Транзакции без присутствия карты

⇐ ПредыдущаяСтр 15 из 28Следующая ⇒

На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции - 3D Secure. Если транзакция без присутствия карты проведена не с использованием защищенного протокола, то ответственность за мошенничество возлагается на банк-эквайрер. Тем не менее до сих пор большая часть транзакций в Интернете проводится без использования безопасных протоколов. Часто для проведения транзакции в интернет-магазине достаточно просто номера карты, и, дополнительно, срока действия, кода верификации карты CVC2/CVV2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов, которые, несмотря на запреты и требования безопасности (включая PCI DSS), хранят в своих системах номера карт, сроки действия, CVV2/CVC2, иные данные, используемые при осуществлении транзакций.

Из сказанного можно сделать несколько важных выводов:

- возможна компрометация данных банковских карт после проведения легальных транзакций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

- если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую транзакцию, как правило, лежит на эмитенте.

Определим

, (11)

где - вероятность совершения мошеннической транзакции без присутствия карты,

- вероятность компрометации данных для проведения мошеннических транзакций без присутствия карты (номер карты, срок действия, CVC2/CVV2),

- вероятность использования скомпрометированных данных для проведения мошеннических транзакций,

- вероятность принятия данных для проведения транзакции без присутствия карты,

- вероятность обнаружения несанкционированной транзакции эмитентом.

Из формул (3) и (11) следует, что риск по транзакциям без присутствия карты:

, (12)

где - доступные средства на счете клиента для проведения операций без присутствия карты.

Украденные и утерянные карты

До момента вступления в силу положений Закона "О национальной платежной системе" N ФЗ-161 в части ответственности банков по несанкционированным транзакциям ответственность за совершенные по утраченным или украденным картам транзакции, в соответствии с договором между банком-эмитентом и держателем карты, часто лежала на последнем. В связи с новыми требованиями закона риски по таким транзакциям банк должен учитывать и обрабатывать, полностью перенести его на клиента теперь не представляется возможным.

Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим

, (13)

где - риск по транзакциям с утраченной картой без знания ПИН-кода,

- риск по транзакциям с поддельной картой при известном ПИН-коде.

При наличии у злоумышленника утраченной карты не требуется изготовление подделки или использование скомпрометированных данных - и подлинная карта, и ее реквизиты доступны. Таким образом, = 0 и с учетом (10) при условии использования поддельной карты либо в банкомате, либо в ТСП: