1. Действующая политика обеспечения безопасности терминальной сети для обслуживания карт, устанавливающая обязанности и полномочия всех задействованных в процедурах развития и эксплуатации терминальной сети подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
2. Действующие процедуры проверки заявлений ТСП перед заключением договоров.
3. Периодическая инспекция ТСП — посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении.
4. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в проведении операции, блокировка терминала).
5. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка терминала, блокировка ТСП).
6. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям.
7. Соответствие процедур key-management требованиям международных платежных систем, криптозащита информации, передаваемой через публичные коммуникационные сети.
8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS, RIS, NMAS, MATCH).
9. Поддержание базы данных ТСП, договоры с которыми были расторгнуты или заявления на обслуживание в банке были когда-либо отклонены.
10. Поддержка протокола 3D Secure на стороне эквайрера, поддержка EMV в банкоматной и POS-терминальной сети.
11. Обязательное обучение работников ТСП правилам приема и обслуживания банковских платежных карт, стандартам безопасности международных платежных систем, выявлению и пресечению попыток использования поддельных и украденных карт. Разъяснение правовой ответственности за соучастие в мошенничестве с платежными картами, персональной ответственности работников ТСП за соблюдение правил банка и УК РФ.
12. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества.
13. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.
14. Выполнение требований стандартов безопасности карточных систем PCI DSS.
Уголовная ответственность за преступления в сфере банковских карт Потери в сфере платежных банковских картПо нашим оценкам, основанным на анализе данных платежных систем, в 2009 г. потери от криминальных посягательств на финансовые средства в сфере оборота платежных карт во всем мире составили порядка 7 млрд долл. США, в то время как в 2007 г. эти потери составляли 5,8 млрд долл.
Во многих странах уделяется большое внимание данной проблеме, созданы специальные полицейские подразделения, нацеленные на борьбу с преступлениями в этой сфере. В данном разделе произведен анализ уголовного и уголовно-процессуального законодательства Российской Федерации, судебно-следственной практики, а также обобщен практический опыт структур банковской безопасности.
По данным МВД РФ, потери в сфере банковских платежных карт в 2010 г. составили всего 9 млн руб., в 2009 г. эта цифра составляла 63 млн, а в 2008 г. — 24 млн руб. Однако данные МВД РФ дают далеко не полную картину финансовых потерь. Получить же достоверные цифры потерь в сфере платежных банковских карт в Российской Федерации довольно сложно. Центральный банк такую статистику не ведет.
Дело в том, что полной информацией о фактах хищения денежных средств с банковских карт владеют только сами банки. Для того чтобы собрать статистику по всей стране, необходимы какие-либо механизмы. У ЦБ РФ, таких механизмов нет — он ничем не может заинтересовать кредитные организации с целью предоставления информации и при этом абсолютно не может контролировать операции по банковским картам с целью проверки предоставляемых данных. В отличие от ЦБ РФ международные платежные системы имеют в своем распоряжении механизмы получения информации о потерях в банках и давно ведут такую статистику. В России в 2009 г. 88,1 % оборотов по банковским картам составили карты международных платежных систем VISA (61,6 %) и MasterCard (26,5 %). Однако сведения эти носят конфиденциальный характер и крайне редко разглашаются платежными системами. На постоянной основе доступ к этой информации имеют сотрудники банков членов международных платежным систем.
Для определения суммы потерь в сфере банковских платежных карт авторами была использована следующая методика:
• данные платежных систем VISA и MasterCard (в долларах США) складываются между собой;
• на основе данных ЦБ РФ вычисляется доля этих двух крупнейших систем и остальных участников рынка;
• сумма потерь увеличивается пропорционально, но при этом считается, что остальные платежные системы несут потери только по украденным и потерянным картам (предполагается, что потери по поддельным картам и в сети Интернет отсутствуют);
• вычисляется среднегодовой курс рубля к доллару США и пересчитывается общая сумма потерь в рублях.
Данная методика имеет свои минусы и погрешности. Потери международных платежных систем делятся на эмиссионные (потери по картам эмитента) и эквайринговые (потери в терминальной сети эквайрера — ATM, ТСП). Поэтому, с одной стороны, если хищение произошло по российской карте на территории России, то сумма потерь будет учтена как по эмитенту, так и по эквайреру; с другой стороны, если и эмитент и эквайрер — одно лицо, то скорее всего сумма потерь совсем не попадет в отчеты. Несмотря на это более точной методики определения потерь по России авторам в настоящий момент неизвестно, в то же время с ее помощью достаточно хорошо просматривается динамика изменения потерь (табл. 1.1).
Полученные данные, основанные на информации платежных систем (ПС), сравним с данными МВД РФ (табл. 1.2).
В результате сравнения получим, что латентность (скрытость) хищений составляет порядка 95 %, т. е. из похищенных в 2009 г. по банковским картам россиян или в банкоматах, торгово-сервисных предприятиях 989 млн руб. МВД РФ разыскивало только 63 млн, остальные 926 млн руб., или 33 млн долл. США, были безнаказанно присвоены криминальными элементами. При этом информация о преступлениях до правоохранительных органов не дошла, следовательно, не были возбуждены уголовные дела и злоумышленников никто даже не искал. Если принять во внимание, что в Интернете готовая к использованию поддельная банковская платежная карта стоит в среднем 100–200 долл. США, а похитить с ее помощью можно 1–3 тыс. долл., то получается, что криминальный кардерский бизнес становится очень прибыльным и при этом достаточно безопасным (безнаказанным). Невольно вспоминаются слова Карла Маркса о том, что ни один капиталист не остановится перед совершением любого преступления, если прибыль будет составлять 300 %. Поэтому криминальный мир давно обратил свое внимание на банковские карты. Очень часто имеет место трансграничная преступность, правоохранительные органы во многих странах, в том числе и в России, сталкиваются с международными преступными сообществами.