W Polsce oszustwa zdarzają się rzadko

Jest to jedna z wielu usług świadczonych przez First Data Polska polegająca na monitorowaniu transakcji kartowych, a skierowanych do wydawców kart, czyli do banków. Monitoring transakcji kartowych prowadzimy również dla transakcji kartowych dokonywanych w sieci własnej terminali POS należących do First Data Polska.

Posiadamy wysokiej klasy rozwiązania oparte na własnych rozwiązaniach informatycznych, a w chwili obecnej jesteśmy w trakcie wdrażania nowego systemu, który jeszcze bardziej ułatwi bankom efektywne monitorowanie fraudów w czasie rzeczywistym.

Tak nazywane są wszelkiego rodzaju oszukańcze transakcje kartowe. Monitoring transakcji jest jedną z podstaw zarządzania ryzykiem i zapobiegania oszustwom kartowym i nadużyciom.

Zarządzanie systemem monitoringu transakcji (czy fraudów) w głównej mierze polega na efektywnym zarządzaniu określonymi regułami opisującymi zachowania klientów w celu wyłapywania zachowań odbiegających od norm określonych w regułach.

W oparciu o komunikaty generowane przez system bank może sam zdecydować o podjęciu określonego działania - czyli np. chwilowo zablokować kartę albo skontaktować się z klientem.

W przypadku kontaktu z klientem jest to z reguły kontakt telefoniczny, ale są systemy, które umożliwiają taki kontakt poprzez SMS czy np. e-mail.

Zaawansowane technologicznie systemy monitoringu transakcji fraudowych pozwalają również na podejmowanie w trybie rzeczywistym podstawowych decyzji przez system w zakresie udzielenia zgody lub odmowy dokonania transakcji w oparciu o weryfikację reguł.

First Data posiada również system monitorowania transakcji, którego głównym zadaniem jest kontrolowanie transakcji u akceptantów, a więc faktycznie ochrona akceptantów realizujących płatności przy użyciu kart płatniczych przed próbami dokonania nadużyć czy transakcji oszukańczych.

Tutaj także chodzi o wykrycie przypadków, które budzą wątpliwości czy podejrzenia o nieprawidłowym wykorzystania karty czy wręcz prób oszustwa.

Przykładowo - może wzbudzić podejrzenie, że w punkcie, w którym sprzedaje się kebaby, ktoś dokonuje kilku, np. ośmiu, transakcji o wartości 200 zł. Dzięki temu systemowi jesteśmy w stanie wychwycić takie podejrzane transakcje i skontaktować się z punktem handlowym w celu zweryfikowania, czy transakcje zostały dokonane we właściwy sposób.

To zależy od systemu i decyzji banku o tym, w jakim zakresie system ma działać automatycznie według określonych przez bank reguł, a w jakim zakresie potrzebny jest udział pracownika w procesie, np. w celu telefonicznej komunikacji z klientem.

W Polsce poziom fraudów jest dosyć niski. W przypadku transakcji bez fizycznego użycia karty, jak np. w internecie czy przy płatnościach zdalnych, ten poziom jest wyższy i wynika ze znacznie większego ryzyka tego typu transakcji. Ogólnie poziom fraudów w Polsce jest kilkukrotnie niższy niż średni poziom fraudów w Europie, co potwierdza, że jesteśmy krajem dobrze zabezpieczonym, w szczególności w obszarze płatności w terminalach elektronicznych. Banki się nieźle zabezpieczają, większość terminali akceptuje karty z mikroprocesorem, a więc wygląda na to, że oszuści wybrali sobie łatwiejsze rynki pod względem możliwości kopiowania kart w terminalach.

Ogólnie fraudów jest więcej w różnego rodzaju zamówieniach zdalnych, czyli przez internet, telefon czy faks. Jeśli idzie o kraje, danych nie mam, ale z tego co wiem, Polska ma chyba najniższy wskaźnik w całym regionie.

Banki widzą kraj pochodzenia transakcji, więc niektóre z nich są w stanie zorientować się, że karta została użyta najpierw w Polsce, a następnie, na przykład po godzinie, w innym kraju. Wtedy banki blokują taką kartę.

Innym sposobem ochrony klienta są powiadomienia sms-owe. Zwykle bowiem klient reaguje na informacje o transakcji, której nie dokonał. Coraz więcej banków to wdraża.

Jest też możliwość, w której to klient decyduje, o jakich transakcjach chce być informowany, np. powyżej określonej wartości lub dokonywanych wyłącznie w bankomatach lub wyłącznie w terminalach. Jednak żaden z banków w Polsce nie stosuje tego rozwiązania.

Myślę, że najważniejsza zmiana dotyczyła wprowadzenia kart z mikroprocesorem, które zostały wdrożone na masową skalę w ostatnich latach. Obecnie prawie wszystkie banki w Polsce wydają karty z mikroprocesorem.

Mikroprocesor, czyli tzw. czip, posiada możliwości większego zabezpieczenia danych przechowywanych na karcie niż ma to miejsce w przypadku karty z paskiem magnetycznym, co oznacza, że znacznie trudniej jest go skopiować. W rezultacie jeżeli dojdzie do skopiowania karty, to dotyczy to tylko danych z paska magnetycznego, który jest również umieszczany na karcie z mikroprocesorem.

Karty najczęściej są kopiowane w bankomatach. Robi się to najczęściej przy pomocy nakładki na bankomat oraz kamery skierowanej na klawiaturę, na której wprowadzany jest PIN. W rezultacie oszuści wchodzą w posiadanie danych z paska i PIN-u, jednak gdy spróbują użyć takiej karty w terminalu, bank się zorientuje, że transakcja nie została przeprowadzona w sposób właściwy, ponieważ nie zostanie przy niej użyty mikroprocesor. A to znacznie ułatwia wykrywanie oszustów.

Tak.

To jest bardziej pytanie do banków. Na pewno systemy bankowe w Polsce są nowoczesne. Większość banków bardzo dokładnie monitoruje transakcje. Niektóre nawet, gdy zorientują się, że w bankomacie została użyta karta z kraju, gdzie oszustwa są częstsze, potrafią monitorować wszystkie kolejne transakcje przy użyciu tej karty albo monitorować kolejne wypłaty z tego bankomatu, żeby sprawdzić, czy nie zostaną użyte następne karty z tego kraju. Bardzo często bowiem oszuści najpierw wypróbowują własne karty, a następnie używają już innych, skopiowanych np. we własnym kraju.

Mamy obecnie czip, coraz mocniej wchodzą również płatności bezstykowe, które jednak nie zmieniają co do zasady kwestii bezpieczeństwa. Można spodziewać się szerszego wykorzystywania rozwiązania 3D Secure pozwalającego na dodatkową weryfikację posiadacza karty w procesie transakcji internetowej (poprzez sprawdzenie hasła wprowadzanego przez klienta).

Niektóre banki angielskie używają jako dodatkowego zabezpieczenia tzw. obrazków - a więc trzeba wprowadzić hasło, numer karty oraz kod CVV, zapisany na rewersie karty, obok paska z podpisem, oraz dodatkowo wybrać właściwe obrazki spośród tych, które pokazuje system. Ale to jest trochę męczące dla klientów - mamy dodatkowe karty, kilka haseł do różnych elementów, dodatkowo jeszcze hasło 3D Secure.

Niektóre instytucje stosują obecnie hasła sms-owe. Żeby doszło do oszustwa, ktoś musi więc ukraść klientowi i kartę, i telefon oraz musi znać hasła. Szanse na to, aby zaszły te wszystkie okoliczności, są już stosunkowo niewielkie. Nawet gdy ktoś ukradnie marynarkę z portfelem i telefonem, nie zna hasła.

Inne rozwiązanie obejmuje generowanie haseł przy pomocy karty, np. wyposażonej w wyświetlacz. Wtedy trzeba wprowadzić PIN do karty, aby ta wygenerowała jednorazowy kod do użycia, np. w internecie.

Rzeczywiście. Stosunkowo najłatwiejsze wydaje się generowanie kodu przez kartę. Wprowadza się jeden kod, w zamian dostaje się drugi. Pytanie, jak długi będzie ten kod generowany przez kartę. Jeśli 8-cyfrowy, klienci będą się z nim męczyć, jeśli zaś 4-cyfrowy, to będzie mniej bezpieczny, ale za to łatwiejszy dla klientów.

Bez wątpienia jednak najszybszym i najłatwiejszym sposobem autoryzacji będzie biometria. Banki w Polsce już zaczęły się nią interesować. I możliwe, że za jakiś czas każdy posiadacz rachunku będzie dokonywał autoryzacji przy transakcji lub przy wypłacie z bankomatu wyłącznie poprzez przyłożenie palca do czytnika. Jednak aby ta metoda autoryzacji transakcji weszła w Polsce do użycia, potrzeba absolutnej zgody organizacji płatniczych i banków, że decydują się na wprowadzenie biometrii.

To jest pytanie do organizacji płatniczych.

Na opłaty pobierane od transakcji składają się prowizje dla organizacji płatniczych oraz nasza marża, która jest dużo niższa niż naszych kolegów we Włoszech, Irlandii itd.

Tymczasem karty są u nas sporo droższe. Zebraliśmy dane z innych rynków, dotyczące opłat za karty. Zwykle wygląda to tak, że prowizje od kart debetowych są niewielkie, zaś karty kredytowe są zwykle o 1 pkt proc. droższe. Tylko u nas karty debetowe są droższe od kredytowych, które z kolei są droższe niż gdzie indziej. Jesteśmy jedynym rynkiem, gdzie panuje taka sytuacja.

Jednym z wyjaśnień tej sytuacji jest to, że Urząd Ochrony Konkurencji i Konsumentów ukarał banki za wysokość interchange przy kartach Visa, uznając, że została ona ustalona w zmowie. Banki odwołały się do sądu i sprawa się toczy. Zapewne jeszcze trzeba będzie poczekać na ostateczny jej wynik, tymczasem banki nie chcą obniżać opłat, twierdząc, że gdyby to zrobiły, mogłyby znowu zostać ukarane.

Wprawdzie sprawa dotyczy tylko Visy, bo MasterCard samodzielnie ustala wysokość opłat, ale MC także nie obniża prowizji, tylko wręcz je podnosi.

Faktycznie jest taka sytuacja, że na rynku są dwie organizacje, które podwyższają ceny, aby móc więcej płacić wystawcom kart, czyli bankom. Po to, oczywiście, aby banki wydawały więcej kart.

Na przykład w Anglii regulator nigdy by nie pozwolił na podwyższenie interchange. W razie próby podwyższenia opłat organizacja zostałaby poddana kontroli, a sprawa trafiłaby do sądu. Tamtejszy regulator publikuje coroczne zestawienia kosztów gotówki. Na tej podstawie nakazuje organizacjom utrzymywanie cen poniżej kosztów używania gotówki. Dodatkowe działania nadzorujące wspierają silne organizacje, gromadzące akceptantów kart.

Także w innych krajach to regulator dba o poziom cen. Nieco inaczej było w Hiszpanii, gdzie akceptanci kart i lokalni agenci rozliczeniowi zażądali od organizacji płatniczych obniżki opłat. Nie wynegocjowali takiej redukcji, jaką chcieli, ale jakiś poziom redukcji uzyskali. I postanowili, że w ciągu określonego czasu opłaty muszą zejść do ustalonego poziomu, a potem - po kolejnych 5 latach - zostanie przygotowana nowa analiza, dotycząca wysokości kosztów.

Także Unia Europejska wymusza obniżanie interchange, m.in. nakazując, aby w operacjach międzynarodowych ta opłata nie przekraczała 0,3 proc. W rezultacie dochodzi do sytuacji, że gdy obywatel innego kraju Unii zrobi u nas zakupy kartą, koszty interchange wyniosą 0,3 proc. wartości transakcji, tymczasem gdy płaci Polak w tym samym miejscu, interchange będzie w granicach 1,6 proc.

Tymczasem ryzyko oszustw jest znacznie większe w przypadku operacji międzynarodowych niż krajowych, do tego dochodzi konieczność przewalutowania transakcji. Dlatego nie ma uzasadnienia, aby w transakcjach krajowych te opłaty przekraczały poziom z operacji międzynarodowych.

@RY1@i02/2011/063/i02.2011.063.214.0004.001.jpg@RY2@

Fot. Polcard

Janusz Diemko, prezes First Data Polska

Rozmawiał Marek Siudaj