Платежные карты: Бизнес-энциклопедия

Проект

Обслуживающий банк на основе полученных данных формирует презентменты, которые отправляет в платежную систему, и возмещает торговому предприятию средства по «выполненным» в нем операциям.

Через некоторое время некоторые держатели карт инициируют чар-джбэки по мошенническим операциям, выполненным с использованием их карт. Однако эмитенту будет сложно их инициировать, поскольку обслуживающий банк предъявил в презентменте или по запросу эмитента (сообщение retrieval request) криптограмму TC.

В данном случае разобраться в ситуации сможет платежная система, которая через некоторое время обнаружит, что возникшая странная ситуация, когда клиенты жалуются, клиринговые сообщения, переданные обслуживающим банком, выглядят убедительно,

необыкновенно часто случается в одной торговой точке. Чтобы разобраться в такой ситуации, платежной системе потребуется время. За это время мошенники успеют скрыться.

Другой способ борьбы с описанным выше мошенничеством — использование для оффлайновой аутентификации карты метода CDA и требования к торговому предприятию, которое состоит в том, что предприятие предоставляет в распоряжение обслуживающего банка элемент signed dynamic application data, а не просто криптограмму. В этом случае обслуживающий банк извлекает из элемента signed dynamic application data правильное значение cryptogram information data и описанная ранее схема совершения мошенничества не работает.

Борьба с банкоматным мошенничеством

При использовании микропроцессорной карты в онлайновом режиме знание PIN-кода и любых других данных карты, доступных терминалу, недостаточно для успешного выполнения операции мошенником. Необходимым условием в этом случае является знание недоступного мошеннику секретного ключа карты, который используется для генерации криптограммы. Ключ необходим для взаимной аутентификации карты и эмитента, без успешного выполнения которой транзакция будет отклонена (мы не рассматриваем достаточно редкий на сегодня случай, когда эмитент не поддерживает обработку «чиповых» данных карты).

Таким образом, в мире, в котором все карты являются микропроцессорными, а терминалы поддерживают EMV, скимминг через банкоматы ничего мошенникам не дает.

Заключение

Резюмируя сказанное выше, можно сделать вывод о том, что с увеличением количества микропроцессорных карт и расширением инфраструктуры их приема уровень карточного фрода неукоснительно снижается. Однако эффективность борьбы с карточным мошенничеством с помощью перехода на использование EMV-карт зависит от синхронности миграции банков на чип. Даже если банки какой-то страны полностью мигрируют на чип, но останутся страны, в которых процесс идет медленно, мигрировавшие на чип банки будут страдать от менее продвинутых с точки зрения миграции стран. Поэтому европейские страны, достигшие значительных результатов в миграции на чип, не может не беспокоить ситуация с положением дел в США. Действительно, все усилия европейского банка, выпустившего микропроцессорную карту, аннулируются возможностью выполнения операции по мошеннической карте, изготовленной на основе данных магнитной полосы этой микропроцессорной карты в «магнитном» терминале (терминале, принимающем только карты с магнитной полосой) американского банка.

То же утверждение о важности синхронности миграции банков на чип верно и для отдельно взятой страны. Не смотря на то, что внутри страны может действовать упоминавшийся выше сдвиг ответственности, и банк, заменивший свои карты микропроцессорными (гибридными) картами, всю ответственность за фрод по поддельной гибридной карте в магнитных терминалах перемещает на обслуживающий банк, моральный ущерб, наносимый держателю карты, а также

^{Обозначения:}

^{I — фрод произойдет и ответственность за него лежит на стороне эмитента;}

^{A —}

фрод произойдет и ответственность за него будет нести обслуживающий банк;

^{0 — фрод не произойдет.}

Заметим, что мы считаем, что если мошенническая карта EMV применяется в EMV-терминале, то вероятность фрода равна 0. Это утверждение верно с оговорками, поскольку:

• в EMV-терминале можно успешно использовать украденную/потерянную EMV-карту, если на карте не используется оффлайновая проверка PIN-кода (мы предположили, что на картах в нашем банке такая проверка выполняется, но отдаем себе отчет в том, что эта ситуация не является типичной);

• можно получить данные с магнитной полосы EMV-карты и перенести их на заготовку мошеннической карты, изменив при этом код обслуживания на 1 и используя карту в оффлайновом режиме авторизации (подлимитная операция).

Возьмем типовые значения параметров модели для продвинутого с точки зрения эмиссии карт банка (40 % карт EMV-совместимы): a = 0,96, b = 0,03, c = 0,01, f₁ = 6 bp, f₂ = 40 bp, f ₃= 60 bp, A = 0,4, B = 0,1.

Тогда в результате миграции банка на чип уровень фрода упадет с примерно 7,56 bp до 4,5 bp. При A = 0,6 уровень фрода с точки зрения эмиссии упадет до 3 bp.

Конечно, приведенная выше модель не учитывает многих аспектов, в частности, миграцию фрода в регионы со слабо развитой инфраструктурой обслуживания микропроцессорных карт. В то же время с ее помощью можно оценить страновой уровень мошенничества отдельно по эмиссии и обслуживанию карт.

Миграция банков на использование микропроцессорных карт уже доказала свою эффективность с точки зрения борьбы с мошенничеством. Великобритания, осуществившая практически полную миграцию на технологию чиповых карт, поддерживающих офлайновую проверку ПИН-кода, стала ярким тому примером. По данным за 2005 г., совокупный годовой объем потерь от карточного мошенничества в стране снизился на 13 % по сравнению с 2004 г., а если принимать во внимание все категории фрода, кроме CNP-операций, то потери английских банков от действий преступников уменьшились на 28 %! В частности, объем фрода по поддельным картам уменьшился на четверть, а по украденным (потерянным) картам — на 22 %!

В качестве другого примера эффективности борьбы с фродом путем миграции на технологию микропроцессорных карт можно рассматривать азиатско-тихоокеанский регион (АТР). По данным Frost&Sullivan карточный фрод в этом регионе в 2005 г. достиг 600 млн долл. Миграция на микропроцессорные карты уменьшила уровень мошенничества до 3 базисных пунктов, что более чем в 2 раза ниже среднемирового значения.

Уровень фрода по внутристрановым транзакциям во Франции, где уже более 15 лет внутри страны используются микропроцессорные карты, равен 3.3 базисным пунктам, что также является выдающимся результатом, подтверждающим эффективность технологии МПК.

Очевидно, криминальные структуры не смирятся с потерей своих доходов и будут адаптироваться к новым условиям жизни в мире чиповых карт. К сожалению, для этого у них остается не мало возможностей.

В первую очередь, следует отметить, что ближайшие 10–15 лет на карточном рынке будут присутствовать магнитные (гибридные) карты и магнитные терминалы (терминалы, не работающие с чипом). В результате чего у мошенников будет возможность использовать плохо защищенную магнитную полосу для совершения таких преступлений, как: