Оплата по реквизитам карты Card Not Present (CNP-фрод)
Платежная транзакция, совершаемая без предъявления карты, т.е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction.
Такая транзакция совершается по указанию держателя карты, данному устно или письменно (факс, электронная почта и т.д.). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Серьезных мошенников интересует прежде всего покупка дорогого и легко реализуемого товара по реквизитам краденных банковских карт. Сегодня таким товаром являются компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны и аксессуары к ним, прочие гаджеты. Однако физический товар требует реального адреса для доставки и получить его должно конкретное физическое лицо по предъявлении документа, удостоверяющего личность. Поэтому с точки зрения преступника эта схема рискованна и реализуема только через подставное лицо. Менее требовательные мошенники из числа компьютерных хулиганов довольствуются покупкой софта и мультимедийного контента, доступного для скачивания посредством Интернета, для покупки которых не требуется адрес доставки. Суммы таких операций не превышают 100 долл., но доставляют проблемы эмитенту в случае массового характера. Подобные разовые операции возможно опротестовать претензионными процедурами, массовые случаи могут потребовать предметного разбирательства непосредственно с банком-эквайрером и с привлечением платежных систем, когда торговую точку поставят перед выбором: или прекращать прием карт в оплату или совершенствовать защитные меры.Качественно высокого уровня безопасности в e-commerce операциях позволяет добиться использование протокола 3D Secure, известного также как MasterCard SecureCode и Verified by VISA. Данная технология обеспечивает взаимную аунтентификацию всех участников электронной сделки: держателя карты, ТСП и банка-эквайрера. Однако существенные финансовые затраты на сертификацию для банков-эквайреров являются сегодня сдерживающим фактором для массового продвижения этой технологии.
Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т.п. С держателя карты без предварительного уведомления ежемесячно начинают списывать по нескольку долларов за подобные услуги. Эмитентом такие операции успешно опротестовываются.
Актуальны случаи, когда недобросовестные сотрудники турагентств бронируют номера в гостиницах за границей по случайно попавшим в их поле зрения реквизитам карт с целью получения въездных виз клиентам с индивидуальными турами. После получения визы эти лица не утруждают себя отменить бронь номера, и с законного держателя карты гостиница удерживает стоимость проживания за сутки, так называемое «no show fee».
Помимо финансовых затрат со стороны банка на фрод-мониторинг, страхование рисков, оплату высококвалифицированных специалистов по претензионной работе мошенничество влечет невосполнимые репутационные риски. Даже сам факт возможности мошенничества является сильным сдерживающим фактором популяризации оплаты товаров и услуг в сети Интернет по банковским платежным картам.
По данным НАФИ, лишь 18% россиян совершают покупки в сети Интернет, 36% из них используют для оплаты товаров и услуг банковские платежные карты. Webmoney и Яндекс-деньги популярны у 54 и 49% опрошенных.
Мероприятия по противодействию мошенничеству:
•обучение держателей карт мерам безопасного обслуживания карт, в частности не передавать реквизиты карты третьим лицам. Рекомендации клиентам использовать для оплаты товаров и услуг в Интернете только специализированные карточные продукты типа «виртуальная карта» (Virtual card);
•контроль за транзакционной активностью ТСП, периодическая проверка соответствия деятельности ТСП заявленной им при заключении договора с банком-эквайрером;
•выполнение со стороны банка-эмитента и банка-эквайрера требований PCI DSS по сокрытию информации о платежных реквизитах карт в электронных базах данных;
•использование фрод-мониторинга авторизационного трафика;
•переход участников электронной коммерции на использование протокола 3D Secure.