На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если транзакция без присутствия карты проведена не с использованием защищенного протокола, то ответственность за мошенничество возлагается на банк-эквайрер. Тем не менее до сих пор большая часть транзакций в Интернете проводится без использования безопасных протоколов. Часто для проведения транзакции в интернет-магазине достаточно просто номера карты, и, дополнительно, срока действия, кода верификации карты CVC2/CW2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов, которые, несмотря на запреты и требования безопасности (включая PCI DSS), хранят в своих системах номера карт, сроки действия, CW2/CVC2, иные данные, используемые при осуществлении транзакций.

Из сказанного можно сделать несколько важных выводов:

• возможна компрометация данных банковских карт после проведения легальных транзакций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую транзакцию, как правило, лежит на эмитенте.

Определим

Из формул (3) и (11) следует, что риск по транзакциям без присутствия карты:

4.3.3.4. Украденные и утерянные карты

До момента вступления в силу положений Закона «О национальной платежной системе» № ФЗ-161 в части ответственности банков по несанкционированным транзакциям ответственность за совершенные по утраченным или украденным картам транзакции, в соответствии с договором между банком-эмитентом и держателем карты, часто лежала на последнем. В связи с новыми требованиями закона риски по таким транзакциям банк должен учитывать и обрабатывать, полностью перенести его на клиента теперь не представляется возможным.

Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим

При наличии у злоумышленника утраченной карты не требуется изготовление подделки или использование скомпрометированных данных — и подлинная карта, и ее реквизиты доступны. Таким образом, Р^утр (исп | кпр) = 0 и с учетом (10) при условии использования поддельной карты либо в банкомате, либо в ТСП:

4.3.3.5. Использование данных клиента и информации по счету

Риск складывается из:

— риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета;

— риска, связанного с захватом уже открытого счета.

4.3.4. Расчет рисков для банка-эмитента

Для выявления мошенничества и принятия решений по подозрительным транзакциям в соответствии с полученными ранее результатами следует получить значения следующих величин:

— риск мошенничества по поддельным картам;

— риск мошенничества по транзакциям без присутствия карты;

— риск мошенничества по транзакциям, совершенным с помощью утраченных карт.

Установим следующие исходные предположения при получении количественной оценки рисков:

• имеется база данных совершенных мошеннических транзакций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового);

• имеются данные по всем транзакциям со всеми банковскими картами в платежной системе конкретного банка-эмитента;

• по каждой карте банка-эмитента имеются данные по истории всех транзакций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты;

• нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;

• каждая совершенная клиентом транзакция по карте увеличивает риск проведения мошеннических транзакций в дальнейшем за счет увеличения вероятности компрометации данных карты;

• вероятности обнаружения мошеннических операций с помощью системы мониторинга транзакций (далее — СМТ) в платежной системе зависят только от типа мошенничества.

Заданы критерии риска для оценивания:

Далее следует определить требования к СМТ при ее выборе и эксплуатации.

4.3.5. Системы мониторинга транзакций в платежной системе