Как определить правила принятия банком решения по авторизации операций с банковскими картами?
1. Необходимо постоянно осуществлять мониторинг параметров всех случаев мошенничества с картами в банке и информации, поступающей из платежных систем, с целью формализации угроз банку. Таким образом, можно будет определить страны повышенного риска использования карт, рисковые категории торгово-сервисных точек, а также конкретные торгово-сервисные точки с большим риском проведения мошеннических операций.
2. Зная, откуда исходит угроза банку, можно определить адекватные меры противодействия мошенничеству. Конечно, уровень противодействия в основном определяется степенью готовности процессинговой системы анализировать параметры авторизационного запроса и принимать решение. Эффективность управления рисками определяется сочетанием двух факторов: количеством параметров авторизационного запроса, доступных для управления, и возможностью применения различных правил одобрения запроса к различным группам клиентов, вплоть до отдельного клиента. Таким образом, можно заблокировать использование карты для конкретного клиента в определенной рисковой среде использования карты. Из соображений гуманности по отношению к клиенту, целесообразно использовать так называемые «мягкие коды отказа», а именно «01 — свяжитесь с банком-эмитентом». При получении такого кода торговая точка для оформления покупки вынуждена будет связаться со своим обслуживающим банком для получения инструкций. Конечно, ситуация не очень красивая по отношению к клиенту, но это намного лучше чем просто «отказ», или того хуже, «изъять карту». В этой ситуации при настойчивости клиента он все-таки получит товар (услугу), связавшись самостоятельно или через банк-эквайрер с банком-эмитентом. Банк-эмитент, получив сообщение через платежную систему или от клиента по телефону, идентифицирует его и, изменив параметры авторизации для этого клиента, сделает доступным возможность проведения авторизации.
3. Правила могут всеобщими, т. е. для всех клиентов банка, применимые к группе клиентов, и применимые к конкретному клиенту.
К всеобщим правилам можно отнести, например, запрет использования карты в сети Интернет (если конечно это оговорено в правилах использования карты). Активация этой услуги происходит лишь после обращения клиента с соответствующей просьбой в банк. Это могут быть ограничения по использованию карты в странах повышенного риска. В этом случае банк уведомляет клиентов через выписки о действующих ограничениях в странах из списка. Например, часто используется такой сценарий: сумма покупки в этих странах не может превышать эквивалент 200 долл. США в день, запрещены получение голосовой авторизации по транзакции, зато разрешены аренда автомобилей и оплата отелей, авиабилетов, а также доступны без ограничений рестораны и т. д. При попытке провести операцию, превышающую установленные общие лимиты, торговая точка получит сообщение «01 — свяжитесь с банком эмитентом». Как показывает опыт, большинство клиентов, побывав в так называемых рисковых странах, ни разу не сталкиваются с установленными лимитами, а Банк, в свою очередь, минимизирует риск мошеннического использования карты.
К групповым правилам можно отнести такое ограничение, как установление лимита для корпоративных карт на снятие наличных в конкретной стране или запрет на их использование в казино и т. д. Конечно, банк должен иметь инструмент для управления этим параметром и исключать карту из групповых правил по необходимости.
Правила, применимые к конкретному клиенту, это основной инструмент управления рисками. Возможность установления правил использования карты в разрезе каждого клиента позволяет очень гибко управлять рисками, не нанося ощутимых неудобств клиенту. Например, получив сообщение от клиента о проблемах с использованием карты в рисковой стране или получив данные мониторинга о попытках использования карты в рисковой стране и убедившись, что клиент действительно находится там, можно снять на определенный срок (обычно на две недели) все ограничения на использование карты. После окончания действия снятия ограничений в рисковой стране желательно для таких клиентов принудительно устанавливать режим использования карты — «только в России», соответствующим образом уведомив об этом клиента. Это связано с тем, что мошенничество с банковскими картами носит интернациональный характер и, зачастую, мошенническое использование карты начинается совсем в другом регионе через 7-15 дней после того, как клиент покинул страну повышенного риска. В этом случае операции без ограничений будут разрешены только в России, а во всем остальном мире карта будет работать по приведенному выше сценарию (весь мир, кроме России превратится в рисковый регион), и мошеннические авторизации из других стран будут отклоняться. Теперь клиент будет вынужден уведомлять банк о своих перемещениях по странам, с целью установки соответствующего региона использования карты. Например, можно на определенный срок установить определенную группу стран, которую собирается посетить клиент. Естественно, по желанию клиента должна существовать возможность снятия всех наложенных ограничений. Как показывает опыт, в начале использования такой методики управления рисками клиенты воспринимают ее агрессивно, рассматривая как ограничение своих свобод. Однако со временем и при должной информационной подготовке со стороны банка и средств массовой информации приходит понимание необходимости данных мероприятий и конфликты исчезают.
Управление рисками как общая задача клиенториентированных подразделений банка
Очевидно, что все мероприятия, связанные с управлением риском связаны с большими затратами со стороны банка по организации поддержки клиентов, мониторинга операций и обработки информационных потоков. Ежедневно служба мониторинга банка осуществляет:
• контроль всех авторизационных запросов и операций, поступающих из стран повышенного риска по картам, для которых страна не была открыта клиентом, или клиент уже покинул страну. Формируются запросы в подразделения банка, ответственные за работу с клиентами. Цель запроса — получить подтверждение (опровержение) законности авторизационного запроса или определить местонахождение клиента. Если по косвенным признакам клиент находится в стране повышенного риска (можно проследить маршрут клиента по транзакциям из duty free магазинов, одиночным успешным операциям из банкоматов и т. д.), но связаться с ним не удалось, то принимается решение о снятии ограничений на определенный срок для исключения неудобств, вызванных ограничениями, установленными для этой страны;
• всем клиентам, побывавшим в странах повышенного риска или торговых точках повышенного риска, направляется уведомление о том, что для карты установлен регион использования Россия и о том, что для сокращения риска мошеннического использования карты клиент может выбрать любой регионы использования карты. Например, Россия, Турция, Египет или Россия и вся Европа и т. д. Соответственно необходимо обрабатывать обратный поток информации, поступающий из бизнес-подразделений о необходимости установки для клиента региона использования карты;
• для карт, у которых установлен регион использования, осуществляется мониторинг транзакций и авторизационных сообщений, поступающих из стран, которые не входят в регион использования. Это делается для выявления попыток мошеннического использования карт и для снятия ограничений, в случае если клиент действительно находится в этой стране, но забыл проинформировать банк и испытывает затруднения в использовании карты.
Управление рисками — это сложная, трудоемкая работа, требующая вовлечения всех клиентоориентированных подразделений Банка. Необходимо отдавать себе отчет, что мы только минимизируем риски, а не стараемся 100 % их исключить, так как сие невозможно. Поэтому необходимо помнить, что процедура по идентификации клиента при отработке кода «01 — свяжитесь с банком-эмитентом» или при снятии ограничений на использование карты должна быть максимально упрощена. Сочетание двух факторов: фиксация авторизационной системой кода «01» и звонок клиента о проблеме в использовании карты вполне достаточно, чтобы принять решение о снятии ограничений. Не нужно утомлять и раздражать клиента допросом о его номере паспорта, девичьей фамилии матери, адресе и т. д. Нужно отдавать себе отчет, что ни один мошенник не будет ждать завершения процедуры «свяжитесь с банком-эмитентом» и если в Банк поступил звонок, будьте уверены, что это проблемы у клиента банка, а не у мошенника. И ему нужно как можно быстрее помочь. Конечно, можно ввести некоторые процедуры на авторизацию крупных покупок, но они все равно требуют более длительного оформления и в магазине, а несколько вопросов от банка не повредят.