Платежные карты: Бизнес-энциклопедия

Проект

Управление рисками как общая задача клиенториентированных подразделений банка

Очевидно, что все мероприятия, связанные с управлением риском связаны с большими затратами со стороны банка по организации поддержки клиентов, мониторинга операций и обработки информационных потоков. Ежедневно служба мониторинга банка осуществляет:

• контроль всех авторизационных запросов и операций, поступающих из стран повышенного риска по картам, для которых страна не была открыта клиентом, или клиент уже покинул страну. Формируются запросы в подразделения банка, ответственные за работу с клиентами. Цель запроса — получить подтверждение (опровержение) законности авторизационного запроса или определить местонахождение клиента. Если по косвенным признакам клиент находится в стране повышенного риска (можно проследить маршрут клиента по транзакциям из duty free магазинов, одиночным успешным операциям из банкоматов и т. д.), но связаться с ним не удалось, то принимается решение о снятии ограничений на определенный срок для исключения

неудобств, вызванных ограничениями, установленными для этой страны;

• всем клиентам, побывавшим в странах повышенного риска или торговых точках повышенного риска, направляется уведомление о том, что для карты установлен регион использования Россия и о том, что для сокращения риска мошеннического использования карты клиент может выбрать любой регионы использования карты. Например, Россия, Турция, Египет или Россия и вся Европа и т. д. Соответственно необходимо обрабатывать обратный поток информации, поступающий из бизнес-подразделений о необходимости установки для клиента региона использования карты;

• для карт, у которых установлен регион использования, осуществляется мониторинг транзакций и авторизационных сообщений, поступающих из стран, которые не входят в регион использования. Это делается для выявления попыток мошеннического использования карт и для снятия ограничений, в случае если клиент действительно находится в этой стране, но забыл проинформировать банк и испытывает затруднения в использовании карты.

Управление рисками — это сложная, трудоемкая работа, требующая вовлечения всех клиентоориентированных подразделений Банка. Необходимо отдавать себе отчет, что мы только минимизируем риски, а не стараемся 100 % их исключить, так как сие невозможно. Поэтому необходимо помнить, что процедура по идентификации клиента при отработке кода «01 — свяжитесь с банком-эмитентом» или при снятии ограничений на использование карты должна быть максимально упрощена. Сочетание двух факторов: фиксация авторизационной системой кода «01» и звонок клиента о проблеме в использовании карты вполне достаточно, чтобы принять решение о снятии ограничений. Не нужно утомлять и раздражать клиента допросом о его номере паспорта, девичьей фамилии матери, адресе и т. д. Нужно отдавать себе отчет, что ни один мошенник не будет ждать завершения процедуры «свяжитесь с банком-эмитентом» и если в Банк поступил звонок, будьте уверены, что это проблемы у клиента банка, а не у мошенника. И ему нужно как можно быстрее помочь. Конечно, можно ввести некоторые процедуры на авторизацию крупных покупок, но они все равно требуют более длительного оформления и в магазине, а несколько вопросов от банка не повредят.

Как уже отмечалось, эффективным способом уменьшения потерь банка является сочетание ограничения функциональности карты с мониторингом активности, а также подключение клиентов к услуге «мобильный банк». Данная услуга позволяет клиенту быстро среагировать на первую мошенническую операцию и заблокировать карту, однако ущерб от одной операции может оказаться значительным. Оптимальным является пропаганда в среде держателей карт, пользующихся услугой «мобильный банк», возможности разблокировки карты только на период проведения операции (все остальное время карта должна быть заблокирована).

В среде держателей карт, не подключенных к услуге «мобильный банк», целесообразно рекламировать возможность ограничения региона использования карты с целью минимизации риска проведения мошеннических операций. Особенно важно это делать для клиентов, посетивших страны повышенного риска мошеннического использования банковских карт. Таким клиентам необходимо рекомендовать установить для карты регион ее использования, например Россию. И, в случае, выезда клиента в другой регион, ему будет необходимо позвонить в службу поддержки клиентов и открыть для карты требуемую страну, регион.

Эквайринг

В отличие от управления рисками при эмиссии карт управление рисками при обслуживании торгово-сервисной сети требует повышенного внимания с момента старта проекта любого масштаба (даже если это одна торговая точка). Это потребует от банка дополнительных ресурсов по организации мониторинга сети и проверке торгово-сервисных точек. Возникает такая же коллизия с руководством банка, как и при эмиссии карт — а зачем все это нужно, каковы наши риски? Действительно, если не учитывать риск «перехода ответственности на банк-эквайрер» при обслуживании по магнитной полосе карт с ЧИПом, финансовый риск потерь невелик. Однако, отсутствие мотивации у банка-эквайрера в проведении мероприятий по борьбе с мошенничеством не могло остаться без внимания со стороны платежных систем. Как «переход ответственности по ЧИП картам на банк-эквайрер» стимулирует развитие сети терминальных устройств, принимающих ЧИП карты, так административные меры контроля уровня мошенничества со стороны платежных систем заставляют Банк уделять внимание этому вопросу. Система предупреждений и штрафов со стороны платежных систем, с последующим отзывом лицензии не оставляет сомнений в необходимости проведения мероприятий по минимизации рисков мошеннических операций в торгово-сервисной сети Банка.

Управление рисками при обслуживании торгово-сервисной сети заключается в реализации комплекса организационных и технологических процедур направленных на ограничение возможности проведения несанкционированных платежей и создание устойчиво-непривлекательного имиджа торгово-сервисной сети банка у мошенников.

Организационные методы направлены на повышение уровня образованности сотрудников

торгово-сервисной сети по приему карт и методам противодействия мошенничеству. Особое внимание необходимо уделять наглядным пособиям и четкости инструкций по противодействию мошенничеству. При заключении с торгово-сервисной точкой соглашения по приему карт необходимо тщательным образом проверить ее на предмет проведения возможных мошеннических операций. Должно насторожить желание предприятия как можно быстрее ускорить заключение соглашения с банком, уклонение от инспекции торговых площадей и предоставления документов по аренде или на право собственности на торговые помещения. С точки зрения мошенников, подложная торговая точка очень выгодное предприятие, если оно еще и работает в сотрудничестве с поставщиками поддельных/украденных карт. Фальшивые карты в огромных количествах используются в такой точке без риска повстречаться с правоохранительными органами. Банк воспринимает высокую активность новой точки как нормальную, и исправно перечисляет на счет мошенников средства по проведенным транзакциям за якобы проданный товар или оказанные услуги. Полученные средства ежедневно переводятся со счетов мошеннической фирмы и обналичиваются. Особенно популярны в этом плане кассы продаж авиа (железнодорожных) билетов, так как не требуют больших затрат на организацию, а 20–30 транзакций в день по поддельным картам на общую сумму 8-10 тыс. долл. США выглядят с точки зрения мониторинга вполне правдоподобно. В дополнение ко всему сказанному, нужно помнить, что мошенники могут заключить соглашения с другими банками и работать параллельно на терминальных устройствах этих банков, тем самым многократно увеличивая доходность этого «бизнеса». Ведь речь идет о фиктивном (неработающем) предприятии, ничто не мешает проводить мошеннические операции. Во всех банках эта точка естественно будет фигурировать под разными наименованиями с вполне адекватными показателями активности. Тревожные сигналы могут поступить через месяц, два в виде уведомлений из платежной системы о проведенных мошеннических операциях. К этому времени мошенники переведут все средства со счетов предприятия и прекратят свою деятельность, переключившись на другие банки. Как с этим бороться?

1. Осуществлять регулярные, частые проверки предприятия в начальной стадии его работы, под разными предлогами: проверка оборудования, рекламные материалы, инструктаж и т. д.

2. Установить на начальный период работы, например на 6 месяцев, задержку в перечисление средств предприятию на 14 рабочих дней с момента транзакции и по достижению определенной суммы.

3. Осуществлять мониторинг предприятия, с установкой параметров, которые предполагают повышенный уровень генерации запросов на подтверждение операций в банки-эмитенты.

При возникновении подозрений, немедленно блокировать работу предприятия для проведения расследования.

Технологические процедуры предотвращения мошенничества:

• 100 % авторизация всех операций в торгово-сервисной сети (конечно, это не относится к специфическим сетям с микро-платежами и пр.);

• принудительный ввод на терминале последних 4 эмбоссированных цифр номера карты при формировании авторизационного запроса и автоматическое сопоставление их с данными на магнитной полосе. В случае если данные не совпали, операция не разрешается. Это защитит банк от мошенничества с поддельными картами, когда на магнитную полосу валидной карты, принадлежащей мошеннику, записывается магнитная полоса другой валидной карты ничего не подозревающего добропорядочного клиента банка, скопированная в торгово-сервисной сети;

• лимит на максимальную сумму покупки, на максимальное количество операций, максимальную сумму операций по одной карте и т. д. При превышении лимита авторизационная система банка-эквайрера направляет в торговую точку сообщение «01 — свяжитесь с банком» для проведения дополнительной проверки держателя карты. Сотрудники службы мониторинга должны иметь возможность оперативно изменять значения лимитов, отменять их вообще на какой-то период времени или количество транзакций. Использование этого метода требует от банка дополнительных ресурсов по организации службы по обслуживанию запросов «01», поступающих из торговой сети и инициированных системой мониторинга банка. Сценарий действий банка по ситуации «01» может варьироваться от «симуляции» инициации запроса по держателю карты в банк-эмитент, до реального запроса в банк-эмитент по подтверждению личности держателя карты. Это все зависит от политики банка. Вообще, смысл всех действий заключается в разумном компромиссе между безопасностью и бизнесом. Лимиты, оптимально установленные предприятиям, оперативность банка в принятии решения по собственному коду «01» должны минимизировать влияние этого процесса на время обслуживания клиента, в то же время возможность применения кода «01» отпугнет мошенника. Трудно вообразить человека с поддельной картой, который спокойно будет ждать завершения процедуры «01-запрос в банк-эмитент», когда будут сверяться данные предъявленной карты и документов с информацией, хранящейся в Банке-эмитенте. Поэтому, если торгово-сервисная точка дозвонилась в банк по коду «01», который был инициирован собственной системой мониторинга, вероятность того, что карту предъявил мошенник, мала, и можно значительно упростить процедуру идентификации клиента, вплоть до ее симуляции. И наоборот, если уровень запросов «01» будет высок, предприятие может отказаться от работы с банком. Поэтому, настройка системы мониторинга таким образом, чтобы минимизировать воздействие на бизнес обеспечив разумную нагрузку на службу авторизации при заданном максимально допустимомый уровне мошенничества в торгово-сервисной сети банка — это своего рода искусство;