Когда мы расплачиваемся картой в обычной торговой точке, то в «пластиковой» операции задействованы три основных участника: магазин, банк-эквайер, принявший карту, и банк-эмитент, ее выпустивший, а также три процессинговых центра (эмитента, эквайера и платежной системы), обрабатывающие транзакции. Когда же карта используется в интернет-магазине, то участников процесса становится на один больше. Появляется интернет-процессинг (ИП), выполняющий функции технического провайдера. Он передает данные об операции от торговой точки к банку-эквайеру (обычный магазин напрямую общается с эквайером). Тот через платежную систему проверяет наличие необходимых средств и, если их достаточно для покупки, сообщает об этом через ИП электронному магазину, а банку-эмитенту направляется запрос на списание средств со счета владельца пластика. По завершении оплаты товара с помощью карты транзакции присваивается специальный авторизационный код, а ИП сообщает торговой точке о том, что заказ оплачен. После этого магазин уже может выполнять свои обязательства по передаче товара клиенту.
Интернет-процессинг необходим, так как операции в сети подвержены высоким рискам и в целях безопасности применяются более сложные меры защиты. Например, ИП «прячет» от магазина конфиденциальную информацию о карте, а передает только имя пользователя, авторизационный код и номер покупки. Из-за отсутствия достаточной технической базы кредитные организации не могут использовать собственный процессинговый центр в интернете — во всяком случае обнаружить такой банк «Ф.» не удалось.
По словам главы российского представительства Chronopay Ивана Глазачева, ИП может работать с эквайером не напрямую, а через еще одного посредника — межбанковский процессинговый центр. В его роли может выступать, например, Компания объединенных кредитных карточек (UCS), входящая в состав холдинга «Интеррос». UCS могла бы полностью заменить эквайера, но у нее нет банковской лицензии, поэтому проводить платежи компания не имеет права — за нее это делает Росбанк, также близкий к «Интерросу».
Мошеннический рай. Процедура расчета банковской картой в глобальной сети — сложный процесс. У его участников возникает множество проблем. Скажем, зачастую сделки совершаются между покупателем и продавцом из разных государств, и товар может быть продан в страну, где он запрещен — на таможне его могут арестовать, и покупатель потеряет свои деньги. Причем в данном случае речь не идет об оружии и наркотиках. Скажем, в Литву нельзя ввозить корвалол и валокордин.
Банк-эквайер и электронный магазин легко могут пострадать от недобросовестных партнеров, которые используют способ проведения платежей под названием «агрегация». По словам Ивана Глазачева, данная схема разрешена платежными системами, но лишь при соблюдении определенных правил, которые аферисты, разумеется, нарушают. Обычно они работают следующим образом. Допустим, есть абсолютно легальная торговая точка, которая продает, например, книги. Она обращается в банк-эквайер, представляет все необходимые документы и подписывает договор об обслуживании платежей с помощью пластиков. Торговую точку подключают к системе, и ей открывается счет. Но через него проходят не только законные «книжные» транзакции, но и операции, проводимые другими магазинами. Получается, что через один счет работает не один электронный торговец, а несколько, среди которых могут быть и те, кто продает запрещенные товары. Все это продолжается до тех пор, пока банк или международная платежная система не заметят это «безобразие». Тогда средства на счете блокируются, и все «побочные» магазины остаются без денег — если не докажут, что работали без нарушений законов.
«От нелегальной агрегации может легко пострадать и сам эквайер, — рассказывает Иван Глазачев. — Например, пару лет назад было несколько громких историй, связанных с интернет-казино. Для каждого из них должен существовать определенный дискриптор (классификационный код), как и для любого вида бизнеса, работающего в глобальной сети. Если казино правильно кодировано (ему присвоен нужный дискриптор), то ни одна операция из США, где игра в онлайн-казино запрещена, не пройдет».
С помощью агрегации нелегальные казино «прикрываются» магазинами с разрешенными дискрипторами. В итоге транзакции проводятся с нарушением правил платежных систем, за что они могут оштрафовать банк (один из латвийских кредитных институтов был оштрафован на $4 млн), а то и вовсе лишить права оказывать услуги эквайринга.
Попасть на крючок. Владелец карты тоже может пострадать от агрегации, если он произвел оплату, но не успел получить товар до того, как деньги на счете магазина или банка были заблокированы. Рискует клиент и нарваться на мошенников, которые заманивают покупателей в магазин, на самом деле ничего не продающий, а только собирающий данные пластиковых карт для их дальнейшей подделки. Не так давно ЦБ сообщил, что в интернете участились случаи появления web-сайтов, на которых предлагаются различные финансовые услуги с использованием банковских карт. Чтобы оплатить заказ, покупателям приходится указывать реквизиты карт, включая пин-код. Передача конфиденциальной информации велась без использования защищенных каналов передачи данных. Как уверяют в ЦБ, «это и ряд других признаков, характеризующих работу подобных web-сайтов, дает основание полагать, что такими предложениями маскируются мошеннические действия, известные как «фишинг», то есть «заманивание» пользователей c целью раскрытия конфиденциальной информации». Центробанк призывает кредитные организации рассказывать клиентам-держателям карт о мерах безопасности при их использовании в глобальной сети. Если проблему признал регулятор, это свидетельствует: она уже приняла угрожающий характер. Ведь о фишинге российские клиенты узнали как минимум два года назад («Ф.» № 44, 2004).
Генеральный директор компании «СекьюрИТ» Алексей Раевский советует расплачиваться картой в сети крайне осторожно. Обязательно нужно проверить информацию о самом интернет-магазине, а также о его партнерах. Необходимо узнать, каким образом защищены каналы, по которым производится обмен информацией. «Если покупатель видит, что интернет-магазин работает с процессинговой компанией, использующей протокол 3D Secure от Visa или SecureCode от MasterCard, то есть применяются хотя бы стандартные методы защиты, это уже значительно снижает риск мошенничества, — рассказывает Алексей Раевский. — Эти протоколы предусматривают дополнительную проверку покупателя-владельца пластика — он вводит пароль, позволяющий совершить покупку, на сайте своего банка, а не торговой точки».
Если на странице виртуального торговца в сети вы обнаружили логотипы этих протоколов, уверенности в том, что вас не обманут, должно прибавиться. По мнению Алексея Раевского, не лишним будет проверить, является ли партнер магазина сертифицированным сервис-провайдером, список которых публикуют на сайтах платежных систем Visa и MasterCard. Кроме того, сами процессинговые компании могут предлагать дополнительные способы защиты (фильтры), которые тоже снижают риски мошенничества.
Кто кому платит. Из-за высокого уровня мошенничества правила платежных систем по работе с картами занимают несколько тысяч страниц. За невыполнение требований процессинговая компания или банк-эквайер могут быть оштрафованы, а в ряде случаев им могут даже запретить обрабатывать платежи. Однако, несмотря на все проблемы, количество отказов по платежам за товар, приобретенный в глобальной сети, обычно не превышает количества успешных транзакций — в противном случае этим бизнесом никто бы не занимался. «Для снижения числа возможных отказов каждый магазин в глобальной сети или процессинговая компания обычно имеют службу поддержки клиентов, — рассказывает Иван Глазачев. — Туда может обратиться с вопросами любой покупатель и выяснить, на какой стадии выполнения находится его заказ».
Как пояснил Иван Глазачев, доходы, полученные от обслуживания карт в интернете, распределяются по следующему принципу: те участники цепочки, которые занимаются финансовой стороной вопроса, выставляют комиссию в виде процента от суммы успешных транзакций. Партнеры, отвечающие за техническое обслуживание (ИП), запрашивают комиссию меньшую, но за все транзакции — даже если часть из них не будет осуществлена.
Расчеты происходят следующим образом: интернет-процессинг взимает с торговой точки плату в размере 1-1,5% от суммы транзакции плюс фиксированная плата за каждую успешную транзакцию, например по 0,4 евро. Параллельно магазин выплачивает эквайеру в среднем 3%, ведь с ним, как и с ИП, у торговой точки тоже заключен договор. Эквайер расплачивается с платежными системами, оставляя им 1,25-1,8% от суммы транзакции. «Такая сложная схема образования цены услуги объясняется большим количеством независимых компаний, задействованных в цепочке проведения одного карточного платежа», — объясняет Иван Глазачев.
Обязательная рекомендация
Протокол 3D-Secure, как и прочие свои программы безопасности, активно продвигают платежные системы Visa и MasterCard. С 1 апреля 2003 года Visa, а с 30 июня 2004 года — MasterCard ввели принцип переноса ответственности по операциям в интернете. При возникновении мошеннических операций с картой ущерб возмещает тот банк, который не использовал рекомендуемую технологию безопасности. Помимо оплаты убытков «провинившийся» банк оштрафуют на сумму до $100 тыс.
Журнал «Финанс.» № 28 (165) 24-30 июля 2006 — Услуги для бизнеса
Наталья Логвинова
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.