На карте мира, по версии глобальной платежной системы Visa, Украина — часть огромного региона CEMEA - вместе со странами Африки, Ближнего Востока и Центральной Европы. Лид-офис региона находится в Дубае, откуда в Киев прилетел глава департамента по управлению рисками Visa в регионе Гектор Родригес.
«Украинцы сами отдают мошенникам свои данные»
Это был его второй визит в Украину. Родригез провел в Киеве всего два дня. Приехал разговаривать. С клиентами, чиновниками и местным менеджемнтом Visa. Поговорить с главным рисковиком корпорации в регионе CEMEA удалось и «Минфину». Прежде всего — о безопасности безналичных платежей и технологиях, которые помогают бороться мошенниками.
Вы прилетели в Украину всего на два дня – что вы планировали сделать за это время здесь? О чем разговаривали с банками?
Среди прочего, – обсудить с нашими украинскими партнерами способы эффективной демонстрации преимуществ безналичных платежей. Мы заинтересованы в их росте, поэтому безопасность здесь играет важнейшую роль. Говорили и о том, что нужно делать, чтобы защитить держателей карт. В Украине, мы видим тенденцию увеличения случаев «социальной инженерии». Нам важно понимать, что сейчас можно с этим сделать. В том числе речь шла о медиа-кампании на эту тему для населения.
Это чисто украинская проблема или «социальная инженерия» — глобальная тенденция? Почему это столь развито у нас?
В Украине «социальная инженерия» только набирает обороты. Мошенники звонят, чаще всего, людям старшего возраста, и, представляясь сотрудниками банков или госслужащими, просят сообщить реквизиты карты, другую персональную информацию. Нередко люди сами отдают им эти данные. Нечто подобное мы наблюдали и на других рынках. Решить вопрос (хотя бы частично) помогла образовательная кампания.
С банками-партнерами и внутри команды рисков мы много говорили о том, как можно донести эту информацию до клиентов. Здесь важна и работа СМИ. Люди должны усвоить, что ни банк, ни представители официальных органов не имеют права обращаться к ним с просьбой сообщить секретные данные. Например, PIN-код или одноразовый пароль. В Украине пока об этом знают не все.
Вы говорите о местной команде рисков? Какие вопросы она решает и как происходит само принятие решений по нашей стране? Какие вопросы решает макроофис, который курирует все страны региона?
Есть команда, которая отвечает за безопасность безналичных платежей по картам Visa в странах СНГ и Юго-Восточной Европы — их 17. У нее есть все полномочия для принятия решений по развитию бизнеса. Со своей стороны, я всегда готов подключиться, если нужно, для решения сложных вопросов, продвижения каких-то инициатив или встреч с банками или с прессой.
Для своей команды я – ресурс, который они могут использовать для решения сложных бизнес-задач. Все это подчиняется глобальной цели Visa: переход к безналичным платежам. Для этого держатель карты должен быть уверен, что каждая транзакция защищена, а его личная информация в безопасности.
Как с этим успехи в Украине?
Надо сказать, что украинские банки проделали великолепную работу по внедрению платежных терминалов, которые принимают чипованные карты. С чипами работает 98% терминалов. Это очень хороший показатель, один из высочайших в нашем макрорегионе. Это открывает для нас большие возможности на украинском рынке, потому что процент транзакций (сhip on chip), то есть чиповая карта в чиповом терминале, в Украине довольно низок – всего 35%. Для сравнения, средний показатель таких операций по всему региону СНГ и Юго-Восточная Европа составляет 66%. Поэтому нам есть еще с чем работать здесь. Украинские банки пока нужно убеждать усиливать защиту своих клиентов с помощью чипованных карт.
Почему украинские банки не спешат выпускать чип-карты?
Украинский рынок имеет свою специфику. Здесь все начиналось с зарплатных проектов. Как таковых клиентских карт было очень мало. Большая часть граждан ограничивалась получением и снятием зарплаты. Поэтому и сейчас в Украине есть сильный перекос в сторону зарплатных карт. Банкам было дешевле работать по таким проектам с картами на магнитной полосе. Плюс небольшие зарплаты не очень мотивировали банки как-то еще сотрудничать с клиентами вне рамок зарплатных обязательств.
Но сейчас мы видим позитивную тенденцию: человек сам приходит в банк и оформляет карту для личных нужд. И банки, как правило, выдают ему чипованную карту. Карты премиум-класса практически все либо чипованные, либо бесконтактные. Но пока мы вряд ли будем показывать хорошие цифры по чипованным транзакциям: магнитных карт в Украине слишком много. Но один из факторов, который нам с этим поможет, — это принцип нулевой ответственности клиентов. Это должно мотивировать банки выпускать чипованные карты.
Принцип нулевой ответственности – понятно для чего это нужно и интересно клиентам. Но для чего это нужно Visa?
Мы хотим, чтобы потребители платили картами, а не наличными. Для этого нам нужны инструменты, которые делают платежи по картам безопасными. Это с одной стороны чипованные карты или технологии вроде Verified by Visa (VbV). С другой, - политика и процедуры, зная о которых потребители могут быть уверены в безопасности транзакций.
Цель принципа нулевой ответственности как раз в том, чтобы укрепить доверие потребителей к электронным платежам. Клиент должен доверять безналичным расчетам безусловно. Вне зависимости от того, платит ли он посредством телефона в POS-терминале или покупает что-то в интернете. Тогда он всегда будет отдавать предпочтение картам, а не наличным. В этом наш интерес.
Как нулевая ответственность работает на практике?
Принцип нулевой ответственности заключается в том, что клиент не отвечает за мошеннические операции с картой. Важно понимать, что это ни в коем случае не означает полную безответственность. Держатель карты не должен разглашать свои данные и обязан предпринимать разумные меры для защиты своих данных. Люди об этом не задумываются. Приведу пример. Недавно в Дубае на заправке видел, как мужчина банально поленился выходить из машины, чтобы оплатить топливо и просто сказал менеджеру свой PIN. В такой ситуации его уже ничто не может защитить, он сам, добровольно отказался от защиты своей личной информации.
А как Visa со своей стороны отслеживает соблюдение банками принципа нулевой ответственности, учитывая, что от воли клиента здесь мало что зависит?
Первое – банки должны в первую очередь руководствоваться законами своей страны, во вторую — правилами Visa. То есть речь о предписаниях Национального банка. Это очень важный момент. Второе – это условия сотрудничества Visa и банков. У нас есть операционные правила, которые определяют требования к банкам – эмитентам и эквайерам карт Visa, к порядку нашего взаимодействия. Кто хочет работать с нами, должен эти правила выполнять.
Что может дать клиенту со своей стороны сама Visa для обеспечения безопасности?
Есть стандарт EMV. Он существует с начала 90-х. Это — совместное решение Visa, EuroPay и MasterCard, прошедшее тестирование сначала на европейском рынке, а потом распространившееся на весь мир. Конечно, EMV меняется под влиянием времени. Сейчас это, по сути, сложный микро-процессор. EMV сегодня использует методы криптографии, сложные динамичные элементы, которые верифицируют каждую транзакцию. Еще у нас есть сервис проверки транзакций Verified by Visa для интернет-платежей на базе стандарта 3D-Secure для более надежных покупок в интернете. В последнее время большое внимание мы уделяем внедрению механизма токенизации для клиентов, которые пользуются мобильными платежами.
Что такое токен, если кратко? Зачем вообще это нужно потребителю?
Если простыми словами, токенизация – это один из наших ответов на технологический прогресс, еще один уровень защиты платежной карты. C развитием, так называемого «интернета вещей» потребители получили возможность платить не только картой, а и телефоном, часами или каким-либо другим гаджетом или даже предметом. Вместо того, чтобы пересылать уязвимые платежные данные при оплате, допустим телефоном, используется токен, который представляет из себя альтернативный номер вашей карты, но не является этим номером. При этом для каждого отдельного устройства, телефона, компьютера, часов или планшета, используется свой токен.
То есть платежная карта привязывается к мобильному устройству, но благодаря токен-сервису для каждого из этих устройств генерируется свой особый набор из 16 цифр, аналог номера карты, но отличный от него. Когда на одном из каналов происходит утечка данных (то есть попытка взлома), банку и платежной системе очень легко понять, где именно это произошло. Сгенерировать новый токен для атакуемого устройства не составляет труда. А для мошенника украденные данные не имеют никакого смысла.
Не слишком ли все это сложно для потребителя?
Токенизация – практически невидимая для конечного потребителя часть процесса оплаты. Но это основа будущих платежных инноваций, она открывает новые возможности для безопасных платежей – с мобильного, персонального компьютера, планшета, и любого другого устройства.
Токен-технология на самом деле очень проста в использовании, от потребителя требуется только скачать приложение, ввести туда свои данные и идентифицировать себя как клиента банка. Все остальное программа сделает самостоятельно. Смартфонами пользуется множество людей. Механизм оплаты такой же, как и бесконтактной картой – достаточно поднести телефон к терминалу. Все это – объективная реакция платежных систем на технологизацию общества. Мы даем людям возможность не ограничивать свои платежные возможности одним только пластиком. Вопрос в терминалах, которые могут принимать бесконтактные платежи.
Есть ли статистика по таким терминалам на украинском рынке? Какие у Visa планы по распространению вашей технологии PayWave по бесконтактным платежам?
Терминалов, которые могут принимать бесконтактные платежи сейчас около 90 000. Это более 50% всех торговых терминалов в Украине. Их количество растет по объективным причинам, поэтому в контексте токенизации нам не нужно готовить новую эквайринговую сеть, банки сами понимают, что это необходимо.
Ваш главный конкурент в Украине — MasterCard запустил проект по платежам картой в киевском метро. Почему в мире решения безналичной оплаты на транспорте не нашли должного распространения? Visa реализовывала что-то подобное в других городах?
Здесь нужно понимать, что у каждой страны своя уникальная система метро. То что, применимо в Киеве, не подходит, например, для Сан-Франциско. Для каждого города нужно внедрять особое техническое решение. Есть страны, где в метро установлены универсальные терминалы, там можно заплатить любой картой, в том числе и Visa. В Украине мы тоже работаем над этим. В каждом конкретном случае мы пытаемся подстроиться под уже существующее решение.
Вы много говорили о новых технологиях – действительно это сильно облегчает жизнь потребителям, но с другой стороны, это играет и на руку мошенникам, которые не стоят на месте, тоже становясь более «технологизированными». Что платежные системы могут противопоставить мошенничеству нового поколения?
Во-первых, мы уделяем особое внимание верификации транзакций. Для этого у нас есть сервис Verified by Visa для безопасности платежей в интернете. Это решение довольно хорошо принято мерчентами в Украине. На данный момент 40% банков-эмитентов поддерживают Verified by Visa и мы будем продолжать работать над продвижением такой возможности, потому что это действительно безопасно.
Что касается кибер-угроз, Visa управляет одной из крупнейших сетей электронных платежей в мире. Благодаря централизованной архитектуре системы VisaNet, мы можем видеть каждую транзакцию, которая обрабатывается в нашей сети. Используя такие сервисы Visa как Advanced Authorization, мы можем осуществлять скоринг рисков в режиме реального времени и практически предотвращать мошенничество еще до того, как оно случится.
У нас есть своя команда IT-специалистов, плюс мы активно сотрудничаем со спецслужбами – Секретной службой США, Интерполом, Европолом и другими для выявления мошенников международного уровня. Еще мы постоянно контактируем с производителями банкоматов и программного обеспечения и сообщаем им о новом вредоносном ПО – нам нужно точно знать, что их системы защиты максимально соответствуют современным требованиям.
Что вы подразумеваете под понятием «современные требования»?
Все это изложено в общем стандарте PCI DSS (Payment Card Industry Data Security Standard – ред.). Он учрежден совместно крупнейшими платежными системами мира и обязателен для выполнения всеми компаниями, которые с нами сотрудничают. Данный стандарт включает детальные требования к POS-терминалам, банкоматам, софту. Для нас принципиально важно, чтобы все участники платежного процесса, все компании, принимающие участие в обработке платежей, соответствовали требованиями стандарта PCI DSS для защиты финансовой информации потребителей.
Зимой, когда зашла речь о внедрении принципа нулевой ответственности, Visa предоставила украинским банкам некую систему фрод-мониторинга на основе нейросетей. Расскажите об этом более детально: как работает система и почему это эффективно? Почему украинским банкам это нужно?
Внедрять мы ее начали не зимой этого года, а раньше, причем лидеры рынка работали с системой еще до того, как мы объявили о принципе нулевой ответственности.
Как это работает: речь действительно о нейронных технологиях, когда система изучает модель поведения каждого конкретного клиента. Где он обычно покупает продукты, где снимает наличные, где тратит деньги на развлечения. Таким образом, у каждого из нас есть определенный поведенческий профиль, на основании которого каждой транзакции присваивается определенный коэффициент рисковости. Это не мониторинг в классическом виде, когда оператор банка смотрит на транзакцию и решает подозрительная она или нет, соответственно принимает или отклоняет ее. Здесь все делает программа. При этом ее вывод не ограничивается данными по одному клиенту. Система использует различную информацию, которая содержится в VisaNet – это глобальный процессинговый центр, куда стекаются данные по всем подтвержденным транзакциям со всего мира.
То есть если клиент из Украины поехал, к примеру, в Таиланд и мы видим оплату с его карты в точке, где уже ранее был зафиксирован случай мошенничества, система автоматически повышает коэффициент рисковости. Эту градацию банк получает вместе с авторизационным запросом на проведение операции по карте. А там уже все на его усмотрение – он может автоматически отклонять все операции с коэфициентами определенного уровня рисковости или принимать решение в частном порядке – созвониться предварительно с держателем карты и проч.
Каким, исходя из всего этого, вы видите будущее платежей – в глобальном смысле? Что должно измениться, чтобы рынок максимально смог приблизиться к некому идеалу с точки зрения потребителя? Как выглядит этот идеал?
Развитие рынка в ближайшем будущем будет упираться в тот же вопрос, что и сейчас – максимальное доверие потребителей. И мы, как платежная система, и банки работаем для потребителей. Они должны быть уверены, что использование наших инструментов и сервисов абсолютно безопасно для них. И мы со своей стороны тоже должны быть уверены, что их деньги, и информация о них находятся в полной безопасности. А потребитель при этом распоряжается ими так, как лично ему удобно. В этом смысле еще есть над чем работать. Это уже вопрос новых технологий.
Комментарии - 29
Я вот этот момент не понял. Я еду в Таиланд, хочу расплатиться за такси, гостиницу, билеты, да просто снять деньги в банкомате, а в этой точке уже была проведена мошенническая операция. Срабатывает «красный код», банк делает стойку и, к примеру, блокирует мой платеж, не смотря на моё подтверждение операции кодом от Визы. Я не могу расплатиться и меня забирают в полицию? Да и звонок в роуминге не дешевое удовольствие, даже входящий. Предупредить банк, что покидаешь страну, тоже не гарантия беспроблемности транзакций, учитывая недобросовестную работу некоторых сотрудников. Хоть бери и выпускай карту-приложение мошеннических точек для отъезжающих за рубеж.:)
Программа вначале формирует профиль клиента, скажем аналог кредитной истории (говорят что это профиль риска). Потом программа сравнивает каждую транзакцию клиента с его же профилем риска. В случае распознавания (значимая транзакция), программа обращается к сотруднику банка для отработки клиента (дозвон и т.д.).
Правда я не верю в эффективность «искусственного интеллекта».
Есть такой тест. Вы бросаете листочки с вопросами в окошко. А оттуда кто-то выбрасывает листочки с ответами. Если вы не догадаетесь что там сидит машина, то искусственный интеллект возможен.
Прога это не искусственный интеллект. Прога это набор логических процедур. А искусственный интеллект это перцептрон — машина которая не поддается программированию, но способна адаптироваться к среде, распознавать образы и т.д. То есть аналог нейронных сетей. Точка на карте это библиотека процедур. А распознавание поведенческих свойств клиента это не программирование. То есть я хотел сказать что на базе программирования они (ВИЗА) пытаются решить не логические задачи.
Пример. В Киеве завтра будет куплен билет в Насау (Лонг Айдленд, там сейчас красивая осень) за 26 000 грн. Но послезавтра в Таиланде сниму в АТМ еще 26 000 грн. Вопрос. Клиент сдал билеты и решил что краски осени в Индокитае все же в этом сезоне чуть ярче? Или просто кто-то банально украл базу данных?
:)
Немає ніякого «я приїхав до Таю і мені заблокували картку». Є сукупність ознак на якій алгоритм навчали. Якщо він спрацьовує, то картку блокують.
А транзакції і так тримаються на холді на строк до місяця
«я не верю в эффективность «искусственного интеллекта».»
А он реально помогает, ведь когда вы в Киеве вечером оплатили батон хлеба, а через пару часов в США по клону вашей карты пытаются расплатиться или снят кэш система должна сообщать банку о подозрительных транзакциях и это уже ответственность банка — блокировать такие транзакции или нет.
Мошенники почти всегда выбирают очень удачное время — когда в Украине ночь и дежурный сотрудник ИТ-безопасности просто спит на рабочем месте либо он работает только с 8 до 18. :)
Если посмотреть даже статистику по отзывам, то подавляющая часть мошеннических транзакций происходила именно ночью…
«Я вот этот момент не понял. Я еду в Таиланд, хочу расплатиться за такси, гостиницу, билеты, да просто снять деньги в банкомате, а в этой точке уже была проведена мошенническая операция.»
Сразу видно, что клиент никогда и никуда не выезжал реально…
Перед выездом в Таиланд вам надо купить турпутёвку, оплатить перелёт и если едете на срок более двух недель ещё и оплатить туристическую визу — предположительно всё это оплачивается пластиком, т.е. ВИЗА видит ваши действия по физическому перемещению в Таиланд.
Едете на меньший срок — оплачиваете стоимость визы в аэропорту и тоже пластиком — значит вы уже в Таиланде.
Забронированный номер в отеле покажет планируемый город вашего проживания и т.д. и т.п.
так что всё достаточно просто и прогнозируемо и конечно желательно предупреждать банк не только о выезде за границу но и желательно о конкретной стране пребывания…
Сразу видно тролля, как обычно строчащего посты за деньги, который даже не понимает, что ехать я могу не с одной картой и от разных банков. Ну блещите интеллектом дальше...:(
Придумайте что-нибудь более правдоподобное…
З.Ы. Возможно процедура сейчас изменилась.
Ваш же бред, что у человека только одна карта, одной платежной системы, которой он за все платит и благодаря этому та же Виза знает где находится держатель — это вообще ЭПИК ВИН!..
Не съезжайте с темы.
Вы начали с отдыха в Таиланде — вот по Таиланду вам и был дан ответ.
Теперь вы почему-то вспоминаете о Германии и всё сводите к получению визы…
Но мы ведь обсуждаем платёжную систему ВИЗА, а не получение виз (разрешений на въезд в страну) в посольстве Германии.
К сведению, у меня трёхлетний шенген. И если в скором времени не отменят визы для украинцев, буду оформлять пятилетний.
Напомню, в Украине укрбанки выпускают карты ТОЛЬКО двух международных платёжных систем.
И одна из них сегодня обсуждается…
Не съезжайте с темы.
Вы начали со слов, что я никогда и никуда не выезжал. При чем выделили это в отдельный абзац. Если хотите писать правильно, пишите — сразу видно, что клиент никогда не выезжал в Таиланд.… Тогда ваш спич будет обоснован, ведь я там действительно не был. А так, очередной съезд с темы, которую и начали сами.
К сведению о платежных системах, я уже написал, что вы глупы, раз не понимаете, что я могу оплатить здесь перечисленное вами(путевку, перелет, визу, отель) Мастером, а на «мошенническую точку» в Таиланде(пример, который привел Родригес), попасть с Визой. Или оплатить здесь Визой одного банка, а там воспользоваться Визой другого. Или оплатить Визой своей, а там своей Визой воспользуется жена, например, с теми же последствиями, что я предположил в своем первом посте. В общем общаться с вами по этому вопросу, это кормить тролля, ведь в суть вопроса вы даже не попытались вникнуть, а писать, давая вам подзаработать, мне наскучило.
Я был уверен, что вы напишите — «кэшем» и всё через турфирму. :)
А у вас фантазии хватило только на смену платёжной системы.
Если на Минфине нет интервью с представителем Мастеркард, который бы сказал, что они разработали аналогичную систему мониторинга, то вы уверены на 100% что в Мастеркард ничего такого нет и быть не может.
Конечно можно рассматривать не только вариант, когда владелец карты ВИЗА куда-то едет один и везде расплачивается одной картой системы ВИЗА.
Но даже в школах всегда приводят самые простые примеры и интервью журналистам не является исключением.
И если вы поняли смысл, заложенный в интервью, на простом случае его применения, то разобраться в более сложных вариантах не должно составить большого труда.
Ехать вы можете хоть со всеми картами всех 100 укрбанков.
Правда, карты НМСМЭП и самые простые и чисто гривневые — можете сразу оставить дома.
Значит поедете и с VISA и с MasterCard.
К сведению, у Мастеркарт тоже есть аналогичная система по построению «профиля» владельца карты со всеми вытекающими.
«как обычно строчащего посты за деньги»
Откуда такое неприятие у пенсионеров работающих украинцев, которые своим трудом зарабатывают деньги и ежемесячно отчисляют ЕСВ для выплаты этим же пенсионерам их пенсий.
А за отель вовсе наличными платил. Такое тоже бывает в наше время…
Если платят одним а с собой берут совершенно другой пластик, то для предотвращения получения всякого рода писем желательно сообщать банку о перемещении ваших пластиков за границы страны с указанием даты начала перемещения.
и если вы везде платите кэшем, то пластик тут не при делах.
Не парьтесь.
Значит это не ваше.
Как покупки через интернет.
Как отдых за границей.
Как путешествия по всему миру.
И это ещё не полный перечень всего, что вы не сможете сделать со своим карманным кэшем. :)
— хранения сбережений
— расчета за большие покупки (больше 100 тыс.грн.)
— полноценной оплаты за ком услуги, потомучто крайнего не найдешь, если платеж не дошел
— и т.п.
Всё зависит от выбранных целей в жизни и способов их достижения.
Я зарабатываю деньги в виде «белой» зарплаты, чтобы их тратить на семью — поэтому от фискалов и банков мне нечего скрывать.
А например у взяточников, берущих десятками и сотнями тысяч гривен и долларов взятки — цель другая — тратить исключительно кэшем и конечно сохранить эти «кровно заработанные» средства и желательно подальше от фискальных органов и банков, которые могут спросить о происхождении этих средств.