Как известно, ничто так не поощряет преступника, как безнаказанность. На российском правовом поле у представителей правоохранительных органов множество проблем, связанных с несовершенством существующего законодательства, сложности квалификации заведенных уголовных дел по статьям УК в сфере применения платежных карт. И в следующей главе бизнес-энциклопедии все это пунктуально проанализировано. Принципиальная сложность квалификации карточных преступлений заключается в пересечении здесь сразу трех областей знания — уголовного права, гражданского права и специфики карточных технологий. Все вместе это приводит к тому, что уголовное преследование карточных мошенников, даже «пойманных за руку», — достаточно сложная задача. И вместе с тем ее решение возможно, чему свидетельство — дела, дошедшие до суда, и реальные сроки, полученные мошенниками, о которых рассказывается в разделе Приложений.
Особняком, на стыке правового поля и технологий, стоят стандарты международных платежных систем, наиболее известные из которых обозначаются аббревиатурой PCI DSS, — они анализируются в специальном разделе книги. Данные стандарты носят обязательный характер для исполнения банками — членами платежных систем, но отношение к ним, и в России, и в мире не однозначное. Позиция многих российских банков основывается на здравом смысле — если стоимость следования стандартам превышает размер возможных потерь, это делает стандарты нецелесообразными. Позиция аудиторов тоже имеет свои серьезные основания — стандарты МПС существуют, и банкам, как членам МПС, следует их исполнять, а в какой степени — зависит от масштаба бизнеса. Обе точки зрения аргументированно представлены в книге.
Мониторингу транзакций по платежным картам посвящена следующая глава, в которой, в числе прочего, формулируются задачи мониторинга, дается классификация средств мониторинга транзакций, дается первичный математический аппарат для количественной оценки рисков, основные понятия (инцидент, расследование и др.), примеры мониторинга транзакций.
Комплексный подход к проблеме обеспечения безопасности карточного бизнеса можно считать определяющей составляющей успеха дела. Нельзя забывать, что карточная безопасность в банке является элементом безопасности информационной системы банка в целом. В следующем разделе книги даются основные моменты, на которые следует обратить внимание при построении центра информационной безопасности банка, и, в частности, описывается применение специальных систем контроля защищенности класса SIEM.
Серьезная задача — физическая безопасность производства пластиковых заготовок. В специальной главе книги рассказывается о внешних и внутренних стандартах безопасности производственных помещений, о порядке производства и доставки в банк заготовок в соответствии со стандартами безопасности международных платежных систем.
Отдельное и очень специфическое направление безопасности карточного бизнеса банка — претензионная работа по опротестованным держателями карт операциям. В разделе, посвященном данному вопросу, не дается рекомендаций по деталям претензионного процесса — например, какой код возврата следует выбрать по конкретной операции. Такие специальные сведения даются в соответствующих материалах платежных систем. В ней максимально компетентно описываются основные аспекты претензионной работы, даются рекомендации, как правильно построить работу подразделения, отвечающего за претензионный цикл в современном коммерческом банке.
И, наконец, безопасность процессинга — мозгового центра (точнее — одного из многочисленных центров) любой платежной системы. Это один из важнейших участков карточной безопасности и ему посвящены два материала книги, один из которых рассматривает вопросы физической безопасности ПЦ, а другой — безопасность его аппаратной и сетевой инфраструктуры.
* * *
Очевидно, что обеспечение безопасности карточного бизнеса — проблема, которую невозможно решить раз и навсегда, ее необходимо решать изо дня в день, причем на очень высоком и профессиональном уровне. Это непрерывный процесс со своими индикаторами эффективности и стандартами, управленческими и технологическими проблемами и задачами, налаживанию которого и призвана помочь эта книга.
Г. А. Тосунян
Президент Ассоциации российских банков, д-р юрид. наук, профессор, заведующий кафедрой банковского права Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации
Глава 1
Мошенничество в сфере банковских платежных карт
Обзор банковских рисков от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков эмитентов и эквайреров
Войны нельзя избежать, ее можно лишь отсрочить к выгоде вашего противника.
Макиавелли, 1502 г.
Цель данной главы — дать понимание молодым телом или душой сотрудникам профильных подразделений банка (специализированным службам безопасности карточного бизнеса, специалистам по претензионной работе, сопровождению терминальной сети, торгового эквайринга и пр.) о видах мошенничества с платежными картами, рисками и угрозами для банка, которые влечет за собой мошенническая активность, возможностях по предупреждению и противодействию мошенничеству, минимизации рисков. В обзоре предпринята попытка обобщить и систематизировать наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством. Учитывая появление материала в публичном доступе, в обзор вошла преимущественно открытая информация, знание которой далеко не достаточно для практического использования в мошеннических целях. По этой причине данный труд не претендует на полноту и глубину раскрытия проблематики мошенничества. Вместе с тем разумное снятие завесы секретности с темы карточного «фрода» (от англ. — fraud (обман, мошенничество)) необходимо. Разъяснение принимаемых мер по обеспечению безопасности банковского бизнеса поможет, с одной стороны, вселить уверенность пользователям карт в том, что банки располагают силами и средствами для их защиты, с другой стороны, банковские специалисты сделают это предельно профессионально. В противном случае информационный вакуум заполняют журналисты всех мастей, в большинстве своем ищущие сенсации и тем самым только запугивающие держателей карт. Предлагаемые методы противодействия преступникам действенны и должны быть взяты на вооружение и банкирами, и их клиентами.
