платежной системы создавать комбинированные карточные продукты, ориентированные как на индивидуального пользователя, так и на автоматизацию взаиморасчетов в АК «АЛРОСА».

В 2007 г. услугами «МИРКАРТ» пользовалось около 61 тыс. держателей карт в 11 городах России, платежи по картам которых обслуживали 800 терминалов и 79 пунктов группового самообслуживания, в том числе в городах Москва, Новосибирск, Иркутск, Орел, Краснодар, Якутск, Айхал, Ленск, Удачный, Мирный. Денежные средства по картам «МИРКАРТ» можно получить также в санаториях АК «АЛРОСА» на Черноморском побережье России, где установлены банкоматы, обслуживающих владельцев карт «МИРКАРТ». Система совместима с картами «Сберкарт» (табл. 3).

Платежная система MAXIMA

В 1997 г. на базе Ярославского филиала ОАО АКБ «Югра» начала активную работу одноэмитентная платежная система на базе микропроцессорных карт «Югра», основной сферой приложения которой являлись зарплатные проекты на предприятиях региона (Ярославль и Рыбинск). В феврале 2001 г. на базе процессингового центра банка «ЮГРА» в Ярославле была организована платежная система MAXIMA, которая в настоящее время объединяет банки на территории Ярославской и Костромской областей.

На сегодняшний день в рамках платежной системы MAXIMA эмитировано более 90 000 пластиковых карт, реализованы зарплатные проекты более чем на 60 предприятиях Ярославской области. К услугам держателей карт «MAXIMA» свыше 260 торгово-сервисных предприятий Ярославля и Рыбинска, более 20-ти АЗС в Ярославле и Рыбинске, 70 пунктов выдачи наличных (включая сеть банкоматов в Ярославле и в Рыбинске).

Платежная система MAXIMA одной из первых в России обеспечила клиентам возможность совершать безналичные перечисления через банкоматы (в том числе коммунальные платежи, оплата услуг операторов мобильной и интернет связи, штрафы в ГИБДД).

Платежная система «УРАЛ-ЭКСПРЕСС»

Одноэмитентная платежная система расчетов «УРАЛ-ЭКСПРЕСС» была запущена в эксплуатацию зимой 1995 г. на базе АКИБ «Почтобанк» (г. Пермь) на основе микропроцессорных карт по технологии U.E.P.S. (Универсальной платежной системы, Франция) и имеет встроенный процессор. Конфиденциальность информации и ее защита надежно обеспечены двумя кодами, которые держатель карты определяет сам.

Платежная система предоставляет держателям карт «УРАЛ-ЭКСПРЕСС» следующий набор услуг:

• получение наличных средств в банкоматах;

• оплата любых видов счетов;

• перевод денежных средств в любые другие банки России;

• перечисление зарплаты, пенсии, пособий на свой счет;

• платежи в бюджеты различных уровней, а также в адрес ряда организаций города без комиссий (ОАО «Уралсвязьинформ» — платежи за квартирные телефоны, сотовые телефоны стандартов NMT и GSM, пейджеры, антенны коллективного пользования, проводное радио; ПермьИнформ — платежи за доступ в Интернет; ОАО «ПермЭнерго» — платежи за электроэнергию;

УралГазСервис — платежи за сетевой газ; МУ МРПЦ — платежи за квартиру (коммунальные услуги); платежи за дошкольные учреждения).

На основе системы «УРАЛ-ЭКСПРЕСС» внедрена популярная услуга «интернет-банкинг», которая позволяет клиентам в режиме on-line управлять своим счетом в любое время суток. Существенным отличием «интернет-банкинга» «УРАЛ-ЭКСПРЕСС» является использование карточки в качестве идентификатора банковского счета. При этом каждая операция «подписывается» электронными подписями банка и клиента, которые в виде сертификата печатаются на квитанциях, что исключает подделку операций «хакерскими» приемами.

В настоящее время платежная система обслуживает свыше 15 тыс. физических лиц и располагает 11 банкоматами и 13 пунктами обслуживания держателей карт «УРАЛ-ЭКСПРЕСС».

Национальная платежная система (NPS)

Межбанковская платежная система NPS (Москва) объединяет в своих рядах более 10 банков. Система ориентирована на обслуживание пластиковых карт с магнитной полосой NPS Card, выдаваемых банками в основном в рамках зарплатных проектов. На текущий момент банками эмитировано свыше 50 тыс. таких карт. Инфраструктура обслуживания составляет более 50 точек выдачи наличных и около 300 предприятий торговли и сервиса.

Держателям банковских карт доступна оплата коммунальных услуг, спутникового телевидения, междугородная связь и дополнительные сервисы: смена ПИН-кода, управление депозитным счетом, «Скорый номер».

Проект: платежная система «Новгородская монета»

Проект «Новгородская монета» изначально создавался как региональная платежная на основе микропроцессорных пластиковых карт на базе ОАО «Новобанка» (г. Великий Новгород). При этом в качестве начального этапа развития проекта была поставлена задача автоматизации расчетов и зарплатный проект для сотрудников ОАО «Боровичский Комбинат Огнеупоров». Проект стартовал весной 2003 г. В качестве технологии расчетов была выбрана система DUET компании BGS Smartcard Systems AG (Австрия). Карты «Новгородская монета» эмитируются в рамках платежной системы «МИРКАРТ».

По картам «Новгородская монета» можно произвести оплату за коммунальные и телекоммуникационные услуги. При расчетах в торгово-сервисной сети жители региона получают накопительные скидки, для обеспечения целевого расходования средств или разделения платежей предусмотрена возможность открытия на карте дополнительных счетов (табл. 4).

Перспективы российских платежных систем

На начальном этапе предоставления пластиковых карт своим клиентам локальная карта полностью удовлетворяла потребностям банка-эмитента. Однако многие из имеющихся локальных банковских платежных систем не могли предложить значительные возможности развития инфраструктуры обслуживания своих карт на территории России и, тем более, за рубежом. Карта, эмитированная в рамках какой-либо локальной платежной системы, могла обслуживаться только в местах присутствия соответствующего банка-эмитента. Рост банковской конкуренции в этом сегменте рынка банковских услуг, дальнейшее распространение системы безналичных платежей посредством пластиковых карт и отсутствие достаточных инвестиционных средств для приобретения высококачественных и дорогих иностранных технологий предопределили появление и распространение на нашем рынке проектов, связанных с участием банков в общероссийских платежных системах, в первую очередь таких, как системы «Union Card/NCC», «Золотая корона» или «Сберкарт». Сегодня редкая платежная система одного или нескольких российских банков сможет равняться с их инфраструктурой обслуживания пластиковых карт на территории страны. В настоящий момент самыми крупными локальными платежными системами в Российской Федерации являются «Золотая Корона» (в обращении находится около 5,4 млн карт) и «Сберкарт» (3,9 млн карт).

По мере формирования рынка пластиковых карт в стране российские платежные системы стали все более ориентированы на клиентов, которые живут в регионах, для кого карта — это недорогой и удобный инструмент. На нее им начисляют зарплату, клиенты могут с ее помощью не только снять деньги в банкомате, но и без лишних затрат оплатить необходимые услуги (в том числе коммунальные и транспортные) или покупки в магазинах. По своей сути российские платежные системы нацелены на решение всего спектра задач, связанных с совершением расчетов и использованием финансовых услуг в месте постоянного проживания клиента: городе, области, регионе, страны. В то же время карты международных систем предназначены для совершения расчетов вне страны постоянного проживания, для обеспечения возможности оперативного перевода (трансферта) денежных средств держателем карты по всему миру.

Но, несмотря на это, для граждан России банковская карта до сих пор представляет собой в большей степени не платежный инструмент, а лишь средство снятия наличных денег. По данным исследования КОМКОН доля карточных платежей в ежедневных расчетах населения более чем в 10 раз ниже, чем в американских супермаркетах, где они превышают 60 %. Конечно, не в последнюю очередь это связано со спецификой российского рынка: рынок развивается в основном не за счет частных лиц — держателей карт, а благодаря зарплатным проектам (доля зарплатных карт по-прежнему высока — около 75 % от совокупной эмиссии карт). Именно поэтому держатели таких карт после начисления заработной платы сразу снимают деньги в банкоматах. Еще несколькими годами ранее это значение превышало отметку в 90 %, но благодаря активным действиям банков, выдающих кредитные карты, транспортные и социальные платежные карты, доля частных клиентов — держателей карт возросла.

Объемы и развитость пользования платежными картами обоснованно рассматриваются в качестве одного из важнейших индикаторов уровня развития ритейлового банковского бизнеса в стране. Ведь в настоящее время карточный бизнес — это свыше 1,3 млрд карт. Ежегодный мировой оборот превышает 3 трлн долл. Платежные карты принимаются более чем 20 млн торгово-сервисных предприятий. Около полумиллиона банковских отделений, предоставляющих услуги, проводят операции с платежными картами, а число банкоматов превысило 700 тыс.

В настоящее время в стране все более проявляются тенденции к созданию единой платежной системы. И не только крупные российские платежные системы заинтересованы в этом, но и органы государственной власти также активно проявляют свою заинтересованность в создании национальной платежной системы, и может быть даже не одной.

Таким образом, можно отметить, что объединение лоббистских усилий в создании единого безналичного платежного пространства в России с целью укрепления национальных государственных интересов, экономической безопасности путем поддержки и развития в стране именно национальной системы расчетов становится стратегической целью.

И если единая национальная платежная система существует во многих странах мира, то нет никаких существенных причин, по которым она не смогла бы быть создана и в России.

 

Международные платежные системы в России

Международная платежная система VISA

VISA управляет крупнейшей в мире сетью розничных электронных платежей, предоставляя процессинговые услуги, а также платформы для платежных продуктов, среди которых кредитные, дебетовые, предоплаченные и корпоративные карты, выпускаемые под брэндами VISA, Visa Electron, Interlink и PLUS. Карты VISA принимаются к оплате по всему миру. Visa/Plus является одной из самых обширных глобальных сетей банкоматов, которая обеспечивает выдачу наличных денег в местной валюте в 170 странах мира.

VISA разработан целый ряд платежных карт, предназначенных для разных категорий клиентов в зависимости от их образа жизни и индивидуальных потребностей. Карты Visa — это один из самых удобных и надежных способов оплаты товаров и услуг в России и за рубежом.

VISA предлагает банкам три основных вида карт для физических лиц: кредитные, дебетовые и предоплаченные из категории Visa Electron и Visa Classic, а также карты премиальной категории: Visa Gold, Visa Platinum и Visa Infinite.

VISA также разработала ряд коммерческих продуктов, предназначенных для повышения эффективности финансового управления предприятиями. Коммерческие продукты Visa отвечают потребностям предприятий любого профиля большого, среднего и малого бизнеса. К данной категории относятся Visa Business Gold, Visa Business, Visa Business Electron, Visa Corporate, Visa Purchasing и Visa Distribution. Такие карты прикрепляются к единому счету компании, но позволяют установить индивидуальный лимит по каждой карте. Тем самым траты сотрудников по служебной необходимости легко и удобно контролируются, а также значительно упрощается бухгалтерская отчетность и порядок выделения средств сотрудникам.

Международная платежная система Master Card

История становления компании

В июне 2001 г. всему миру было объявлено о начале объединения двух крупнейших международных компаний и платежных систем США и Европы: Europay International и MasterCard International. В результате с 1 июля 2002 г. на международном карточном рынке появилась новая компания — акционерное общество MasterCard Incorporated, в состав которого вошли MasterCard International и Europay International и появился единый логотип MasterCard на пластиковых картах.

Предтечи нового гиганта международной карточной индустрии начинали свое развитие в середине шестидесятых годов прошлого столетия, к тому времени восходит и начало их взаимодействия.

Годом создания международной платежной системы Europay International считается 1964 г., когда шведский банк Wallenburg учреждает компанию Eurocard, в 1965 г. реорганизованную в акционерное общество EuroCard International со штаб-квартирой в Брюсселе.

История становления MasterCard International начинается с 1966 г., когда несколько банков с Восточного побережья США создали Межбанковскую карточную ассоциацию — Interbank Card Association (ICA) и стали выпускать карты по собственной программе. В отличие от других карточных ассоциаций, в ICA не было одного доминирующего банка. Ассоциацией управлял Совет полномочных представителей участников Ассоциации. Штаб-квартира организации находилась в штате Нью-Йорк, США. В следующем году четыре крупных банка из Калифорнии создали Карточную ассоциацию западных штатов — Western States Bankcard Association и запустили карточную программу MasterCharge. В 1968 г. ICA начала свою экспансию. Первыми ее шагами в этом направлении было создание ассоциации с Banco Nacional, Мехико и объединение с MasterCharge. В итоге, к 1970 г. карты MasterCharge только в США были в обращении в 49 штатах. Позднее в 1979 г. объединенная компания была переименована в MasterCard International.

Изначально в своей деятельности и Europay, и MasterCard ориентировались на обслуживание клиентов своих регионов: Europay больше работала в Старом Свете, а MasterCard — в Новом. Но в 1968 г. между ними был заключен первый стратегический альянс, направленный на учреждение Eurocheque, целью которого было расширение сферы обслуживания клиентов, в том числе, обеспечение возможности получения клиентами денег за рубежом. Тогда же в ассоциацию вступили первые японские участники.

Спустя два десятилетия, в 1988 г. в целях укрепления альянса, Maste^ard приобрел 12,25 % акций EuroCard International и 15 % активов ее технологического подразделения EPSS (European Payment Systems Services).

С 1991 г., в результате заключенного соглашения между EuroCard International и Cirrus International карточки c логотипами Eurocard/Maste^ard стали приниматься в сети банкоматов Cirrus.

В 1992 г. в результате равноправного партнерства между Maste^ard и Europay была создана компания Maestro International, а компании EuroCard International, Eurocheque Int. и Eurocheque International Holdings объединились в Europay International.

1996 г. был ознаменован новым 10-летним договором о стратегическом сотрудничестве между Maste^ard и Europay. В результате этого появился новый совмещенный логотип для карт Eurocard/MasterCard.

В 1997 г. осуществлена первая в истории международная транзакция в сети Интернет с помощью карт Eurocard/MasterCard.

В конце 2000 г. банкам-участникам была предоставлена возможность реализации новой программы виртуальных карт. Виртуальная карта представляла собой дополнительный счет, открываемый для держателей карт Eurocard/MasterCard в целях разграничения платежей, осуществляемых в реальном мире и на рынке электронной торговли.

В 2001 г. в мире была выпущена стомиллионная чиповая карта Eurocard (MasterCard).

Таким образом, окончательное слияние Europay International и MasterCard International летом 2002 г. стало закономерным результатом продолжавшегося свыше тридцати лет тесного сотрудничества, и позволило создать стратегический альянс для увеличения их конкурентоспособности на рынке международных платежных карт. Europay Int. становится региональным подразделением в новой структуре — MasterCard Europe с штаб-квартирой, расположенной в бывшей штаб-квартире Europay International в Ватерлоо (Бельгия).

Весной 2004 г. североамериканский франчайзинг Diners Club International (DCI) — Diners Club North America — и MasterCard International подписали рамочное соглашение о создании нового стратегического альянса. На первом этапе реализации проекта карты DCI, эмитированные по всему миру, обслуживались в сети приема MasterCard International на территории Канады и США. На следующем этапе — карты Diners Club International, эмитированные в регионе Северной Америки, стали приниматься в глобальной сети терминалов, банкоматов и пунктов выдачи наличных MasterCard по всему миру.

С этой целью на выпускаемые карты DCI наносился логотип MasterCard, что исключало вероятность отказа в их приеме в торгово-сервисных предприятиях, обслуживающих карты MasterCard. При этом на карты Diners Club, эмитированные в США и Канаде, логотип наносили с лицевой стороны, а на карты, эмитированные в других регионах — с обратной стороны.

В 2005 г. MasterCard запускает большой проект совмещенных чиповых карт MasterCard PayPass с бесконтактным платежным решением. При использовании MasterCard PayPass для совершения покупки достаточно просто прикоснуться своей новой картой к терминалу PayPass. Эта инновационная технология позволила быстро, безопасно и просто совершать мелкие покупки стоимостью до 25 долл. США (при этом держателям карт не нужно было проводить карту через ридер или подписывать чеки).

В 2006 г. на Нью-Йоркской фондовой бирже прошло первичное размещение акций MasterCard. В ходе IPO компания привлекла 2,4 млрд долл., разместив 61,52 млн акций (46 % капитала, 82 % голосующих акций). Выход MasterCard на биржу ее президент Роберт Силандер охарактеризовал как «важнейшее событие» в истории платежной системы, которая до этого принадлежала 1400 банкам — эмитентам ее карт.

В том же 2006 г. MasterCard Inc. объявила о создании нового корпоративного бренда — MasterCard Worldwide, ознаменовавшегося появлением нового логотипа и нового слогана The Heart of Commerce, отражающего интегрированную структуру бизнеса компании и её направленность на развитие коммерции во всём мире.

Известные всему миру пересекающиеся круги логотипа, символизирующие MasterCard, остались без изменений на всех пластиковых картах и в торговых точках по всему миру. Сохранились они и в коммуникации, ориентированной на потребителей.

Три круга нового корпоративного логотипа MasterCard взяли свое начало из двух — красного и желтого, и отражают триединую бизнес-модель компании — франчайзинг, процессинг и консалтинг. Новое позиционирование компании, по мнению ее руководства, должно сыграть роль консолидирующей В2В-платформы и способствовать повышению эффективности взаимодействия MasterCard Worldwide с партнерами, предпринимателями и акционерами посредством всех каналов коммуникаций.

Как известно, в настоящее время, в целях упрощения всех финансовых расчетов на территории единой Европы, Еврокомиссия готовит страны к переходу на единое европейское платежное пространство SEPA (Single Euro Paymant Area). Ввод SEPA в действие планируется к ноябрю 2009 г. Европарламент уже одобрил единую директиву о платежных услугах, а банки постепенно переходят на технологии, которые позволят работать в едином стандарте. И такие технологии уже предложены мировым гигантом — MasterCard Inc.

Структура компании и ее задачи

Холдинг MasterCard Incorporated включает в себя дочернее предприятие (MasterCard Worldwide) и пять региональных подразделений, которые действуют в шести региональных направлениях: в Северной Америке, в Европе, Азиатско-Тихоокеанском регионе, Латинской Америке и Карибском бассейне, в Юго-Восточной Азии, на Ближнем Востоке и в Африке. Данная структура предполагает оперативное управление текущей деятельностью столь обширной компании. Создание единой структуры с единым управлением и руководством позволило MasterCard добиться «большой гибкости и стратегической маневренности», а также ускорить процесс предложения клиентам новых технологичных услуг. Штаб-квартира вновь образованной организации находится в г. Перчейз, штат Нью-Йорк, США. Акционерами новой компании стали финансовые учреждения, являющиеся ключевыми участниками платежной системы.

В целях большей прозрачности и повышения эффективности компания MasterCard создала три глобальных Центра мастерства (Center of Excellence). Главная задача центров — разработка и создание новых карточных технологий и продуктов, наиболее отвечающих современному рынку и запросам участников платежной системы. Два таких Центра располагаются в Бельгии, один — в США. Деятельность европейских центров сфокусирована в области дебетовых продуктов, в сфере чиповых технологий и мобильной коммерции. В США Центр Мастерства будет заниматься вопросами, связанными с разработкой новых продуктов и продвижением карточных технологий в части электронной торговли и В2В-отношений.

Деятельность компании ориентирована в первую очередь на реализацию следующих задач:

1) усиление конкурентной позиции новой компании на международном рынке. В практическом плане у компании был один серьезный конкурент — VISA, и результаты деятельности MasterCard за прошедшее время позволяют говорить об ощутимом укреплении рыночных позиций MasterCard в борьбе со своим соперником;

2) снижение расходов посредством унификации стандартов в обслуживании карт и процессирования совершенных транзакций, а также исключения однопрофильных административных подразделений и функций в бизнес-структуре компании.

3) оптимизацию сроков разработки и внедрения новых продуктов и услуг для клиентов, в частности, реализации программ перевода карточек на EMV технологии, реализации карточных технологий на рынке электронной торговли, а также кредитных карт (револьверное кредитование);

4) активизация работ с участниками по переходу на эмиссию EMV-совместимых карт, переоснащение и модернизация на прием чиповых карт POS-терминалов и банкоматов.

Последовательная реализация поставленных задач позволяет MasterCard Worldwide существенно увеличивать эффективность своей деятельности на рынке международных пластиковых карт, что показывают результаты ее деятельности. Достижения объединенной компании за прошедшее время отражены в следующей таблице:

Общее количество банков-участников платежной системы MasterCard сейчас превышает 25 000 шт.

Сегодня MasterCard Worldwide — крупнейшая в мире платежная система, которая предлагает широкий ассортимент инновационных услуг в поддержку реализуемых ее членами кредитных, депозитных, электронных, межфирменных и других платежных программ. MasterCard Worldwide управляет программами эмиссии целого семейства хорошо известных и повсеместно принимаемых к оплате во всем мире брэндов платежных карт, таких как MasterCard, Maestro и Cirrus, а также занимается обслуживанием финансовых учреждений, физических лиц и предприятий в более чем 210 странах и регионах мира.

Членство в MasterCard могут получить следующие юридические лица.

Финансовые учреждения. В функции таких компаний должно входить получение и помещение на депозит денежных и других подлежащих возврату средств граждан, а также выдача кредитов из собственных фондов. Компания должна быть также должным образом уполномочена, а ее деятельность в качестве финансового учреждения — регулироваться актами соответствующих органов государственной власти.

Учреждения потребительского кредитования. В функции такой компании должно входить предоставление потребительских или коммерческих займов, кредитов, работа с платежными карточками, но не прием вкладов от населения. Ее деятельность должна должным образом регулироваться и контролироваться актами соответствующих компетентных органов власти или управления страны.

Компании, принадлежащие кредитным учреждениям. Если компания не подпадает под данные выше определения, то должны быть соблюдены следующие условия:

• одно или несколько финансовых учреждений должны владеть, прямо или косвенно, акциями данной компании и иметь голоса, предоставляемые этими акциями;

• требования к размеру их доли капитала определяются в зависимости от типа продуктов, которые компания намерена предлагать как участник MasterCard. Текущими требованиями к размеру доли капитала в зависимости от вида продукта являются следующие:

• кредитные продукты (Pay Later) — не менее 50 % акций компании, дающих право на соответствующее количество голосов;

• дебетовые продукты (Pay Now) — не менее 90 % акций компании, дающих право на соответствующее количество голосов;

• компания должна быть зарегистрирована в той же стране, что и финансовое учреждение, владеющее компанией, а деятельность, осуществляемая компаний, должна быть преимущественно связана с платежными системами.

• большинство направлений деятельности компании должны осуществляться теми финансовыми учреждениями, которые являются прямыми или косвенными владельцами данной компании.

Убедившись, что компания соответствует критериям, установленным для вступающих в MasterCard, и определив, какие продукты и услуги в наибольшей степени устраивают компанию, она подает заявку и получает лицензии на использование соответствующих торговых марок продуктов и одновременно с этим статус Участника.

Существует два вида лицензий на использование торговой марки MasterCard.

Лицензия принципиального участника. Дает лицензиату право использовать торговые марки, перечисленные в имеющихся у него лицензионных соглашениях. Держатель лицензии принципиального участника работает с MasterCard напрямую и несет ответственность не только по своим операциям и обязательствам, но и по операциям и обязательствам своих Аффилированных Участников, которых он спонсирует.

Транзакции, осуществляемые с использованием кредитных продуктов, будут идентифицироваться по уникальному номеру ICA (Interbank Card Association (Международная карточная ассоциация)), присваиваемому им MasterCard. По БИНам (банковским идентификационным номерам) идентифицируется карточная программа и (или) продукт, предлагаемые участником.

Лицензия на Аффилированное участие. Статус аффилированного участника предоставляет возможность разделить издержки с действительным принципиальным участником.

Лицензия на аффилированное участие дает Участнику право использовать торговые марки, указанные в соответствующих лицензионных соглашениях. Географические рамки их использования, предусматриваемые такой лицензией, не должны выходить за пределы территории, предусматриваемой лицензией спонсирующего принципиального участника.

Аффилированный участник несет ответственность перед данным принципиальным участником за выполнение имеющихся у него обязательств (которые включают и осуществление расчетов по транзакциям).

Аффилированный участник осуществляет взаимодействие с MasterCard через спонсирующего его принципиального участника.

Виды деятельности, включенные в лицензию. Лицензия дает право выпускать карточки и (или) осуществлять эквайринг по совершенным транзакциям (табл. 2). При этом:

1) эмиссия карточек должна осуществляться в объеме, установленном бизнес-планом, утвержденным MasterCard. Различают эмиссию кредитовых и дебетовых продуктов:

• кредитные: MasterCard Standard/Gold, Business/Corporate/Purchasing, World Signia/Platinum, MasterCard Unembossed, MasterCard Electronic;

• дебетовые и предоплаченные продукты: Maestro, Cirrus, Clip;

2) прежде чем компания сможет начать эквайринг по транзакциям на территории действия лицензии, она должна продемонстрировать, что реализация ее программы эмиссии карточек действительно начата, а объем выпуска карточек соответствует цифрам, указанным в бизнес-плане, утвержденным MasterCard;

3) эквайринг банкоматных и pos-терминальных транзакций может проводиться по транзакциям, осуществляемым на территории действия лицензии.

Для своих партнеров MasterCard предлагает обширный ряд карточных продуктов, которые базируются на следующих, наиболее распространенных типах карт платежной системы.

Карты сегмента начального уровня

Maestro Prepaid. Данная карта относится к числу предоплаченных карт и является обезличенной, так как на ней не указывается имя держателя карты. Поэтому процедура выдачи карты может занимать 10–20 минут, карта относится к числу «быстрых» карт. Держатель карты может передавать ее в пользование третьим лицам (к примеру, членам своей семьи). Операции по карте подлежат обязательной электронной авторизации. Mаеstro Prepaid является составной частью дебетового продукта.

Маеstrо. Эта карта по праву считается наиболее популярным и доступным средствоми платежа — практически каждый, независимо от уровня своего дохода, может стать держателем этой карточки. Это дебетовая карточка для электронных расчетов. По ней можно получить наличные в свыше 1 млн банкоматов по всему миру и оплатить покупку в тех торговых точках, где установлены РOS-терминалы международной системы Maestro. Карточка, как правило, не эмбоссируется, что исключает возможность использования импринтеров при оформлении покупки или получения денег в пунктах выдачи наличных. Все операции по карте подлежат обязательной электронной авторизации. Карты Маеstro могут выдаваться клиентам с ограниченной или нулевой банковской историей, могут являться составной частью дебетового (кредитового) продукта.

Maestro e-commerce Card. Используется для приобретения товаров в виртуальном режиме. При оплате товаров (услуг) в интернет-магазинах по карте Maestro необходимо вводить PAN (Personal Account Number). Это индивидуальный номер конретной карты для конкретного держателя, который, как правило, не печатается на карте, а может быть только считан с нее. Карта Maestro e-commerce Card вставляется в специальное считывающее устройство, после чего PAN выводится на экран и может быть вместе с другой необходимой информацией введен держателем карты в нужном разделе интернет-магазина для регистрации карты, формирования собственного SecureCode и проведения транзакции в режиме реального времени. Официальная презентация карты состоялась весной 2004 г.

MasterCard Electronic. MasterCard Electronic позиционируется в качестве кредитной карты начального уровня. Продукты на основе этой карты ориентированны на клиентов, не имеющих или обладающих минимальной кредитной историей, но желающих пользоваться возможностями кредитной карты и рассчитана на снижение банками своих рисков при реализации программ массового потребительского кредитования. Является кредитной картой с ограниченной функциональностью:

• требует обязательной электронной авторизации;

• является неэмбоссированной;

• по карте нет авторизационных лимитов;

• может являться револьверной кредитной картой;

• по данной карте можно оплачивать продукты в ТСП;

• по карте можно получать наличные только в банкоматах.

Первые такие карты были эмитированы в Бразилии в 1999 г., затем в Индии и на Филиппинах, с 2001 г. они эмитируются странами Восточной Европы. В 2004 г. их стали выпускать и в России. Изначально карты могли обслуживаться только в устройствах страны-эмитента, но решением Совета директоров MasterCard с 2003 г. такое ограничение было снято.

Карты сегмента среднего уровня

MasterCard Standard. Это кредитная карточка для среднего клиента, который имеет стабильные доходы. Карта принимается для оплаты товаров и услуг в более 25 млн торгово-сервисных предприятиях во всем мире. По условиям платежной системы позиционируется как составная часть кредитного или дебетового продукта.

Предназначена для клиентов, имеющих некоторую позитивную кредитную историю, но недостаточную для выхода на получения VIP-уровень обслуживания. По картам МаsterСаrd Standard можно снимать наличные в банкоматах и пунктах выдачи наличных, оплачивать любые покупки в торговых предприятиях (включая интернет-магазины). Карта может быть обслужена как электронной авторизацией, так и голосовой (с использованием импринтера).

Карты элитного сегмента (Premium)

MasterCard Gold. Считается базовой картой среди премиальных карт платежной системы. MasterCard Gold — карта для тех, чей стиль жизни требует гибких расходных лимитов и признания статуса. Владелец карты имеет возможность экстренного получения наличных и экстренной замены в случае утраты карты. Основное отличие от карт среднего уровня — повышенный кредитный лимит. Держатели МаsterСаrd Gold могут воспользоваться услугами МаsterСаrd Global Service (глобальная служба клиентской поддержки МаsterСаrd), оказывающей круглосуточную помощь клиентам, попавшим в сложные ситуации (необходимо заблокировать утраченную карту, заменить карту, срочно получить наличные деньги) и предоставляющий минимальный набор страховых услуг. По картам МаsterСаrd Gold можно снимать наличные в банкоматах и пунктах выдачи наличных, оплачивать любые покупки в торговых предприятиях (включая интернет-магазины). Карта может быть обслужена как электронной авторизацией, так и голосовой (с использованием импринтера).

MasterCard Gold. Кредитная карточка для состоятельных людей. Торговые и сервисные предприятия, обслуживающие держателей МаsterСаrd Gold объединены в специализированную программу МаsterСаrd Premium Collection, в рамках которой держателям таких карт предлагается расширенный перечень страховых услуг, скидки на бронирование автомобилей, в ресторанах и в ведущих сетевых отелях мира.

МаsterCаrd Platinum. MasterCard Platinum — включает в себя все преимущества карты MasterCard Gold, а также предоствляет владельцу превосходный страховой пакет и службу поддержки во время путешествий.

МаsterCаrd World Signia. Для данной карты отсутствует заранее установленный уровень расходов, что определяется полной финансовой независимостью и статусом ее держателя. Прилагаемые к карте программы льгот, как правило, не имеют ограничения по срокам действия.

Отличительной особенностью данной карты являются услуги круглосуточного Центра клиентской поддержки World Signia (World Signia Assistance Centre). По требованию клиента личный консьерж может, к примеру, приобрести ему билеты в театр в любой стране мира, организовать деловую встречу, забрать из колледжа детей, купить и доставить подарок и выполнить еще множество самых разнообразных поручений. Пакет страховых услуг обширен как по набору, так и по размеру страховых выплат. Также держатель MasterCard World Signia получает возможность воспользоваться программой Priority Pass, открывающей перед ним двери более чем 400 vip залов аэропортов по всему миру. Карта является составной частью кредитового продукта.

Для получения права эмиссии такой карты банк-эмитент должен получить со стороны платежной системы определенную оценку работы собственной службы VIP-сервиса.

Продукты MasterCard для корпоративных клиентов

В рамках корпоративных программ, участникам платежной системы предлагаются корпоративные карты, выпускаемые для сотрудников организаций (компаний), уполномоченных расходовать в тех или иных пределах средства своей компании. Основным элементом программ служат карты МаsterСаrd Business.

Корпоративные продукты MasterCard предназначены как для крупных мировых и транснациональных корпораций, так и для региональных компаний малого и среднего бизнеса. Их целью является оптимизация финансовых трат компаний, связанных с административной, командировочной, представительской и иной хозяйственной деятельностью, а также обеспечение эффективного контроля и учета издержек компании.

Так, в Европе, где функционируют около 20 млн малых предприятий с годовыми административными расходами, превышающими 250 млрд евро, MasterCard активно реализовывает свою корпоративную программу для предприятий малого бизнеса — MasterCard Working in Europe. Эта программа объединяет ряд карточных продуктов, дополнительных услуг, производственных сервисов, а также накопительную (дисконтную) программу. Все эти элементы построены с учетом результатов анализа потребностей и пожеланий владельцев малых предприятий европейских стран. В рамках программы MasterCard Europe предлагает финансовым организациям-членам MasterCard решения для индивидуального подхода к разработке программ, ориентированных на малые и средние предприятия, являющихся их клиентами.

В рамках работы над программой была разработана платформа BusinessCard, включающая такие продукты, как кредитно-револьверные и расчетные карты, и позволяющая удовлетворить потребности малого предприятия любого профиля. Все карты предоставляют доступ к всемирной сети обслуживания MasterCard.

В программе MasterCard Working in Europe есть такие услуги, как расширенная гарантия, юридическое обеспечение и помощь в дороге. К примеру, MasterCard Europe заключила договор с American Airlines об исключительных скидках для своих клиентов, в частности, о специальных предложениях типа «покупаете один билет — второй получаете бесплатно», бесплатном повышении класса перелета, договор с сетью бизнес-центров Regus о скидках на аренду переговорных комнат и соглашений с целым рядом других компаний, предоставляющих услуги для бизнесменов. Для отдельных финансовых организаций — членов системы MasterCard Europe предоставляет также поддержку в виде дополнительных консалтинговых услуг.

Модификации данной программы рассчитаны на ее применение с учетом конкретных потребностей стран, в которых работают региональные компании MasterCard. Так, в Соединенных Штатах Америки действует программа MasterCard Working for Business, которая предоставляет набор индивидуальных решений и средств, удовлетворяющих потребности как новых, так и давно действующих предприятий..

Согласно исследованию, проведенному компанией MasterCard, 75 % предпринимателей в сфере малого бизнеса, которые пользуются кредитными картами, сильно заинтересованы в программах ведущих торговых сетей, позволяющих им экономить средства. Для данной группы клиентов MasterCard Worldwide объявила о запуске новой программы MasterCard easy savings, ориентированной на держателей корпоративных кредитных и именных дебетовых карт MasterCard BusinessCard в США. Программа, в которой принимают участие авиакомпании, гостиницы, рестораны, туристические агентства и др., предлагает предприятиям малого бизнеса простой способ экономии расходов при оплате покупок кредитной или дебетовой картой с личной подписью владельца MasterCard. В рамках программы MasterCard easy savings предприятия малого бизнеса могут автоматически получать скидки в ряде таких компаний, как Adminstaff, Avis, Budget, DHL, HRTools.com, Maggiano's Little Italy, Midwest Airlines, Mimeo.com, SurePayroll, Website Pros и Wyndham Hotels and Resorts.

Для крупных корпоративных клиентов (транснациональных корпораций) MasterCard предлагает глобальную программу MasterCard multinational corporate program. Эта программа предоставляет в глобальном объеме однотипные решение для обеспечения подробными отчетами о проводимых транзакциях по корпоративным картам организациям, даже если их офисы расположены в разных странах и они обслуживаются в нескольких банках.

Программы выпуска ко-брендинговых и клубных карт

Участники платежной системы MasterCard активно развивают кобрэндиговые карточные проекты с ведущими мировыми и национальными корпорациями. Партнерами банков-участников системы являются такие известные компании, как FinnAir, KLM, Lufthansa (пассажирские авиаперевозки), Mercedes-Benz, компании по прокату автомобилей Hertz и Avis, сети отелей и крупные торговые предприятия. На протяжении последних лет российских проекта MasterCard-Аэро-флот-Альфа-Банк и Ситибанк-Мегафон-MasterCard были удостоены престижной международной премии за лучший партнерский проект Best Partners of the Year, в которой традиционно принимают участие ведущие мировые банки и компании.

В программах клубных карт участники платежной системы выпускают карты MasterCard для некоммерческих организаций — благотворительных и некоммерческих организаций, научных ассоциаций, спортивных клубов.

Чиповые продукты MasterCard

MasterCard ведет активную работу над реализацией программ чиповой технологии банковских карт. Подход MasterCard к замене карт с магнитной полосой на чиповые базируется на следующих условиях:

• снижение возможностей для подделок чиповых карт в сравнении с картами с магнитной полосой;

• уменьшение расходов, связанных с процессом обработки транзакций по чиповым картам, связанное с возросшей безопасностью использования off-line режима;

• рост эффективности управления кредитными рисками;

• применение нескольких различных приложений на чиповых картах, в том числе и не финансового характера.

В рамках реализации своих программ MasterCard продвигает технологию MasterCard PreAuthorized Debit (MPAD) на базе своего EMV-приложения M/Chip4. Данный продукт сочетает в себе преимущества международной карты и электронного кошелька. Однако в отличие от обычного электронного кошелька на карту с M/Chip4 загружаются не деньги, а расходные лимиты. И клиент получает возможность пользования общим объемом доступных средств: можно провести операцию, используя одновременно и доступный баланс счета, и расходный лимит по карте.

Карта сохраняет итог последних офлайн-транзакций, а при очередной онлайн-операции происходит синхронизация доступного баланса по счету с суммами, потраченными в офлайне. При этом на POS-терминалах прописывается лимит офлайн-транзакций, и при превышении такой суммы, запрашивается авторизация. Такое решение позволяет автоматически восстановить офлайн-лимит по карте без дополнительных затрат.

Продукт ориентирован на реализацию схемы предавторизационного дебета на основе технологий, исключающих риск возникновения овердрафта при проведении транзакций в режиме офлайн.

Бесконтактные платежи

Наиболее перспективной на сегодня в MasterCard считается технология PayPass. Она представляет из себя технологию, основанную на стандарте ISO 14 443 и позволяющую обмениваться информацией с устройствами бесконтактным способом.

Продукт ориентирован на использование в предприятиях розничной торговли, где фактор времени играет определяющую роль: в ресторанах и пунктах питания быстрого обслуживания, транспортной оплате, сетях АЗС.

Технология PayPass может быть воплощена несколькими способами. Карты PayPass включают традиционную магнитную ленту, поэтому могут использоваться как обычные карты в любой точке мира, где принимаются карты MasterCard. В Европе и странах Азиатско-Тихоокеанского региона, где преобладают чиповые EMV-карты, решение OneSmart PayPass™ на одном чипе совмещает в себе контактный и бесконтактный интерфейсы. Кроме этого технология PayPass может быть использована в большом количестве мобильных устройств, например в мобильном телефоне, в удобном брелоке для ключей или браслете часов.

Процесс оплаты происходит таким образом, что потребителю достаточно просто прикоснуться своей картой Aduno Group MasterCard, оборудованной технологией PayPass, к специальному считывающему устройству, и оплата совершена!

По результатам тестирования продукта в США, которое проводились в штате Орландо (было эмитировано 15 000 карт, задействовано 60 предприятий ТСП, в том числе рестораны McDonalds), MasterCard принял решение о крупномасштабном внедрении продукта с PayPass с начала 2005 г. На данный момент успешно действует несколько программ на основе PayPass, запущенных в тринадцати странах мира. О запуске проектов, связанных с внедрением технологии PayPass в разное время уже успели объявить США, Канада, Великобритания, Япония, Корея, Китай, Таиланд, Турция, Ливан, Малайзия, Австралия, Тайвань и на Филиппины.

По данным компании MasterCard на конец первого квартала 2007 г. выпущено более 14 млн карт MasterCard PayPass и устройств, которые принимаются более чем в 51 000 торговых точек по всему миру, включая McDonald’s, Starbucks, 7 Eleven, CVS, Duane Reade, Sheetz и Regal Entertainment Group. Технология также доказала свою популярность среди любителей спорта, и сейчас MasterCard PayPass принимается на многих стадионах Высшей лиги бейсбола и Национальной футбольной лиги, а также на многочисленных матчах по гольфу.

PayPass представляет собой удобную альтернативу наличности, позволяющую быстро, безопасно и просто осуществлять мелкие ежедневные покупки. Совершая покупку на общую сумму до 25 долл. США потребителям не придется мучиться с купюрами и монетами, а также не нужно будет проводить карту через ридер или подписывать чеки (однако, для осуществления покупки на сумму, превышающую 25 долл. США, ввод PIN и подпись требоваться будет). Для осуществления транзакции потребителю достаточно просто коснуться картой или мобильным устройством, поддерживающим технологию PayPass, специально оборудованного терминала.

Совокупный объем эмиссии чиповых карт, выпущенных банками-участниками платежной системы MasterCard в мире, по итогам 1-го полугодия 2007 г., превысил 261 млн. Порядка 6,3 млн POS-терминалов по всему миру принимают EMV-карты. В результате наблюдаемого роста чиповых карт системы MasterCard и числа терминалов, принимающих такие карты, создана инфраструктура, способствующая дальнейшему увеличению количества транзакций. Переход к чип-технологиям поддерживает специализированная программа внедрения чипов MasterCard M/Chip Deployment. Эта программа — основа зонтичной чип-программы OneSMART MasterCard, которая поддерживает аспекты перехода к чип-технологиям по трем направлениям: развитие продуктового ряда, техническая поддержка перехода к чип-технологиям и сотрудничество с вендорами.

Использование карт в среде электронной торговли

В качестве приоритетных задач настоящего времени для любой современной платежной системы, в том числе и MasterCard, является создание и поддержание условий для безопасных платежей в глобальной сети Интернет.

Для этих целей MasterCard использует стандарт SET (Secure electronic transactions), обеспечивающий возможность применения карт с магнитной полосой платежной системы для осуществления безрисковых транзакций в электронной коммерции.

В целях снижения рисков при совершении транзакций в среде Интернет MasterCard реализует платежное приложение SPA (Secure Payment Application). Данная система предназначена для аутентификации держателей карт при онлайн-платежах. SPA генерирует уникальный идентификационный номер транзакции при каждой онлайн-операции держателя карты, используя специальное приложение SPA-wallet на сервере. Этот номер основывается на специальном 32-значном коде, который связывает данные о держателе карты, торговой точке, размере платежа и специфические элементы совершаемой транзакции. Код использует UCAF (Universal Cardholder Authentication Field) — Универсальное поле для аутентификации держателя карты. USAF представляет собой скрытое поле на сайте торговой точки, предназначенное для сбора и передачи аутентификационных данных покупателя, которую сгенерировал SPA. Приложение работает со стандартными данными: имя держателя и пароль, а также с чиповыми картами, цифровыми сертификатами, биометрическими и иными системами контроля.

В 2007 г. платежная система MasterCard представила рынку новое решение Product Graduation, позволяющее выпускать для физических лиц сразу несколько различных карт, имеющих один общий 16-значный номер. Кроме общего номера, у таких карт может быть и общий банк-эмитент. Такой единый номер для разных карт может быть особенно полезен держателю карт в случае, если он проводит с помощью разных карт большое число всевозможных платежей. Прежде всего это касается интернет-транзакций по таким картам. Поскольку 16-значный номер карты является ключевым параметром идентификации плательщика, новое решение MasterCard позволяет не только облегчить автоматизацию распознавания держателя карты, но и значительно сокращает число случаев отказа в совершении платежа.

Для обеспечения безопасности электронной коммерции при онлайновых расчетах и обеспечения дополнительных гарантий получения возмещения интернет-магазинами служит многоцелевая программа MasterCard secure code (MCSC), о запуске которой с января 2006 г. объявила MasterCard. MCSC использует для этого механизм Универсального поля аутентификации держателя карты (UCAF). Посредством использования скрытых полей и программ, устанавливаемых на сайтах интернет-магазинов, а также подтверждений данных по клиенту, получаемых от банков-эмитентов, MCSC позволяет с высокой достоверностью подтверждать факт совершения операции действительным держателем карты.

В качестве оналайновых программ аутентификации могут быть использованы;

• программа аутентификации SPA, (реализовано для установки на компьютере клиента);

• программа аутентификации с использованием чиповой карты (может быть исполнена как с использованием автономных карт-ридеров, так и подключенных к персональному компьютеру);

• программа аутентификации на базе стандарта 3-D Secure, которая происходит без участия держателя карты и применяется эмитентами, которые используют системы безопасности, не требующие загрузки соответствующих программ в клиентские персональные компьютеры.

В начале 2007 г. в программе MasterCard Secure Code принимали участие свыше 3000 финансовых учреждений и более 80 000 продавцов со всего мира. На сегодняшний день стандарт поддерживают также American Express, Discover/Novus, Diners Club, JCB.

Технологии предупреждения и борьбы с мошенничеством

В качестве эффективного инструмента мониторинга данных MasterCard применяется продукт Aristion, который обрабатывает неограниченное число условий, объединяет их по классам и вырабатывает единый критерий поиска, который, в свою очередь, выдвигает на первый план специфические образцы. К примеру, можно выявлять карту, которая в течение короткого промежутка времени была представлена к оплате в нескольких магазинах, расположенных в разных странах или регионах.

Задействовав функционал Aristion в анализе данных и мониторинге, банки-участники платежной системы могут превратить систему сообщений в эффективную коммуникационную услугу. Таким образом, держателям карт MasterCard может быть предложено подписаться на рассылку специализированных электронных писем или SMS-сообщений.

К стандартному набору этого продукта регулярно добавляются встроенные приложения, которые позволяют эффективно решать задачи отслеживания процесса мошенничества на различных стадиях и его предотвращения.

В сентябре 2006 г. American Express, Discover Financial Services, JCB, MasterCard Worldwide и VISA объявили о создании независимого совета для координации работы по развитию Стандарта безопасности данных индустрии платежных карт PCI (Payment Card Industry). Независимый совет был создан с целью усовершенствования защиты данных транзакций. Создание Совета по стандартам безопасности PCI стало важным этапом в деятельности платежных систем по защите персональных данных в мировом масштабе. Повышение уровня защиты от мошенничества и кражи данных сможет принести очевидную пользу более чем миллиарду держателей карт по всему миру. Совет будет действовать как консультационная группа и осуществлять общую разработку стандартов безопасности PCI. Новый стандарт направлен на определение уровня безопасности, а также формирование рекомендаций для торгово-сервисных предприятий и производителей, какие действия необходимо предпринять для повышения уровня защиты используемого программного обеспечения. Эта инициатива станет основой для дальнейшей унификации PCI. Однако каждая платежная система по-прежнему будет нести ответственность за внедрение собственных стандартизированных программ.

Система безналичных переводов MasterCard

Летом 2003 г. компания MasterCard анонсировала программу MasterCard MoneySend — программу безналичных расчетов между физическими лицами. Реализация данной программы является первым этапом создания новой формы Р2Р-сервиса. MoneySend представляет из себя хостинговый сервис, который предлагается совместно с компаниями-партнерами Magex и Paybox. Основой служит существующая сеть MasterCard, крупнейшая из имеющихся в Европе сетей Р2Р-сервиса.

На первоначальном этапе в рамках новой программы держателям европейских карт MasterCard и Maestro была предоставлена возможность перевода средств на карты других держателей карт платежной системы MasterCard.

Для проведения перевода отправителю следует выполнить следующие процедуры:

• отправителю надо зарегистрироваться в онлайновой системе банка-эмитента с указанием имени, адреса электронной почты (номера мобильного телефона) получателя перевода, суммы перевода, указать номер своей карты, с которой будут списаны денежные средства;

• отправить получателю перевода электронное письмо или СМС-сообщение с уведомлением о переводе (сообщение отправляется в произвольной форме);

• для получения перевода получателю следует зарегистрироваться в онлайновой системе своего банка-эмитента с указанием номера карты, на которую будет зачислен перевод.

После этого банк отправителя и банк получателя осуществляют проверку идентификационных данных держателей карт и дают санкцию на проведение перевода. Денежные средства переводятся в течении 24 часов после получения такой санкции от обоих банков.

В развитие этой услуги пользователям предоставляются дополнительные сервисы: переводы средств за рубеж, оплата гостиниц, покупки товаров у частных лиц на онлайновых аукционах. Потенциально, система MoneySend может быть интегрирована в банковские электронные сервисы (системы услуг банкоматных сетей, мобильного или электронного банкинга).

Весной 2007 г. ассоциация операторов мобильной связи GSMA, объединяющая операторов мобильных телефонов стандарта GSM, и платежная система MasterCard, объявили о запуске программы, позволяющей осуществлять денежные переводы через сотовый телефон. Новая технология призвана упростить отправку денег и вчетверо увеличить мировой объем денежных переводов к 2012 г… Абоненты смогут перечислять деньги со своих мобильных счетов, просто послав в сервисном сообщении (СМС) на сервер MasterCard номер телефона и банковского счета получателя. Снять переведенную сумму можно будет в банке или банкомате с пластиковой карты MasterCard.

Отправителю необязательно будет посещать банк. На первом этапе программы он сможет переводить с помощью телефона те деньги, которые есть на его банковском или карточном счете. Но затем достаточно будет тех средств, которые находятся на абонентском счете оператора. Необходимую сумму нужно будет отправить на номер в другой стране, о поступлении денег получатель узнает, получив обычное текстовое сообщение. Деньги будут поступать на карты MasterCard. Их можно будет как снимать наличными, так и использовать для оплаты покупок в магазинах по картам.

Ожидается, что в ближайшее время MasterCard и более чем два десятка операторов мобильной связи с совокупной клиентской базой 600 млн в 100 странах мира (в том числе — крупнейший международный оператор мобильной связи Vodafone, индийский Bharti Airtel, египетский Orascom Telecom, Cingular (США), Telecom Italia, международный MTN и Turkcell) начнут испытывать систему международных денежных переводов (данный проект ориентирован прежде всего на работающих в развитых странах мигрантов, которые только в 2006 г. отправили домой в общей сложности 200 млрд долл.).

MasterCard в России

Можно считать, что история бизнеса MasterCard в России (точнее, Europay International, в настоящее время одно из его региональных отделений) начало с начала 90-х годов прошлого столетия. Одними из первых банков, получившими тогда членство в ассоциации, были Кредо Банк (декабрь 1990 г.), ДиалогБанк (декабрь 1991 г.), Мост-Банк (март 1992 г.). Первым российским банком, объявившим об эмиссии карточек «Еврокард/Мастеркард», в 1992 г. стал Мост-банк.

Офис компании MasterCard был открыт в Москве в 1997 г. как представительство компании Europay International. Примерно в то же время был создан совет Ассоциации российских банков — членов Europay (АРЧЕ).

В 2004 г. MasterCard были сертифицированы на производство пластиковых карт этой международной системы российские фирмы «Розан файнэнс» (г. Москва) и ЗАО «НоваКард» (г. Нижний Новгород). Компания «ОРГА ЗЕЛЕНОГРАД» (г. Зеленоград) получила сертификат на соответствие международным нормам и стандартам по проведению процессов имплантации модулей и персонализации банковских карт с магнитной полосой и чипом.

Важной вехой в дальнейшем развитии MasterCard в России является и то, что осенью 2004 г. АРЧЕ вступила на правах Principle Member в MasterCard. Как считает руководство Ассоциации, в первую очередь это представляет интерес для целого ряда средних и мелких банков (особенно региональных), которые не имея потенциальных возможностей становиться принципиальными членами платежной системы получили «технологическую платформу для выпуска международных продуктов MasterCard с приемлемой эффективностью». На сегодняшний день членами АРЧЕ являются 96 организаций, включая MasterCard Europe sprl.

В числе наиболее интересных и перспективных проектов следует упомянуть эмиссию кобрендиговых карт «MasterCard-Золотая Корона». Эту программу совместно зарегистрировали в платежной системе MasterCard Ассоциация российских членов Europay и платежная система «Золотая Корона». В рамках этой программы банки-аффилиаты АРЧЕ смогут выпускать карты MasterCard и Maestro, на лицевой стороне которых будут присутствовать логотипы платежной системы MasterCard и Золотой Короны. Новые карты будут иметь магнитную полосу и совмещать платежные приложения обеих платежных систем.

В 2005 г. MasterCard сделала ставку на продвижение кредитных карт, в связи с чем весной того же года стартовала продолжительная маркетинговая кампания, направленная на усиление бренда MasterCard в сегменте кредитных карт. Данная компания состояла из множества элементов (PR, BTL, рекламу в прессе), имела ярко выраженную образовательную ориентированность и была нацелена как на работу с банками-партнерами, так и с конечными потребителями.

В 2006 г. компания объявила о создании российского регионального клуба MasterCard OneSmart, являющегося платформой для обмена передовым опытом в области использования продуктов OneSmart™ и возможностей для развития бизнеса, открывающихся за счет перехода на новые, инновационные технологии.

В том же 2006 г. ведущие позиции компании в области высокотехнологичных платежных решений еще более укрепились благодаря запуску первой в Европе программы социальной карты, реализованной на базе EMV-чипа совместно с Финансовой корпорацией «УРАЛСИБ». Эта карта выполняет не только функцию платежного инструмента, но и позволяет оптимизировать распределение средств и доступ к социальным льготам. Карта ориентирована на студентов, пенсионеров, военнослужащих, сотрудников государственных учреждений и дает возможность держателю пользоваться социальными пособиями и льготами, такими как бесплатный проезд на общественном транспорте, скидки на лекарства и электроэнергию.

С момента открытия российского представительства, карты MasterCard получили широкую сеть приема и инфраструктуру обслуживания по всей стране, а дебетовый бренд Maestro превратился в одну из самых распространенную банковскую карту в России.

Общее количество банков-участников платежной системы MasterCard в России сейчас превышает 400 банков.

 

Актуальные тенденции развития платежных систем — мировой опыт

История международного рынка пластиковых банковских карт насчитывает уже полвека, однако при всей привычности и кажущейся сформированное™ этого сегмента финансовой сферы в настоящий момент она находится на пороге глобальной трансформации. Источником изменений является масса причин, начиная от действий отдельных игроков «пластикового» рынка и заканчивая глобальными экономическими процессами, такими, как кризис ликвидности в США и происходящее в мире смещение полюсов экономического влияния. При этом можно выделить три основополагающих момента, имеющих наибольшую важность в контексте происходящих изменений:

• доминирующее положение платежных систем VISA и MasterCard на рынке и растущая неудовлетворенность развиваемой ими модели бизнеса;

• актуализация в ведущих мировых экономиках вопроса перехода от свободного рыночного регулирования отношений игроков рынка пластиковых карт к законодательному регламентированию;

• переосмысление роли и трансформация национальных платежных систем.

Существующая модель рынка пластиковых банковских карт и монополия Visa и MasterCard

Исторически текущая инфраструктура мирового рынка платежных банковских карт сформировалась и в наибольшей степени определяется двумя международными платежными системами — VISA и MasterCard. Данные системы американского происхождения одними из первых сумели достичь интернационального распространения, и по оценкам экспертов контролируют в настоящий момент около 80 % мирового рынка пластиковых карт. Вследствие этого, модель, лежащая в основе систем VISA и MasterCard, стала фактически стандартом для всей отрасли. Данная модель с одной стороны является регулятором отрасли, жестко регламентируя взаимоотношения участников системы, с другой стороны, по мнению экспертов она служит стимулом для формирования таких отношений и доминирования таких карточных продуктов, которые бы обеспечивали маркетинговое преимущество для VISA и MasterCard.

В основе модели Visa и MasterCard лежат следующие базовые правила, распространяющиеся на всех членов системы:

• обязательная комиссия эмитента (interchange fee)  — минимальный уровень комиссии за обслуживание карт платежной системы, устанавливаемый предприятиям розничного обслуживания в пользу платежной системы и банков-эмитентов при проведении транзакций по банковским картам;

• правило приема участником всех карт платежной системы независимо от типа карты, суммы транзакции и прочих условий (honor-all-cards);

правило единой цены на товары и услуги в розничных предприятиях вне зависимости от способа оплаты — наличными или по карте (no-charging rule).

Первоначально данные правила должны были обеспечивать риски и издержки эмитентов и эквайреров на эмиссию и обслуживание карт при слабом на тот момент развитии инфраструктуры электронных межбанковских коммуникаций и низкой безопасности оффлайновых транзакций по банковским картам, а также служить источником развития безналичных платежей. На нынешнем этапе, когда безналичный оборот достиг необходимой критической массы и стоимость обеспечения безопасности транзакций не настолько высока, данные правила являются в аргументации представителей платежных систем фактором, обеспечивающим стабильность международной системы платежей по банковским картам, поскольку обеспечивают одинаково выгодные условия для систем, банков-участников, розничных предприятий и потребителей. Потребители и розничные предприятия получают благодаря единым правилам доступный, широко распространенный, удобный и безопасный инструмент безналичных платежей, а банки и платежные системы имеют возможность покрывать собственные издержки и риски по обслуживанию банковских карт. Кроме того, как указывают представители платежных систем, существуют внешние эффекты функционирования системы в нынешнем виде, напрямую не выводимые из деятельности систем. К примеру, действующие уровни комиссий эмитента оказывают благоприятное воздействие не только на банковский (финансовый) сектор, но и на развитие экономики в целом, вызывая увеличение объема промышленного производства и потребления.

Однако массовая критика, а также судебные иски и антимонопольные разбирательства, адресованные деятельности MasterCard и VISA в последнее десятилетие со стороны различных общественных и промышленных объединений, антимонопольных властей многих стран и т. п., демонстрируют, что эффективность описанной модели и доводы платежных систем являются спорными.

Аргументация против указанных выше правил платежных систем сводится к тому, что принятые в платежных системах правила служат не указанным целям повышения эффективности, а для создания маркетинговых преимуществ VISA и MasterCard, и в итоге являются не источником развития безналичных платежей, а напротив, их тормозом. Кроме того в ряде стран функционирование данных правил входит в противоречие с антимонопольным законодательством, т. е. является незаконным.

В частности, критике подвергаются завышенные и постоянно растущие комиссии эмитента, предназначенных по заверениям представителей платежных систем для обеспечения безопасности транзакций. По оценкам экспертов на обеспечение безопасности транзакций уходит только незначительная часть собираемых системами комиссий эмитента. Большая же часть уходит на маркетинговые программы продвижения продуктов платежных систем и выплаты акционерам и менеджменту систем.

Как указывает д-р Алан Франкель в исследовании рынка платежных систем Австралии, «убедительных свидетельств того, что межбанковские комиссии играют существенную роль, или того, что способ, которым они используются в системах платежей по картам, способствует эффективности или выгоден для общественности, не имеется».

В любой иной сфере с ростом числа пользователей услуги наблюдается сокращение себестоимости — за счет экономии, обусловленной ростом масштабов — и, вследствие конкуренции, сокращение стоимости услуги для потребителей. «Подобная ситуация — обычное дело на многих других рынках. Например, после широкого распространения Интернет-технологий потребители, покупающие авиабилеты с использованием веб-сайта авиалинии, обычно платят меньшую цену, чем потребители, покупающие билеты у авиаагентов, взимающих отдельную плату за обслуживание для покрытия своих издержек» (А. Франкель). Комиссии эмитента, однако, не сокращаются, а ежегодно увеличиваются. Тем самым рынок пластиковых карт демонстрирует отсутствие прямой конкуренции между платежными системами, и, соответственно, отсутствие конкурентного механизма ценообразования в области комиссий эмитента. Действительно, большинство банковских организаций и ритейлеров из соображений конкуренции вынуждены обслуживать карты всех наиболее распространенных платежных систем (в первую очередь VISA и MasterCard), соответственно последние не ощущают необходимость уменьшать стоимость обслуживания в целях борьбы за расширение присутствия на рынке. «Огромное большинство торговцев не имеет иного выбора, кроме как принимать к оплате эти карты. Это подтверждает недавнее исследование Федерального резервного банка Канзаса, в соответствии с которым продавцы просто не могут отказать в приеме карт Visa и MasterCard, невзирая на уровень карточных сборов» (М. Дункан) (рис. 1).

К выводу об отсутствии конкуренции пришла в частности Еврокомиссия в ходе расследования деятельности платежных систем в 2006 г. Комиссар по вопросам конкуренции Нелли Крус заявила, что подтверждением слабой конкуренции является также немотивированная разница в размерах комиссий в разных странах Евросоюза. По подсчетам комиссии размеры платежей эмитента в разных странах ЕС в платежной системе Visa могут различаться в 5 раз, а у MasterCard — в 6,5 раза.

Согласно выводам Еврокомиссии, комиссии эмитента не соответствуют антимонопольному законодательству Евросоюза. Как заявила комиссар Нелли Крус, комиссии эмитента фактически налагаются на конечных потребителей, поскольку ритейлеры включают издержки на обслуживание банковских карт в розничные цены товаров. В среднем по подсчетам Еврокомиссии платеж по карте приводит к увеличению стоимости покупки на 2,5 % у ритейлеров на территории Евросоюза. Кроме того, комиссии эмитента нарушают антимонопольное законодательство в области мелкого и среднего бизнеса. По подсчетам Еврокомиссии в Европе ритейлеры данной группы вынуждены оплачивать сборы за использование пластиковых карт до 70 % более высокие, чем крупные предприятия.

Представители национальных ассоциаций ритейлеров и производителей в США в своих выступлениях против правил международных платежных систем занимают еще более жесткую позицию. Мэллори Дункан, старший вице-президент и генеральный консультант Национальной федерации ритейлеров США, на одном из процессов по иску к MasterCard и Visa: «Поскольку эти коллективно установленные сборы перекладываются на продавцов банками, которые обрабатывают их сделки, продавцы неизбежно должны учитывать это при определении цены продаваемых товаров и услуг. В результате даже потребители, оплачивающие покупки чеками и наличными, субсидируют маркетинговую деятельность банков-эмитентов. Результатом является инфляционный налог на продажи, взимаемый со всех американцев. На протяжении многих лет потребители и потребительские ассоциации поднимали вопрос недобросовестной практики со стороны карточных компаний. Но базовым источником финансирования маркетинговых компаний, завлекающих потребителей в такую сомнительную ситуацию, являются именно комиссии эмитента».

Согласно выводам Дэвида Балто, руководителя Комитета по политике и экспертизе Федеральной торговой комиссии США, в структуре рынка банковских карт преобладают продукты, комиссия эмитента которых наиболее высока. Такая ситуация, по мнению Балто, искусственно стимулируется платежными системами с помощью низких тарифов для физических лиц и прочих инструментов продвижения, позиционирующих данные высокостоимостные в обслуживании продукты как якобы более дешевые для потребителей. Такое положение не выгодно ритейлерам, которые согласно правилам платежных систем обязаны принимать к обслуживанию карты всех типов своей платежной системы. Как указывает Мэллори Дункан, «правила Visa и MasterCard о карточных сборах искажают выбор потребителя, лишая его ценовых сигналов, необходимых для рыночного сдерживания размеров этих сборов; потребитель считает, что использование карты бесплатно (или даже приносит выгоду в виде разных бонусных программ), хотя это заставляет всех нас платить больше практически за все, что мы покупаем… то, что получает потребитель в виде этих «премий», намного меньше суммы карточного сбора, оплачиваемого им; в результате эти сборы перекладываются на потребителей и продавцов в виде скрытого обременения».

В США крупные ритейлеры, к примеру Wal-Mart, а также различные общественные и промышленные объединения, к примеру Merchants Payments Coalition — коалиция ведущих национальных ритейлеров, общественных организаций и комитетов США, активно борются с правилами обязательного приема всех карт. «Согласованное установление карточных сборов компаниями Visa и MasterCard представляет собой постоянное нарушение антитрестовского законодательства, которое обходится торговцам и их клиентам — американским потребителям — в десятки миллиардов долларов в год» (М. Дункан).

Опыт исследования работы и правил международных платежных систем в Австралии (данная страна была одной из первых, где этот вопрос получил широкий общественный резонанс), привел исследователей к мнению, что комиссии эмитента могут оказывать негативное влияние не просто на отдельных ритейлеров и потребителей, но и на экономику в целом. В итоге это стало одним из существенных аргументов в пользу сокращения комиссий эмитента в Австралии. Согласно выводам исследования, комиссии эмитента приводят к повышению стоимости товаров и услуг, причем особенно сильно влияние в низкомаржинальной группе товаров повседневного спроса, где размер комиссии превышает изначальную наценку ритейлера. Таким образом, формируется дополнительная инфляционная нагрузка на экономику.

«Снижения цен, как ожидается, распространятся на всю розничную экономику, и эти небольшие (но по совокупности значительные) изменения в издержках и цене, как ожидается, в макроэкономических данных будут заслонены обычными месячными колебаниями розничных цен, что затруднит статистическое обнаружение ожидаемых ценовых последствий. Тот факт, что эконометрически эти ценовые последствия для всей экономики продемонстрировать сложно, не означает, что они не существуют. MasterCard неправильно утверждает, что сложность в измерении относительно небольших снижений цен является доказательством их отсутствия» (А. Френкель).

Одним из важных и широко обсуждаемых в настоящее время моментов является также тот факт, что MasterCard является публичной акционерной компанией, а VISA намеревается в 2008 г. провести первичное размещение акций. По мнению критиков это решение двух компаний, совместно контролирующих 80 % «пластикового» рынка, существенно повышает риски системы карточных платежей. С одной стороны, акционерная компания в отличие от отраслевой ассоциации нацелена в своей деятельности в первую очередь на увеличение прибыльности, а не решение проблем отрасли. С другой стороны, любая акционерная компания несет в себе риск банкротства при потере или сокращении доходности. В случае с системообразующими компаниями, каковыми являются Visa и MasterCard, подобные проблемы одной из компаний рискуют привести к кризису всей системы в целом.

Одним из самых существенных аргументов против правил и комиссий модели VISA и MasterCard являются примеры успешного существования платежных систем без комиссий эмитента, либо не вводящих обязательного приема всех видов карт, либо не требующих обязательной единой цены вне зависимости от способа оплаты. Такие системы существуют в Канаде, ряде стран Европы, по подобным правилам вынуждены работать и сами VISA и MasterCard в Австралии и Мексике. При этом ни в одной из указанных стран не наблюдается кризисов платежных карточных систем или розничных безналичных платежей.

Вопросы регулирования правил платежных систем

До недавнего времени деятельность платежных систем в плане установления правил и комиссий для участников систем фактически не регламентировалась со стороны государственных регулирующих органов, бывла отдана на откуп свободному рыночному регулированию. Однако с достижением пластиковыми картами значимости, сопоставимой с наличными деньгами, в качестве платежного инструмента, необходимость подобного регламентирования со стороны государства становится все более очевидной. Публичное обсуждение вопроса межбанковских комиссий, установленных правил в международных платежных системах, необходимости их государственного регулирования началось в 90-х годах XX в. При этом подавляющее количество претензий, исков и судебных разбирательств связаны с платежными системами VISA и MasterCard, поскольку, как показано выше, эти две системы фактически монополизировали мировой рынок розничных финансовых услуг и установили на нем собственные правила игры.

Одна из первых успешных попыток государственного регулирования деятельности международных платежных систем на национальном рынке была предпринята в Австралии. По инициативе Резервного банка и антимонопольных органов Австралии было проведено исследование деятельности платежных систем. В итоге в Австралии на законодательном уровне были отменены правила неизменной цены на товары (услуги) вне зависимости от способа оплаты. VISA и MasterCard (вынужденно, в соответствии с решениями регулирующих органов), а вслед за ними в результате новой рыночной ситуации American Express и внутренние платежные системы снизили ставки комиссий эмитента, а также опубликовали средние размеры этих ставок. Также было предложено отказаться от правила, заставляющего эквайрера принимать все карты поддерживаемой платежной системы.

Согласно отчетам Резервного банка Австралии, наблюдается положительный эффект от проводимых реформ, резко отличный от пессимистичных прогнозов представителей платежных систем:

• размеры комиссий за использование различных платежных инструментов стали более соответствующими издержкам на их обслуживание;

• появилась возможность выявления и адресной работы с компаниями, нарушающими антимонопольное законодательство;

• был облегчен доступ к участию в платежных системах, повысилась прозрачность платежных систем;

• банки компенсировали примерно 30–40 % от потери комиссия эмитента за счет повышения сборов непосредственно с держателей карт;

• темпы роста эмиссии карт при этом не только не сократились, а продолжили расти даже чуть более высокими темпами;

• трансформировался рынок кредитных карт, массовое распространение получили «револьверные» кредитные карты, банки стали нацелены на поощрение покупателей как можно чаще рассчитываться по картам (до реформ банкам были выгодны и они стимулировали безналичные расчеты на крупные суммы), за счет обострившейся конкуренции между банками появились новые услуги и предложения для держателей карт.

«Утверждения, что реформы РБА межбанковских комиссий приведут к катастрофе, оказались ошибочными. Платежные системы продолжают хорошо функционировать, эмитенты по-прежнему эмитируют кредитные карты, потребители продолжают ими пользоваться, а ритейлеры продолжают принимать их. Основное отличие в том, что нетто-издержки принятия платежей кредитными картами в Австралии уменьшились и продолжают уменьшаться (в процентах к базе продаж)» (А. Франкель).

В Израиле в 2006 г. было достигнуто соглашение между антимонопольными органами и банками страны о снижении к 2012 г. комиссий эмитента с 1,25 % до 0,875 %.

Комиссия по коммерции Новой Зеландии инициировала в 2007 г. судебный процесс против систем VISA и MasterCard и их участников по факту искусственного завышения цен при установке комиссий эмитента.

В Польше в 2007 г. Комиссия по антимонопольной политике и защите потребителей постановила признать нелегальными и отменить межбанковские комиссии между системами Visa и MasterCard и банками страны.

Многочисленные расследования и судебные процессы в отношении VISA и MasterCard проводятся и на их родине, в США. Инициаторами данных процессов выступают различные общественные и профессиональные организации, а также крупные ритейлеры.

В частности, одним из самых известных является процесс сети Wal-Mart против MasterCard и Visa против завышенных тарифов на обслуживание карт, а затем бойкот Wal-Mart и рядом других ритейлеров дебетовых карт MasterCard.

Рассматривалось и было выиграно также дело в отношении нарушения VISA и MasterCard антимонопольного законодательства: на территории США VISA и MasterCard устанавливали правила для членов собственной сети, согласно которым они не могли эмитировать карты других платежных систем.

Американские торговые компании достаточно последовательно уже на протяжении ряда лет ведут борьбу против межбанковских комиссий. Так, например, организация Merchants Payments Coalition (MPC) в конце 2006 г. опубликовала доклад, посвященный проблемам межбанковских комиссий, которые взимают системы VISA и MasterCard, а летом 2007 г. выступила с широкой рекламно-информационной кампанией, нацеленной на пересмотр сложившегося порядка вещей. Согласно исследованиям MPC, платежные системы и банки лишь 13 % полученных от межбанковских комиссий доходов, тратят непосредственно на нужды процессинга транзакций. Львиная доля вырученных средств уходит на маркетинговые кампании и выплаты менеджменту и акционерам.

На протяжении последних нескольких лет неоднократно проводились и проводятся слушания в Сенате по вопросам завышенных тарифов на комиссии эмитента. В июле 2007 г. состоялись слушания по вопросам карточных сборов в Конгрессе США. В рамках слушаний М. Дункан, вопрос карточных сборов назван одной из важнейших проблем, когда-либо встававших перед торговым сообществом.

Позитивный опыт снижения ставок комиссий эмитента имеется также у Мексики. Центральный Банк Мексики выступил инициатором создания национальной банковской коалиции для принятия совместных правил по унификации работы платежных систем внутри страны. В результате ведущие банки страны разработали и приняли в 2006 году совместное соглашение по сокращению комиссий эмитента, более гибкому применению правила обязательного приема всех видов карт платежной системы (ритейлеры получили право выбирать, какого типа карты они будут обслуживать — дебетовые, кредитные, либо оба типа).

В Европейском Союзе Еврокомиссия в декабре 2007 г. приняла постановление о запрещении комиссии эмитента внутри Европейской экономической зоны в системе MasterCard по платежным картам MasterCard и Maestro.

Данное решение — это один из результатов в цепочке целого ряда последовательных действий в отношении устранения монопольного поведения и монопольного присутствия на объединенном европейском рынке систем VISA и MasterCard.

В 2002 г. было принято соглашение между Европейской комиссией и VISA о сокращении до декабря 2007 г. зарубежных комиссий эмитента. В настоящий момент Европейская комиссия проводит новое расследование в отношении деятельности VISA и MasterCard. В начале 2007 г. Европейская Комиссия опубликовала доклад с оценкой комиссионных издержек, возникающих при использовании пластиковых карт VISA и MasterCard, которые были признаны заметно завышенными. Более того, межбанковские комиссии были признаны одним из значимых факторов, стимулирующих инфляцию. В условиях сокращающейся маржи предприятия торговли вынуждены повышать цены на товары и услуги вне зависимости от того, каким образом покупка оплачивается потребителем: наличными деньгами или по карте. Таким образом стимулируется общий немотивированный рост цен, в том числе на товары первой необходимости. Еврокомиссия намерена ввести запрет на межбанковские комиссии и установить фиксированные пониженные комиссии на рынке Евросоюза. В целом, по оценкам Еврокомиссии, Visa и MasterCard, монополизировавшие европейский рынок, наносят ежегодно ущерб экономике Евросоюза в размере 20 млрд евро.

Регулирующие действия и расследования в отношении международных платежных систем предпринимались в Швейцарии, где в 2005 г. было достигнуто соглашение между Швейцарской антимонопольной комиссией и эмитентами карт о снижении комиссий эмитента с 1,65-1,70 % до 1,30-1,35 %.

В Великобритании в 2005 г. Комитет по законной торговле (OFT) вынес постановление о признании незаконными комиссий эмитента в платежной системе MasterCard. Действие данного решения, однако, было приостановлено в связи с изменением MasterCard правил установки комиссий. В настоящее время продолжается новое расследование в отношении MasterCard, а также VISA.

С проблемой межбанковских комиссий столкнулись и страны ближнего зарубежья. Так, например, Правительство Украины, принявшее летом 2007 г. постановление «Некоторые вопросы осуществления расчетов за проданные товары (предоставленные услуги) с использованием специальных платежных средств» (в дополнение к Закону Украины о платежных системах) сталкивается с низкими темпами установки терминального оборудования, связанного с высокой стоимостью обслуживания безналичных расчетов.

Национальные платежные системы

Одним из следствий критической ситуации вокруг платежных банковских карт, описанной выше, является происходящее переосмысление роли национальных платежных систем. Изначально функционирование национальных систем было предназначено для решения иного круга задач, чем в случае с международными системами, а именно задач внутреннего рынка. С одной стороны, это ограничивает возможности конкуренции локальных систем с международными платежными системами. Однако, как показывает практика ряда стран Евросоюза, где существуют крупные локальные национальные платежные системы, на внутреннем рынке они сумели создать серьезную конкуренцию международным за счет принципиально отличной архитектуры, строящейся на большей приспособленности к внутреннему рынку и более выгодных для участников принципах.

Во-первых, ряд из локальных систем в Европе (Нидерланды, Финляндия, Дания, Люксембург, Германия) функционируют в условиях отсутствия комиссий, при этом они согласно выводам исследований демонстрируют более высокий уровень эффективности и рыночной привлекательности для национальных ритейлеров и держателей карт — за счет большей приспособленности к внутренним экономическим условиям и более гибких правил работы. Во-вторых, в этих системах отсутствует искусственное стимулирование доминирования чрезмерно дорогих для рынка карточных продуктов. Напротив, в отличие от международных систем в данных системах во многих случаях уже осуществлен переход от дорогих карт с авторизацией подписью к картам с онлайновой PIN-авторизацией, безопасность которых существенно выше, а стоимость обслуживания — ниже. В-третьих, в странах, где существуют подобные системы, уровень безналичного оборота по картам — то, к чему стремятся все ведущие экономики мира — выше, чем в прочих.

В Евросоюзе в последние несколько лет происходит формирование единого европейского платежного пространства — SEPA, первый этап которого стартовал 1 января 2008 г. В рамках SEPA подразумевается помимо существующей единой европейской валюты создать ряд платежных инструментов и средств, единых и функционирующих по единым правилам для всех финансовых институтов Евросоюза.

Помимо инициатив Еврокомиссии и Центробанка Евросоюза появлению SEPA способствовало объединение ведущих европейских участников «пластикового» рынка:

• Banksys, EUFISERV (Бельгия);

• BORICA (Болгария);

• MBU (Хорватия);

• Zentraler Kreditausschuss, Euro Kartensysteme GmbH (Германия);

• Giro Bankcard cPlc (GBC) (Венгрия);

• Laser Card Services Ltd. (Ирландия);

• CO. GE. BAN, SSB, Seceti (Италия);

• Cetrel (Люксембург);

• Equens Nederland B. V. (Голландия);

• SIBS (Португалия);

• National Payment Card Centre (NPCC) of National Bank of Serbia (NBS) (Сербия);

• CECA, Sistema 4B, ServiRed (Испания);

• BKM (Турция);

• LINK (Великобритания);

• PAN Nordic Card Association (Швеция, Норвегия, Дания, Финляндия, Исландия, Латвия, Эстония, Литва) и проч.

В стандарты SEPA входят и требования к платежным системам Евросоюза, которые для функционирования в рамках SEPA должны обеспечивать возможность осуществления транзакций по единым правилам в любой точке Европы. Существующая инфраструктура национальных платежных систем Европы не позволяет им соответствовать данному условию и фактически ставит их на грань вымирания, открывая дорогу к тотальному доминированию международных платежных систем. Как отмечает в своем докладе Жан-Мишель Годфрой, директор отдела платежных систем и рыночной инфраструктуры Центробанка Европы, возникает определенный парадокс: с одной стороны, цель SEPA — привести к большей выгоде потребителей, но при этом оно ведет к уничтожению действительно выгодных платежных систем; а с другой сторон SEPA создано для развития экономики единой Европы, но приведет к монополии двух платежных систем, корни, бизнес-модели и стратегии которых уходят в США.

Подобное положение представители Еврокомиссии признают недопустимым, поэтому в рамках SEPA в настоящий момент рассматриваются различные варианты создания единой платежной карточной системы Евросоюза. Такая система согласно позиции Центробанка Европы помимо обеспечения единых условий проведения транзакций в рамках Евросоюза, должна строиться на следующих базовых принципах:

• единая европейская платежная система должна быть максимально сконцентрирована на основной деятельности — обеспечении единого платежного пространства и единой системы платежей на всей территории Европы; поэтому все побочные бизнесы — процессинг транзакций, эмиссия карт, кредитные программы и проч. — должны быть переданы в компетенцию банков;

• основой системы должны стать чиповые дебетовые карты с PIN-авторизацией, обеспечивающие наибольшую безопасность транзакций; при этом развитие кредитных продуктов и прочих видов карт должно являться прерогативой банков;

• продукты системы должны содержать возможность ко-брендинга с другими карточными системами, прежде всего международными, что позволит повысить конкурентные возможности европейской платежной системы на внешних рынках;

• по структуре управления система должна представлять собой ассоциацию банков-участников системы в отличие от принципа построения международных платежных систем, стремящихся к переориентации в акционерные компании, что повышает риски функционирования этих систем;

• комиссии эмитента должны быть предельно низкими или отсутствовать, дабы не создавать препятствий для развития безналичного оборота, препятствовать доминированию невыгодных рынку продуктов и ограничению конкуренции;

• единая платежная система должна быть доходной для всех участников: банков, ритейлеров, конечных потребителей;

• единая платежная система должна полностью стандартизировать и унифицировать все процессы проведения платежей, чтобы платеж в любых точках Европы проводился одинаково и по единым тарифам.

Одной из реальных инициатив по созданию единой платежной системы Евросоюза является получивший одобрение Центробанка Европы и Еврокомиссии Европейский Альянс платежных систем (EAPS). Данная организация объединяет ряд крупнейших платежных систем Европы. При этом участники EAPS являются ключевыми игроками на своих внутренних рынках. Совокупный объем их эмиссии составляет 222 млн карт, инфраструктура представлена 2,1 млн POS-терминалов и 189 тыс. банкоматов.

Участники EAPS (национальные платежные системы, объединения, сети терминалов и банкоматов):

• CO. GE. BAN (Италия), включает «Pago Bancomat scheme» и «Bancomat scheme»;

• EPCS (Германия), включает European Payment Card Solution GmbH и Deutsches Geldautomatensystem;

• EUFISERV s.c. r.l. (Бельгия);

• EURO 6000 S. A. (Испания);

• LINKInterchange Network Ltd (Великобритания);

• Sociedade Interbancaria de Servicos S. A. (SIBS) (Португалия).

Основные принципы EAPS формулирует следующим образом:

• членство в EAPS открыто для всех (платежных) систем, придерживающихся принципов SEPA;

• EAPS не будет оказывать влияние на внутренние транзакции систем-участников (внутри страны);

• системы могут участвовать в EAPS в качестве только эмитентов, только эквайреров, только POS-сети, только ATM-сети, либо в любой комбинации этих ролей;

• карты всех эмитентов-участников будут приниматься во всех терминалах эквайреров-участников;

• эта взаимная акцептация будет маркироваться знаком EAPS, который будет отображаться на дисплеях терминалов и, по желанию, на картах участников EAPS;

• знак EAPS разрешается использовать участникам EAPS и в ко-брэндинговых картах с иными системами;

• комиссии между системами-участниками EAPS за транзакции с помощью POS/ATM-терминалов будут установлены по многостороннему договору в соответствии с общими принципами Функционирования EAPS согласно его декларации, должно обеспечить следующие возможности и выгоды участникам:

1) Создание конкуренции и возможности выбора:

• EAPS является гарантией конкурентности и эффективности европейского рынка платежей;

• отсутствуют препятствия для ко-брэндинговых проектов с другими платежными системами; банки в праве конструировать бизнес-модели в соответствии с их бизнес-стратегией; с достижением EAPS панъевропейского охвата увеличится сегментация рынка, ко-брэндинговые с международными платежными системами карты будут вытеснены в сегмент туризма за пределы действия SEPA;

• европейские банки уже не контролируют эффективно международные платежные системы, которые уходят от модели ассоциаций и переходят к функционированию в целях прибыли акционеров;

• EAPS сводит вместе европейские платежные системы, управляемые европейскими банками; EAPS сфокусирована на обслуживании платежной индустрии Европы;

• EAPS предоставит владельцам карт доступ к большему числу точек продаж (POS) и ATM, чем международные платежные системы в странах участников EAPS, что увеличит предложение потребителям;

2) Увеличение рентабельности:

• EAPS будет создана на основе существующей технической инфраструктуры для поддержки платежей в рамках SEPA, в связи с этим затраты будут минимизированы за счет экономии на масштабах уже существующей инфраструктуры, устранении необходимости для банков самостоятельного развертывания и повышения КПД;

• платежные карты, выпущенные участниками, будут приниматься всеми эквайрерами EAPS, продвигая панъевропейский уровень приема для всех карт EAPS;

• все терминалы, уже обслуживающие карты национальных платежных систем, «автоматически» принимают карты прочих членов EAPS, в результате чего происходит увеличение числа транзакций;

• EAPS будет действовать в рамках междусистемных взаимоотношений, избегая дублирования с национальными системами и тем самым минимизируя долговременные эксплуатационные расходы;

• EAPS позволит банкам совершать обмен валюты при мультивалютных карточных платежах, создавая для них доход от разницы курсов и увеличивая возможности конкуренции;

3) Уменьшение затрат на вхождение в SEPA:

• EAPS будет основан на взаимодействии существующих национальных платежных инфраструктур, за счет чего будут минимизированы затраты на соответствие последних SEPA;

• национальные платежные системы интегрируются в панъевропейскую систему через альянс с прочими участниками, удовлетворяющими требованиям SEPA.

Как отмечают представители Центробанка EAPS видится как наиболее соответствующий достижению цели создания единой платежной карточной системы Европы. Поэтому Европейский Центробанк и Еврокомиссия положительно оценивают эту инициативу, цель которой объединить национальные карточные платежные системы.

 

Модели создания национальной карточной платежной системы в России

Введение в проблему

Проблема создания в России национальной платежной системы (далее — НПС) обсуждается в государственных структурах, банковских и деловых сообществах уже достаточно давно. На сегодняшний день в Российской Федерации фактически признана необходимость иметь систему розничных расчетов по пластиковым картам для обслуживания потребностей внутреннего рынка (по аналогии с национальной валютой).

Основополагающим элементом НПС должна стать многофункциональная банковская карта — интегрированный инструмент, объединяющий в единое пространство различные сферы экономической, финансовой и социальной жизни России.

Такая карта позволит вовлечь в единое социально-экономическое пространство практически все социальные группы, предприятия, организации, учреждения, банки и финансовые институты, предприятия торговли и сферы услуг, органы социальной защиты населения и местного самоуправления и другие предприятия и учреждения.

Среди ряда факторов, определяющих необходимость создания НПС в России, можно выделить две основные группы целей.

1. Усиление внутреннего рынка, прежде всего финансового, как залог успешного поступательного развития. Под успешным развитием понимается совокупность процессов, обеспечивающих соответствие национальным интересам России, в число которых входят: повышение уровня и качества жизни населения, повышение уровня национальной безопасности, обеспечение высоких темпов устойчивого экономического роста и создание потенциала для будущего развития. Именно развитие сильного, самостоятельного, независимого, защищенного финансового сектора во много определяет высокие темпы устойчивого экономического роста, что является базовым условием обеспечения всех других национальных интересов.

2. Эффективная интеграция в мировые и макрорегиональные процессы разделения труда в условиях открытой рыночной экономики, основанная на высокой конкурентоспособности внутреннего рынка.

Для усиления и развития внутреннего и, в том числе, финансового, рынков необходимыми являются следующие условия:

1) НПС создается для решения государственных задач и является инструментом реализации государственной политики в области социально-экономического развития;

2) Необходимо формирование единого правового пространства деятельности НПС, создающего условия для реализации комплексных социально-экономических проектов на основе многофункциональных банковских карт.

3. Создание НПС обеспечивает комплексный подход к применению пластиковых карт для решения задач социально-экономического развития, который является единственно возможным при реализации инфраструктурных проектов (к которым относится и карточные проекты). Например, не только не эффективно, но и невозможно внедрение на практике социальной транспортной карты без построения полноценной инфраструктуры применения транспортной карты широкими слоями населения, которые и «оплатят» возможность использования карты социально незащищенными группами;

4. Только наличие НПС способно обеспечить полноценную защиту и независимость платежного пространства, как в рамках одного государственного образования, так и в рамках региональных интеграций, а также создать эффективные механизмы предотвращения мошеннических операций с банковскими картами, в частности за счет введения национальных (региональных) требований и стандартов мер безопасности.

Национальная платежная система Российской Федерации: основные положения и подходы к реализации

Определение

Под НПС понимается действующая на территории Российской Федерации система розничных безналичных расчетов за товары и услуги, потребляемые на территории Российской Федерации, а также как ее составная часть, — идентификационно-учетно-расчетная система в рамках реализации государственной политики в сфере здравоохранения, социального развития, труда и защиты прав потребителей.

Для эффективной работы национальная платежной системы (НПС) необходимо создание не «уполномоченной» платежной системы, а социально-экономической среды деятельности различных операторов и субъектов рынка в рамках государственной политики в области развития розничных безналичных расчетов и применения технологий пластиковых карт в социально-экономических программах в рамках государственной политики в данной области.

Цели создания НПС

• Укрепление и развитие российского финансового сектора, создание дополнительных механизмов обеспечения устойчивости национальной валютной и финансовой систем.

• Формирование собственного национального платежного стандарта, как с целью укрепления внутреннего рынка, так и формирования базовых предпосылок для распространения данного стандарта в рамках различных региональных финансово-экономических интеграций, что будет способствовать решению задач эффективного позиционирования российского банковского сектора на международных рынках.

• Формирование гибкой, управляемой, распределенной, технологически унифицированной системы розничных безналичных расчетов, которая способна стать основой и инструментом для реализации государственной политики в областях, связанных с распределением и учетом финансовых средств широким слоям населения, с розничными расчетами за товары и услуги, а также с другими идентификационными, учетными и финансовыми процессами, затрагивающими масштабные слои населения.

Принципы этапности создания НПС

Деятельность по созданию НПС необходимо разделить на несколько этапов, предусматривающих комплексное движение одновременно по нескольким направлениям, имеющих четко определяемые и контролируемые цели, задачи и результаты. При этом проектный подход представляется наиболее эффективным механизмом организации работ.

В рамках каждого этапа необходимо ввести утверждение пакета проектов, реализация которых приведет к решению задач данного этапа. Проектные группы по каждому направлению должны включать представителей заинтересованных сторон. Результаты деятельности проектных групп должны отражаться на интернет-сайте, либо на специально созданном для обсуждения вопросов создания НПС, либо — как раздел сайта , либо на другом ресурсе по договоренности сторон.

Модели создания и механизмов деятельности НПС

Можно выделить три основных типа моделей организации НПС, которые условно можно обозначить, как:

1) «свободная»;

2) «государственно-частная»;

3) государственная корпорация.

В каждой из трех моделей предполагается различная степень участия государства и его роль в определении стратегий и управленческих механизмов их реализации.

Первая «свободная» модель, основанная на частной инициативе, либо вообще не предусматривает внимания и активного участия со стороны государства в вопросах развития массовых безналичных расчетов и применения карт в сфере социальной поддержки населения, либо ограничивается неким рамочным участием, например, в области поддержки локальных платежных систем или введения каких-либо стандартов и др.

К преимуществам данной модели можно отнести: отсутствие затрат со стороны государства, высокую степень свободы рынка и достаточный уровень конкуренции, развитие и адекватную тарифную политику, обусловленные рыночным давлением и др.

Минусами данной модели являются: невозможность реализации государственной политики и национальных проектов, недостаточный уровень охвата широких слоев населения и концентрация усилий только на выгодных в бизнес-отношении секторах рынка, монопольное положение на рынке международных платежных систем и др.

Создание национальной платежной системы в форме государственной корпорации является еще одной возможной моделью развития, также имеющей свои плюсы и минусы.

К положительным факторам данной модели можно отнести то, что некоммерческий характер государственных корпораций позволяет обеспечивать наиболее полный учет интересов государства и общества, поскольку вся прибыль должна направляться только на цели, ради которых она создается. При этом государственых корпорации вправе осуществлять предпринимательскую деятельность в качестве полноправного участника рынка. Однако, данная модель имеет и значительные ограничения, связанные в первую очередь с высокими прямыми затратами на создание технологической платформы национальной платежной системы. Также опыт стран, которые пошли по пути создания государственных структур в области развития пластиковых карт (Украина, Белоруссия и др.) показывает, что темпы развития таких структур ниже, чем в среднем по рынку, услуги менее качественные, а подходы к учету местных особенностей не отличаются гибкостью. И если создание государственных корпораций в сфере промышленного производства представляется вполне оправданным, то в области, связанной с массовым предоставлением финансовых услуг высокая степень централизации и участия государства не представляются целесообразным.

Наиболее адекватной моделью может стать «государственно-частное партнерство», которое сочетает в себе лучшие стороны первой и третьей моделей. Именно поэтому рассмотрим данную модель более подробно.

Статусы участников НПС и доступ к участию

Статусы участников НПС:

• Оператор НПС — полнофункциональная платежная система на базе банковских карт, основным целевым рынком деятельности которой является РФ, имеющая установленные параметры территориального и технологического развития.

• Субъект НПС — органы федерального и местного управления, предприятия и организации установленного перечня отраслей и регионов, а также организации и компании, задействованные в цепочке обеспечения льгот населению.

• Регулятор деятельности НПС — Банк России, а также профильные министерства и ведомства Правительства РФ.

• Отдельным участникам оператора (банкам, торгово-сервисным предприятиям) не требуется получения дополнительных разрешений на деятельность в рамках НПС. Доступ к получению статуса и участию в НПС должен строиться на основе заявительно-разрешительного порядка.

Задача органов государственного управления

Для регулирования деятельности НПС в этой модели предусматривается принятие базового закона «О национальной платежной системе» и пакета дополнительных документов.

Государственное регулирование нацелено:

• на создание наиболее благоприятных условий для развития частной инициативы в форме проектов и программ, соответствующих государственной политике;

• на обеспечение полной прозрачности и управляемости движения государственных средств до конечного получателя;

• на создание условий для защиты прав конечных потребителей;

• на обеспечение безопасности деятельности системы.

Конкурентная среда

В этой модели НПС не допускается, чтобы процесс ее создания рассматривался исключительно как некое административно-регулирующее действие по отношению к действующим сегодня на рынке платежным системам, поскольку важнейшими задачами являются развитие инновационных финансовых технологий и увеличение темпов развития отечественного рынка банковских пластиковых карт. Операторы и субъекты НПС должны осуществлять развитие своего бизнеса в условиях равной рыночной конкуренции.

Модель государственного регулирования предполагает, что любые административно-формальные меры, в свою очередь, не только не будут способствовать практическому решению каких-либо задач, но и значительно осложнят ситуацию.

Организация в административном порядке взаимоприема карт всех платежных систем, принятие в качестве стандартов параметров одной из действующих платежных систем и др. подобные действия также не рассматриваются в качестве приемлемых, поскольку вызовут волну сопротивления, в результате чего пострадают и потребители, и банковская система в целом.

Тарифная политика

Предусматривается четкое разделение в рамках НПС операций с использованием пластиковых карт на следующие группы:

• базовые операции, создающие смысл функционирования НПС — операции по снятию наличных; оплата товаров и услуг (исключая оплату через Интернет и с мобильного телефона, а также оплату проезда в транспорте для лиц, не получающих социальные льготы); получение sms- уведомлений о зачислении сумм на счет; использование идентификационных и учетных приложений (для лиц, получающих льготы);

• дополнительные операции, как обеспечивающие повышенный уровень сервиса и новые возможности по сравнению с использованием базовых операций. Сюда могут быть включены: СМС-банкинг, интернет-платежи, участие в бонусных программах и любые другие услуги, не входящие в перечень базовых операций.

Тарифная политика формируется для каждой из групп операций в отдельности. Тарифы на группу базовых операций устанавливаются и регулируются со стороны органов государственного управления. Могут выделяться группы базовых операций, тарификация которых не производится (бесплатные операции).

Также предполагается выделение групп пользователей — из числа получающих социальные льготы, которые производят базовые операции бесплатно.

Тарифы на дополнительные операции устанавливают операторы НПС, действуя в условиях рыночной конкуренции. Перечень дополнительных операций не устанавливается и является инициативой и источником получения дохода операторов НПС.

Стандартизация

Стандартизация направлена на повышение степени соответствия продуктов и технологических процессов их функциональному назначению в рамках деятельности НПС, устранению технических барьеров, а также на максимальное содействие развитию НПС, а не на создание искусственных барьеров для вхождения участников.

Предусматривается введение процедур стандартизации только ключевых звеньев функционирования НПС, таких как:

• обеспечение безопасности обработки, передачи и хранения данных;

• проведения процедур взаиморасчетов;

• скорость обработки различных типов транзакций;

• базовые требования к функциональным возможностям карты;

• основные параметры идентификации различных категорий пользователей и некоторые др.

Внешний вид карт, используемое оборудование и др. в данной модели не являются объектами стандартизации и регламентации.

В тех случаях, где это целесообразно, могут использоваться международные стандарты, часть стандартов должна быть разработана и принята специально для действия в рамках НПС.

Организация взаиморасчетов

Система взаиморасчетов в рамках НПС строится по принципу двухуровневой организации.

Нижним уровнем системы взаиморасчетов являются операторы рынка (платежные системы), проводящие в соответствии с установленными стандартами взаиморасчеты со своими контрагентами.

Верхний уровень системы — это Банк России, который становится центром проведения взаиморасчетов между операторами НПС.

Операторов НПС можно сравнить с региональными узлами единой расчетной сети, а Банк России — это глобальный оператор, осуществляющий межрегиональные расчеты и выступающий, как контролирующий и регулирующий орган для регионального уровня.

Реализация на основе частных инвестиций

Данная модель НПС предусматривает участие коммерческой инициативы развитии национальной платежной системы в рамках установленных правил, привлечении частных инвестиций, а также применении форм государственно-частного партнерства в тех сегментах, где невозможно использование исключительно частных ресурсов. Такими сегментами могут стать:

• предоставление льгот населению;

• построение инфраструктур обслуживания в отдаленных регионах и закрытых городах;

• построение единых сетей учета и идентификации для социальных групп, получающих льготы.

Именно инфраструктурные проекты, тем более в сфере формирования социально-платежной инфраструктуры, становятся площадкой для применения форм государственно-частного партнерства.