Штрафы, которые действуют сейчас в платежной системе, по мнению представителей Национальной системы платежных карт (НСПК), слабо мотивируют банки инвестировать в антифрод. Существенное повышение штрафных санкций позволит по-другому взглянуть на проблему
НСПК запустила новый формат общения с антифрод-специалистами кредитных организаций и 25 апреля 2024 года провела первый Форум «АНТИФРОДУМ-2024».
Олег Тишаков, исполняющий обязанности генерального директора НСПК. Фото: НСПК
Олег Тишаков, исполняющий обязанности генерального директора НСПК, приветствовал собравшихся: «Мы с вами вместе уже почти 10 лет. С 2014 года развелось достаточно большое количество электронных платежных сервисов, количеством и качеством которых не могут похвалиться даже некоторые развитые зарубежные страны. Но развитие платежного рынка налагает определенные обязательства на его участников в части борьбы с мошенничеством. Развитие, например, биоэквайринга в этой связи как несет блага, так и открывает новые аспекты для мошенников. Мы собрались здесь, чтобы выработать ответные меры».
Вывод токсина мошенничества
Лидер направления «Антифрод» НСПК Алексей Ипатов предложил сравнить деятельность собравшихся в зале специалистов по антифроду с работой биохимиков, перед которыми поставлена задача найти новый химический элемент, благодаря которому удастся «вывести токсин платежного мошенничества из нашего общества». Отличие этого элемента от всех остальных заключается в том, что он многокомпонентный, как и сама борьба с фродом. В нем есть и элемент вознаграждения добросовестным участникам, и система штрафов для нарушителей. Почему это актуально? А потому, что проблема усложняется и становится более комплексной.
Алексей Ипатов, лидер направления «Антифрод» НСПК. Фото: НСПК
Собираемая НСПК с участников карточного платежного рынка информация благодаря Системе информирования о мошенничестве (СИоМ) рассчитывает один из ключевых параметров оценки эффективности антфирод-системы: отношение суммы мошеннических операций к обороту каждого участника (BP, base point). Весь 2023 год НСПК работала над улучшением процедуры репортинга (повышения качества информирования о мошенничестве со стороны банков в адрес НСПК). Благодаря этому удалось понизить долю операций с мошенничеством, которая не попадала в СИоМ, с 40% в 2022 году до примерно 10% к концу 2023-го.
И что же удалось увидеть благодаря новым данным в СИоМ и сокращению срока их предоставления в НСПК с 30 до 15 дней? Сумма заявленных мошеннических операций, по версии «Ведомостей», за 2023 год достигла 1,98 млрд рублей. Заметный рост по сравнению с предыдущим годом связан как с улучшением качества репортинга, так и с не прекращающимся валом мошенничества. Его уровень составил 1,03 б.п. (базисных пункта) против 0,71 б.п. в 2022 году, где 1 б.п. равен потере 1 копейке на 100 рублей покупок. 90% хищений связано с социальной инженерией либо с компрометацией данных и последующей реализацией мошеннических схем.
Среди трендов, которые в НСПК увидели в 2023 году, — существенный рост мошенничества, сопряженного со снятием средств в банкоматах.
Он связан с тем, что одураченные люди сами снимают довольно крупные суммы денег и вносят их на счета и токены социальных инженеров. Доля мошеннических действий, заявленных банками, в 2023 году возросла с 15 до 30% всех таких операций. По словам спикера, вернулись на рынок лжеброкеры вкупе с липовыми сотрудниками колл-центров, «старшими и главными сотрудниками служб безопасности банков», а также фиктивными юристами и адвокатами, которые всегда на страже интересов клиентов, когда уже вернуть что-то просто невозможно.
Еще одним трендом стало возвращение ранее популярной у мошенников схемы с подключением фиктивных торгово-сервисных предприятий, где потерпевшей стороной оказывается банк эквайер, так как в этом случае в мошенничестве замешаны как держатель карты, так и владелец терминала. Этим списком придумки мошенников в карточном фроде не ограничиваются, все идет по раскручивающейся спирали, где хорошо забытое старое иногда становится новой реальностью.
По операциям в СБП, репортинг по которой осуществляется в ФинЦЕРТ Банка России, к сожалению, также виден рост мошенничества, «пока некритичный, но обращающий на себя внимание специалистов».
Рублем по токсину
Какие заслоны мошенникам можно поставить со стороны финансового сообщества? По словам заместителя директора операционно-технологического департамента НСПК Георгия Дорофеева, Банк России активно участвует в разработке стандартов в области фрод-мониторинга, в этом же направлении двигается и НСПК. Это проявляется, во-первых, в уже произошедшем снижении с 50 BP до текущих 5 BP контрольной величины по уровню мошенничества на стороне эквайера. Во-вторых, во втором квартале 2024 года ожидается ввод контроля уровня мошенничества в разрезе торговых точек (ТСП). Третья и четвертая меры предполагают ужесточение штрафных санкций.
Георгий Дорофеев, заместитель директора операционно-технологического департамента компании НСПК. Фото: НСПК
В частности, с 1 мая 2024 года, если торговая точка в течение месяца нарушит предельный уровень фрода (25 б.п., количество мошеннических кейсов составит 25 и более операций, а сумма мошеннических операций превысит 250 тыс. рублей), банку-эквайеру будет выставлен штраф. Во второй половине 2024 года НСПК увеличит штрафы за нарушение правил платежной системы «МИР» по фрод-мониторингу: без этого увеличения сложно мотивировать участников рынка лучше бороться с мошенничеством.
Наконец, для увеличения возможностей по возврату похищенных средств банк-эмитент с конца 2024 года сможет опротестовать операции, если ТСП три месяца подряд находилось в штрафной зоне либо если показатели фрода превышены в четыре раза — до 1 млн рублей за месяц. Для реализации этого функционала будет запущен специализированный сервис «Окно опротестований» на базе платформы «Диспут +».
Что касается планов развития СИоМ, то со второй половины 2024 года система будет работать и для операций с СБП. При этом необходимость внесения информации о мошеннической активности можно будет продолжать делать в сторону ФинЦЕРТа. Это позволит более точно настраивать инструменты фрод-мониторинга НСПК.
Помимо этого, планируется реализовать функционал СИоМ-СБП (по «МИРу» уже реализован) внешнего интерфейса (API), благодаря чему появится возможность автоматизировать процессы занесения информации в систему. Затем будет создан сервис, который позволит банкам оперативно узнавать о счетах дропов, которые у них открыты.
Риски эквайринга
Виталий Лихачев, руководитель Центра обеспечения операционно-технологического соответствия участников ПС «МИР», напомнил, что еще одним видом мошенничества, с которым НСПК намерена усилить борьбу, являются махинации с МСС-кодом (Merchant Category Code). МСС — четырехзначный код, который присваивается продавцу банком-эквайером в зависимости от того, какие товары или услуги он предлагает. От него зависят условия кешбэка, а также размеры межбанковского вознаграждения.
Виталий Лихачев, руководитель Центра обеспечения операционно-технологического соответствия участников ПС «Мир». Фото: НСПК
Неудивительно, что ТСП иногда пытаются указать эквайеру неверные коды, чтобы снизить стоимость обслуживания платежа (мискодинг). Поэтому в этом году НСПК планирует выпустить разъяснения по правилам присвоения МСС-кодов в различных платежных системах, в которых сегодня могут допускаться различные трактовки. Правила НСПК предусматривают штрафы для банков-эквайеров за мискодинг. Наведение порядка здесь может обернуться для добросовестных участников повышением операционной эффективности за счет снижения штрафов.
Николай Дош, директор по развитию цифровых продуктов компании «Фаззи Лоджик Лабс». Фото: НСПК
Что касается сотрудничества НСПК с внешними по отношению к финансовому сектору партнерами, то на примере компании «Фаззи Лоджик Лабс» стало понятно, что помощь ИБ- и IT-рынков никогда лишней не бывает. По словам Николая Доша, директора по развитию цифровых продуктов этой компании, до 97% мошеннических операций являются гибридными, происходящими на стыке кросс-каналов. И мало у кого на нашем рынке сейчас внедряется единый кросс-канальный антифрод. НСПК не имеет внутри себя всей информации, но она есть у иных участников. Поэтому интеграционные процессы с ними сегодня ничуть не менее актуальны, чем любые другие меры.