Издержки карточной системы 17.02.2004 Родион Насакин
Решения сверху Рассмотренные выше виды фрод-мониторинга можно назвать средством самообороны Интернет-магазинов и платежных систем. Впрочем, они не в одиночку сражаются с жуликами. Представители МПС, в частности Visa, прекрасно понимают, что ситуация с чарджбеками существенно снижает популярность карточных платежей в Сети. Однако отмена возможности отказа от платежа вызвала бы такой же подрыв авторитета МПС среди держателей карт. Для решения проблемы с учетом интересов сторон, стоящих по обе стороны виртуального прилавка, Visa в разное время выдавала революционные решения. Среди наиболее значимых можно отметить введение технологий обеспечения безопасности SET (Secure Electronic Transaction) и 3D Secure. MasterCard тоже не сидела сложа руки и выпустила свой аналог 3D Secure — технологию SPA/UCAF (Secure Payment Application/Universal Cardholder Authentication Field). Стандарт SET имеет две разновидности: полный и неполный (MIA SET). При этом защищает продавца от покупателя только полный, поскольку он подразумевает использование продавцом и покупателем специального ПО и так называемого SET-сертификата, служащего, по сути, аналогом электронной цифровой подписи (ЭЦП). Сертификаты «прилагаются» к пластиковым картам, которые поддерживают стандарт, а также выдаются Интернет-магазинам. При авторизации уникальные ключи сертификатов магазина и клиента передаются платежной системе, и покупатель уже не сможет откреститься от сделки, поскольку «подпись» какую-никакую он все же оставил. К сожалению, карты с поддержкой SET эмитируют далеко не все российские банки. Самым известным эмитентом SET-карт в России является Альфа-банк. В том случае, если у клиента нет карты с поддержкой SET, применяется MIA SET. Сертификат в этом случае имеет только магазин, и соответственно стандарт обеспечивает лишь безопасность покупателя от нечистого на руку продавца. Но это уже тема для отдельной статьи. По данным ASSIST, при использовании этой технологии уровень чарджбеков составляет 0,1–0,2%. Однако стоимость внедрения SET достаточно высока, а потому стандарт не получил массового распространения. Тогда Visa предприняла попытку номер два и анонсировала 3D Secure. Основная идея технологии заключается в том, чтобы переложить заботы о чарджбеке с больной головы на здоровую. Причем «перекладывание» происходит в три приема. Ответственность за факт чарджбека снимается с Интернет-магазина и возлагается на банк-эквайер, последний передает банку-эмитенту реквизиты карты, с которой был отозван платеж, а эмитент, в свою очередь, начинает выяснять отношения со своим клиентом. В 3D Secure используется пароль, который банк-эмитент выдает клиенту. При авторизации платежная система посылает эмитенту запрос. Банк связывается с покупателем, запрашивает у него пароль и информирует платежную систему об ответе. Для обеспечения безопасности покупателя его банку предъявляется 3D Secure-сертификат магазина. И теперь, если клиент решит сделать чарджбек, банк-эмитент уже не сможет уведомить эквайера, что надо бы вернуть деньги, а вынужден будет выплачивать их сам. Правда, только в том случае, если клиент сможет убедительно рассказать и доказать свои слова в суде, каким образом пароль, известный только ему и банку, стал достоянием злоумышленника. Недостатком 3D Secure является то, что стандарт должен поддерживаться одновременно покупателем, эмитентом, эквайером и Интернет-магазином, что случается вовсе не сплошь и рядом. У нас эта технология запущена совсем недавно, и никаких определенных выводов о ее успешности сделать пока нельзя. Решения на местах Среди других важных мер, предпринятых отечественными платежными системами, можно отметить выпуск пластиковых карт ASSIST, не привязанных к конкретному банку-эмитенту, и использование технологии CyberPOS. Платежи при помощи карт ASSIST поддерживаются большим числом магазинов, подключенных к системе. Каждой карте присвоен идентификатор (AssistID), который, впрочем, аналогично номеру кредитной карты может быть похищен. Но при прохождении авторизации на сервере ASSIST покупателю нужно ввести ID плюс четыре цифры pin-кода карты. Поскольку мошенникам неизвестны pin-коды карт, если только мошенник не является законным владельцем карты, сделка сорвется. Впрочем, не раз бывало, что при краже кредитной карты злоумышленнику доставался и pin, поскольку владельцы носили бумажку с кодом вместе с картой. Но против такой безалаберности наука бессильна. Карты ASSIST выпускаются с августа прошлого года, так что и здесь рано делать какие-либо выводы, однако идея хорошая. Также нельзя пройти мимо технологий российской платежной системы CyberPlat. Ее подсистема CyberPOS, ориентированная на карточные платежи, напоминает технологию SET, но с некоторыми отличиями. Во-первых, Интернет-магазину, работающему с CyberPlat, не нужно внедрять никакого дополнительного ПО. Во-вторых, ЭЦП может получить любой покупатель независимо от того, где была эмитирована его карта, просто пройдя регистрацию в системе. По аналогии с полным и неполным SET платежи в CyberPOS делятся на CyberPlatPay (для покупателя с ЭЦП) и «стандартные». У CyberPlat есть одно немаловажное достоинство — Интернет-магазину не нужно отдельно оплачивать CyberPOS. Но остается и недостаток — при «стандартном» платеже через CyberPOS безопасность продавца не обеспечивается. А в результате… В результате сейчас, когда для многих держателей карт стали привычными Интернет-магазины, Интернет-казино, Интернет-биржи и прочие прелести электронной коммерции, и страх сообщать свои карточные реквизиты платежным системам стал понемногу исчезать, бояться начали сами продавцы. Средний уровень чарджбека в Интернете составляет 0,5–2,5%, причем в странах повышенного риска (см. выше) он ближе к верхнему рубежу. Visa и MasterCard применяют штрафные санкции к некоторым продавцам (в основном к тем, чей товар относится к категории high-risk), когда возврат денег превышает 1%. При этом штрафы, мягко говоря, немаленькие и могут доходить до 100 тысяч долларов. Для большинства российских Интернет-магазинов упущенная выгода от приема кредитных карт во много раз меньше, отсюда вывод: а стоит ли рисковать? Не проще ли купить «аттестат доверия» у одной или нескольких электронных платежных систем (WebMoney, E-Port, Яндекс.Деньги) и торговать, используя электронную наличность? Количество торговых точек в отечественной части Интернета постоянно растет, и наверняка их владельцы задают себе те же вопросы. Как ответ, в лучшем случае появляются различные ограничения на максимальную сумму транзакции, а то и вовсе отказы в обслуживании клиентам, не имеющим сертификата SET или же ЭЦП CyberPOS. А в худшем — Интернет-магазины вообще перестают принимать кредитные карты. Но думается, что не все так мрачно. Сейчас объем карточных транзакций превышает 90% от общего оборота в системе ASSIST. Так что позиции карточных платежей еще сильны даже в России. К тому же всегда есть вероятность появления deus ex machina для спасения «карточной» индустрии в Интернете. Возможно, Visa и Master Card, наконец, оставят кнут в покое и начнут использовать пряники, желательно не золотые по цене, как это было с SET. Именно таким пряником вполне может оказаться 3D Secure. Или же светлые головы изобретут новый защитный алгоритм, пропускающий лишь мизерные 0,01% фрода. Западные представители е-бизнеса уже давно смирились с чарджбеками как с неизбежным злом и просто закладывают 2% фродовых убытков в стоимость продаваемой продукции. Возможно, со временем смирятся с этим и их российские коллеги. Будущее покажет.
|