Безопасность карточного бизнеса - страница 72

Реализация приведенных мер реагирования зависит от технических возможностей банка-эмитента и принятой политики управления рисками, связанными с мошенничеством в ПСБК.

Следует отметить, что сложность принятия решения по подозрительной операции заключается в том, что в случае пропуска мошеннической операции банк-эмитент может понести финансовые потери, в случае установки ограничений операций по карте в результате легальной операции клиента возможно нанесение ущерба репутации, недовольство со стороны клиента и, возможно, его потеря.

Некоторые операции являются особенными для мониторинга. Далее будут рассмотрены основные характеристики таких операций.

1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью СМТ. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:

• расстояние между городами совершения операции;

• минимальное время, за которое можно переместиться между двумя точками проведения операций.

Если времени между операциями проходит слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.

2. Неуспешные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам позволят избежать потерь — факт мошенничества может быть своевременно выявлен СМТ, после чего приняты меры.

3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций получения наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты выдаются держателям в рамках зарплатных проектов. Поэтому денежные средства часто накапливаются на счете карты, а затем снимаются в банкоматах за небольшой интервал времени. Из-за такого нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.

4. «Дружественное» мошенничество. Иногда мошеннические операции могут быть совершены лицами, известными держателю карты. В случае если держатель карты не предпринимает должных мер безопасности при хранении и использовании своей карты, к ней могут получить доступ его близкие, родственники или знакомые. Эти люди проводят мошеннические операции и возвращают карту держателю, при этом держатель карты утверждает, что карту никому не передавал, ПИН-код не сообщал и в настоящее время карта находится при нем. Обнаружить такой тип мошенничества можно по следующим признакам:

• произведены снятия наличных денежных средств, но не всех доступных на счете, в банкомате;

• операции по карте проходят в территориально близких ТСП по отношению к тем, в которых карту использует сам держатель; операции совершенно нехарактерны для держателя карты — например, оплата сервисов в Интернете с использованием реквизитов карты, хотя ранее держатель карты использовал ее только для получения наличных денежных средств в банкоматах.

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия (Р_{>происшествия}) и тяжесть возможных последствий (ЦенаПотери).

РИСК = Р_{>происшествия} × ЦенаПотери.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь.

Если переменные — качественные величины, метрическая операция умножения не определена и в явном виде эту формулу применять нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза (Р_{>угрозы}), уязвимость (Р_{>уязвимости}), цена потери. При этом

Р_{>происшествия} = Р_{>уязвимости} × Р_{>угрозы},

тогда:

РИСК = Р_{>уязвимости} × Р_{>угрозы} × ЦенаПотери.

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.