Чем грозит стертый CVV-код, официанты-мошенники и фальшивый банкомат. Интервью с экспертом по банковской безопасности

Мошенники придумывают все новые и новые способы украсть деньги с банковских карт. Но благодаря современным технологиям деньги под надежной защитой. Человеческий фактор продолжает оставаться основной причиной утечки персональных платёжных данных. Редакции «Банки сегодня» удалось пообщаться с Павлом Чеботаревым, руководителем Управления по развитию инициатив в области финансовых технологий ПАО «Совкомбанк». Эксперт ответил на вопросы о том, как современные технологии стоят на страже финансового благополучия россиян.

– По мере распространения операций по картам, мошенничество с ними становится все более распространенным. В России и в мире мошеннические схемы носят одинаковый характер, или у нас есть какие-то особенности?

Павел Чеботарев

По данным платежных систем, банки РФ более эффективно защищают своих клиентов от мошенничества, чем во всем мире.

– Пройдёмся немного по теории. У каждой банковской карты есть определенные реквизиты: номер, срок действия, код CVV, фамилия и имя, ПИН код. Это все, или есть еще какие-то идентификаторы? Для чего нужны все эти данные?

Павел Чеботарев

Все эти данные и еще целый набор данных, зашифрованных в чипе карты, используются платежной системой в алгоритме проверки действительности этой карты и принадлежности карты к определенному банку, а банки используют эти данные для проверки принадлежности карты конкретному клиенту.

– По некоторым данным, ещё несколько лет назад на зарубежных можно было провести оплату, имея только номер карты – без ввода срока ее действия и кода CVV. Так ли это? Какие данные обязательны для ввода при оплате картой покупки в российском или зарубежном интернет-магазине? И насколько широко используется технология 3DSecure?

Павел Чеботарев

CVV код – это проверочная величина номера карты и срока ее действия. Так что, магазины, не требовавшие ввода этого кода, сильно рисковали продать товар по несуществующей карте. Сейчас, насколько мне известно, этот код проверяется всегда. Правила платежных систем регулируют разделение ответственности между банками за проведенные операции по картам. Так, например, если сайт магазина поддерживает проверку 3DSecure, а банк не предоставляет держателям своих карт такую услугу, ответственность перед держателем карты за мошенническую операцию будет нести банк, выпустивший карту. И, наоборот, если по карте подключена услуга 3DSecure, а магазин эту проверку не проводит, ответственность за мошенническую операцию понесет банк продавца товара. Поэтому все банки стремятся поддерживать услугу 3DSecure.

– В сети советуют сделать CVV код на карте нечитаемым – с помощью маркера или лезвия. Допускается ли это с точки зрения банков и платежных систем? Вправе ли продавец отказаться принимать к оплате такую карту?

Павел Чеботарев

Так лучше не делать. Внимательный продавец может признать карту недействительной и отказаться ее принимать при расчетах в POS терминале.

– Если предположить, что при оплате картой в ресторане официант-мошенник тайком сфотографировал карту с двух сторон. Чем в этом случае рискует владелец карты? Если бы CVV код был стерт, это помогло бы избежать рисков?

Павел Чеботарев

Если к карте подключена услуга 3DSecure, то мошеннику-официанту придется еще и телефон украсть, узнать пароль к нему и прочитать СМС. И, если вдруг мошенник не потрудился украсть телефон и нашел сайт, не поддерживающий 3DSecure, и что-то оплатил, то такую операцию довольно легко оспорить – нужно обратиться в банк, выпустивший карту, и банк, на основании заявления клиента, по регламентированной платежными системами процедуре вернет деньги.

– Зачем платежные системы вообще размещают CVV код на обратной стороне карты? Не лучше ли выдавать его в конверте, как ПИН код?

Павел Чеботарев

Этот код пишут на карте для удобства, чтобы не нужно было доставать отдельную бумажку из отдельного конверта для оплаты услуги в Интернет.

– Как показывают исследования, в 90% краж денег с карт виноваты их владельцы – теряют карты, небрежно относятся к своим персональным данным и т.д. Но кто виновен в остальных 10% случаев?

Павел Чеботарев

Реальный случай: В центре одного крупного города довольно продолжительное время стоял банкомат не известного банка. Люди вставляли в него свои карты в целях получения наличных денежных средств, и банкомат выдавал ошибку «Операция невозможна». Через некоторое время на банкомат обратили внимание сотрудники силовых ведомств и выяснили, что банкомат не принадлежит ни одному банку. Его установили мошенники, и в момент, когда в банкомат вставлялась карта и вводился PIN-код, мошенники получали информацию о карте, делали клон карты и воровали деньги. Кто виноват в этих кражах?

Защита средств клиентов банков от мошенников и повышение финансовой грамотности – это постоянная совместная работа банков и платежных систем.

– Если есть риск того, что данные карты скомпрометированы (украдены), то карта блокируется. А сколько по времени длится проверка после этого? Другими словами, на сколько клиент остается без доступа к своим деньгам?

Павел Чеботарев

Если карта компрометируется, банк в любом случае выпускает клиенту карту с другим номером. В большинстве банков клиент может получить карту с другим номером и доступ к своим деньгам в тот же день или на следующий рабочий день, также если банк, является участником Системы быстрых платежей, то денежные средства клиент сможет будет перевести с ее помощью в иной банк, в котором у него есть карта, так как перевод осуществляется с карточного счета (а не с самой карты).

– Правда ли, что при онлайн-оплате картой заполнение полей с именем и фамилией держателя – простая формальность? Обычно операцию удается провести, даже если в этих полях есть ошибки, а какие-то магазины вообще не требуют их заполнять.

Павел Чеботарев

В некоторых типах операции имя и фамилия играют ключевую роль. Без их ввода в приеме карты может быть отказано. При оплате на некоторых сайтах за границей дополнительно запрашивается адрес. Но, в большинстве случаев, имя и фамилия действительно не требуются для оплаты. Проверки легитимности использования карты (то, что именно владелец карты осуществляет операцию) проводятся другими способами.

– Может ли магазин за границей отказать в приеме карты, если имя в загранпаспорте и на карте отличается на одну букву?

Павел Чеботарев

Теоретически, могут, практически данных случаев на моей практике не было.

– Насколько мне известно, у платёжных систем имеется деление банковских операций на CNP (card not presented) – где карта не требуется и те, при которых карта требуется. Есть ли еще какое-то деление операций по банковских картам? При каких операциях риск мошенничества выше?

Павел Чеботарев

Основные градации таковы: CNP (Card not present) – Операция без физического присутствия карты, CP (Card present) – операция с физическим присутствием карты. Платежные системы также классифицируют операции по сумме, месту проведения, типу, порядку оформления и т.д. В каждом виде операции есть обязательные и не обязательные правила защиты и проверки, начиная от правил шифрования информации, заканчивая требованиями к оборудованию по приему карт. Платежные системы совместно с банками постоянно совершенствуют методы защиты операций от мошенничества.

– Насколько безопасны платежи через смартфоны с NFC (Android Pay, Samsung Pay, Apple Pay)? Есть ли вероятность, что данные карты могут утечь через зараженный вирусом смартфон?

Павел Чеботарев

При платежах через Pay-системы данные реальных карт не участвуют в операции и не хранятся в телефонах. Платежные системы продумали отдельное решение для защиты таких операций. Поэтому такие платежи вполне безопасны.

– Платежная система Visa увеличила лимит по оплате бесконтактной картой без PIN-кода до 3000 рублей. Насколько это рискованно?

Павел Чеботарев

С момента увеличения лимита прошло не значительное временя и сейчас рано говорить о какой-либо статистике.

– Последний вопрос – по кэшбэку. Ходят слухи, что банкам уже невыгодно его начислять и в скором времени кэшбэка в привычном виде уже не будет. Так ли это?

Павел Чеботарев

Если бы механика cash back была невыгоднаи не влияла на лояльность клиента и увеличение объема безналичных расчетов, то ее бы не использовали.

Сейчас мы наблюдаем трансформацию механики cash-back от самого простого – возврата части денежных средств, до более сложных механизмов с использованием элементов геймификации, позволяющих клиентам получить дополнительный бонус при выполнении определенных условий.

Это добавляет в чисто финансовые отношения между банком и клиентом положительных эмоций.

Спасибо за уделённое время участнику интервью!

Павел Чеботарев
Руководитель Управления по развитию инициатив в области финансовых технологий ПАО «Совкомбанк»