Банковская деятельность. БАНКОВСКАЯ ДЕЯТЕЛЬНОСТЬ2. Банковская деятельность региональные аспекты

Банковское дело

36 (516) - 2012

клиент проверку службы безопасности. При этом кон­троль за рисками является малоэффективным, наблю­дается конфликт по линии «маркетинг - контроль».

3. 
   Отсутствие возможности у риск-менедже­
   ров влиять на составление бизнес-планов банка,
   которые создаются линейными менеджерами или
   карт-менеджерами подразделения. Данные бизнес-
   планы ориентированы на извлечение прибыли, но
   никак не учитывают последующие риски.
   
4. 
   Высокий технологический уровень мошенни­
   чества. Наиболее технологичными видами мошен­
   ничества являются:
   

• 
  траппинг;
  
• 
  фальшивые банкоматы;
  
• 
  скимминг и т. д.
  

5. 
   Финансовая неграмотность населения.
   Мошенничество с платежными картами влияет не­
   гативным образом на отношение людей к финансо­
   вым институтам. Из-за финансовой неграмотности,
   недостаточного уровня безопасности появляется
   недоверие к использованию платежных карт.
   
6. 
   Несовершенство российского законода­
   тельства. Принятые законодательные акты не
   восполняют имеющиеся пробелы, связанные с
   высокотехнологичным мошенничеством.
   

Рост числа пластиковых карт у населения спро­воцировал увеличение случаев мошенничества на рынке безналичных расчетов. За 2011 г. количество мошеннических операций с банковскими счетами увеличилось в пять раз, а число выплат по причине несанкционированного снятия денег со счетов по сравнению с 2009г. выросло в 11 раз [1].

Самым распространенным для владельцев карт риском является их утрата (в том числе - потеря, хище­ние, повреждение). На утрату приходится 52 % из чис­ла всех страховых случаев. На выплаты компенсаций по утрате пластиковой карты выделяется 0,5 % всех денежных возмещений, выплаченных держателям.

Следующий по степени вероятности риск для держателя банковской карты - хищение финансо­вых средств со счета. 40 % страховых случаев связа­ны именно с этим риском. В 57 % случаев хищение происходит без использования действительной банковской карты - с помощью мошеннических действий в виде фишинга или скимминга. Осталь­ные же 43 % краж происходят с использованием ут­раченной карты по причине ее кражи или потери. По сумме выплаченных страховых возмещений риск несанкционированного снятия денежных средств значительно опережает другие - 67 %.

Сумма выплаты страхового возмещения по риску несанкционированного снятия денег в 2011 г. выросла в 7,5 раза по сравнению с 2010г. и в 11 раз по сравнению с 2009г. [1].

Третье место занимает риск хищения наличных денежных средств путем разбойного нападения или ограбления держателей карт в процессе снятия ими де­нег из банкомата - 8 % от общего количества случаев. На данный риск приходится 32,5 % от всей страховой суммы, выплаченной по рискам держателей карт.

Всего в мире за 2011г. по разным оценкам с карточных счетов было украдено 9 млрд долл. В России со счетов, привязанных к банковским кар­там, в 2011 г. несанкционированно сняли более 2,3 млрд руб. При этом сумма средней мошеннической операции в (сети) Интернет составила 6 тыс. руб.

В целом в мире самый рисковый сегмент, в котором совершается большинство нелегальных операций с банковскими картами, - это Интернет.

А в России наиболее распространены:

• 
  мошеннические операции в POS-терминалах,
  используемых при розничной покупке товаров, -
  58 % от общего количества мошеннических опера­
  ций с использованием банковских карт;
  
• 
  мошеннические операции через банкоматы-
  40%;
  
• 
  мошеннические операции через Интернет -
  

В настоящее время многие эксперты выделя­ют тенденцию увеличения киберпреступности. В 2011 г. были обнаружены:

• 
  12 тысяч фишинговых сайтов (рост - 300%
  по сравнению с предыдущим годом);
  
• 
  180 тысяч новых доменов, на которых разме­
  щались вредоносные сайты;
  
• 
  около 1 тыс. интернет-ресурсов, через которые
  можно было управлять бот-сетями.
  

Борьба с мошенничеством в разной степени осуществляется всеми кредитно-финансовыми институтами, которые осуществляют эмиссию и эквайринг. По мнению автора, только комплекс организационно-технических мер, основанный на инновационных методиках и решениях, способен если не предотвратить, то в значительной степени снизить различного рода риски. Минимизировать убытки от рисков можно с помощью решения сле­дующих задач:

1) обеспечение оптимального уровня проверки персональных данных потенциальных держателей платежных карт;

14

ФИНАНСЫ И КРЕДИТ

Банковское дело

36 (516) - 2012

2. 
   обеспечение физической и технологической
   безопасности процессов производства карт, тран­
   закций и авторизации;
   
3. 
   обеспечение информационно-аналитичес­
   кой деятельности по раннему выявлению мошен­
   нических действий с платежными картами;
   
4. 
   формирование среднестатической модели
   поведения клиента, исключающей возможность
   совершения мошеннического действия при пользо­
   вании платежной карты и повышение финансовой
   грамотности населения.
   

На взгляд автора, для решения первой задачи необходимо создать эффективную систему провер­ки заемщика, которая должна включать в себя:

1. 
   первичную проверку документов и клиента;
   
2. 
   проверку данных службой проверки заемщи­
   ков и службой безопасности банка;
   
3. 
   оценку рисков, связанных с обслуживанием
   клиента;
   
4. 
   кредитный скоринг.
   

Для минимизации рисков при операциях с пла­тежными картами необходимо начинать с проверки клиентского заявления-анкеты, которое содержит просьбу о выпуске карты. Именно на основе анализа данной анкеты банк принимает решение о выпуске или об отказе в выпуске карты. Перед анализом данных сотрудник банка обязан дать визуальную оценку потенциальному клиенту.

1. Первичная проверка документов и клиента сотрудником, принимающим документы. Данный этап должен включать в себя:

а) проверку документа, удостоверяющего лич­
ность. Сотрудник обязан проверить документы на
предмет подделки:

- отсутствие защитных знаков;

-отсутствие различного рода исправления.

Частым случаем является использование клиентами паспортов с устаревшими данными. Сотруднику также необходимо проверить - чис­лится ли данный документ в списке украденных и в случае совпадения незамедлительно сообщить в соответствующие органы власти. База данных украденных документов должна предоставляться непосредственно органами власти и управления и постоянно обновляться;

б) проверку личности клиента. Сотрудник
обязан сделать сличение внешнего вида клиента с
фотографией в документе;

в) проверку клиентского заявления-анкеты. Со­
труднику необходимо сверить подписи, указанные в

документе и анкете, проверить полноту заполнения всех полей в анкете.

В случае если анкета-заявление заполняется по технологии «1 визит» (анкета-заявление по техноло­гии «1 визит» - это анкета, которая была заполнена сотрудником по телефону, без визуального ознакомле­ния с потенциальным клиентом, т. е. клиенту в случае одобрения останется подъехать с необходимым паке­том документов для получения карты), то процедура проверки начинается сразу со второго этапа.

2. Второй этап проверки состоит из одновре­
менной проверки данных службой проверки заем­
щиков и службой безопасности банка.

Сотрудник службы проверки заемщиков обязан:

- проверить актуальность на момент подачи
заявления паспортных данных;

• 
  уточнить, действительно ли клиент прописан
  по адресу, указанному в анкете;
  
• 
  уточнить, действительно ли существует ука­
  занный адрес прописки;
  
• 
  уточнить, действительно ли проживает клиент
  по указанному адресу фактического проживания;
  

• 
  проверить контактные номера - действи­
  тельно ли они зарегистрированы и соответствуют
  организации и фактическому адресу проживания;
  
• 
  проверить организацию, в которой работает
  клиент. Организации могут быть «однодневками»
  для совершения различного рода махинаций либо
  не существовать вообще. Одним из обязательных
  действий является проверка юридического и фак­
  тического адреса организации.
  

Сотрудник службы безопасности банка обязан:

• 
  проверить - не числится ли заявитель в розыс­
  ке, в ориентировках правоохранительных органов;
  
• 
  проверить клиента на предмет судимости;
  
• 
  проверить клиента по специализированным
  базам на предмет выявления компрометирующих
  сведений.
  

3. Оценка рисков, связанных с обслуживанием
клиента, играет одну из важнейших ролей при ми­
нимизации рисков при операциях с платежными
картами. Сотрудник для оценки рисков, связанных
с обслуживанием клиента, обязан:

• 
  сделать запрос в бюро кредитных историй на
  наличие отрицательной кредитной истории;
  
• 
  проверить возможность связаться с клиентом
  по указанным в анкете номерам: сотрудник может
  позвонить на рабочий номер и уточнить - числится
  ли данный сотрудник в штате указанной организа­
  ции или нет;
  

ФИНАНСЫ И КРЕДИТ

15

Банковское дело

36 (516) - 2012

- проверить, числится ли клиент в «черных
списках» платежных систем;

- проверить наличие негативной информации о
клиенте в зарубежных процессинговых центрах.

4. Кредитный скоринг также является важным для снижения рисков при операциях с платежными картами. На взгляд автора, эффективная система кредитного скоринга должна строиться на системе SAS Credit Scoring for Banking. Это полноценное ре­шение для разработки, использования и мониторинга скоринговых карт и прогнозирующих моделей оценки кредитного риска. Важно, что это решение уже вклю­чает в себя возможность создавать модели для:

• 
  потребительских кредитов;
  
• 
  кредитных карт;
  
• 
  овердрафтов;
  
• 
  автомобильных кредитов;
  
• 
  ипотечных кредитов;
  
• 
  других кредитных продуктов на основании
  данных, доступных банку.
  

При этом банк может эффективно использо­вать решение SAS Credit Scoring for Banking как на ранних стадиях развития системы управления кредитным риском, так и при внедрении продви­нутого подхода на основе внутренних рейтингов (Advanced-IRB) в соответствии с рекомендациями Базельского комитета по банковскому надзору.

Кроме того, это решение является составной частью единой интегрированной среды управления рисками SAS, которая представляет собой трехслой­ный «сэндвич»:

- в его основе - платформа управления данны­
ми (Data Integration);

- вверху - средства отчетности (Business
Intelligence);

- между ними - широкий набор аналитических
инструментов для построения и анализа моделей
кредитного скоринга.

По желанию заказчика любой из этих аналити­ческих инструментов может быть внедрен либо как самостоятельный продукт, либо как часть общей централизованной системы управления рисками в банке в процессе ее последовательного построения. Эта особенность выгодно отличает решение SAS от аналогичных продуктов на рынке [3].

Для решения второй задачи, на взгляд автора, необходимо предпринять следующие меры:

- совершить 100 %-ную авторизацию всех опе­
раций в торгово-сервисной сети (это не относится к
специфическим сетям с микро-платежами и пр.);

• 
  завершить переход от использования карт с
  магнитной полосой к смарт-картам нового поколе­
  ния. Данные с такой карты считываются гораздо
  сложнее, и всегда есть возможность вернуть похи­
  щенные денежные средства;
  
• 
  установить лимит на максимальную сумму
  покупки, на максимальное количество операций,
  максимальную сумму операций по одной карте и т.д.
  При превышении лимита авторизационная система
  банка-эквайрера должна направлять в торговую точку
  обслуживания сообщение, чтобы сотрудники магазина
  связались с банком. Цель данного сообщения заключа­
  ется в том, что банк смог бы дополнительно провести
  проверку держателя карты. Сотрудники службы мо­
  ниторинга должны иметь возможность оперативно
  изменять значения лимитов или отменять их вообще на
  какой-то период времени или количество транзакций,
  Сценарий действий банка в данной ситуации может
  варьироваться от «симуляции» инициации запроса по
  держателю карты в банк-эмитент до реального запроса
  в банк-эмитент на подтверждение личности держателя
  карты. То же касается снятия наличных денежных
  средств через банкомат, т. е. при снятии большой суммы
  сотрудники службы безопасности или мониторинга
  обязаны позвонить клиенту и сообщить о факте снятия
  наличных. Смысл всех действий заключается в разум­
  ном компромиссе между безопасностью и бизнесом.
  Лимиты, оптимально установленные предприятиям,
  и оперативность банка в принятии решения должны
  минимизировать влияние этого процесса на время
  обслуживания клиента. В то же время возможность
  применения данной системы отпугнет мошенника
  При этом настроена система мониторинга должна бьпь
  таким образом, чтобы минимизировать воздействие на
  бизнес, обеспечив разумную нагрузку на службу авто­
  ризации при заданном максимально допустимом уров­
  не мошенничества в торгово-сервисной сети банка;
  
• 
  сопоставлять операции «возврат покупки». Все
  операции «возврат покупки» сопоставляются с опера­
  циями в торговой точке за определенный период. Если
  операция не сопоставлена по определенному алго­
  ритму, она откладывается из обработки до окончания
  расследования. Конечно, нет смысла расследовать все
  случаи несопоставленных операций. Разумным явля­
  ется применение пороговых лимитов: сумма операции,
  сумма операций за день, неделю. Все события превы­
  шения лимитов можно отправлять на расследованиеи
  по результатам процессировать операции;
  
• 
  использовать технологии SMS-оповещенш
  держателей платежных карт об авторизационных за-
  

16

ФИНАНСЫ И КРЕДИТ

6) - 2012

Банковское дело

36 (516) - 2012

шия карт с ого поколе-:ся гораздо 1нуть похи-

гую сумму операций, карте и т.д. ая система овую точку «магазина «заключа­ло провести лужбы мо-шеративно сообщена ранзакций. ции может запроса по )го запроса держателя денежных ной суммы ниторинга кте снятия :я в разум-бизнесом, приятиям, я должны на время можность шенника. иена быть йствие на жбу авто­ром уров-[ банка; шеи». Все яс опера-иод. Если >му алго-кончания овать все ым явля-перации, [я превы-;ование и

?ещения иных за-

'ЕДИТ

просах на проведение операций по их картам. Метод весьма эффективен, так как клиент самостоятельно обеспечивает мониторинг собственных денежных средств на карт-счете;

- предоставить клиентам возможность допол­
нительной аутентификации и/или двухфакторной
аутентификации, а также обеспечение поддержки
механизма электронно-цифровой подписи при вы­
полнении различного рода финансовых операций;

- внедрить специальный антискимминговый
модуль безопасности, который устанавливает­
ся на сам банкомат. Данный модуль оборудован
специальными датчиками для контроля области
картоприемника, которые позволяют выявлять не­
санкционированную установку на банкомат любых
посторонних устройств. При обнаружении несан­
кционированного доступа к банкомату мгновенно
отсылается сообщение в соответствующие службы.
При этом банкомат блокируется для проведения
операций, а камера фиксирует лицо мошенника.

Некоторые производители банкоматов самостоя­тельно могут внедрить средства и механизмы обеспече­ния безопасности в конструкцию банкомата. Например, специальная закругленная форма передней панели бан­коматов вокруг картоприемника не позволит установить мошенническое устройство. Устройство считывания платежных карт также можно оснастить специальным механизмом вибрации, который встряхивает карту во время загрузки, т. е. меняет скорость движения самой карты и использует серию быстрых остановок и пусков. Данный эффект тряски не позволяет точно считывать данные с карты с помощью мошеннического устройства (например с помощью скиммера);

• 
  использовать технологию 3D-Secure, которая
  позволяет значительно снизить риски при проведе­
  нии транзакций по платежным картам;
  
• 
  определить относящиеся к зоне повышенно­
  го риска регионы с целью установления в данных
  регионах определенных лимитов на снятие налич­
  ных денежных средств и проведение транзакций за
  определенные промежутки времени;
  

-ввести запрет на использование платежных карт в сети Интернет в регионах повышенного риска;

• 
  производить эмиссию EMV-карт с подде­
  ржкой DDA (Dynamic Data Authentication), обеспе­
  чивающих наиболее высокий уровень защиты от
  скимминговых атак;
  
• 
  предоставить доступ к мобильному банку для
  того, чтобы клиент в режиме онлайн мог контроли­
  ровать состояние своего счета;
  

Ф ИНАНСЫ И КРЕДИТ

• 
  следовать стандарту по обеспечению безопас­
  ности данных PCI DSS (Payment Card Industry Data
  Security Standart) и использованию специальных
  технических программ фрод-мониторинга, анализу
  транзакций;
  
• 
  проанализировать клиентскую базу. Анализ
  заключается в том, что соответствующие службы
  банка производят тщательную проверку физических
  лиц и организаций, претендующих на получение
  банковских карт, а также предприятий торговли,
  желающих участвовать в системе эквайринга. Осу­
  ществляется и периодический мониторинг деятель­
  ности клиентов, уже имеющих банковские карты или
  находящихся на обслуживании в банке-эквайрере;
  

-контролировать функционирование оборудова­ния и коммуникационных систем. Контроль должен включать в себя мониторинг каналов связи на наличие и продолжительность сбоев, а также качества связи, мониторинг оборудования (банкоматов, POS-термина-лов) на наличие неисправностей и выявление их при­чин, определение времени и материальных ресурсов, необходимых на устранение неисправностей;

- обеспечить принудительный ввод на терми­
нале последних четырех эмбоссированных цифр
номера карты при формировании авторизационного
запроса и автоматическое сопоставление их с дан­
ными на магнитной полосе. Если данные не совпа­
ли, операция не разрешается. Это защитит банк от
мошенничества с поддельными картами, когда на
магнитную полосу валидной карты, принадлежа­
щей мошеннику, записывается магнитная полоса
другой валидной карты, принадлежащей ничего не
подозревающему добропорядочному клиенту банка,
скопированная в торгово-сервисной сети.

Для решения третьей задачи предлагается:

- создать единую специализированную службу,
которая бы проводила круглосуточный мониторинг
операций по картам клиентов. Современные техно­
логии дают возможность распознать практически
любую мошенническую операцию в режиме реаль­
ного времени. Специальный центр при первом же
подозрении на несанкционированность операции
блокирует карту;

• 
  проводить обмен опытом между банками
  и активно сотрудничать с правоохранительными
  органами по выявлению мошеннического исполь­
  зования платежных карт;
  
• 
  создать договоренность между банками и
  платежными системами об отправке уведомлений в
  случае обнаружения той или иной мошеннической