Швидкі темпи розвитку фінансових ринків та все більш зростаюча масштабність проведення розрахунків у міжнародних платіжних системах супроводжуються одночасним виникненням різного роду ризиків, пов’язаних із застосуванням платіжних карток. У зв’язку з цим здійснення оцінювання ризиків шахрайства та дослідження їх економічних наслідків для учасників розрахункових процесів, а також розробка системи заходів щодо мінімізації даних ризиків є актуальною в умовах інтернаціоналізації систем масових електронних платежів.

За даними різних інформаційних джерел, нині у світі в обігу перебуває близько п’яти мільярдів платіжних краток. Основна частка емісії припадає на світові бренди, такі як MasterCard (більше, ніж 1,8 млрд) та VISA (більше, ніж 1,6 млрд). Темпи приросту кількості карток в останні кілька років стабілізувалися на рівні 20% на рік, так як і приріст річних оборотів, розмір яких тепер становить більш, ніж 10 трлн дол. США. Проте поряд із легальними операціями при здійсненні розрахунків за допомогою платіжних карток зростає і кількість шахрайств.

Сьогодні ризик шахрайських операцій з платіжними картками є основним об’єктом піклування учасників платіжних систем. Найбільш поширеними видами шахрайства з платіжними картками є такі, що являють собою незаконне вилучення коштів зловмисниками шляхом різного роду дій з банкоматами, зокрема скімінг, трапінг, фізичне пошкодження банкоматів тощо, а також такі, що пов’язані з використанням комп’ютерних технологій та Інтернету – фішинг, різного роду віруси, хакерські атаки та ін.

В Україні загальний рівень шахрайства за платіжними картками поступово набирає обертів. Вже у 2012 році від карткового шахрайства постраждали клієнти 51 банку, в той час як у 2011 році причетними до незаконних операцій були картки, емітовані лише 43 фінансовими установами. За даними НБУ, протягом 2012 року було здійснено 7,6 тис. неправомірних операцій, що на 2,5 тис. операцій менше, ніж у 2010 році. При цьому, у 2011 році кількість шахрайських операцій становила лише 2,9 тис., тобто у 3,5 рази (на 7,2 тис.) менше, ніж у 2010 році, та на 4,7 тис. операцій менше, ніж у 2012 році. Відповідно до змін кількості шахрайських трансакцій у 2011 році втрати від них зменшилися на 6,7 млн. гривень порівняно з попереднім періодом – з 13 млн. гривень до 6,3 млн. гривень. Але вже у 2012 році збитки збільшилися до 9,1 млн. гривень, причому середній обсяг однієї несанкціонованої операції становив приблизно 1 тис. гривень.

У 2011 році практично усі операції (99,7 % від їх загальної кількості), що заподіяли збитків банкам, держателям платіжних карток та торговцям, були здійснені з картками міжнародних платіжних систем Visa (55,27 %), на яку припадає найбільша частка ринку, та MasterCard (44,45 %). Обсяг втрат держателів карток міжнародної платіжної системи Visa у 2011 році становив більше 6,2 млн. гривень. У 2012 році зросла кількість шахрайських операцій здійснених за допомогою карток платіжної системи MasterCard, які використовувалися вдвічі частіше, ніж у попередньому році, і становила 1883 операції. Це завдало збитків держателям платіжних карток даної системи на суму 2,8 млн. гривень. Щодо вітчизняних платіжних систем НСМЕП та УкрКарт, то вони не зазнали втрат взагалі.

Така ситуація пояснюється тим, що банки, котрі є членами міжнародних платіжних систем, не приділяють уваги безпеці розрахунків та захисту інформації у достатній мірі, а також не здійснюють належним чином моніторинг та відеоспостереження за банкоматами. Більше того, майже всі картки міжнародних платіжних систем, що їх емітують українські банки, є недостатньо захищеними, адже носієм інформації даного платіжного інструменту є магнітна смуга, а не чип.

Банкоматне шахрайство в Україні у 2012 році характеризувалося стрімким зростанням виявлених скімінгових пристроїв на банкоматах – кількість виявлених скімерів (45 од.) у 3,75 рази перевищувала кількість знайдених пристроїв у 2011 році. Аналогічна тенденція у 2012 році спостерігалася і в Росії, де порівняно з 2011 роком кількість виявлених скімінгових пристроїв збільшилася у 2,8 разів. У 2012 році в Україні зловмисники були затримані лише у трьох випадках після встановлення ними скімінгових пристроїв.

Щодо банкоматних шахрайств, зокрема у європейських країнах, то, за даними Європейської групи з безпеки банкоматів (European ATM Security Team (EAST)), членом якої, серед інших 29 країн Європи із загальним розміщенням 619 603 банкоматів, є і українська Асоціація «ЄМА», протягом 2012 року випадки готівкового трапінгу збільшилися, в той час як число випадків скімінгу та обсяг втрат від банкоматних шахрайств знизилися. Усього кількість інцидентів банкоматних шахрайств збільшилася на 63 % – з 12 383 у 2011 році до 20 244 у 2012 році. Кількість випадків готівкового трапінгу зросла астрономічно – з 240 інцидентів у 2011 році до 10 808 інцидентів у 2012 році. Кількість випадків скімінгу знизилася на 26 % до найнижчого рівня ще з 2009 року.

Втрати, пов’язані з банкоматними шахрайствами, у 2012 році знизилися на 13 % порівняно з попереднім періодом – з 268 млн. євро до 234 млн. євро, а порівняно з 2009 роком, коли спостерігався найбільший обсяг втрат – 845 млн. євро, їх зниження відбулося у 3,6 разів. Це падіння було зумовлене продовженням скорочення втрат від скімінгових атак, зокрема, у 2012 році вони знизилися на 13 % – з 267 млн. євро до 232 млн. євро. Більшість (79 %) банкоматних втрат від скімінгу ще й досі є міжнародними (збитками від використання шахраями реквізитів платіжних карток за межами національних кордонів) і їх переважна частина відбувається за межами Європи. Найбільші втрати від скімінгових атак мали місце у США, Домініканській Республіці та Колумбії. Продовження зниження цих втрат також і у 2012 році свідчить про переваги використання міжнародного стандарту EMV для операцій за банківськими картками з чипом, котрий розроблений спільними зусиллями компаній Europay, MasterCard і Visa, а також про покращення антишахрайських заходів, здійснюваних учасниками платіжних систем.

Щодо загальних тенденцій, то у 2012 році кількість випадків скімінгу та обсяг втрат від нього знизилися по всій Європі в цілому, але в окремих країнах спостерігалося їх збільшення (іноді досить значне). Завдяки оперативному обміну інформацією та статистикою члени EAST мали змогу надавати один одному допомогу для вирішення виникаючих загроз і прогнозування тенденцій. Зокрема, у першому півріччі 2012 року відбувся сплеск активності готівкового трапінгу, але протягом наступних шести місяців такого роду діяльність шахраїв сповільнилася.

Число фізичних нападів на європейські банкомати після значного стрибка у 2009 році, коли відбулося їх збільшення майже у 9 разів порівняно з 2008 роком, протягом наступних років продовжувало зменшуватися досить швидкими темпами. У 2012 році кількість фізичних атак на банкомати знизилася на 12 % порівняно з 2011 роком – з 2 062 до 1 818  інцидентів, хоча в середньому оцінені втрати грошових коштів внаслідок пограбувань банкоматів зросли на 34 % – від 15 059 євро у 2011 році до 20 128 євро у 2012 році. Число зареєстрованих вибухових і газових атак (414) збільшувалося другий рік поспіль, зокрема, порівняно з першим півріччям 2011 року таке зростання склало 49 %.

Загальні втрати від здійснення зловмисниками фізичних атак на банкомати протягом досліджуваного періоду залишалися приблизно на одному рівні. Коливання обсягів збитків протягом 2008 – 2012 років відбувалося у діапазоні від 33 млн. євро до 26 млн. євро. Зокрема, у 2012 році обсяг збитків досяг рівня 2010 року, знизившись на 15 % – з 33 млн. євро у 2011 році до 28 млн. євро.

Шахрайство з використанням реквізитів платіжних карток в Інтернеті характеризувалося у 2012 році збільшенням кількості фішингових сайтів, електронних листів та SMS-повідомлень, за допомогою яких зловмисники отримували реквізити платіжних карток у держателів платіжних карток, емітованих банками України. Наявність в Інтернеті багатьох різних електронних платіжних систем, пропонування великою кількістю банків послуг інтернет-банкінгу, доступність Інтернету та розповсюдження зловмисниками інформації щодо реквізитів платіжних карток перетворили фішинг у дуже поширений та прибутковий вид шахрайства. Всі ці фактори дають можливість, особливо для молодих громадян (до 20 років), отримувати «легкі гроші» фактично безкарно, тому такий вид шахрайства набуває все більшого розповсюдження у країнах СНД та Європи.

За даними антифішингової робочої групи (Anti-Phishing Work Group (APWG)) кількість фішингових атак, націлених на споживачів в Інтернеті, залишається на високому рівні – кожного місяця здійснюється в середньому від 20 тис. до 25 тис. унікальних фішингових кампаній, кожна з яких може бути націленою на сотні тисяч, а іноді і мільйони користувачів. Щодня встановлюються тисячі підроблених фішингових веб-сайтів в режимі онлайн, котрі, заманюючи будь-яку кількість споживачів, спричиняють проблеми та втрати ними коштів.

За кількістю розміщених фішингових веб-сайтів у 1 півріччі 2012 року серед усіх країн світу лідером продовжує бути США, чия частка протягом шести місяців коливалася в межах від 46,42 % до 53,68 %. Після потрапляння у топ-10 таких країн у листопаді 2011 року, Єгипет перебував у трійці лідерів країн, котрі розміщують фішингові сайти, протягом чотирьох із шести місяців з часткою, що змінювалася від 3,19 %до 10,53 %. Серед інших країн, що мали досить високу частку, варто відзначити Канаду (від 5,57 % до 18,06 %) та Німеччину (від 3,94 % до 7,04 %). До країн, частка яких не перевищувала 5%, належали Великобританія, Нідерланди та Республіка Корея, а частка таких країн, як Франція, Бразилія, Росія, Китай, Румунія та Австралія, взагалі не перевищувала 3 %.

Найбільша частка здійснених фішингових атак протягом останніх 12 місяців припадала на США (69,02 %), Канаду (7,07 %), Єгипет (5,23 %), Німеччину (1,92 %) та Великобританію (1,14 %). Менше значення даного показника (0,12 % – 0,94 %) було зареєстроване, зокрема, у таких країнах, як Бразилія (0,9 %), Франція (0,88 %), Румунія (0,84 %), Росія (0,79 %), Швеція (0,75 %), Китай (0,57 %), Польща (0,51 %), Туреччина (0,48 %), Австралія (0,43 %), Італія (0,41 %), Чехія (0,32 %), Іспанія (0,27 %), Малайзія (0,27 %), Філіппіни (0,26 %), Україна (0,24 %), Японія (0,2 %), Індія (0,17 %). Тобто найбільше фішингових атак здійснюється у країнах, де економіка є розвиненою, або розвивається швидкими темпами, а отже, наявна велика кількість фінансових організацій та добре розвиненими є електронні платіжні системи.

За зазначених умов необхідним завданням кожного господарюючого суб’єкта, що є учасником платіжних систем, здійснювати подальший моніторинг тенденцій зміни масштабів шахрайських операцій з платіжними картками та розробляти ефективну систему заходів щодо попередження та мінімізації ризиків втрат, що виникають внаслідок злочинних дій шахраїв.

З метою обмеження обсягів впливу шахрайств рекомендується встановлення тісних партнерських відносин з клієнтами, торговцями, місцевими та закордонними правоохоронними і регулюючими органами, що є основою поінформованості та відповідно ефективного здійснення попередження цих ризиків. Також з цією метою необхідним є розміщення актуальних контактів регіональних співробітників Міністерства внутрішніх справ України, котрі є відповідальними за розкриття злочинів з платіжними картками, зокрема в системі «Exchange-online».

Для банків-членів міжнародних електронних платіжних систем рекомендованим є членство в Асоціації «ЄМА» та участь у єдиній міжбанківській інформаційній системі «Exchange-online» з метою вчасного виявлення та попередження шахрайських ризиків. Система «Exchange-online» є досить ефективною для банківської діяльності, зокрема, як підкреслили представники банків-членів даної системи, значних збитків у 2012 році вдалося уникнути в результаті своєчасного отримання оперативної інформації з системи, на основі якої приймалися тактичні управлінські рішення та впроваджувалися заходи з ризик-менеджменту. За оцінками банків, котрі почали використовувати систему у січні 2011 року, середня сума попереджених збитків протягом двох тижнів перевищила вартість використання «Exchange-online» протягом одного року (20 000 гривень). Зокрема, за підрахунками ПАТ «Сведбанк», в результаті використання інформації із системи «Exchange-online» лише за 1 квартал 2011 року попереджені збитки банку та його клієнтів вдвічі перевищували річний внесок за використання системи. Тобто за один рік використання системи сума попереджених збитків банку в середньому складає близько 160 – 200 тис. гривень в залежності від умов використання системи кожним конкретним банком. А лише за період 2010 – 2011 років завдяки налагодженому обміну даними через єдину міжбанківську інформаційну систему «Exchange-online» було затримано 36 шахрайських угруповань, котрі здійснювали злочини з використанням підроблених платіжних карток.

Сьогодні обмін інформацією щодо карткових шахрайств в системі здійснюють не всі українські банки, тому інформація про збитки відображає ситуацію з картковим шахрайством в Україні лише на 70 %, а для прийняття стратегічних управлінських рішень та планування бюджетних видатків на впровадження заходів безпеки необхідною умовою є наявність максимально повної статистичної інформації. З цією метою доцільною є модернізація 404 форми статистичної звітності, в якій від даних про суми збитків банків рекомендовано перейти до даних щодо сум успішних та неуспішних операцій з платіжними картками, що дозволить оцінювати загальний обсяг шахрайських операцій, а не лише тих, що призвели до збитків банків, а також спростить підготовку даних для форми.

В цілому ж рекомендації щодо здійснення заходів з мінімізації ризиків шахрайства стосуються конкретних учасників платіжних процесів: банків-емітентів, еквайрів та держателів карток, чиї кошти є об’єктом інтересу для злочинців. Розглянемо їх детальніше.

Процес обмеження ризиків при емісії зводиться до мінімізації впливу ризикових чинників використання банківських карток на прибутковість бізнесу в цілому. В основу процесу може бути покладена середньостатистична модель поведінки клієнта, що характеризується рядом параметрів, відхилення від яких система онлайн-моніторингу може сприймати як шахрайство і відмовляти у проведенні операції. Проте побудова адекватної статистичної моделі поведінки клієнта вимагає значного часу і великих обчислювальних ресурсів. Відповідно до цього для вирішення завдання запобігання шахрайства доцільно передавати частину функцій управління ризиками безпосередньо держателям карток. На стадії випуску і функціонування картки її держатель зможе сам визначати стандартну для себе модель поведінки. Для цього банк повинен забезпечити держателя картки можливістю оперативно змінювати параметри моделі її використання. Такий підхід вимагає з боку банку певних ресурсних витрат на доопрацювання програмного забезпечення, розробку нових технологій з управління параметрами картки, доопрацювання програмного забезпечення кол-центру (call-center) та організацію відповідної рекламної кампанії в середовищі держателів карток.

Велике значення має забезпечення клієнта банком можливістю оперативно, за запитом, отримувати інформацію про стан рахунку, оперативно блокувати / розблоковувати картку, оперативно отримувати інформацію про проведення / спроби проведення операцій.

Введення обмежень на використання картки самим клієнтом в значній мірі підвищує ефективність роботи систем офлайн-моніторингу банку і дозволяє без фінансових втрат на ранній стадії виявити випадки підробки карток.

Заходи щодо мінімізації ризиків при обслуговуванні торгово-сервісної мережі полягає в реалізації комплексу організаційних і технологічних процедур, спрямованих на обмеження можливості проведення несанкціонованих платежів і створення стійкого непривабливого іміджу торгово-сервісної мережі банку для шахраїв.

Організаційні методи спрямовані на підвищення рівня компетентності співробітників торгово-сервісної мережі з прийому карток і методам протидії шахрайству. Особливу увагу необхідно приділяти наочним посібникам і чіткості інструкцій з протидії шахрайству.

Технологічними процедурами запобіганню шахрайства для банків-еквайрів є такі:

– 100-відсоткова авторизація всіх операцій в торгово-сервісній мережі;

– примусове введення на терміналі останніх 4 ембосованих цифр номера картки при формуванні авторизаційного запиту і зіставлення їх з даними на магнітній смузі. У разі якщо дані не співпали, операція не дозволяється;

– ліміт на максимальну суму покупки, на максимальну кількість операцій, максимальну суму операцій за однією карткою і т.д. При перевищенні ліміту авторизаційна система банку-еквайра направляє в торгову точку повідомлення «зв’яжіться з банком» для проведення додаткової перевірки держателя картки.

Також доцільно проводити моніторинг операцій у торгово-сервісній мережі, що дозволить виявити підозрілі та шахрайські операції на ранній стадії. Моніторинг дозволить контролювати стан з шахрайством у торгово-сервісній мережі на предмет відповідності стандартам платіжної системи. За результатами моніторингу необхідно проводити заходи з розслідування випадків можливого шахрайства для створення у торгових точках стійкого відчуття постійного контролю з боку банку. Природно, що ступінь розслідування повинен бути адекватним розмірам шахрайства, іноді достатньо може бути лише одного телефонного дзвінка в торгово-сервісну точку з приводу підготовки документів за конкретною операцією.

Актуальними сьогодні є заходи протидії ризикам шахрайства, що виникають на фоні підвищеної економічної активності суб’єктів господарювання, зокрема під час проведення різних масових заходів.

Саме тому важливими для учасників карткового ринку є подальша координація антишахрайських заходів та приєднання до обміну інформацією у відповідності до вимог Закону України «Про платіжні системи та переказ грошових коштів в Україні». Для попередження та мінімізації ризиків шахрайства основними напрямками роботи мають бути:

  1. Надання переваги технічним заходам безпеки перед організаційними при впровадженні вимог стандарту PCI DSS, котрий сьогодні є основним практичним та регламентуючим документом для індустрії платіжних карток.
  2. Прискорення обладнання банкоматів антискімінговими пристроями, впровадження моніторингу банкоматної мережі для своєчасного попередження несанкціонованих втручань у роботу банкоматів.
  3. Посилення заходів безпеки у еквайринговій мережі, зокрема, проведення додаткових інструктажів касирів торгово-сервісних підприємств, менеджерів та касирів відділень банків з приводу різновидів шахрайства з платіжними картками.
  4. Прискорення впровадження технічних та організаційних заходів безпеки платіжних карток в Інтернеті.
  5. Створення постійно діючої міжвідомчої робочої групи з уніфікації застосування карного законодавства у сфері карткових злочинів та звернення до Верховного Суду України з напрацьованими пропозиціями.

Висновки. Проаналізувавши динаміку зміни кількості та обсягів здійснюваних шахрайств в Україні та світі, можна сказати про постійне зростання втрат внаслідок здійснення цих операцій (найпоширенішими їх видами є скрімінг та фішинг), що має досить значну питому вагу серед ризиків. Основним фактором є неусвідомлення масштабності проблеми шахрайства, передусім на рівні держателів карток. Саме тому, задля попередження величини завданих збитків, виникає необхідність більшої поінформованості користувачів платіжних карток про основні методи та способи незаконного посягання на їх кошти.

Таким чином, в рамках здійснення процесу управління ризиками з метою їх запобігання, важливо удосконалювати програмне забезпечення з обслуговування платіжної системи, розробляти нові технології щодо управління параметрами карток та організовувати відповідну рекламну кампанію у середовищі держателів карток, що дасть змогу диференціювати управління ризиками, особливо тих, що стосуються шахрайства.

Отже, здійснення ефективної політики управління ризиками (зокрема ризиками шахрайства) що виникають в платіжних системах, а також використання міжнародного досвіду дозволить не лише підвищити конкурентоспроможність економіки України, але також вийти на якісно новий рівень розвитку у світовому економічному середовищі.

М. В. Харчук

 

 

Неактивна зіркаНеактивна зіркаНеактивна зіркаНеактивна зіркаНеактивна зірка