• в случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, то он обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента (часть 13);

• в случае если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции и клиент не направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента (часть 14);

• в случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента и клиент направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица (часть 15).

Таким образом, нормативные документы устанавливают требования к оценке рисков в платежной сфере, что, с одной стороны, приводит к необходимости их измерения, а с другой — к выбору адекватных средств и инструментов для их предотвращения или снижения до приемлемого уровня.

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь. Если переменные — качественные величины, то метрическая операция умножения не определена и в явном виде применять эту формулу нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза, уязвимость, цена потери. При этом

тогда:

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

— экспертные оценки;

— статистические данные;

— учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят.

Риски, связанные с мошенничеством в платежной системе, могут быть оценены количественно, потому что они связаны с проведением несанкционированных транзакций по счету клиента банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен

где Р_мош — вероятность проведения мошеннической транзакции по карте,

S_сум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).

Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических транзакций, поскольку величина доступных средств на счете клиента банка известна.

В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мошенническая транзакция может быть совершена при одновременном выполнении следующих условий (рис. 4.2):

— компрометация данных карты — скомпрометированы данные магнитной полосы карты и (или) ПИН-код, ее реквизиты и (или) пароль для операций безопасных платежей в Интернете 3D Secure;

— использование данных карты — для мошенничества по поддельным картам это означает изготовление карты, которая может быть принята к оплате в торгово-сервисном предприятии (ТСП) или банкомате;

— инициирование транзакции — злоумышленник инициирует транзакцию с использованием поддельной карты или скомпрометированных реквизитов;

— завершение транзакции — для операций, проводимых в режиме реального времени (онлайн) это означает авторизацию эмитентом, для операций офлайн — проведение операции по счету карты.

Рис. 4.2. Этапы совершения мошеннической транзакции

Из вышеизложенного следует, что вероятность проведения мошеннической операции Р_мош с учетом формул условной вероятности и (1) можно определить следующим образом:

где Р (кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической транзакции,

P (исп | кпр) — вероятность использования скомпрометированных данных (например, для изготовления поддельной карты),

Р (поп | кпр · исп) — вероятность проведения несанкционированной транзакции (успех попытки проведения);

Р (обн) — вероятность обнаружения несанкционированной операции эмитентом.

В соответствии с общепринятой классификацией существуют следующие типы мошенничества:

1) использование неполученных карт;

2) использование поддельных карт;

3) проведение транзакций с использованием реквизитов карт;

4) использование украденных или утерянных карт;

5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;

6) другие виды мошенничества.

Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа. Далее рассмотрим особенности мошеннических транзакций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Р_мош по формуле (2).

Данный риск существует для банка-эмитента в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем.