Мошенничество в платежной сфере. Бизнес-энциклопедия

Коллектив авторов

• в случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента и клиент направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица (часть 15).

Таким

образом, нормативные документы устанавливают требования к оценке рисков в платежной сфере, что, с одной стороны, приводит к необходимости их измерения, а с другой — к выбору адекватных средств и инструментов для их предотвращения или снижения до приемлемого уровня.

4.3.1. Количественная оценка рисков

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь. Если переменные — качественные величины, то метрическая операция умножения не определена и в явном виде применять эту формулу нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза, уязвимость, цена потери. При этом

тогда:

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

— экспертные оценки;

— статистические данные;

— учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят.

4.3.2. Оценка рисков, связанных с мошенничеством

Риски, связанные с мошенничеством в платежной системе, могут быть оценены количественно, потому что они связаны с проведением несанкционированных транзакций по счету клиента банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен

где Р_мош —

вероятность проведения мошеннической транзакции по карте,

S_сум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).

Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических транзакций, поскольку величина доступных средств на счете клиента банка известна.

В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мошенническая транзакция может быть совершена при одновременном выполнении следующих условий (рис. 4.2):

— компрометация данных карты — скомпрометированы данные магнитной полосы карты и (или) ПИН-код, ее реквизиты и (или) пароль для операций безопасных платежей в Интернете 3D Secure;

— использование данных карты — для мошенничества по поддельным картам это означает изготовление карты, которая может быть принята к оплате в торгово-сервисном предприятии (ТСП) или банкомате;

— инициирование транзакции — злоумышленник инициирует транзакцию с использованием поддельной карты или скомпрометированных реквизитов;

— завершение транзакции — для операций, проводимых в режиме реального времени (онлайн) это означает авторизацию эмитентом, для операций офлайн — проведение операции по счету карты.

Рис. 4.2. Этапы совершения мошеннической транзакции

Из вышеизложенного следует, что вероятность проведения мошеннической операции Р_мош с учетом формул условной вероятности и (1) можно определить следующим образом:

где Р (кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической транзакции,

P (исп | кпр) — вероятность использования скомпрометированных данных (например, для изготовления поддельной карты),

Р (поп | кпр исп) — вероятность проведения несанкционированной транзакции (успех попытки проведения);

Р (обн) — вероятность обнаружения несанкционированной операции эмитентом.

4.3.3. Типы мошенничества

В соответствии с общепринятой классификацией существуют следующие типы мошенничества:

1) использование неполученных карт;

2) использование поддельных карт;

3) проведение транзакций с использованием реквизитов карт;

4) использование украденных или утерянных карт;