Кредитные карты

Кредитная карта отличается от дебетовой тем, что позволяет держателю пользоваться денежными средствами, предоставляемыми в кредит.

В общем случае эмитентом кредитных карт может выступать как кредитная организация, так и торговая - например ритейлер. За рубежом многие известные ритейлеры выпускают кредитные небанковские карты (карты Private Label). При этом с точки зрения правоотношений между эмитентом карты и ее держателем кредита при использовании карты может не возникать, даже если держатель свои средства на счет не вносит. Покупки, которые оплачиваются такой кредитной картой, могут трактоваться как совершаемые с оплатой в рассрочку. Разумеется, возможна и наиболее естественная трактовка операций с картой - как совершаемых в кредит. Различное трактование существенно с точки зрения правоотношений и налоговых последствий (в России устанавливаемых соответственно Гражданским кодексом и Налоговым кодексом): допустимо или нет невзимание процентов. С потребительской же точки зрения в обоих случаях клиент получает кредит.

В целом, несмотря на наличие в обращении за рубежом большого количества кредитных карт Private Label все-таки большинство кредитных карт выпущено кредитными организациями, и в данной главе мы будем говорить именно о банковских кредитных картах.

Банковские кредитные карты можно разделить на три категории по типу погашения задолженности, установления доступного баланса и по способу бухгалтерского учета операций с картой:

расчетные (charge) карты;

револьверные кредитные;

револьверные овердрафтные.



Баланс доступных средств по расчетной карте устанавливается как сумма остатка средств на счете клиента плюс сумма разрешенного овердрафта (разумеется, по мере совершения операций с картой любого типа доступный баланс уменьшается на сумму этих операций). Суммы операций списываются с карточного счета. По итогам отчетного периода (как правило, месяц) клиенту сообщается сумма возникшего овердрафта. И в случае если овердрафт действительно возник, действие карты приостанавливается до полного погашения держателем задолженности. После полного погашения овердрафта держателю снова открывается возможность совершать операции с картой в кредит в пределах кредитного лимита. На погашение овердрафта отводится сравнительно короткий срок - как правило,до месяца.

На практике возникновение овердрафта возможно не только по расчетной карте, но и по дебетовой, т.е. по такой карте, для которой возникновение овердрафта не разрешено условиями договора между банком и клиентом и расчет по операциям должен вестись лишь в пределах дебетового остатка на картсчете. Например, неразрешенный овердрафт возможен при списании с карточного счета комиссии за получение наличных средств или в результате курсовых разниц, когда существенно различаются значение курса валюты операции по отношению к валюте карточного счета на дату операции с картой и на дату учета операции на счете. Обычно он так и называется - "неразрешенный овердрафт". Как правило, условиями договора предусмотрено обязательство держателя полностью его погасить. При этом доступный баланс по карте будет равен нулю. Таким образом, по свойствам погашения овердрафта и установления доступного баланса в случае овердрафта дебетовая карта аналогична расчетной, поэтому некоторые банки называют свои дебетовые карты расчетными.

Баланс доступных средств по кредитной револьверной карте устанавливается равным кредитному лимиту. Суммы операций списываются со ссудного счета. По итогам отчетного периода держателю сообщается сумма задолженности по состоянию на конец периода. В течение определенного срока (как правило, 30 или более дней) держатель обязан погасить только некоторую часть кредита, называемую минимальным (иногда используют термин "обязательный") платежом. При этом в отличие от расчетных карт кредитной картой можно продолжать пользоваться - в рамках доступного баланса средств. По факту погашения задолженности баланс доступных средств увеличивается на сумму погашенного кредита. Именно поэтому такая карта и называется револьверной кредитной картой -кредит возобновляется по факту погашения задолженности.

Револьверная овердрафтная карта отличается от расчетной только одним свойством -револьверностью кредита, т.е. его возобновляемостью и отсутствием требования его полного погашения. Следует отметить, что револьверная овердрафтная карта по основному потребительскому свойству возобновления кредита является кредитной картой. Но формально, с точки зрения бухгалтерского учета (а следовательно, и классификации Банка России), а также ряда других важных для потребителя свойств карты - это другой продукт. Доступный баланс средств устанавливается равным сумме остатка средств на карточном счете и сумме кредитного лимита. Списание сумм операций осуществляется с картсчета, и только в случае недостаточности средств с ссудного счета предоставляется кредит, который списывается с карточного счета. Что касается свойства погашения задолженности, то револьверная овердрафтная карта аналогична револьверной кредитной карте.

Сравнение близких, но тем не менее различных револьверных кредитных продуктов -револьверной кредитной и револьверной овердрафтной карт - следует осуществлять с учетом особенностей, накладываемых налоговым законодательством, а также с учетом ситуации на рынке потребительского кредитования, что будет сделано чуть ниже.

В странах с развитым рынком кредитных карт, имеющем историю в несколько десятков лет, стали общепринятыми некоторые свойства кредитных карт, которые можно рассматривать как классические свойства кредитного карточного продукта.

В первую очередь к числу таких свойств относится понятие льготного периода (grace period). Это срок, в течение которого кредитные проценты не начисляются. Долгое время в качестве льготного периода выступал месяц, следующий за отчетным. В последние годы конкуренция вынудила банки увеличивать продолжительность льготного периода, и теперь он часто составляет до 40-50 дней.

Формально льготный период означает следующее. В случае если держатель карты полностью погашает задолженность, указанную в выписке за отчетный месяц (т.е. задолженность на последний день месяца), в течение льготного периода, то на эту сумму задолженности проценты не начисляются. Если же задолженность погашается только частично, в том числе на сумму более минимального платежа (даже почти полностью), проценты на сумму задолженности начисляются.

Что касается кредитной ставки, то у большинства известных американских и западноевропейских банков ставки установлены на уровне 15-20%. При этом для стимулирования операций оплаты товаров и услуг по сравнению с операциями по получению наличных средств, как правило, вводятся дифференцированные ставки:

- процентная ставка для сумм кредита по операциям покупки (purchase APR*(98));

- процентная ставка для сумм кредита по операциям получения наличных (cash advance APR).

Первая обычно меньше на 2-3%. Получение наличных средств является более дорогой для

держателя карты операцией по сравнению с операцией покупки еще по одной причине - банки устанавливают комиссию за получение наличных в кредит (cash advance fee).

Что касается кредитных ставок за рубежом, то можно отметить еще одну особенность, нехарактерную для российского рынка. Западные банки применяют два вида ставок: так называемые "входные" и обычные. Входные (introductory) ставки применяются для новых клиентов банка и действуют обычно от 3 до 6 месяцев, а также для суммы задолженности, которая переводится клиентом при переходе из другого банка. Эти ставки существенно ниже обычных: на уровне 5-9% годовых. Понятно, что такая льгота - маркетинговый прием, нацеленный на привлечение новых клиентов. Известно, что имеется определенная доля потребителей, которые пользуются данной особенностью тарифных планов и переходят из банка в банк, оставаясь в каждом по полгода и экономя таким образом на кредитных процентах. Но эта доля сравнительно невелика: большинство клиентов, удовлетворенных качеством обслуживания в своем банке (или своих банках - клиенты часто имеют карты более чем одного банка), не тратят время на постоянное переоформление карт, ценя качество услуги, которое их устраивает, выше выгоды от льготной процентной ставки*(99).

В России кредитные карты как продукт для массового выпуска появились в 2000 г. В течение первых двух-трех лет к широкому выпуску кредитных карт, что называется "на улицу", приступили более 10 российских банков. К концу 2004 г. кредитные карты в массовом порядке выпускали уже примерно 40 банков. Данный анализ особенностей российских кредитных карт основывается на опыте российских банков в 2000-2004 гг.

Кредитные карточные продукты российских банков отличаются от описанного классического продукта. Отличия обусловлены следующими основными факторами:

- ограничениями налогового законодательства;

- иными рыночными ставками;

- особенностями рынка потребительского кредитования. Основная проблема для российских банков, стремящихся реализовать классический продукт, - льготный период.

Налоговый кодекс трактует уплату физическими лицами процентов по кредитам по ставке, меньшей 9%, для случая кредитования в иностранной валюте и меньшей 3/4 ставки рефинансирования, установленной Банком России в рублях, как получение материальной выгоды. Эта "выгода" составляет сумму разницы между процентами, рассчитанными по указанным предельным ставкам, и уплаченными процентами. Ставка налога, действующая на момент написания книги, составляет 13%. Хотя по величине сумма налога в большинстве практических случаев невелика, общепризнано, что потребителям не нравится сам факт возникновения налоговых последствий. Таким образом, прямая реализация полноценного льготного периода, пусть даже сравнительно непродолжительного, наталкивается на практически непреодолимое препятствие законодательного характера.

Другая причина невозможности реализации полноценного льготного периода в западном понимании - экономическая невыгодность беспроцентного кредитования. В отличие от потребительского кредитования, осуществляемого банками в торговых точках, при кредитовании по кредитным картам банки не могут рассчитывать на большую величину торговой уступки, а получают (правда, гарантированно) лишь компенсацию за операции оплаты держателями карт товаров и услуг, называемую платой за взаимообмен (interchange fee). Эта плата обычно зависит от типа карты (Premium-продукты, дебетовые карты, корпоративные карты), соотношения местонахождения банка-эмитента и банка-эквайрера (типы транзакций: внутренние или национальные, внутрирегиональные, межрегиональные) и других особенностей операции или карты. Как правило, размер компенсации находится в диапазоне 0,8-1,25% от суммы операции. Примерно 0,3% от суммы операции уплачиваются эмитентом платежной системе за авторизацию, клиринг и расчеты. Таким образом, можно приблизительно считать, что чистый операционный доход по картам находится в диапазоне 0,5-1%.

При льготном периоде длительностью в месяц такой уровень выплат со стороны эквайреров обеспечивает доходность эмитента от операций оплаты товаров и услуг в случае погашения полной задолженности держателем карты в течение льготного периода при ставках на уровне 6-12% годовых.

Для банков в западных странах с большим объемом операций и низким уровнем собственных операционных расходов данный уровень, принимая во внимание низкую стоимость привлеченных ресурсов, вполне приемлем. Для российских же банков, привлекающих средства клиентов по ставкам, соизмеримым с указанным выше уровнем, реализация льготного периода может привести к отрицательной доходности.

Несмотря на законодательные ограничения и экономическую нецелесообразность полноценной реализации льготного периода, некоторые российские банки ввели меры по поощрению более раннего погашения клиентами задолженности. Как правило, применяются разные процентные ставки для первого и последующих месяцев либо комиссии, взимаемые в случае неполного погашения задолженности в течение льготного периода.

В связи с невозможностью реализации в российских условиях полноценного льготного периода револьверная кредитная карта может рассматриваться потребителями как менее "справедливый" продукт по сравнению с револьверной овердрафтной картой.

Представим вполне реальную ситуацию, когда у клиентов имеются револьверные кредитные карты банка без льготного периода и в этом же банке текущие счета с остатками, на которые проценты не начисляются. Клиент пользуется кредитной картой, на суммы операций по карте начисляются кредитные проценты, в то же время у него имеются средства на текущем счете, сумма которых, например, может быть больше суммы предоставленного кредита. В этом случае клиент может считать, что кредит был предоставлен за счет его же средств, и таким образом начисленные проценты вполне обоснованно могут восприниматься им как "несправедливые".

С другой стороны, если у того же клиента револьверная овердрафтная карта (в этом случае у него не текущий счет, а карточный счет), то суммы операций с картой списываются с карточного счета, и кредит возникает только тогда, когда заканчиваются собственные средства клиента. В этом случае начисление процентов уже не может восприниматься как "несправедливое".

Таким образом, законодательные ограничения стали одной из причин разнообразия в подходах банков к реализации кредитных карточных продуктов.

Первые несколько лет массового выпуска кредитных карт российскими банками дали в целом положительный опыт благодаря росту потребительского рынка и, как следствие, отсутствию существенного количества индивидуальных дефолтов.

Потенциал российского рынка кредитования физических лиц велик. По данным Госкомстата, на начало 2004 г. в России насчитывалось 62 млн. человек дееспособного населения с постоянным доходом, около 30% из них с ежемесячным доходом свыше $500 на семью. В Москве - городе с наибольшим денежным обращением - более 20% семей относят себя к представителям среднего класса, а к 2007-2008 гг., по данным РБК, ожидается повышение значения этого показателя до 30-40%. По данным БДО "Юникон", в начале 2004 г. доля кредитов в расходах россиян составляла 3,5%, а конце года - 5%.

Несмотря на выпуск российскими банками к концу 2004 г. более полумиллиона кредитных карт различных типов, в целом на данный момент вряд ли можно признать состоявшимся знакомство потребителей с картами как кредитным продуктом. Многие кредитоспособные потребители, уже представляющие, что такое банковские карты и что такое потребительский кредит, до сих пор не имеют четкого понимания особенностей кредитных карт, в частности условий погашения задолженности по ним. Одной из причин непонимания является смешение представлений об условиях кредитования по кредитным картам и условиях обычного потребительского кредита, который обычно должен погашаться равными долями в течение установленного срока кредита*(100).

В целом можно отметить отсутствие единой структуры тарифов в разных банках в части процентных ставок и льготных периодов*(101).

С точки зрения бизнес-процессов поддержка кредитных карт требует реализации нескольких дополнительных процедур по сравнению с технологией выпуска расчетных банковских карт.

К числу наиболее важных дополнительных процедур относятся:

кредитный скоринг;

взаимодействие с кредитным бюро;

прием средств для погашения задолженности;

взаимодействие с должниками.

Кредитный скоринг*(102) - это оценка кредитоспособности клиента. Она осуществляется как при первичном рассмотрении заявления, так и при оценке поведения клиента с точки зрения активности

использования карты и погашения кредита. Этой теме посвящен отдельный раздел книги.

По мнению пионеров кредитного скоринга - компании Fair & Isaac, значимость скоринга анкет (Application scoring) для оценки кредитоспособности клиента можно оценить примерно в 10%. Остальные 90% значимости дают примерно поровну информацию о кредитной истории клиента, данные о текущих кредитах и поданных заявлениях на получение кредитов в другие банки. Таким образом, сам по себе кредитный скоринг анкет малозначим без дополнительной информации.

Наиболее важной представляется информация о кредитных историях потенциальных клиентов. Наилучшим механизмом получения кредитной справки по клиенту является кредитное бюро. В случае онлайновой связи соответствующих хостов банка и кредитного бюро кредитные бюро обеспечивают возможность получения кредитных справок в режиме реального времени. Кредитная справка может включать информацию трех категорий: негативные данные, позитивные данные, дополнительные идентификационные данные. Объем получаемой от бюро информации зависит от действующих соглашений с банками, предоставляющих информацию о заемщиках. В случае если предоставляются только минимальные справки (с негативными данными), они полезны для процедуры фильтра -отклонения заявлений потенциальных клиентов. В случае если доступна позитивная информация, она может использоваться для принятия решения по кредитному лимиту, предлагаемому заемщику. Весьма полезной может быть также дополнительная информация идентификационного характера, такая, как адрес проживания, контактные телефоны, место работы и т.п., позволяющая банку судить о характере миграции клиента и в некоторых случаях обнаруживать "приукрашенные" анкеты (Soft Application Fraud).

Еще до запуска кредитных бюро обмен информацией о кредитных историях осуществлялся банками в рамках неформальных пулов, созданных службами, отвечающими за проверку корректности данных в заявлениях. Как правило, банки обмениваются напрямую (т.е. не через кредитное бюро) информацией о случаях мошенничества и негативных кредитных историях.

Банки, занимающиеся массовой эмиссией кредитных карт, столкнулись с вопросом эффективных процедур пополнения карточных счетов. В России в основном осуществляется наличное денежное обращение. Операции безналичного перечисления хотя и осуществляются практически всеми банками, но с достаточно высокой комиссией (как правило, на уровне 1%, а в Сбербанке, имеющем наибольшее количество отделений, на монопольном уровне 3%), которая рассматривается потребителями как несоразмерно большая для банковских операций, связанных с погашением задолженности. Таким образом, основным способом пополнения карточных счетов для погашения задолженности по кредитным картам являются операции внесения наличных средств. Очевидно, что в более выигрышном положении в этом смысле оказываются банки, имеющие развитую сеть отделений.

В этом аспекте в существенно более выигрышном положении находятся западные банки, которые могут осуществлять масштабные программы эмиссии кредитных карт, не обладая крупной сетью отделений. Их клиенты имеют возможность перечислять средства безналичным образом из отделений других банков бесплатно (как, например, в Англии, где общепринято не взимать комиссию за перевод средств со счета) или почти бесплатно.

Российские же банки, не имеющие достаточно развитой инфраструктуры кассового обслуживания клиентов в виде отделений, операционных касс, обменных пунктов, сталкиваются с проблемой обеспечения удобной возможности погашения кредитов. В этой связи стал актуальным вопрос автоматизации операций по внесению наличных средств на счета. Одним из эффективных способов решения этого вопроса являются банкоматы с функцией приема депозитов (cash in) или автоматические сейфы. Как правило, такие банкоматы устанавливают в круглосуточных отделениях самообслуживания.

Другим подходом, которые выбирают некоторые банки, является создание сети операционных касс или обменных пунктов, в которых принимаются наличные средства на карточные счета. Эти операции могут осуществляться или как операции непосредственного внесения наличных денежных средств на счет, или как операции внесения средств с использованием карт. Наиболее эффективными считаются операционные кассы или обменные пункты, функционирующие в сетях супермаркетов или торговых центрах.

Весьма непростой проблемой юридического и организационного характера является проблема сбора долгов у проблемных клиентов. Проблемным обычно считается держатель кредитной карты, нарушивший в течение нескольких месяцев подряд обязательство по внесению минимального платежа. Пороговое количество просрочек для отнесения клиента к категории проблемных у разных банков различное - от 3 до 6. Помимо количества последовательных просрочек иногда используются и другие критерии для отнесения клиентов к числу проблемных.

В большинстве случаев проблемным клиент становится в результате индивидуального дефолта - существенного снижения уровня доходов в результате потери работы, здоровья и т.п. Вместе с тем существуют клиенты, которые способны погашать задолженность, но позволяют себе игнорировать условия договора с банком.

В целом вопрос проблемных клиентов в 2001-2005 гг. на фоне большого роста потребительского рынка не стоял остро: количество дефолтов было сравнительно невелико. По неофициальным оценкам специалистов, работающих в банках, которые активно занимаются потребительским кредитованием,

количество проблемных клиентов - от 2 до 10% от общего их количества.

Обычно применяются следующие методы взаимодействия с проблемными клиентами: звонки по телефону, письма с предупреждениями различного уровня "жесткости", подача судебного иска. Необходимо отметить, что в вопросе работы с проблемными клиентами ситуация, в которой находятся российские банки, принципиально отличается от положения, в котором находятся западные банки. Потребитель в стране с развитым рынком потребительского кредитования, насчитывающим несколько десятилетий своего существования, заинтересован в хорошей кредитной истории. В то же время банки или компании, специализирующиеся на сборе долгов, ограничены в своих действиях. Например, в США запрещены звонки клиентам в связи с вопросами погашения задолженности до 9 утра и после 9 вечера. Но, несмотря на такие ограничения, они действуют эффективно. Между компаниями по сбору долгов действует конкуренция, поэтому банки имеют возможность за сравнительно невысокую плату решать проблему путем аутсорсинга.

В России же картина другая. Российский потребитель не имеет действенных стимулов, за исключением моральных, к погашению задолженности. Судебный механизм на практике работает плохо. Хотя в связи со сравнительно небольшими суммами задолженности процедура рассмотрения судебных исков может быть упрощена, взыскание таких сумм с привлечением судебных приставов осуществляется неэффективно. Более того, банк не гарантирован в завершении процедуры даже в случае судебного решения.

Следует отметить в то же время, что заметная доля проблемных клиентов при получении уведомления о подаче банком судебного иска готова к досудебному урегулированию. Часто клиент, имеющий дефолт, заключает с банком соглашение о специальном графике погашения задолженности. В этом случае банк может отказаться от некоторых штрафных комиссий.

Существенно упростить решение вопроса должно развитие рынка сбора долгов специализированными компаниями. Они выкупают у банка обязательства проблемных клиентов по погашению задолженности, освобождая кредитную организацию от не свойственной ей деятельности. В первые пять лет развития рынка массового выпуска кредитных карт рынок услуг по сбору проблемных долгов находился в состоянии становления. Только несколько компаний, имеющих цивилизованный имидж, предлагали подобные услуги. При этом их стоимость доходила от 25 до 70% от суммы долга, что фактически давало возможность банкам привлекать такие компании главным образом для избавления от плохих долгов с целью снижения негатива в балансе.

Но даже при указанном высоком уровне стоимости услуг по продаже проблемных долгов бизнес кредитных карт можно рассматривать как один из наиболее высокодоходных в связи с многофакторностью доходов: комиссиями за годовое обслуживание (которые в отличие от западных банков, как правило, взимаются российскими банками), процентным доходом, комиссионным доходом от операций покупок и др.

Совместные и афинити-карты

Одним из методов привлечения клиентов, считающихся наиболее эффективными, является выпуск карт, совмещающих в себе свойства банковской карты и карты лояльности. На таких картах помимо логотипов платежной системы и банка размещается логотип небанковского партнера. Лояльность потребителя этому брэнду и рассматривается как существенный дополнительный (а может быть, и основной) стимул в получении карты и ее использовании.

В рамках совместного использования логотипов банков и их небанковских партнеров в настоящее время выпускаются два вида карт:

совместные карты* 11031 - карты, стимулом в получении которых является материальная заинтересованность держателя;

афинити-карты - карты, получение и использование которых стимулировано нематериальным отношением держателя к брэнду небанковского партнера.

Совместные карты обычно реализуют программу лояльности, осуществляемую небанковским партнером для своих клиентов. Классическим примером являются программы лояльности авиакомпаний, называемые программами накопления миль. В процессе пользования услугами авиакомпании клиенты "накапливают" мили, например, приобретая билет на авиаперелет стоимостью $200, клиент получает бонус в размере 100 миль. В случае, если за год клиент накопит не менее 1000 миль, он получает возможность бесплатного перелета на соответствующее расстояние или соответствующую скидку при приобретении билета на более дальний полет (разумеется, приведенные цифры представляют только пример).

Программа накопления миль была положена в основу и первых в России совместных карт Visa, выпущенных банком "МЕНАТЕП" совместно с авиакомпанией "Трансаэро". В качестве другого примера можно привести совместные карты банка и розничной торговой сети (в России пионерами такого продукта стали МДМ-банк и сеть "Седьмой Континент"). Еще одним традиционным примером совместной карты является карта, совмещающая брэнды банка и сотового оператора (подобные карты выпустили ведущие российские сотовые операторы "Би-Лайн" - совместно с Росбанком (Visa Beebonus)

и МТС - совместно с МБРР (MTS.CARD Maestro и MTS.CARD MasterCard).

Во всех указанных примерах в соответствии с идеей совместных карт держатели получали материальную выгоду от их использования. Например, держатели карт Visa Electron "Седьмой Континент" получают при совершении покупок в магазинах этой торговой сети 5% скидку, а держатели карт Visa beebonus при совершении покупок с картой получают на свой лицевой счет у сотового оператора сумму в размере 0,3% от суммы операции, а при оплате услуг оператора - 3%.

Таким образом, держатели карт материально заинтересованы в получении и использовании совместных карт. В чем же интерес банка и небанковского партнера при их выпуске? Небанковский партнер обычно реализует программу лояльности, предоставляя скидки постоянным клиентам. Устанавливая сотрудничество с банком по выпуску совместных карт, он, во-первых, расширяет ее действие на новый контингент клиентов, которым может быть предложен совместный продукт, а во-вторых, предлагает своим существующим клиентам в рамках программы лояльности дополнительное качество (added value) - свойства банковской (возможно, кредитной) карты.

Банк же заинтересован в выпуске совместных карт в связи с возможностью приобретения новых клиентов благодаря выходу на клиентскую базу своего партнера. За эту возможность банки, как правило, платят партнеру. Эту плату можно рассматривать как частичную компенсацию расходов небанковского партнера на реализацию программы скидок или как фактическую плату за клиентов. Формально плата может осуществляться за использование товарного знака. В соответствии с действующим патентным законодательством предоставление права использования товарного знака (представляющего брэнд) осуществляется в соответствии с безвозмездным договором, который должен быть зарегистрирован в патентных органах.

За счет чего банк может осуществлять оплату своему партнеру? Когда карты "продаются", т.е. банк взимает плату за годовое обслуживание, банк может часть этой платы перечислять партнеру. Помимо этого, за каждую операцию оплаты товаров и услуг банк получает как эмитент плату от эквайрера (interchange fee), часть этой платы может также перечисляться партнеру.

При выпуске афинити-карт их держатели (в отличие от совместных карт) не получают материальной выгоды. Напротив, иногда они готовы доплачивать организации, брэнд которой несет карта.

Афинити-карты можно классифицировать следующим образом:

клубные карты;

карты благотворительных организаций;

карты "Стиль жизни" (Life Style);

карты сотрудников корпорации или членов сообщества. Данная классификация не является полной, возможно появление

новых направлений афинити-карт, получение которых не будет стимулировано материальными побуждениями. Рассмотрим указанные выше направления.

Клубные карты

Клубная карта является классическим примером афинити-карт. Она представляет собой карту с логотипом клуба и является одновременно банковской и членской в данном клубе. При получении карты может взиматься плата за годовое обслуживание, которая составляет (или включает в себя) сумму членского взноса. Возможен случай, когда по условиям сотрудничества банка и клуба банк платит некоторую сумму организации аналогично тому, как это происходит в рамках сотрудничества банка и партнера при выпуске совместных карт (как правило, размер платы составляет менее 1% от сумм операций покупки). Таким образом, держатели карт заинтересованы в большем обороте операций оплаты товаров и услуг картой, понимая, что при этом увеличивается сумма, получаемая клубом. Итак, не затрачивая дополнительных денег, держатели клубных карт приносят доход клубу.

Карты благотворительных организаций

Подобный же принцип лежит в основе стимулирования потребления держателей афинити-карт, выпускаемых банками в сотрудничестве с благотворительными организациями.

Держатели карт, приобретая такие карты и совершая покупки, получают удовлетворение от того, что они тем самым совершают дотации в пользу организации, близкой им по духу. Примером может быть карта, содержащая брэнд Фонда защиты природы. Совершая покупки с использованием такой карты, ее держатель будет рад тому, что он помогает сохранению редких животных.

Карты "Стиль жизни" (Life Style)

Эти карты несут на себе изображение, олицетворяющее жизненные предпочтения определенной категории людей. Например, на карте может быть изображение спортсмена, скажем, горнолыжника. Люди, стремящиеся различными способами продемонстрировать свою причастность определенному образу жизни, будут заинтересованы иметь банковскую карту, несущую на себе символы их жизненного стиля. Типичным примером карт этого типа могут служить карты Visa или MasterCard со спортивным дизайном - олимпийским или футбольным соответственно. В качестве другого примера можно было бы указать карту MasterCard Банка Москвы с портретом Пушкина, выпущенную к 200-летнему юбилею поэта. Карту с таким дизайном мог бы предпочесть интеллектуал.

Разумеется, карта "Стиль жизни" при совершении операций покупки не приносит материальной выгоды ни ее держателю, ни какой-либо организации, но вызывает моральное удовлетворение клиента.

Карты корпоративной принадлежности

Карты корпоративной принадлежности не обязательно означают, что их держатели состоят в какой-либо корпорации. Хотя к такой категории можно было бы отнести карты, выпускаемые сотрудникам компаний в рамках зарплатных проектов. К сожалению, зарплатные карты в России часто ассоциируются с навязанными банковскими услугами. Тем не менее естественно предположить, что есть немало компаний и предприятий, работа в которых воспринимается людьми как весьма почетная. В этой связи карты, несущие логотип или иной образ, ассоциирующийся с такой компанией или предприятием, будут востребованы в большей степени, нежели другие банковские карты.

Наиболее же популярными картами этой подкатегории афинити-карт являются карты болельщиков того или иного спортивного общества. Можно упомянуть карты нескольких московских банков, несущих логотипы футбольного клуба "Спартак". Естественно, что болельщики этой популярной команды предпочтут при выборе банковского продукта карты с образами любимой команды. Дополнительным стимулом может служить осознание того, что при совершении операций оплаты товаров или услуг они помогают своему клубу.

Разумеется, классификация такого непростого в маркетинговом смысле продукта, как банковские карты, не всегда может быть однозначной. Встречаются примеры карт, которые можно одновременно отнести к разным категориям. Например, карта Сбербанка "Золотая маска" формально может считаться совместной, но, скорее, ее следовало бы отнести к афинити-картам, поскольку представляется, что материальная выгода, доступная держателям этих карт, не является основным стимулом ее получения.

В приведенных таблицах (табл. 1-3) указаны некоторые примеры совместных карт, выпущенных российскими банками.

Таблица 1

Совместные карты

Компания	Банк	Карта	Описание
1	2	3	4
Авиакомпания "Аэрофлот -российские авиалинии"	Сбербанк	Visa Classic	Начисление баллов "Аэрофлот Бонус" за каждые $2 или 60 руб. покупки, предоставление 500 приветственных баллов при открытии карты. 1 балл приравнивается к 1 км полета. Начисленные баллы используются для повышения класса обслуживания и для получения права на бесплатные полеты
Авиакомпания "Аэрофлот -российские авиалинии"	"Русский Стандарт"	MasterCard кредитная	Начисление баллов "Аэрофлот Бонус" на сумму платежа из расчета 1 балл за каждый доллар, 500 приветственных баллов, премии от авиакомпании за счет накопленных баллов, таких, как бесплатные авиабилеты, повышение класса обслуживания, бесплатное проживание в отелях-партнерах
Компания "ИСТ ЛАЙН"	Собинбанк	MasterCard Gold Standard Maestro	Привилегии в аэропортах и туристических агентствах, скидки на товары и услуги, ценные подарки и сувениры. Стать членом клуба можно после трех вылетов из аэропорта "Домодедово" в течение года или оплаты членского взноса -$45
Компания "Арбат-Авто", официальный дилер BMW в России	Мастер-банк	MasterCard	Предоставление бесплатной карты MasterCard Арбат-Авто при покупке автомобиля в автосалоне "Арбат-Авто", скидок в автосалоне: 1-3% - от стоимости автомобиля при его покупке; 10% - при оплате запчастей; 15% - при оплате сервисных работ
Торговая компания "Седьмой Континент"	МДМ-банк	Visa Electron	5% скидка в магазинах торговой сети "Седьмой Континент" и 50 других сервисных и торговых предприятиях Москвы
Торговый дом "ЦУМ"	"Русский Стандарт"	MasterCard	5% скидка в магазинах ТД "ЦУМ", начисляются баллы на бонусный счет, которые затем обмениваются на скидки и подарки
Торговый дом "Пассаж"	Банк "Санкт- Петербург"	MasterCard Standard	5% скидка при покупке товаров в "Пассаже"

Компания "МИР" -продажа бытовой техники и электроники	"Русский Стандарт"	MasterCard кредитная	5% скидка в сети магазинов МИР, специальные программы и дополнительные услуги от компании "МИР"
Московская сеть магазинов Reebok	Промсвязь банк	MasterCardGold	Скидки в рамках дисконтной программы в московской сети магазинов Reebok
Сеть ресторанов "Росинтер"	Гута-банк	Visa Почетный Гость Classic Electron	Накопление бонусных баллов в размере 10% от суммы счета в сети ресторанов "Росинтер" ("Ростик", "Патио Пицца", "T.G.I. Friday's", "Планета Суши", "Американский бар и гриль", "Сайта Фе" и др.) и получение баллов в размере 1% от суммы покупки, а в сети фотомагазинов "Фокус" - 10%. 1 балл равен 1 руб. Балл может быть использован для оплаты в сети ресторанов
Сотовый оператор "БиЛайн"	Росбанк	Visa-beebonus Classic Visa-beebonus Electron кредитная	Получение бонусов при оплате товаров и услуг в размере 0,3% от суммы покупки, которые зачисляются на бонусный счет абонента в сотовой сети "БиЛайн" автоматически. Скидки в магазинах - участниках дисконтной программы Beebonus. 3% скидка при оплате услуги связи "БиЛайн" через интернет-сайт или с помощью мобильного телефона
Сотовый оператор МТС	МБРР	MTS.CARD MasterCard Standard Maestro	Бонусные минуты исходящих мобильных и местных разговоров
Московская клиника ОАО "Медицина"	Международ ный московский банк	MasterCard Медицина Привилегия Gold Standard	Накопительные скидки при обслуживании в московской клинике "Медицина"

Таблица 2

Афинити-карты

Сообщество	Банк	Карта	Описание
Футбольный клуб "Спартак"	Мост-банк	Maestro	Перечисление 50% платы за годовое обслуживание в пользу ФК "Спартак"
Футбольный клуб "Спартак"	Красбанк	MasterCard Gold Standard Maestro	Конкурсы и лотереи
Футбольный клуб "Зенит"	Промстройбанк (Санкт-Петербург )	Visa Electron	Перечисление 50% платы за годовое обслуживание в пользу ФК "Зенит". Розыгрыши абонементов и билетов на матчи, сувениров с символикой "Зенит"
Футбольный клуб "Локомотив"	Промсвязь банк	Maestro Prepaid	8% скидка при оплате услуг спортивно-развлекательного комплекса "Локо-парк" (бассейн, теннисные корты, боулинг, сауна)
Федерация хоккея России	Мастер-банк	Visa Gold Classic Electron	Скидки на банковские услуги
МГИМО	Моском- приват-банк	Visa Gold Classic Electron	Возможность автоматически вносить благотворительный взнос на счет МГИМО при совершении покупок
Правительство Москвы	Банк Москвы	Visa Electron "Социальная карта москвича"	Карта для пенсионеров и жителей Москвы, имеющих социальные льготы. На карту начисляются выплаты, предоставляются скидки на товары и услуги в магазинах, аптеках, предприятиях сервиса, право на бесплатный проезд в метро, на наземном транспорте, в пригородных поездах. На карте закодированы данные медицинского полиса

Таблица 3

Карты "Стиль жизни" (Life Style)

Компания	Банк	Карта	Описание
	Юниаструм Банк	Visa Classic "Pour les Dames"	Карты выдаются только женщинам. Скидки в торговых точках (в частности, сети "Л'Этуаль") и ресторанах
Автономная некоммерческая организация "Золотая маска"	Сбербанк	Visa Classic "Золотая Маска"	Карта предназначена для людей, активно интересующихся театральной жизнью. 35% скидки от стоимости театральных билетов при заказе на сайте интернет-агентства , предоставляет статус VIP-клиента агентства при совершении в течение года покупок на сумму 60 тыс. руб. или $2 тыс.

Безопасность работы с картами

Общие подходы к безопасности, классификация рисков и управление ими

Служба безопасности картподразделения. Традиционный взгляд

Настоящая глава называется "Безопасность работы с картами". Это уже традиционное название темы, в рамках которой все годы развития отечественного карточного бизнеса профессионалы понимали работу службы безопасности собственной организации. В зависимости от масштабов банка, его структуры, практикуются два различных организационных подхода к осуществлению "безопасной" функции. Наиболее эффективной формой с точки зрения интересов картбизнеса является, конечно, такая структура, при которой картподразделение располагает собственной службой безопасности. Однако такой подход по целому ряду причин далеко не всегда и не везде приемлем, если взглянуть на проблему с точки зрения интересов масштаба всей организации (банка). Помимо организационных и административных причин есть важный фактор, предопределяющий такой взгляд и почти всегда являющийся решающим, - расходы, связанные с функционированием указанной службы. Вопрос целесообразности расходов, в свою очередь, вытекает из того факта, что функционирование отдельной "карточной безопасности" во многом дублирует "безопасность" общебанковскую, и поэтому почти всегда возникает соблазн сэкономить. Почему происходит дублирование функций, и каким образом принять взвешенное решение по вопросу организации службы безопасности для обслуживания картподразделения, мы рассмотрим в конце главы. В целом ответ будет ясен после детального обсуждения содержания деятельности указанной службы.

Все службы безопасности окружают свою деятельность завесой секретности. Сотрудники службы (почти всегда отставные работники МВД или ФСБ-КГБ) умеют держать марку: смотреть проникающим взглядом, говорить туманными фразами, задавать наводящие вопросы, соответствующим образом выглядеть. Эти навыки ловко создают образ некой сакральной деятельности, ведущейся за дверьми их служебных комнат, оборудованных кодовыми замками. Одновременно у молодых специалистов других подразделений, к категории которых когда-то принадлежал и автор этих арок, создается впечатление полной защищенности от происков различных лихоимцев и шпионов иностранных разведок.

На самом деле все обстоит гораздо сложнее. Для обеспечения эффективной защиты бизнеса необходима обширная работа, которая основывается на глубоком знании того, как функционирует картбизнес, как организовано картподразделение, как устроены служебные взаимоотношения между структурными подразделениями и сотрудниками, а также многое другое. Кроме того, перед тем как приступить к рассмотрению вопросов безопасности, представляется необходимым прокомментировать некоторые достаточно распространенные заблуждения, возникающие в связи с организацией и работой служб безопасности.

1. Не следует думать, что достаточно создать службу безопасности в картподразделении или вне его. Необходимо создать систему безопасности карточного бизнеса, а соответствующая служба - это лишь составная часть системы, хотя и главная.

2. Также не следует думать, что карт-менеджер в состоянии правильно подобрать кадровый состав указанной службы. Идеальными кандидатурами на такую работу являются бывшие сотрудники аналитических служб правоохранительных органов с серьезными связями в соответствующих информационных центрах. Также полезными оказываются навыки, приобретенные в органах дознания и следствия. Это, как правило, опытные, "тертые" офицеры, которые будут серьезно разговаривать о трудоустройстве только со "своими". Поэтому лучше, чтобы подбор кадров осуществлял непосредственно руководитель службы безопасности банка.

3. Нельзя создавать в коллективе атмосферу противопоставления службы безопасности и основной части коллектива. Управление указанными отношениями почти целиком находится в руках карт-менеджера и поэтому обязывает требовать от сотрудников службы безопасности и других подразделений взаимной лояльности.

И наконец, в-четвертых, служба безопасности - это лишь служба, обеспечивающая определенный режим функционирования, соблюдения установленного порядка, процедуры. Далеко не всегда на сотрудников этой службы возможно возложить вопросы разработки новых процедур, обеспечительных мер (не всегда у них имеется достаточная юридическая подготовка). Кроме того, совсем уж редкость, когда бывшие офицеры в состоянии просчитать экономическую эффективность своей работы. Все вышеизложенное не следует понимать как персональные недостатки тех или иных должностных лиц. Просто на каком-то этапе развития карточного бизнеса банка масштабы новых задач, или, как говорят, вызовов (challenges), уже перерастают сферу компетенции собственно безопасности и заставляют размышлять в категориях риска и на уровне управления рисками. Что такое риск в карточном бизнесе, мы рассмотрим ниже.

Расширенный взгляд на безопасность картбизнеса

Понятие риска является обиходным. Однако риск индивидуальный, т.е. связанный непосредственно с жизнью и деятельностью отдельно взятого человека, является слабоуправляемым явлением. Даже достаточно продвинутые и образованные люди при оценке риска полагаются на интуицию или вообще о нем не задумываются.

В управленческой практике игнорирование рисков, необходимости их оценки и управления ими может сойти с рук либо "до поры до времени", либо в том случае, если объект управления (в нашем случае это картбизнес или картподразделение) находится во внеэкономических условиях. Характерным признаком такого подхода является ситуация, когда любой ущерб или убыток воспринимаются как досадная случайность, чья-то халатность и/или нерадивость, хотя, по мнению автора, любой провал является в первую очередь признаком управленческой ошибки или, шире, некомпетентности. События, приведшие к потерям, не подвергаются анализу и экономической оценке, из них не делаются выводы и не предпринимаются конкретные действия. Такое положение дел сохранялось довольно долго в отечественных банках вообще и в картподразделениях в частности вплоть до начала 2000-х гг.

Что касается картподразделений, то здесь ситуация вообще представляется особой. Как было отмечено в разделе настоящей книги, посвященном экономическим вопросам, картподразделения до кризиса 1998 г. вообще редко рассматривались руководством банков в качестве подразделений, генерирующих самостоятельный поток прибыли. Рыночные задачи экономического содержания как таковые ставились достаточно редко. Экономика деятельности и расчеты эффективности/прибыльности основывались во многом на так называемых вмененных доходах. И наконец, картподразделения в основном занимались обслуживанием зарплатных проектов, а экономическая оценка велась в целом по банку в разрезе обслуживаемых корпоративных клиентов. Все указанные обстоятельства как раз и позволяли не обращать внимания на риск как на самостоятельный фактор деятельности, требующий управления, а ограничиваться "безопасностью" в том ее понимании, как было изложено выше. В этом смысле некоторым особняком стояла эквайринговая деятельность тех банков, которые занимались этим видом бизнеса целенаправленно (наиболее разумным риск-контролем всегда отличалась компания American Express, это утверждение, кстати, справедливо не только для эквайринга, но и для эмиссионной политики).

Была (и во многом остается) еще одна важная причина не слишком сильно утруждать себя управлением рисками - невысокая конкурентность рынка. Картпродукты пока не "толкаются" между собой, степень рыночного проникновения не так высока. Поэтому, например, еще редко менеджмент всерьез рассматривает такую проблему, как правильная формулировка критерия отбора заявлений для выпуска карт, иными словами - правильно рассчитанный критерий приемлемого риска. В основном пока применяется критерий "прошел безопасность - не прошел безопасность".

Есть еще одна отживающая традиция, требующая модернизации взглядов на обеспечение безопасности картбизнеса. Исходя из истории становления отечественного рынка платежных карт, вопросы безопасности в профессиональной среде ассоциировались в первую очередь с различными мерами по пресечению мошенничества с использованием карточных технологий. Особый интерес еще 4-5 лет назад вызывали различные семинары по безопасности, где бравого вида сотрудник УБЭП с гордостью и захватывающими подробностями рассказывал о поимке не просто мошенника, а раскрытии целой преступной группы, да к тому же международной. Бесспорный плюс заключается в том, что правоохранительные органы с интересом занимаются карточной проблематикой. Также несомненно, что менеджмент и сотрудники картподразделений должны хотя бы в общих чертах иметь представление о практике работы милиции в отношении карточных преступников.

При этом необходимо ясно понимать следующее: банки и финансовые организации не являются правоохранительными органами. То есть поимка, предание суду и наказание мошенника или преступной группы есть в первую очередь дело милиции и прокуратуры. Банк в борьбе с уголовными деяниями или попытками их совершения не обязательно должен занимать активную и инициативную позицию. Для пояснения этой точки зрения рассмотрим пример.

Кассир обменного пункта заподозрила, что клиент предъявляет фальшивый паспорт при попытке снятия наличных по карте. Есть два варианта поведения: первый - немедленно вызвать милицию, добиться составления протокола, принять меры к задержанию клиента, возбуждения уголовного дела и т.д.; второй - отказать в совершении операции без объяснения причин. С точки зрения интересов банка разумно выбрать второй вариант, если у кассира нет каких-либо дополнительных предписаний, требующих принять меры (оперативная ориентировка именно на обратившееся лицо).

В данной ситуации усматриваются и другие соображения. Дело в том, что в рамках уголовных дел, даже если преступник понес заслуженное наказание от имени государства, пострадавшее лицо (в данном случае банк) вряд ли добьется компенсации материального ущерба. С лиц, являющихся членами преступных сообществ или "индивидуалами", взять, оставаясь в рамках закона, как правило, нечего. То есть подача гражданских исков о возмещении ущерба экономически также необоснована. Прощать мошеннические действия ни в коем случае недопустимо, но в то же время надо отдавать себе отчет в том, что участие в уголовном разбирательстве является лишь дополнительным расходом для банка. Это, в свою очередь, подводит к следующему важнейшему соображению: подходы к обеспечению безопасности должны носить в гораздо большей степени превентивный, нежели реактивный характер. По этой причине центр внимания должен быть смещен в сторону продумывания комплекса мер, направленных на недопущение ситуаций, приводящих к возникновению ущерба.

Зададимся еще одним важным вопросом: являются ли прямые финансовые потери от разнообразного рода уголовно наказуемых противоправных действий единственным источником потенциальных потерь для картбизнеса? Более того, являются ли эти потери главными? На самом деле ответ отрицательный: нет, не являются. Основная зона риска, в которой возникают потери картбизнеса, заключается в кредитной природе отношений между участниками карточного рынка.

Изложенное выше подводит к соображению о том, что подход к вопросам безопасности требует изменения. Любая система безопасности должна иметь экономическое обоснование и должна быть во многом избавлена от груза правоохранительной логики. При построении системы безопасности и в режиме ее функционирования необходимо в первую очередь отталкиваться от квалификации и вероятности наступления рисков, которые могут привести к ущербу. Итак, представляется актуальным и перспективным рассмотреть проблему безопасности работы с картами под новым, более широким углом зрения, а именно, с позиций управления рисками карточного бизнеса банка.

Определение риска и связанные с ним понятия

Что такое риск? Наиболее правильным определением с точки зрения автора является любой вид деятельности внутри картподразделения или на рынке, потенциально способный нанести ущерб бизнесу. Относительно указанного определения противоправные уголовно наказуемые деяния являются лишь частным случаем. На самом деле риск может возникнуть в результате действий или бездействия многочисленных субъектов, определяющих состояние рынка и условия деятельности банка на нем. Наиболее вероятными источниками риска являются непосредственные субъекты рынка: банки, эмитенты и эквайреры, картодержатели, карточные платежные системы, торговые предприятия, карточные мошенники, процессинговые компании. В отечественной практике к генераторам риска также можно отнести государственные и регулирующие органы.

Для иллюстрации приведем пример риска, связанного с практикой работы платежных систем. Известно, что некоторое время назад ассоциация Visa запретила использование российскими банками-принципалами так называемого безлоготипного пластика для работы с банками-агентами. Это решение хотя и зрело довольно долго, привело к прямым потерям тех банков-принципалов, которые практиковали указанную форму работы. Потери выразились как в виде оттока клиентов, так и в необходимости уничтожения довольно приличных запасов пластика. Ассоциация MasterCard разрешает такую форму работы, но должностные лица, занимающиеся оценкой рисков, могли бы задаться вопросом: как долго продлится такое положение дел?

Что касается мошенников, то необходимо уточнить это понятие. Международные системы в лице своих банков-членов присутствуют в десятках стран с самыми разнообразными правовыми системами. Эти системы зачастую очень далеки друг от друга в части квалификации разного рода преступлений и видов преступной деятельности. Понятие "мошенник" может характеризоваться отличающимися признаками преступной деятельности в разных юрисдикциях. Поэтому уместно дать отдельное определение для использования в настоящем тексте: мошенничество - преднамеренное действие с целью получения выгоды (денег, товаров, услуг) нечестным, обманным способом. С указанным термином надо быть особо осторожным в отношении определения тех или иных действий клиентов (в разговоре с ними). Мошенник или мошенничество - определения, которые могут быть вынесены только судом при признании вины осужденного. Будучи неосторожно употребленными в деловой практике, эти слова могут нанести отдельный ущерб, например в виде иска о защите чести и достоинства*(104).

Термин "безопасность" также будем понимать несколько шире, чем это принято традиционно. Безопасность - обеспечение целостности организации, бизнеса, сервиса, торгового знака. В этом определении можно выделить три составляющие безопасности: физическая защита, информационная защита, защита от экономических посягательств.

И наконец, понятие степени подверженности риску (exposure). Под этим термином мы понимаем суммарные финансовые потери, которые будут иметь место при реализации того или иного риска. Данный термин в отношении картбизнеса в целом обычно употребляется в смысле реализации риска 100-процентных кредитных потерь. Для банка-эмитента он соответствует общей суммарной задолженности картодержателей по оплате своих операций в определенный момент времени. Для банка, выдающего наличные, - 100-процентное невозмещение сумм выданных денежных средств в определенный момент времени. Для банка-эквайрера - 100-процентное невозмещение средств, зачисленных на счета торговых предприятий (в случае работы по кредитной схеме возмещения). Также можно говорить о степени подверженности какому-то одному, более детально определенному фактору риска, например степень подверженности риску мошенничества по картам типа Classic (Standard).

В этой связи можно вспомнить досужий вопрос: что будет, если все "накроется"? Этот вопрос обычно звучит в виде риторического восклицания сотрудников, ответственно относящихся к своим обязанностям и подмечающих промахи руководства. Так вот, ответ на этот ужасный в своей постановке вопрос применительно к большинству российских банков прост и совсем не ужасен: практически ничего не случится. Банки, в основном реализующие дебетные программы эмиссии и эквайринга и защищенные от проникновения широкого круга сторонних клиентов "безопасностью", несут маленькие кредитные риски. Даже если банк в целом по каким-либо причинам не в состоянии далее функционировать, то максимум, что может случиться с картбизнесом, - он просто перестанет приносить доход, остановится. Иными словами, риски "накрыться" - это в основном риски персонала остаться без работы. Для собственников же и менеджмента финансового риска потерь практически нет. Некоторые менеджеры, к сожалению, осознавшие этот факт, позволяли себе относиться к управленческим обязанностям халатно (тем более что достаточно долго на российском финансовом рынке понятие репутационного риска вообще не было известно).

Для полноты определения риска важно еще то обстоятельство, что риск является неизбежным явлением любого бизнеса, в частности карточного. Риск не может быть сведен к нулю, более того, попытки ведения безрисковой деятельности со стопроцентной вероятностью приведут к экономическому провалу. Также важнейшей характеристикой риска являются предсказуемость и численная измеримость риска. Возвращаясь к уже сказанному, еще раз подчеркнем, что главным фактором риска в карточном бизнесе на всех рынках является кредитный риск. Этот риск, учитывая огромный опыт, накопленный банковской системой, является риском просчитываемым, а потому управляемым. Разумеется, есть еще риски неизмеримые, иными словами - качественные. К таким рискам можно, например, отнести возможность принятия решений государственными органами, препятствующих или существенно ограничивающих возможность ведения бизнеса. Напомним пример из отечественной практики: в 1997 г. вышло Положение ЦБ РФ*(105), по состоянию на тот момент повлекшее практически полное прекращение банками выпуска корпоративных карт. Риск-менеджер банка, осуществляющего программу выпуска кредитных карт, мог бы задать себе вопрос: к каким последствиям, например, приведет запрет на предоставление потребительских кредитов посредством карт?

Классификация рисков:

Из предыдущих рассуждений явно видно, что термины "риск" и "безопасность" в управленческом смысле не являются простыми понятиями. Существуют разные виды риска, связанные с ведением хозяйственной, банковской деятельности и в более узком смысле с ведением карточного бизнеса. При этом исчерпывающего перечня и однозначной классификации всех видов риска не существует. Отчасти это связано с тем обстоятельством, что неизбежными чертами риска являются случайность и непредсказуемость. Однако менеджмент обязан знать и уметь работать с теми видами риска, которые уже хорошо известны и поэтому в некотором смысле предсказуемы. Перечислим их.

1 Физический риск

Под данным видом риска понимаются риски потерь, связанных с физической утратой ресурсов. Это может означать утрату оборудования, информации, увольнение специалистов. Наиболее значимыми для карт-бизнеса видами физического риска являются: утрата пластика, персонализированных карт, несанкционированный доступ к содержимому банкоматов, несанкционированный доступ в операционные системы банкоматов и терминалов, линий связи. И самое неприятное - несанкционированный доступ в процессинговые и криптографические системы, нарушение целостности баз данных и систем информационной безопасности.

2 Юридические риски

К данному виду рисков относятся риски потерь, вытекающих из невозможности законодательного принуждения контрагентов к выполнению договорных обязательств. Примером указанного риска является отсутствие у банка юридических оснований в случае закрытия клиентом карты задержать на картсчете клиента средства, необходимые для возможного покрытия "опаздывающих" транзакций, даже если такое положение входит в текст правил пользования картой (обычно 35 дней). По действующему ГК РФ банк обязан вернуть средства клиента в течение 7 дней.

3 Риски взаимоотношений

Имеются в виду риски неблагоприятного развития отношений с персоналом, клиентом(-ами), партнерами и общественностью. В качестве примера реализации последнего риска можно вспомнить историю, относящуюся к 2000 г. В одной отечественной процессинговой компании не был должным образом налажен контроль над доступом к информации, содержащей сведения о ПИН-кодах держателей карт. Кроме того, у персонала были определенные претензии к менеджменту по уровню оплаты труда. В результате по вине и при прямом участии некоторых сотрудников произошла утечка информации о номерах карт и ПИН-кодах в криминальные круги. В результате мошеннических операций по снятию наличных держателям карт (преимущественно иностранцам) был нанесен ущерб в несколько десятков тысяч долларов. Было проведено оперативное внутреннее расследование, восстановлена система, обеспечивавшая конфиденциальность, виновные наказаны, ущерб возмещен. Однако этим дело не закончилось. Воспользовавшись прецедентом, конкуренты ловко и эффективно развернули в ведущих бизнес-изданиях кампанию по дискредитации деятельности процессора. К большому сожалению, потери от их действий были весьма ощутимы.

4 Финансовые риски

Это риски прямых финансовых потерь. Данный вид рисков наиболее очевиден, к тому же он легко поддается численной оценке.

К этой категории относятся, например, риск мошеннического использования карты, риск невозврата задолженности по кредитной карте, риск ошибочного (завышенного) проставления расходного лимита в авторизационной системе.

На практике однозначно квалифицировать риск представляется весьма затруднительным, т.к. к реализации риска, как правило, приводит не какое-либо обособленное действие или бездействие кого-либо (в противном случае все было бы очень просто!), а стечение обстоятельств, в том числе реализация риска так называемых белых пятен, т.е. ситуаций, вообще непредусмотренных или обойденных вниманием при разработке систем контроля над рисками. К такой категории относится пример, описанный выше для иллюстрации рисков отношений с общественностью и персоналом. Это еще раз подтверждает, что любой риск, в частности "карточный", чаще всего имеет комбинированную природу.

Приведенная выше классификация отражает в большей степени качественный взгляд на природу рисков. Рассмотрим еще один вариант классификации рисков, более приближенный к функциональному содержанию деятельности картподразделения (назовем ее функциональной классификацией). Группа рисков, непосредственно связанная с деятельностью самого картподразделения, является наиболее легко просчитываемой и поэтому наиболее управляемой (нам еще предстоит определить понятие управления).

5 Общеорганизационные риски

К общеорганизационным рискам относятся большинство физических рисков, риски, вытекающие из организации производственных отношений между сотрудниками и подразделениями, кадровый риск, риски, связанные с ошибочной постановкой целей, неадекватного восприятия рынка и ошибочного маркетинга.

6 Операционные риски

Эта группа рисков непосредственно связана с ведением текущих операций. В первую очередь это риски финансовые, связанные с неправильной обработкой платежных документов (как в электронном, так и в бумажном виде), отсутствием должного последующего контроля. Риски по ошибочному или умышленному необоснованному увеличению расходных и/или кредитных лимитов, неправильному управлению остатками на корреспондентских счетах, риски возникновения несанкционированных задолженностей (овердрафтов), несанкционированного использования карт, ошибочной загрузки и параметризации банкоматов, одним словом - все риски, вытекающие из операционного процесса, обеспечиваемого картподразделением.

7 Риски, связанные с новыми клиентами

Каждый действующий в координатах свободного рынка карточный бизнес ведет работу по привлечению новых клиентов. Это касается как выпуска карт, так и эквайринга. В отношении каждого нового клиента банк вынужден принимать положительное или отрицательное решение о выпуске карты или подписании эквайрингового соглашения. Подчеркнем, что указанное решение всегда носит кредитный характер, даже если речь идет об одобрении заявления на дебетовую карту или подписании соглашения на "дебетный" эквайринг. Таким образом, представляется целесообразным выделить достаточно обособленную (и самую существенную!) группу рисков, связанных с принятием неправильных кредитных решений.

В дальнейшем будем рассматривать все виды карточных рисков, основываясь на функциональной классификации.

Управление рисками

Все соображения, рассмотренные выше, вполне убедительно говорят в пользу того, что переход от вопросов исключительно безопасности к вопросу управления рисками имеет под собой серьезную жизненную почву, более того, является насущной необходимостью картподразделений, действующих на отечественном рынке середины 2000-х гг. Понятие управления рисками включает в себя несколько видов деятельности, при этом очень важно понимать, что управление рисками в каждой своей части является процессом динамическим (аналогии можно провести с маркетингом или с процессом стратегического менеджмента). С другой стороны, иногда эффективно проводить своего рода ревизии, разовые проверки состояния тех или иных организационных и процедурных систем, обеспечивающих предотвращение возникновения рисков.

При управлении рисками также необходимо постоянно помнить, что риск является в контексте управления экономической категорией и степень минимизации риска должна быть сбалансирована с задачами развития и получения прибыли. Например, можно установить очень сложную процедуру принятия решения по выдаче кредитной карты: допустим, что решение принимается исключительно кредитным комитетом. В результате при полном отсутствии потерь будут выданы кредитные карты общим числом в два десятка, суммарный процентный доход банка составит около $50 в месяц. В альтернативе, когда решение о выдаче кредитной карты принимается карт-менеджером с опорой на мнение риск-аналитика картподразделения количество выданных карт составит 150, а процентный доход - $1000/мес. при уровне безнадежной задолженности в $200. Понятно, что в выигрыше останется тот банк, который выберет второй вариант процедуры. Однако, руководствуясь соображениями традиций и операционных, а не статистических подходов к контролю кредитных рисков, а также стремлением к "красивой" отчетности, большинство банков выбирают первый вариант или что-то близкое к этому. Это очень типичная экономическая ошибка менеджмента отечественных банков.

Еще один компонент экономического подхода. Любой экономический (хозяйствующий) субъект действует в условиях ограниченности ресурсов. Эта прописная истина микроэкономики заставляет карт-менеджера и риск-менеджера задумываться над правильным планированием и распределением ресурсов, прежде всего финансовых, обеспечивающих защиту от реализации риска.

Итак, управление рисками является деятельностью, в рамках которой:

- определяются и оцениваются потенциальные зоны риска;

- устанавливаются допустимые уровни риска;

- разрабатываются и осуществляются процедуры, направленные на предотвращение и недопущение риска;

- осуществляются мероприятия, направленные на минимизацию потерь при реализации того или иного риска.

При управлении риском очень важно также правильно понимать соотношение таких его качеств, как степень потенциальной угрозы (финансовых потерь) и вероятность наступления рисков. Например, риск-менеджер из числа сотрудников безопасности может совершать огромные усилия по предотвращению сговора между сотрудниками с целью не допустить утечки информации. При этом во внимание принимается только возможность колоссального ущерба банка от такого сговора, но игнорируется весьма слабая вероятность события, вытекающая из того факта, что все сотрудники, имеющие доступ к финансовой информации и ее обработке, начиная с этапа приема на работу, подвергаются тщательнейшей проверке по линии общебанковской службы безопасности. Не будем даже говорить об ущербе, наносимом внедрением в коллектив атмосферы слежки и подозрительности. С другой стороны, весьма вероятные события несанкционированных овердрафтов, каждый из которых по отдельности не несет ощутимых потерь, будучи оставлены без надлежащего внимания, могут вылиться в серьезный финансовый ущерб.

Напоминание о производном риске

Зададимся вопросом: если какой-либо карточный риск реализуется, означает ли это, что потери, которые несет банк (или иной участник карточного рынка), ограничиваются прямыми финансовыми потерями? К сожалению, это не так. Еще раз обратимся к приведенному нами выше примеру о процессинговой компании. С первого взгляда могло показаться, что потери от утечки информации будут ограничены мерой финансовой ответственности по договорам с партнерами. Однако расходы, как мы предполагаем, оказались гораздо выше. Дело в том, что помимо восполнения ущерба потребовалась ликвидация последствий как самого события, так и всех вызванных этим событием вторичных событий. Имеются в виду противоборство с организациями, вступившими в неэтичную конкуренцию, и необходимое впоследствии заглаживание имиджа. Среди таких расходов мы разделяем две группы: связанные с непосредственным администрированием последствий ситуации (административные расходы) и вторичные (производные расходы). Перечислим их, т.к. этот перечень является очень типичным, особенно для банков (под расходами мы в том числе понимаем затраты рабочего времени). Административные:

отчетность перед платежной системой (в данном конкретном случае потребовался независимый

взаимодействие с правоохранительными органами;

аудит);

претензионная работа;

служебное расследование;

подбор нового персонала;

пересмотр всех процедур защиты информации;

перевыпуск обслуживаемых карт и ПИН-кодов;

выплата компенсаций партнерам за перебои в обслуживании. Производные: потери в клиентской базе; провал в оборотах;

расходы на прессу по противодействию тенденциозной подаче информации; мероприятия по восстановлению имиджа и репутации. Может показаться парадоксальным, но мировой опыт и статистика, накопленная платежными системами, говорят о том, что административные расходы, связанные с локализацией последствий реализованного риска, почти всегда оказываются выше прямых финансовых потерь, а размер вторичных, производных потерь - выше административных. То есть при управлении рисками надо всегда иметь в виду необходимость управления производными (иначе говоря - связанными) рисками.

Проиллюстрируем сказанное статистической информацией. По данным платежных систем за первую половину 90-х гг., суммарные потери банков от карточных мошенничеств составили:

Прямые потери	$1,4 млрд.
Административные расходы	$2,2 млрд.
Производные потери	$6 млрд. (оценка)

При этом основная часть производных потерь была связана с прекращением или резким сокращением использования карт держателями, в том или ином виде пострадавшими от действий мошенников. При этом падение уровня использования происходит даже в том случае, если нанесенный ущерб впоследствии полностью компенсируется держателю банком-эмитентом.

Все вышесказанное в полной мере относится к такому, казалось бы, безобидному эмиссионному риску, как риск отказа в обслуживании карты торговым предприятием, например по причине недоступности эмитента. При отсутствии прямых потерь банк несет административные потери (разбирательство) и почти всегда потери от сокращения клиентом пользования картой (не путать с письменным отказом от использования).

Особенность управления риском

Понятие управления риском лежит в непосредственной близости от таких понятий, как осторожность, критическое и даже пессимистическое восприятие бизнес-процессов. В более широком понимании риск-менеджер - это должностное лицо "сдерживающего характера". В круг его задач входят предотвращение необдуманных бизнес-шагов, контроль над выполнением определенных рутинных процедур, ревизионная деятельность. Также на риск-менеджера возлагается обязанность по контролю над соблюдением производственной дисциплины в целом и в отношении отдельных компонентов операционных процедур. По этим объективным причинам деятельность службы безопасности и контроля рисков неоднозначно воспринимается другими подразделениями. Иными словами, возникает определенный конфликт интересов между выполнением различными службами и сотрудниками своих функций. Таких групп противоречий как минимум три.

1. С одной стороны, подразделения, непосредственно ведущие бизнес-процесс, нацелены на валовое увеличение количества клиентов. Например, служба привлечения клиентов банка-эквайрера стремится к подписанию наибольшего количества договоров с торговыми предприятиями. Так как зачастую договоры подписываются на основе личных связей, клиентские менеджеры не обращают внимания на некоторые формально-отрицательные характеристики предприятия. Это могут быть недействительные уставные документы, отрицательная кредитная история, причастность к криминалу должностных лиц и т.д. Разумеется, риск-менеджер перед подписанием соглашения обязан оценить указанные факторы и сделать заключение о приемлемости уровня риска ("прошел - не прошел безопасность"). Заключение не всегда бывает положительным, а это фактически означает перечеркивание результатов труда клиентского менеджера. Таким образом, имеет место конфликт по линии маркетинг - контроль рисков. Это неизбежное сопутствующее явление деятельности любой службы контроля рисков, работающей эффективно.

2. Служба контроля рисков - бэк-офисное подразделение. Само по себе это противоречие не генерирует дохода, а фактически занимается сопровождением процессов, происходящих в других подразделениях. При этом соблюдение процедур и выполнение мер, направленных на предотвращение риска, являются сугубо затратными в смысле рабочего времени как для всего картподразделения в целом, так и для каждой отдельно взятой его части. В этой связи у многих сотрудников может сложиться впечатление, что служба безопасности и контроля рисков является ненужной, проедающей ресурсы структурой. Поскольку формулировки многих целей и задач и содержание деятельности указанной службы по понятным причинам могут не разглашаться, впечатление лишь усиливается. Особенно сильный негатив такого рода возникает от неквалифицированных, "топорных" действий бывших службистов. Таким образом, конфликт по линии "получение дохода по валу - необходимость разумных ограничений по риску" также является объективной областью конфликта интересов.

3. Любой серьезный бизнес-процесс или бизнес-проект основывается на бизнес-плане. Планы в основном составляются линейными менеджерами и персонально карт-менеджером подразделения. Как любой фактор, существенным образом влияющий на деятельность всего подразделения и на его способность получения дохода, бизнес-планы должны также подвергаться оценке со стороны профессионального риск-менеджера. Негативная оценка или поправки к плану, снижающие его привлекательность в качестве руководства к действию, могут задеть как здоровые, так и нездоровые амбиции менеджмента. То же касается и принятия отдельных решений, влияющих на функционирование картподразделения. Таким образом, необходимость сдерживания амбиций и "отрыва от реальности" также содержит в себе определенный конфликт интересов.

Кредитный риск в карточном бизнесе

Как известно, карточный бизнес делится на эмиссионную и эквайринговую часть. При анализе большинства процессов, в том числе экономической стороны картбизнеса, принято рассматривать отдельно эти две составляющие. В эквайринговой части также принято выделять мечант, кэш-эквайринг и АТМ-эквайринг в качестве самостоятельных видов операций. В отношении контроля рисков такое деление оправдано лишь отчасти. Справедливо буквально следующее: риски, связанные с мошенничеством, уместно рассматривать, отталкиваясь от указанной выше классификации, т.к. практически все виды мошенничества опираются на те или иные "дыры" и недостатки в технологии совершения операций*(106).

Однако основная масса риска карточного бизнеса (в глобальном масштабе свыше 90%), как уже говорилось выше, приходится на кредитный риск. Мы считаем, что у читателя уже есть определенное представление о том, что означает этот финансовый термин (к сожалению, рамки настоящей книги не позволяют подробно на этом останавливаться). Кредитный риск, имеющий место при ведении карточных операций, не представляется возможным классифицировать указанным в предыдущем абзаце образом. Этот вид риска по своей природе не операционный, а целиком зависящий от самих клиентов банка, при этом не имеет значения, к эмиссионной или эквайринговой части они относятся (может быть так, что к обеим). Справедливости ради надо сказать, что определенный кредитный риск содержится также и в отношениях с платежной системой, более точно - в отношениях с ее расчетным банком или банком-принципалом. Для иллюстрации можно вспомнить 1998 г., когда от разрушения крупных банков-принципалов и расчетного для Europay Int. банка "СБС-Агро" потери понесли многие мелкие банки, работавшие устойчиво и нормально перенесшие кризис. Потери эти выразились в основном в невозмещении сумм выданных наличных по сторонним картам (Non on-us), а также в фактической блокировке остатков на корсчетах банков-агентов, предназначенных для расчетов по собственным картам. Этот пример показывает, в частности, что классификацию кредитных рисков и карточных продуктов, порождающих тот или иной вид риска, уместно вести, отталкиваясь от классификации клиентов. Собственно, этот подход является краеугольным камнем всего кредитного дела*(107).

В отношении кредитных рисков в банковском деле принята устоявшаяся классификация. Риски делятся на розничные и корпоративные, или, иначе, риски, связанные с заемщиками - физическими лицами и юридическими лицами (компаниями). В отечественной практике кредитного дела есть также несколько пограничных категорий заемщиков, таких, как малое предприятие и предприниматели без образования юридического лица. Поскольку объем и рамки настоящего издания не позволяют углубляться в этот вопрос, чтобы избежать теоретических рассуждений, представим в виде таблицы распределение видов карточных продуктов и связанных с ними рисков по розничному и корпоративному секторам:

Розничные риски	Корпоративные риски
Дебетовая карта Electron	Корпоративная карта
Дебетовая карта Classic	Зарплатная карта
Дебетовая карта Gold	Услуга мечант-эквайринга
Кредитная карта Classic	Ручная выдача наличных

Кредитная карта Gold	АТМ-эквайринг
(подразумевается, что все карты
выпускаются для физических лиц)

Несколько слов о корпоративных рисках. Кредитные риски, связанные с деятельностью тех или иных предприятий, являются отдельным предметом изучения в финансово-экономических вузах. Для квалифицированной оценки риска (точнее, лимита риска на предприятие) существуют методики, различающиеся по секторам экономики, масштабам деятельности, степени аффилированности с другими хозяйствующими структурами и т.д. В каждом банке работают специальные подразделения, занимающиеся оценкой кредитного риска и вынесением суждений о его размере. При этом в методиках и системе оценки риска во внимание принимаются все виды кредитного риска, так или иначе связанные с обслуживанием предприятия. В этом смысле "карточные риски" встраиваются в систему общехозяйственных рисков по обслуживанию и, возможно, кредитованию данной организации (или группы). В самом деле, риск возникновения неразрешенного овердрафта по корпоративным и/или зарплатным картам в соответствующих договорах, как правило, полностью относится на само предприятие. Риск возникновения возвратных платежей (charge back) также покрывается торговым предприятием. Вопрос размера риска, таким образом, сводится к тому, насколько указанное предприятие в состоянии (платежеспособно) оплатить реализовавшиеся риски. В отношении кредитных организаций, являющихся расчетными агентами эмитентов и эквайреров, выражения "лимит риска" или "лимит на банк", т.е. лимит межбанковского кредитования, хорошо известны карточным специалистам. Наличие указанного лимита и его размер являются существенным фактором при принятии решений об установлении спонсорских отношений.

Расчет указанных корпоративных лимитов выходит за рамки компетенции картподразделения. Клиенты, пользующиеся услугами корпоративных карт или имеющие зарплатные проекты, как правило, проходят до стадии пользования карточными услугами уже определенный путь взаимодействия с банком. Для выпуска указанных карт в большинстве случаев достаточно получить визу согласования с кредитным подразделением банка. Разумеется, сотрудники кредитного подразделения должны заранее иметь исчерпывающую информацию о потенциальных кредитных рисках, связанных с выпуском того или иного карточного продукта или вида карт. Исключение могут составить предприятия, пользующиеся исключительно эквайринговыми услугами банка. Если банк является крупным игроком эквайрингового рынка, целесообразно построить отдельную, в определенном смысле упрощенную систему оценки риска. Методология оценки и варианты организации системы риск-контроля эквайринговых клиентов будут рассмотрены ниже.

Гораздо более актуальным вопросом для любого картподразделения является умение оценивать кредитные риски, вытекающие из природы и способа функционирования эмиссионных продуктов для физических лиц. Определяется это положение дел тем, что решения по выпуску дебетовых карт (а в последнее время все чаще и кредитных) принимаются непосредственно внутри картподразделения -карт-менеджером или другим должностным лицом. Вторая причина заключается в том, что эмиссионный рынок по количеству банков и клиентов-участников гораздо шире эквайрингового и соответственно частота возникновения задачи несравнимо выше.

Типы эмиссионных кредитных рисков

Кредитные риски и процедуры их оценки, связанные с выпуском карт для физических лиц, тесным образом переплетаются с подобными процедурами, которые банки применяют в отношении прочих видов розничных кредитов. Однако ряд особенностей карточных кредитных рисков выделяют их среди остальных.

Во-первых, выпуск карты клиенту несет в себе кредитный риск даже в том случае, если банк не предоставляет клиенту кредита. Технология совершения карточных операций такова, что клиент может "прокредитоваться" без какого-либо кредитного решения. Во-вторых, банк не в состоянии осуществлять исчерпывающий операционный контроль над использованием предоставленного кредита (кредитной линии). Под операционным контролем в данном случае мы понимаем техническую способность банка разрешать или не разрешать использование всей суммы кредита или ее части в любой момент времени, приходящийся на срок действия кредитного договора. В-третьих, сам по себе факт выпуска в обращение карты уже являет собой определенный кредитный риск. В случае если карта попала в руки мошенника, получившего карту как на свое, так и на чужое имя, наверняка реализуется риск перерасхода средств с последующей нереальностью его взыскания.

Все указанные особенности также вытекают из карточной технологии расчетов. Самым главным ее принципом является безакцептное списание требований по оплате со счетов банка-эмитента в расчетном банке (а впоследствии со ссудного или текущего счета клиента). Это так называемый принцип дебетового трансферта. Второй технологической причиной несанкционированного использования кредита становится технология авторизации операций. Авторизация происходит не всегда (иногда это экономически неоправдано), поэтому появляется возможность перерасхода средств клиента или кредитной линии.

Прежде чем перейти к рассмотрению собственно кредитных рисков эмиссии карт физическим лицам, дадим некоторые оценки технологического риска. Под технологически-кредитным риском мы будем понимать рассмотренный выше случай использования карты мошенническим образом как от своего, так и от чужого имени. Иными словами, оценим степень подверженности риску потерь, вытекающих из технологической природы карточных продуктов. Карты, обращающиеся в платежном пространстве Visa, MasterCard и других платежных систем, несут в себе различные степени риска, прежде всего по причине различия в технологии авторизации. Операция по карте дебетового типа (Electron/Maestro) авторизовывается всегда, хотя это и не означает полное отсутствие технологически-кредитного риска (риск связан с такими неавторизуемыми величинами, как комиссии и курсовые разницы). Операции по картам типа Classic/Standard в ряде случаев, например при покупках на мелкие суммы, не авторизуются. Операции по картам типа Gold не авторизуются мечантами в еще большем количестве случаев. Приведем оценочную таблицу степени подверженности технологически-кредитному риску наиболее часто используемых карт. Сразу отоваримся, что указанная оценка носит, во-первых, эмпирический характер, во-вторых, связана с опытом реализации картпрограмм в отечественных банках. Кроме того, автор, к сожалению, не располагает статистикой технологического риска при использовании смарт-карт.

Вид карт	Степень подверженности технологически-кредитному риску
Electron/Cirrus/Maestro	$100
Classic/Standard	$30 000
Gold	$45 000

Напоминаем, что под степенью подверженности риску мы понимаем максимально возможный ущерб от невозврата соответствующей ссуды, взятой в данном случае у банка несанкционированно и умышленно. Степень риска выражается в долларах и соответствует максимальному ущербу, наносившемуся недобросовестными держателями карт разным банкам (более точно - речь идет об ущербе от мошеннического использования карты, приобретенной в банке на собственное или на чужое, подставное имя).

Так что же является эмиссионным кредитным риском? В финансовом определении кредитными рисками являются:

несанкционированный, неразрешенный банком доступ к кредитным средствам, в том числе сверх установленного банком лимита кредитования;

несвоевременное погашение обязательств по предоставленному кредиту, как разрешенному, так и неразрешенному;

непогашение обязательств по предоставленному кредиту (разрешенному или неразрешенному).

Из указанного перечня первый вид риска является ключевым с точки зрения контроля. Третий вид риска является прямым следствием реализации первого (производным). Наиболее эффективным методом предотвращения этих видов риска является правильная оценка клиентов на этапе принятия решения о выдаче карты. Также важным является правильное определение размера разрешенного кредита. Вопросами оценки клиентов "на входе" мы и займемся в ближайших разделах. Второй из перечисленных видов риска, скорее, относится к его операционному виду (все операционные риски эмиссионного бизнеса будут рассматриваться отдельно).

Таким образом, выражаясь более коротко, основным видом контролируемого "на входе" кредитного риска является перерасход средств (овердрафт). Наиболее правильно употреблять термин "овердрафт" в отношении дебетных карт. В отношении дебетно-кредитных (разрешенный овердрафт в пределах лимита) и собственно кредитных карт чаще употребляют словосочетание "перерасход лимита". Дадим точные определения.

1. Для дебетовых карт овердрафт по картсчету (иногда говорят "по карте", хотя это некорректно) означает дебетовый остаток по картсчету, сложившийся в течение операционного дня в учетной системе банка и подлежащий погашению до закрытия текущего операционного дня. В случае если списания с картсчета, произведенные текущим операционным днем, превышают остаток по нему на начало операционного дня, то картсчет находится в состоянии овердрафта и подлежит пополнению.

2. Для дебетово-кредитных карт перерасход лимита овердрафта означает, что для погашения сложившегося в течение дня овердрафта необходимо списание с соответствующего ссудного счета сумм свыше лимита кредитования, установленного банком для данного клиента.

3. Для кредитных карт перерасход лимита означает, что для погашения обязательств клиента, возникших в результате пользования картой, недостаточно средств, исходя из размера кредитной линии, предоставленной банком.

Для правильного вывода метода "входного" контроля кредитного риска построим схему, отражающую различия в разных видах перерасхода:

"Рисунок. Виды перерасхода средств на карте"

Неумышленные виды перерасхода связаны либо с особенностями технологии (авторизации), либо с невозможностью контроля клиентом текущего расходного лимита по его карте. Неумышленный перерасход, допущенный по невнимательности, чаще всего возникает, когда клиент попросту забывает, например во время зарубежной поездки, о размере остатка на карте или помнит его приблизительно. Это наиболее безобидные виды перерасхода, они подлежат контролю и погашению обычными операционными методами.

Перерасход, допущенный клиентом без умысла, но по причине халатного отношения к хранению карты, а также в результате пренебрежения правилами пользования картой, является более сложным случаем риска с точки зрения устранения последствий его реализации.

То же относится и к перерасходу, возникшему по злому умыслу третьих лиц. Сложность заключается в том, что при наступлении этого вида риска почти всегда возникают определенный конфликт или как минимум напряженность в отношениях клиента и банка. Усугубляется это тем обстоятельством, что такого рода отношение к платежной карте чаще бывает у людей малообразованных или не желающих внимать доводам и аргументам, исходящим от кого бы то ни было. Также с первого взгляда крайне сложно разобрать, стал ли перерасход следствием чьего-либо умысла или допущен по халатности. Для урегулирования отношений часто бывает необходимо обладать не столько знаниями карточных процедур и правил, сколько навыками общечеловеческой дипломатии. В отдельных случаях банкам приходится по разным соображениям возмещать такой перерасход из собственных средств. Но в любом случае контроль над указанными рисками в большей степени также относится к операционным методам. В части входного контроля указанный риск можно немного минимизировать путем присвоения чуть более высокого "отрицательного" приоритета тем заявителям, кто имеет низкий уровень образования или является хозяином собственного бизнеса или его руководителем.

Более тяжелый с точки зрения ликвидации последствий тип перерасхода - перерасход, допущенный умышленно. Если максимальный размер неумышленных видов перерасхода (за исключением мошенничества третьих лиц) можно оценить в границах $500 в зависимости от типа карты, то умышленный перерасход, допущенный по недобросовестности, уже может измеряться тысячами долларов. Верхнюю границу степени подверженности данному виду кредитного риска можно оценить на уровне $5000 на карту. Этот вид риска уже в гораздо большей степени относится к тем, которые контролируются "на входе". В качественных терминах реализация такого риска наиболее вероятна для лиц с низким "цензом оседлости" по основному месту работы и, как следствие, имеющих нестабильные заработки. Также сильно влияет фактор размера предприятия. Чем более скромные размеры имеет бизнес, "кормящий" клиента (семейное предприятие, ПБОЮЛ), тем вероятнее умышленный перерасход средств по карте.

Самым негативным видом риска является умышленный перерасход, совершенный профессиональным мошенником. Как мы уже отмечали, в случае если свежевыпущенная карта попадает в руки злоумышленника, банк несет гарантированные потери. Фактически единственным эффективным способом контроля этого риска является входная проверка заявителя. Более того, все системы безопасности и контроля рисков банков в основном и работают на предотвращение указанного риска. Ведь он может реализоваться независимо от финансового режима карты (кредитная, дебетная и т.д.).

Разграничение групп риска среди клиентов - физических лиц

В предыдущеммы классифицировали различные виды риска. Далее следует обратить внимание на то, что у разных видов риска есть свои носители. Клиентская база, особенно крупного банка, является разнородной, и на больших масштабах антирисковые процедуры целесообразно применять избирательно, что позволит сэкономить ресурсы на оценку риска. Перечислим клиентские группы физических лиц в порядке возрастания размера кредитного риска:

лица, имеющие депозиты в банке;

лица, имеющие положительную кредитную историю в банке;

лица, имеющие регулярно пополняемые счета в банке;

лица, имеющие поручительство клиентов банка;

лица, знакомые кому-либо из сотрудников или клиентов банка или рекомендованные;

все прочие физические лица ("клиенты с улицы").

Не требует дополнительной аргументации соображение о том, что наиболее жесткий "входной контроль" следует применять именно к группе неизвестных банку лиц. Ниже мы рассмотрим методы контроля именно этого риска. Для более лояльных банку групп клиентов на основе изложенного далее можно установить упрощенную методику. Мера такого упрощения в большой степени зависит от клиентской базы конкретного банка, его кредитной политики и прочих компонентов системы контроля риска. Например, автор считает, что первые три из перечисленных клиентских групп практически не подвержены риску умышленного перерасхода.

Методы входного контроля риска и принятия решений о выпуске карты

Перед детальным освещением методики входного контроля риска сделаем несколько замечаний. Некоторым читателям может показаться странным следующее обстоятельство. Не заявители, отобранные по критерию большой величины стоимости имущества или дохода, являются наименее рискованной группой карточных клиентов, а люди с высокой степенью социальной и личной стабильности. Также не являются наименее рискованной группой лица, являющиеся предпринимателями, получающие доход в виде дивидендов от владения акциями и тому подобное. Наименее рискованной группой являются лица, работающие по найму. С точки зрения возрастного состава наименьший риск представляет собой группа в возрасте от 30 лет. Более высокий риск представляет собой возрастная группа 25-30 лет как в смысле умышленного недобросовестного, так и мошеннического перерасхода средств. В смысле распределения риска между мужчинами и женщинами статистическое смещение можно увидеть в "женскую сторону" среди неумышленных видов риска. Мужчины, как правило, более строго контролируют свои расходы и саму карту. Мошеннические действия чаще предпринимаются мужчинами, хотя и слабый пол здесь тоже представлен.

Предметом аналитических действий является информация о клиенте. Главный источник указанной информации - клиентское заявление-анкета, содержащее просьбу о выпуске карты. Собственно, на основании анализа указанных данных и принимается решение о выпуске или об отказе в выпуске карты. Отметим, что, перед тем как работать с данными, необходимо убедиться в том, что заявление подал именно тот человек, чьи данные содержатся в этом заявлении. Кроме того, большинство так называемых установочных данных клиента нуждаются в проверке. Сама же процедура проверки заявителя и его данных организационно и по смыслу разделяется на три этапа.

1. Первичная проверка клиента и документов сотрудником учреждения банка (производится лицом, принимающим документы на выпуск карты):

проверка личности клиента - сличение внешнего вида клиента с фотографией в документе, удостоверяющем личность;

проверка документа, удостоверяющего личность на предмет отсутствия видимых признаков подделки (переклеенная фотография, подчистки, исправления);

для паспортов, оформленных на бланках образца 1974 г., - проверка наличия фотографий, вклеенных в возрасте 25 и 45 лет;

проверка, не оформлен ли документ на бланке, числящемся в перечне украденных, утраченных, признанных недействительными и т.д.;

сличение подписи в заявлении с образцом, имеющимся в документе, удостоверяющем личность;

проверка полноты заполнения всех позиций бланка заявления.

2. Оценка общегражданских рисков, связанных с заявителем (выполняется сотрудником службы безопасности/контроля рисков):

проверка, не числится ли заявитель в розыске, в ориентировках УБЭП ГУВД, МВД, Интерпола и других правоохранительных органов;

проверка, не был ли судим;

проверка достоверности сведений, указанных в заявлении:

- прописан ли заявитель по указанному адресу прописки;

- зарегистрирован ли телефон, указанный в качестве домашнего, по адресу, указанному в качестве места фактического проживания;

- существует ли реально организация, указанная в качестве места работы;

- числится ли заявитель в штате организации, указанной в качестве места работы и соответствует ли действительности указанная заявителем должность.

- зарегистрирован ли телефон, указанный в качестве рабочего, по адресу, указанному в качестве адреса места работы.

3. Оценка "продуктовых" рисков, связанных с обслуживанием клиента (производится сотрудником службы безопасности/контроля рисков):

проверка, не числится ли заявитель в "черных листах" других платежных систем;

проверка наличия негативной информации о клиенте в российских и зарубежных процессинговых центрах;

проверка возможности связаться с клиентом по телефону, в случае невозможности связаться при отсутствии уважительных причин (командировка, болезнь и т.д.) в течение одного рабочего дня заявление отклоняется;

проверка соответствия уровня дохода, возраста, должностного и имущественного положения типу запрашиваемой карты (без документарного подтверждения).

дополнительные проверки и анализ информации (в том числе о целях приобретения карты) в зависимости от обстоятельств и по решению проверяющего либо карт-менеджера.

Как можно видеть, по ходу проведения процедуры проверки заявителя и его данных может возникнуть большое количество нюансов и неоднозначной информации. Как, например, квалифицировать заявителя, имевшего в 1986 г. судимость "за спекуляцию"? Разрешить ли выдачу карты такому клиенту? Не хотелось бы навязывать собственного мнения, т.к. профессиональная оценка риска всегда имеет некоторый налет субъективизма. В данном случае автору представляется это правильным, поскольку риск-менеджер персонально отвечает за собственную оценку.

Еще раз напомним, что указанная процедура нацелена в первую очередь на то, чтобы исключить попадание карты в руки профессионального мошенника. Утверждаем, что добросовестно исполненная процедура почти наверняка этот риск исключает. С одним "но": по каждому проверочному пункту необходимо выработать четкий критерий отбора (справедливости ради надо отметить, что расписанная выше процедура не является точной, она нуждается в доработке конкретным должностным лицом). Это означает, что сотрудники, участвующие в процедуре проверки и тем более разрабатывающие ее, должны иметь четкие критерии разделения заявлений на группы "да", "сомнительно", "нет". Четкость критериев также важна с той точки зрения, что на больших объемах второй и третий проверочные этапы можно и целесообразно автоматизировать. Заявления со статусом "сомнительно" имеет смысл подвергать уже индивидуальному рассмотрению.

Итак, после проверки заявлений мы работаем с заявлениями типа "да". Однако мы еще не можем достоверно оценить риск, связанный с выдачей карты, т.к. не анализировали соотношение следующих параметров:

финансового режима запрашиваемой карты (дебетовая, кредитная и т.д.);

типа выдаваемой карты (Standard, Gold и т.д.);

размера запрашиваемого кредита (если запрашивается); социального профиля клиента.

В этот момент мы, собственно, вплотную подходим к вопросам кредитного скоринга*(108). Здесь же заметим, что скоринговая процедура, сделанная вручную или автоматически, в конечном итоге выдает размер возможного кредитного лимита по каждому заявителю. Этот лимит и есть искомый риск. В серьезных скоринговых системах также учитывается и тип карт, т.е. учитывается технологический риск, о котором мы говорили выше.

После проведения скоринговой процедуры в отношении каждого клиента мы уже имеем окончательно подготовленные данные для принятия решения о выпуске карты. Само решение практически уже состоялось, если в результате оценочного алгоритма мы имеем тип карты и ее кредитный лимит. Правда, в общем случае тип карты может быть с более низким статусом (например, Standard вместо Gold), а кредитный лимит - ниже запрашиваемого. Если система принятия решений не автоматизирована, решение выносится карт-менеджером после оценки риск-менеджера. Технически это выражается простановкой подписи в соответствующих графах заявления.

Операционная деятельность по ограничению рисков, связанных с мошенничеством

Управление рисками мошенничества при эмиссии

В общем случае управление рисками при эмиссии сводится к минимизации влияния рисковых факторов использования банковских карт на доходность бизнеса в целом. В основу процесса может быть положена среднестатистическая модель поведения клиента, характеризующаяся рядом параметров, отклонение от которых система онлайн-мониторинга может воспринимать как мошенничество и отказывать в проведении операции. Однако построение адекватной статистической модели поведения клиента требует значительного времени и больших вычислительных ресурсов. Построение подобных статистических моделей поведения клиента хорошо зарекомендовало себя в установившихся системах банковского обслуживания, а при становлении рынка банковских услуг это -задача весьма сложная и вряд ли выполнимая для всего спектра клиентов, т.к. использование карт клиентами в основном носит недетерминированный характер.

Для решения задачи предотвращения мошенничества целесообразно передать часть функций управления рисками непосредственно держателям карт. На стадии выпуска и функционирования карты ее держатель сможет сам определять стандартную для себя модель поведения. Для этого банк должен обеспечить держателя карты возможностью оперативно изменять параметры модели ее использования. Такой подход требует со стороны банка определенных ресурсных затрат на доработку программного обеспечения, разработку новых технологий по управлению параметрами карты, доработку программного обеспечения кол-центра*(109) и организацию соответствующей рекламной кампании в среде держателей карт.

Большое значение имеет обеспечение клиента возможностью оперативно, по запросу, получать информацию о состоянии счета, оперативно блокировать/разблокировать карту, оперативно получать информацию о проведении/попытках проведения операций.

К параметрам, определяющим модель поведения клиента, можно отнести следующие:

- регион использования карты с детализацией до конкретной страны. Чем регион меньше, тем меньше риск успешного использования поддельной карты;

- лимиты на сумму и количество операций выдачи наличных и покупки (на 1 день, 3 дня, неделю, месяц и т.д.);

- определение категорий торговых точек (группы МСС*(110)), где карта не будет использоваться (например, Интернет, заказы по почте и т.д.);

- определение МСС, только для которых будет разрешено использование карты, например 6010

и 6011.

Управление параметрами риска клиент может осуществлять через:

24-часовую службу помощи;

автоматизированную службу помощи, позволяющую получать информацию по счету и блокировать/разблокировать карту;

систему "Мобильный банк", позволяющую в режиме онлайн:

- получать SMS-сообщения о любом движении по счету;

- узнавать остаток по счету;

- блокировать/разблокировать карту;

- устанавливать регион использования карты.

Для усиления мотивации клиентов в установке региона использования карты можно ввести некоторые ограничения на использование карты в странах повышенного риска использования банковских карт, соответствующим образом оповестив об этом клиентов. Установка региона использования карты позволит снимать ограничения на использование карты в этих странах на определенный срок, а заодно можно порекомендовать клиенту на будущее установить регионы использования карты.

Введение ограничений на использование карты самим клиентом в значительной степени повышает эффективность работы систем офлайн-мониторинга банка и позволяет без финансовых потерь на ранней стадии выявить случаи подделки карт.

В этом разделе будут рассмотрены проблемы управления рисками при обслуживании операций с банковскими картами, связанные только с внешними факторами воздействия на систему "банк -держатель карты", а именно:

для случаев утраченных/украденных карт;

для случаев мошеннических операций возврата покупки;

для случаев транзакций по поддельным картам.

Утраченные/украденные карты

Этот тип мошенничества приносит наибольшие убытки банкам и, к сожалению, слабо поддается минимизации. Если карта попадает в руки злоумышленников, то время ее использования не превышает 2-3 час. В среднем по статистике утраченные (и украденные) карты используются не более 3 дней. Таким образом, самое главное в процессе минимизации потерь банка от этого типа мошенничества -максимально быстрое блокирование карты. Для этого необходимо обеспечить держателя карты соответствующими пособиями, объясняющими его действия в случае ее утраты. Со стороны банка должна быть организована доступная круглосуточная служба поддержки, отвечающая на телефонные запросы держателей карт. Желательно в этой службе выделить отдельный телефонный номер для блокировки карт. Можно организовать автоматическую службу поддержки клиентов, позволяющую клиенту по телефону в автоматическом режиме, указав номер карты и кодовую последовательность, самостоятельно блокировать карту.

Предоставление клиентам услуги "Мобильный банк" позволяет блокировать карту, послав соответствующие SMS-сообщение на номер банка или выбрав в меню мобильного телефона пункт блокировки карты.

Как превентивную меру от потерь можно рекомендовать клиентам использовать систему лимитов на операции - дневных, недельных и т.д.

Применение офлайн-мониторинга позволяет выявить случаи мошеннического использования утраченных карт, однако это не приносит ощутимого финансового результата.

Мошеннические операции "возврат покупки"

Этот вид мошенничества характеризуется тем, что на счет клиента поступает операция "возврат покупки" и увеличивает доступный баланс, а через определенный промежуток времени поступает операция списания на ту же сумму и из той же торговой точки. Если за этот интервал времени доступный баланс будет израсходован, то соответственно на счете клиента возникнет неразрешенный овердрафт. Обычно для этой схемы используются карты, держатели которых введены в заблуждение мошенниками, и возмещение ущерба вызывает большие проблемы. Сама процедура возникновения подобных пар ("возврат покупки" - операция списания) может происходить по двум причинам:

1) мошенник работает в торговой точке. Тогда процессирование сначала кредитной операции, а затем, через определенный промежуток времени, дебетовой операции не отражается на балансе предприятия;

2) мошенник - хакер и использует несовершенство технологии возврата покупки в некоторых интернет-магазинах. Осуществляется мошенническая операция покупки товара в интернет-магазине (например, по чужой карте), и затем оформляется возврат покупки, но для возврата подставляется нужный номер карты, и деньги снимаются в банкомате. После урегулирования претензий держателя карты, с которой была списана мошенническая транзакция, интернет-магазин соответственно дебетует номер "подставной карты", и на счете возникает овердрафт.

Для исключения подобного рода проблем необходимо организовать автоматическую процедуру сопоставления всех входящих операций "возврат покупки" с транзакциями, проведенными по счетам клиентов. Сопоставление необходимо осуществлять за определенный промежуток времени и начиная с определенной суммы, исключив из него ряд стандартных операций "возврат" (возврат НДС и т.д.) по усмотрению банка. Сопоставление осуществляется по номеру карты, имени и типу торговой точки при условии непревышения суммы возврата суммы платежа. Если операция "возврат покупки" не сопоставилась, то осуществляется автоматическое блокирование суммы на счете клиента до окончания проведения расследования по этому случаю.

Операции по поддельным картам

Наносят большой ущерб банкам. В последнее время отмечается большой рост подобного мошенничества. Это связано с высоким технологическим уровнем устройств, позволяющих копировать магнитную полосу карты, и доступностью средств производства высококачественного поддельного пластика.

Как уже отмечалось, эффективным способом уменьшения потерь банка является сочетание ограничения функциональности карты с мониторингом активности, а также подключение клиентов к услуге "Мобильный банк", которая позволяет клиенту быстро среагировать на первую мошенническую операцию и заблокировать карту, однако ущерб от одной операции может оказаться значительным. Оптимальным является пропаганда в среде держателей карт, пользующихся услугой "Мобильный банк", возможности разблокировки карты только на период проведения операции. Все остальное время карта должна быть заблокирована.

В среде держателей карт, не подключенных к услуге "Мобильный банк", целесообразно рекламировать возможность ограничения региона использования карты с целью минимизации риска проведения мошеннических операций. Особенно важно это делать для клиентов, посетивших страны повышенного риска мошеннического использования банковских карт. Таким клиентам необходимо рекомендовать установить для карты регион ее использования, например Россию. И в случае выезда клиента в другой регион ему будет необходимо позвонить в службу поддержки клиентов и открыть для карты требуемую страну/регион.

Управление рисками мошенничества при эквайринге

Управление рисками при обслуживании торгово-сервисной сети заключается в реализации комплекса организационных и технологических процедур, направленных на ограничение возможности проведения несанкционированных платежей и создание устойчивого непривлекательного имиджа торгово-сервисной сети банка у мошенников.

Организационные методы направлены на повышение уровня компетентности сотрудников торгово-сервисной сети по приему карт и методам противодействия мошенничеству. Особое внимание необходимо уделять наглядным пособиям и четкости инструкций по противодействию мошенничества.

Технологические процедуры предотвращения мошенничества: - 100-процентная авторизация всех операций в торгово-сервисной сети;

- принудительный ввод на терминале последних 4 эмбоссированных цифр номера карты при формировании авторизационного запроса и сопоставление их с данными на магнитной полосе. В случае если данные не совпали, операция не разрешается;

- лимит на максимальную сумму покупки, на максимальное количество операций, максимальную сумму операций по одной карте и т.д. При превышении лимита авторизационная система банка-эквайрера направляет в торговую точку сообщение "свяжитесь с банком" для проведения дополнительной проверки держателя карты;

- процедура сопоставления операции "возврат покупки". Все операции "возврат покупки" сопоставляются с операциями в торговой точке за определенный период. В случае если операция не сопоставлена, она откладывается из обработки до окончания расследования.

Мониторинг операций в торгово-сервисной сети

Позволяет выявить подозрительные и мошеннические операции на ранней стадии. Мониторинг позволяет контролировать положение с мошенничеством в торгово-сервисной сети на предмет соответствия стандартам платежной системы. По результатам мониторинга необходимо проводить мероприятия по расследованию случаев возможного мошенничества для создания у торговых точек устойчивого ощущения постоянного контроля со стороны банка. Естественно, степень расследования должна быть адекватна размерам мошенничества, иногда достаточно одного телефонного звонка в торгово-сервисную точку о необходимости подготовить документы по конкретной операции.

Преступления при операциях с платежными картами

При подготовке нового издания популярной практической энциклопедии "Пластиковые карты" авторский коллектив поставил себе задачу максимально расширить число потенциальных читателей, в связи с чем в книгу был включен этот раздел, посвященный квалификации и анализу преступлений, совершаемых при операциях с платежными картами. Знание банковского пластикового бизнеса необходимо не только самим банкирам и держателям карт, но и сотрудникам правоохранительных органов - милиции, прокуратуры, ФСБ - для эффективной борьбы с набирающими темпы экономическими преступлениями.

Исторически сложилось так, что любое имущество является не только предметом купли-продажи и иных сделок, предметом накопления и приумножения, но и объектом преступных посягательств. Всегда готовы найтись люди, которые, не имея на то законных оснований, попытаются завладеть имуществом других людей. Такие попытки издавна пресекались и изучались, в результате сложилась наука, именуемая уголовным правом.

Уголовное право изучает различные виды преступлений, среди них выделяют преступления в сфере экономики, в том числе преступления против собственности. Это такие формы хищения, как: кража, мошенничество, присвоение, растрата, грабеж и разбой.

С развитием высоких технологий традиционные формы преступных посягательств приобрели новый характер - в частности, говоря о банковских платежных и расчетных картах, целью преступников стало завладение указанными инструментами (либо связанной с ними идентифицирующей информацией) для того, чтобы иметь возможность распоряжаться средствами на карточных счетах. Такие хищения осуществляются не непосредственно у собственника, не из его жилища, а с его банковских счетов, что зачастую предполагает использование преступником схем межбанковских расчетов. Какую специфику несут преступления, совершаемые при операциях с платежными картами, и будет рассказано в настоящем разделе.

Мы не имеем возможности рассмотреть в настоящем издании все преступления, совершаемые при операциях с платежными картами, а потому уделим внимание лишь основным из них, наиболее распространенным в нашей стране.

Мошенничество при операциях с платежными картами

В современном русском языке термины "мошенничество", "мошенник", "мошеннический" достаточно широко распространены, они встречаются в художественной литературе, газетных и журнальных публикациях, в телевизионных репортажах, употребляются в быту. Поэтому у большинства людей, включая сотрудников банков, понимание этого явления сформировалось на житейском уровне. Однако мошенничество в его юридическом и "бытовом" понимании могут существенно различаться.

Наш правовой анализ необходимо начать с определения того, что же представляет собой с правовой точки зрения мошенничество, связанное с платежными картами банков, как оно определяется и какие особенности имеет.

Мошенничество - это преступление против собственности, которое является уголовно наказуемым по ст. 159 Особенной части Уголовного кодекса РФ. Состав преступления по данной статье характеризуется либо хищением чужого имущества путем обмана или злоупотребления доверием, либо приобретением права на чужое имущество путем обмана или злоупотребления доверием.

Состав ст. 159 УК РФ является особо квалифицированным, т.е. содержит несколько частей, предполагающих дополнительные факультативные признаки - совершение мошенничества группой лиц по предварительному сговору, с использованием служебного положения, совершение мошенничества организованной группой и т.п., с ростом порядкового номера части возрастает и предусмотренная Уголовным кодексом степень ответственности за данное преступление. Максимальная установленная санкция по ч. 4 ст. 159 УК РФ составляет до 10 лет лишения свободы. Соответственно согласно ч. 4 ст. 15 УК РФ мошенничество относится к разряду тяжких преступлений. Это влечет за собой определенные правовые последствия.

Один из базовых принципов уголовной ответственности - принцип вины (ст. 5, ст. 24-26 УК РФ) -предполагает, что лицо подлежит уголовной ответственности только за те общественно опасные действия (бездействие) и их последствия, в отношении которых установлена его вина. При этом существуют и признаются отечественным уголовным законом только две формы вины - совершение преступления умышленно или по неосторожности. Проще говоря, человек может быть признан виновным в совершении преступления и привлечен к уголовной ответственности только тогда, когда он совершил его умышленно или по неосторожности. Исходя из диспозиции*(111) нормы ст. 159 УК РФ, а также ч. 4 ст. 15 УК РФ, предполагается, что мошенничество может быть совершено только умышленно, что в принципе очевидно. Обман или злоупотребление доверием предполагают, что преступник заведомо знает, что вводит жертву преступления в заблуждение, либо злоупотребляет ее доверием. Например, человек оставил свою кредитную карту на столе в гостиничном номере, а недобросовестный уборщик номера взял карту и воспользовался ею для оплаты покупки в интернет-магазине. В этом случае имеет место мошенничество путем злоупотребления доверием.

Мошенничество не может быть совершено по неосторожности, т.к. последнее в трактовке УК РФ предполагает легкомыслие или небрежность (ч. 1 ст. 26 УК РФ).

Практикующим экономистам (и, естественно, держателям карт - потребителям банковских услуг) необходимо знать, что нормы Общей (ст. 1-104 УК РФ) и Особенной частей (ст. 105-360 УК РФ) Уголовного кодекса РФ дополняют друг друга и используются совместно. Уголовное законодательство России состоит только из Уголовного кодекса (ч. 1 ст. 1 УК РФ), т.е. никакой другой закон, кроме Уголовного кодекса, не может быть основанием уголовной ответственности в нашей стране, при этом в Общей части Кодекса сконцентрированы описание принципов уголовного закона, порядок его действия в пространстве и времени, дано понятие преступления и его видов, раскрыты общие требования к субъекту преступления (преступнику), определены виды наказания и случаи их назначения, обстоятельства, исключающие уголовную ответственность, и т.п. Специфика в том, что эти разделы имеют общее действие, распространяясь на все статьи Особенной части УК РФ, где содержатся описания конкретных преступлений.

Возвращаясь к определению мошенничества, обращаем внимание читателей на то, что законодатель выделяет, по сути, два вида мошенничества:

мошенничество в виде хищения чужого имущества;

мошенничество в виде приобретения права на чужое имущество. Оба вида мошенничества предполагают совершение преступником обманных действий или действий по злоупотреблению доверием. В чем отличие между этими двумя видами мошенничества?

Мошенничество в виде хищения

В бытовом понимании синонимами к термину "мошенник" являются такие слова, как "шельмец", "плут", "пройдоха".

Однако если ребенок совершит обман своих родителей, взяв деньги на одни цели - оплату за обучение, а потратит на другие - например на катание на аттракционах, то к нему может быть применим термин "шельмец" или "мошенник", но лишь в бытовом плане.

Уголовно-правовая квалификация мошенничества предполагает это преступление как одну из форм хищения чужого имущества, а обязательным признаком хищения является причинение ущерба собственнику или иному владельцу этого имущества. Ребенок не причиняет ущерба своим родителям, если денежные средства потрачены им на себя, но не по тому направлению, на которые они были в действительности ему выделены. Ребенок является членом семьи своих родителей, в рамках которой осуществляется совместное владение и пользование семейным имуществом, кроме того, он не подлежит уголовной ответственности, если не достиг 16-летнего возраста.

В Уголовном кодексе РФ хищение чужого имущества предусматривает (примечание 1 к ст. 158 УК РФ) следующие признаки: совершение с корыстной целью противоправного безвозмездного изъятия и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или иному владельцу этого имущества.

В обществе зачастую мошенниками называют также коммерсантов, деловых партнеров, которые взяли на себя некоторые обязательства, заведомо приукрашивая действительность, и затем не исполнили их своевременно вследствие деловой неудачи или иной причины. Однако с юридической стороны их действия не могут быть признаны мошенничеством, т.к. ущерб законному собственнику имущества был нанесен не вследствие прямого или косвенного умысла этих лиц, а вследствие их легкомыслия и самонадеянности. Кроме того, в их действиях отсутствует также другой обязательный признак хищения, а именно - обращение чужого имущества в свою пользу или пользу третьих лиц. Деньги, полученные ими путем введения делового партнера в заблуждение относительно перспектив дела, неудачливые коммерсанты в действительности вложили в указанное дело и лишь по причине своей самонадеянности, неправильного коммерческого расчета, некомпетентности, неумения планировать или по другим причинам, не имеющим противоправной природы, понесли потери в размере вложенных средств* пт.

Способами завладения имуществом при мошенничестве могут быть обман или злоупотребление доверием в любых формах, преступление совершается только с прямым умыслом, обязательный признак субъективной стороны - корыстная цель, которая предусматривает, что обман в любой форме может квалифицироваться как мошенничество только в том случае, если по делу будет установлено, что обманное завладение денежными средствами (иным имуществом) совершено с целью обращения их в собственность виновного или других лиц.

Отсюда мошенничество в виде хищения чужого имущества всегда предполагает умысел преступника на изъятие и (или) обращение этого имущества от собственника или владельца в свою пользу или пользу третьих лиц.

Если рассматривать случай мошенничества с платежными банковскими картами, то очевидно, что предметом преступного посягательства являются денежные средства владельца банковской карты, размещенные на спецкартсчете. Сама банковская платежная карта не является предметом преступного посягательства, поскольку она представляет собой лишь инструмент доступа к денежным средствам владельца карты, размещенным на его счетах.

Предположим, клиент расплатился в ресторане за обед платежной картой, а официант этого ресторана "прокатал" карту через POS-терминал или импринтер не один раз, а два раза - при этом по первому слипу (чеку) оформил заказ клиента, а по второму - оформил еще один заказ, скажем, на $100. Следующий клиент ресторана оплатил свой счет наличными на $150. Официант, взяв у него деньги, в своих бумагах "разбил" заказ этого клиента на два отдельных заказа - один оплатил вторым слипом предыдущего клиента, второй - наличными $50 второго клиента, забрав $100 себе.

Если указанная махинация не будет обнаружена, то речь следует вести о мошенничестве, совершенном в форме хищения. Официант противоправно и совершенно безвозмездно изъял путем своей махинации $100 долларов законного владельца - первого клиента ресторана и обратил эту же сумму в свою пользу. Объективный ущерб первого клиента ресторана составил $100 и является

последствием совершения преступления, а первый клиент считается потерпевшим от преступления.

Ситуация могла развиваться и по другому сценарию. В тот же вечер первый клиент ресторана обнаружил по банковской выписке, что на его счете было дополнительно заблокировано $100 в пользу ресторана, которые он в указанном ресторане не тратил. Клиент подал заявление в свой банк, который инициировал расследование, в результате указанные $100 не были зачислены на счет ресторана. Соответственно материальный ущерб первому клиенту нанесен не был (по не зависящим от официанта причинам).

В случае когда преступление не было доведено до конца по не зависящим от преступника обстоятельствам, такое неоконченное преступление признается покушением на преступление (ч. 3 ст. 30 УК РФ), которое так же уголовно наказуемо, как и само преступление, при этом лицо подлежит уголовной ответственности по соответствующей статье Особенной части (в нашем случае - ч. 3 ст. 159 УК РФ) и ч. 3 ст. 30 Уголовного кодекса РФ.

Согласно ст. 66 УК РФ за приготовление к преступлению наказание не может превышать половины, а за покушение на преступление - трех четвертей максимального срока или размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части УК РФ за оконченное преступление.

Однако этим уголовная ответственность нашего официанта не исчерпывается. Дело в том, что в его действиях наблюдаются также признаки состава преступления по ч. 3 ст. 160 УК РФ - присвоение или растрата, т.е. хищение чужого имущества, вверенного виновному, совершенное с использованием служебного положения.

В рассматриваемой ситуации, когда банк не оплатил ресторану лишние $100, речь идет о присвоении официантом части выручки ресторана в размере $100. Когда деньги из банка первого клиента через платежную систему и банк-эквайрер не поступили на счет ресторана, фактически потерпевшей стороной оказался сам ресторан. Хотя и присвоение, и растрата включены в диспозицию одной уголовно-правовой нормы, они являются двумя самостоятельными формами хищения.

Получается правовой парадокс: сорвавшаяся махинация представляет собой совокупность двух преступлений (ст. 17 УК РФ), а именно: покушения на мошенничество (ч. 3 ст. 159, ч. 3 ст. 30 УК РФ) и присвоения чужого имущества (ч. 3 ст. 160 УК РФ), в то время как махинация, которая бы удалась, представляла бы собой лишь одно оконченное преступление - мошенничество (ч. 3 ст. 159 УК РФ).

Однако ничего странного в этом нет - дело в том, что присвоение как одна из форм хищения требует наличия обязательного признака в виде нанесения ущерба собственнику или иному законному владельцу похищенного имущества. При удавшейся махинации ущерба ресторану не наносится, поэтому уголовная ответственность за присвоение у официанта не наступает. В этой ситуации в действиях официанта отсутствует один из обязательных признаков состава по ст. 160 УК РФ.

Мошенничество в виде приобретения права на чужое имущество

Имущественные права, а также исключительные права на результаты интеллектуальной деятельности (интеллектуальная собственность, ст. 138 ГК РФ) являются в соответствии со ст. 128 ГК РФ объектами гражданских прав, что означает возможность свободного перехода таких прав от одного лица к другому, в том числе путем отчуждения (ст. 129 ГК РФ).

Банковская платежная карта сама по себе не представляет интереса для преступников, она интересует их лишь как инструмент, позволяющий распоряжаться денежными средствами держателя платежной карты, размещенными на его банковском счете, либо средствами кредита, которые держатель имеет возможность получить по этой карте.

Банковская карта не обладает признаками ценной бумаги, т.к. с ее передачей не переходят все удостоверяемые ею права в совокупности (ст. 142 ГК РФ). Это означает, что в принципе мошенничество в виде приобретения права на чужое имущество при совершении операций с банковскими платежными картами маловероятно или даже вообще исключено.

Дело в том, что даже в случае, когда преступник делает дамп с платежной карты (т.е. копию ее магнитной полосы) и изготавливает ее дубликат, куда наносит свою фамилию и имя или вымышленные фамилию и имя, а затем использует эту карту для оплаты товаров в розничной сети, он тем не менее не приобретает какого-либо имущественного права на денежные средства на счете действительного держателя. Тут опять имеет место мошенничество в виде хищения - преступник обманывает продавцов магазина, вводя их в заблуждение по поводу своей личности и права распоряжаться денежными средствами на счете, к которому выпущена платежная карта, благодаря чему он изымает от действительного владельца денежные средства и обращает их в свою пользу в виде купленного в магазине товара, что и влечет материальный ущерб для банка и (или) его клиента.

Мошенничество в виде приобретения права на чужое имущество имеет место, даже когда в действиях преступника отсутствуют все признаки хищения, а именно - чаще всего преступник не изымает имущество от законного владельца, но тем не менее путем приобретения права на это имущество (обращения его в свою пользу или в пользу третьих лиц) получает возможность распоряжаться им. Действительный владелец имущества может находиться в неведении относительно фиктивного перехода права на принадлежащее ему имущество, в некоторых случаях владелец может продолжать дальше использовать свое имущество. Наиболее часто этот вид мошенничества встречается в сфере сделок с недвижимостью, когда для распоряжения объектом недвижимости нет необходимости в физической передаче его, а передача недвижимого имущества осуществляется путем регистрации прав нового собственника в Едином государственном реестре прав на недвижимое имущество и сделок с ним.

Способы мошенничества

Специфика мошенничества с объективной стороны состоит в способе его совершения. Мошенничество в отличие от других форм хищения, для которых характерен физический (операционный) способ, предполагает информационный способ совершения преступления: преступнику не требуется ни ловкости, ни технического инструмента, ни применения насилия - он действует убеждением, вводя жертву преступления в заблуждение, или пользуется доверительными отношениями с жертвой.

По особенностям способа совершения преступления закон, как мы уже говорили, выделяет две разновидности мошенничества: (а) хищение (приобретение права) путем обмана и (б) хищение (приобретение права) путем злоупотребления доверием. В нормах Уголовного кодекса не раскрываются ни содержание первого, ни содержание второго способа. В толковании этих понятий опираются обычно на существующую судебную практику.

Известно, например, следующее определение обмана: "Обман - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество, и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений"*(113). В указанном определении изложена трактовка обмана, совершенного с корыстной целью. Фактически же обман - это просто сознательное искажение истины или умолчание о ней.

При совершении мошенничества путем обмана этот способ хищения является обязательным признаком объективной стороны совершаемого преступления: лицо, передающее деньги или ценности, при мошенничестве всегда заблуждается относительно истинных намерений преступника, т.е. не знает, что его обманывают*(114).

Злоупотребление доверием предполагает, что преступник не сообщает жертве заведомо ложную информацию, необходимую для обращения имущества жертвы в свою пользу, а пользуется для этого уже сложившимися с ней доверительными отношениями. Именно в силу этих доверительных отношений жертва наделяет преступника своим имуществом, предоставляя ему определенные права или полномочия в его отношении. Доверительные отношения могут вытекать из родственных связей, письменного соглашения (договора), устного поручения.

Для иллюстрации рассмотрим следующий случай: клиент обратился в отделение экспресс-почты, чтобы переслать почтой в банк свою платежную карту, срок действия которой подходил к концу. Взамен банк должен был выслать клиенту новую карту на следующий срок действия. Между банком и предприятием экспресс-почты был заключен договор, предусматривающий осуществление таких отправлений так же, как такая операция была предусмотрена в договоре между банком и клиентом.

Однако один из работников отделения экспресс-почты, действуя противоправно, вскрыл конверт клиента, достал из него платежную карту и оплатил по этой карте заказ в интернет-магазине на сумму $1000. Этот заказ он получил, после чего был задержан сотрудниками милиции.

В этом случае имеет место хищение чужого имущества путем злоупотребления доверием, совершенное работником почты с использованием служебного положения (ч. 3 ст. 159 УК РФ). Работник почты не вводил клиента в заблуждение для завладения его имуществом, т.к. в этом не было необходимости - в силу договорных отношений между предприятием экспресс-почты и банком, а также в силу договора между отделением экспресс-почты и клиентом он получил от клиента письмо, которое при обычных условиях должен был отправить в другое отделение по месту нахождения банка. Именно осуществление этой функции клиент по договору и доверил отделению экспресс-почты и ее сотруднику. Совершая преступление, сотрудник почты злоупотребил доверием клиента, действовал вопреки его распоряжению и вопреки интересам своей службы.

Как правило, при совершении мошенничества злоупотребление доверием в большинстве случаев отсутствует в чистом виде, чаще оно выступает вкупе с обманными действиями. Приведенный пример с работником почты не является исключением: для того чтобы завершить хищение, преступнику понадобилось использовать карту, при этом он неминуемо должен был выдавать себя за действительного держателя этой карты - и при заполнении электронных форм интернет-магазина, и при использовании карты в розничной торговой сети.

Для иллюстрации обманного способа хищения приведем другой пример. По электронной почте молодому человеку - клиенту банка поступило сообщение, в котором он уведомлялся о необходимости подтвердить информацию, используемую банком для идентификации его как клиента и авторизации, т.е. подтверждения прав пользования счетами в банке.

Если клиент переходит по ссылке, размещенной в таком сообщении, то он, как правило, попадает на сайт-двойник, где ему предлагается подтвердить свой ПИН-код, номер платежной карты, дату истечения срока ее действия, фамилию и имя - все основные идентификаторы, которых достаточно для недобросовестного использования карты мошенниками.

Здесь имеют место именно обманные действия, т.к. отправитель письма выдает себя за службу действительно существующего банка, клиентом которого является получатель письма, и просит под мнимым предлогом сообщить ему информацию, необходимую и достаточную для хищения средств владельца платежной карты.

Самыми популярными объектами такого рода мошенничества выступают крупнейшие американские, швейцарские, английские, французские и другие европейские банки, такие, как Citibank, Bank of America, JP Morgan Chase, UBS, Credit Suisse, BMP Paribas, Banque Societe Generale, Banque Credit Lyonnais, HSBC Bank, Barclays Bank, Lloyds Bank, ABN AMRO Bank и др.

Прием такой рассылки по электронной почте называется fishing (также амер. phishing - от англ, "рыбалка, рыбная ловля"), в этой же транскрипции данное слово устойчиво вошло и в профессиональный сленг русского языка - "фишинг". Людей, которые занимаются фиктивной рассылкой по электронной почте, называют фишера-ми (амер. phisher). Пример фиктивного письма, направленного якобы от Ситибанка его клиенту в США, можно видеть на рис. 1.

сШ'

Dear CitiBank customer,

Recently there have been a large number of identity theft attempts targeting CitiBank customers. In order to safeguard your account, we require that you confirm your banking details.

This process is mandatory, and if not completed within the nearest time your account may be subject to temporary suspension.

To securely confirm your Citibank account details please go to:

https://vwb.da-us,cittbank.com/si9nin/scripts/lcnfin/js9г setup.isp

Thank you for your prompt attention to this matter and thank you for using CitiBank! Citi® Identity Theft Solutions

Dc nof reply to this email as it is an jnmonitoiec) alias

A member Df Citigroup

Copyright ©2004 Citicorp

Puc. 1. Фиктивное письмо от Ситибанка¹⁷

(вариант 1_г международная рассылка)

1? Для примера віято реальное письмо от мошенников, его перевод (англ.): «Уважаемый клиент Ситибанка, в последнее время имело место значительное число попыток воровства іидентификационном информации клиентов Ситибанка. В целях защиты Вашего счета мы просим Вас подтвердить Ваши банковские реквизиты. Это обязательная операция, и если она не будет завершена в ближайшее время. Ваш счет может быть временно заблокирован. Для того чтобы безопасно подтвердить реквизиты Вашего счета в Ситибанке, пожалуйста, перейдите по ссылке: ХХХХХХХ. Спасибо за Ваше деятельное внимание кэтоі.іу предмету и за то, что Вы поль зуетесь услугамі і Ситибанка.

CitiiHrlentity Theft Solutions. Не отвечайте на это письмо, т.к. ответы не отслеживаются.

Участник Citigroup.

Права защищены « Citicorp.».

"Рис. 1. Фиктивное письмо от Ситибанка (вариант 1, международная рассылка)"

Такое письмо поступает якобы от Ситибанка по электронной почте, при этом оно может иметь такие реквизиты: отправитель - CitiBank, адрес электронной почты отправителя -, тема письма - "PRIVATE URGENT MESSAGE FROM CITIBANK".

Хотим обратить внимание читателей на тот факт, что коммерческие банки - эмитенты платежных

карт, включая Ситибанк, никогда и ни при каких обстоятельствах не направляют почтовых сообщений электронной почтой с требованием подтвердить информацию, идентифицирующую клиента, - ПИН-код, номер платежной карты и т.п.

Подделки часто не лишены недочетов изобразительного плана, например на указанном подложном письме знак "Участник Citigroup" выглядит иначе, чем на оригинальных веб-страницах Ситибанка* Щб) Также существенная разница заключается в том, что оригинальные адреса банка имеют другие названия*(116).

Письмо фишеров может основываться и на других предложениях клиенту, например на предложении получить перевод (рис. 2).

Если клиент Ситибанка не заметил подмены, а перешел по предложенной ему мошенниками ссылке и ввел свои данные на веб-странице мошенников, то затем его автоматически, как правило, перенаправляют на настоящий сайт Ситибанка. Веб-страница мошенников очень похожа на настоящую страницу онлайн-службы банка. К сожалению, способов визуальной защиты от мошенников для интернет-страниц практически не существует, т.е. всегда можно создать "дубликат" подлинной страницы, который был бы похож на подлинник до степени смешения.

Уведомление о получении платежа Зарегистрировано за номером ЕМ202-16

Ув

ахаемыи клиент,

20 сентября 2004г. на Ваш текущий счет был получен перевод в иностранной валюте на сумму, превышающую TJSD2,000 В соответствии с Пользовательским соглашением CmbankR ОпЬпе, Вам необходимо подтвердить этот перевод для его успешного зачисления на Ваш текущий счет Для подтверждения платежа просим Вас зайти в программу управления Вашим счетом CihbankR ОпЬпе и следовать предложенным инструкциям.

Если подтверждение не будет получено в течение 48 часов, платеж будет возвращен отправителю

Для входа в программу CihBankR Online, нажмите сюда >>

С уважением.

Служба CitibankR Alerting Service

ПОЖАЛУЙСТА, НЕ ОПВЧЛЙТЕ НА ЭТО ОПОВЕЩЕНИЕ

Ди хнковсх изменений в Вешу конфигурацию скстелш Citibank Alerting Sevice. іыберкг* Akrutg Service login занешем свел www ciibenhiu.

ВНИМАНИЕ: эго «листам оповещение, порченное Вами саносигелкно этого платежа.. Чтобы гюзучига пиробну» жформвд» fa к»9у» кнгфч<уящу» Bu тюку , поноют* х CitiPhotw row посетит* кои

трпвраипсий с «иг ¦

Рис. 2. Фиктивное письмо от ЗАО КБ «Ситибанк»¹⁵

(вариант 2, российская рассылка)

15 Иі млтериллов рлссылкп фишинг.і клиент,ш российского Ситибанка «ЗАО КБ «Ситибанк») от 24.09.2004.

Рис. 2. Фиктивное письмо от ЗАО КБ "Ситибанк" (вариант 2, российская рассылка)

"Рис. 3. Схема фишинга с переадресацией"

Это необходимо для того, чтобы как можно дольше не вызывать подозрений. Схема действия данной модели фишинга*(117) показана на рис. 3.

Обман и злоупотребление доверием как способы хищения предполагают, что между общественно опасными последствиями мошенничества и обманом (злоупотреблением доверием) существует причинная связь. Другими словами, если бы эти способы были исключены, то и мошенничества бы не было. Наличие именно указанной причинной связи - обязательное требование объективной стороны преступления.

Кроме причинной связи может иметь место обусловливающая связь, когда обман лишь создает условия для совершения преступления, но не выступает способом его совершения. Например, преступник, выдавая себя за работника службы Мосгаз, проник в коммунальную квартиру и обворовал жильцов. Здесь речь идет о тайном хищении чужого имущества - краже (ст. 158 УК РФ), а не о мошенничестве.

Присвоение и растрата в банках при операциях с платежными картами

Согласно ч. 1 ст. 160 УК РФ присвоение или растрата - это хищение чужого имущества, вверенного виновному. Присвоение и растрата, несмотря на то что они объединены законодателем в диспозиции одной нормы УК РФ, являются двумя самостоятельными формами хищения. Признаки хищения уже были раскрыты нами в разделе, посвященном анализу мошеннических действий.

Присвоение состоит в неправомерном удержании (невозвращении) чужого имущества, вверенного виновному, его обращении в пользу виновного. Растрата же - это отчуждение чужого имущества в пользу иных лиц или потребление имущества. Отличие присвоения от растраты состоит в наличии (присвоение) или отсутствии (растрата) у виновного похищаемого имущества в момент окончания преступления.

В банковской практике можно столкнуться со случаями присвоения денежных средств клиентов сотрудниками кассовых и инкассаторских служб банка. Говоря о присвоении, нужно подчеркнуть, что банковская платежная карта не может быть предметом присвоения, т.к. представляет собой лишь инструмент доступа к банковским счетам держателя карты и распоряжения средствами на них.

Однако предметом присвоения могут быть наличные денежные средства, передаваемые держателем карты в банк для зачисления на его банковские счета. На практике приходилось сталкиваться со случаями, когда такое присвоение имело место при вложении денежных средств, осуществляемом через банкомат (автоматический сейф), приспособленный для приема наличных от клиентов в конвертах с последующим пересчетом и зачислением денежных средств на счет.

Технология осуществления этой банковской операции такова: клиент подходит к банкомату, вкладывает в специальный бумажный или пластиковый конверт определенную сумму наличными, запечатывает конверт и надписывает его, после этого клиент вставляет платежную карту в приемную щель банкомата, вводит свой ПИН-код и выбирает в качестве совершаемой операции "внесение наличных на текущий счет". Банкомат просит ввести с использованием клавиатуры электронного терминала вносимую сумму, после этого требуется вставить конверт в приемный лоток банкомата. Когда вложение осуществлено, банкомат распечатывает квитанцию об осуществленной операции.

Служба инкассации банка или работники кассового узла (если банкомат расположен в отделении банка и обслуживается там) с определенной периодичностью изымают вложения из банкомата, которые они перевозят в кассу пересчета с целью пересчета вносимых денег и проверки их подлинности. Зачисление денежных средств на счет клиента осуществляется в размере суммы, определенной при фактическом пересчете, за минусом стоимости поддельных банкнот, если таковые будут обнаружены.

Хищение в виде присвоения денежных средств в этой ситуации может быть осуществлено либо на стадии выемки конвертов с вложениями из банкомата и их транспортировки в кассу пересчета, либо непосредственно в кассе пересчета ее сотрудниками.

В этой ситуации возникает существенная проблема для потерпевшего лица - держателя карты, связанная с необходимостью подтверждения действительной суммы вложения средств в банкомат. Фактически держатель карты не может предъявить банку иного доказательства, кроме квитанции банкомата, которая в принципе не является, что очевидно, безусловным подтверждением суммы вложения.

Отсюда бремя доказывания иной суммы внесения наличных, чем указана в квитанции клиента, если клиент настаивает на последней, должно быть возложено на банк. Это связано с тем, что у клиента вообще отсутствуют какие-либо допустимые с позиции закона средства доказывания, кроме названной квитанции банкомата и личных показаний. В свою очередь, коммерческий банк обладает в силу Положения о порядке ведения кассовых операций в кредитных организациях на территории Российской Федерации от 09.10.2002 N 199-П, а также Положения о порядке эмиссии кредитными организациями банковских карт и осуществления расчетов по операциям, совершаемых с их использованием от 09.04.98 N 23-П значительным набором средств доказывания: распечаткой банкомата, актами пересчета, журналами учета принятых сумок с ценностями, контрольными ведомостями по пересчету, контрольными листами кассиров, видеозаписями, составленными в соответствии с техдокументацией к банкомату, объяснениями инкассаторов и кассиров и т.п. Используя эти средства доказывания, банк должен подтвердить свою позицию по недостаче вложения клиента по вине самого клиента, либо это даст возможность банку вскрыть хищение, совершенное его сотрудниками, что весьма важно для обеспечения надлежащей безопасности банковской деятельности.

Другое возможное исполнение присвоения - это оплата со счетов клиента услуг и товаров, которые он никогда не заказывал и не покупал, когда в преступление вовлечены работники процессингового центра банка. Осуществляется это следующим образом: по спец-картсчетам множества клиентов с большим платежным оборотом проводятся мелкие транзакции в пользу, скажем, электронного магазина, контролируемого соучастниками преступников. Деньги, полученные электронным магазином за фиктивные услуги и товары, обналичиваются и распределяются между участниками преступной группы.

При расследовании такого преступления, когда факт хищения денежных средств со счетов клиентов сотрудниками процессингового центра банка будет доказан, в силу ч. 1 ст. 1068 ГК РФ банк будет нести ответственность за вред, причиненный его работниками при исполнении ими трудовых обязанностей, включая вред, нанесенный преступлением. Таким образом, фактически пострадавшим лицом от преступления является сам банк, а соответственно предметом преступного посягательства -денежные средства банка. Именно поэтому уголовная ответственность в рассматриваемой ситуации для преступников из процессингового центра наступит за присвоение с использованием служебного положения (ч. 3 ст. 160 УК РФ), а для их соисполнителей и пособников, организовавших электронный магазин, по ст. 33, 160 УК РФ.

Растрата является старым и хорошо известным в банковских кругах преступлением. В американской практике известен такой случай растраты, связанный с использованием кредитных карт: клерк одного из крупных банков США, ответственный за рассылку изготовленных карточек клиентам, проиграл крупную сумму на ставках в американском футболе и задолжал букмекерам, свой долг он покрыл путем оплаты по одной из кредитных карт, изготовленных для клиентов банка.

Предметом преступного посягательства в этом случае выступали денежные средства на счете клиента банка, которые были вверены клерку путем передачи ему инструмента, предоставляющего доступ к этим средствам. В функции клерка входило: обеспечить безопасную пересылку этого инструмента клиенту вместе с выпиской по счету, которую он распечатывал на своем компьютере.

Действуя недобросовестно и имея умысел на хищение чужих средств путем растраты, по одной из кредитных карт после распечатки выписки по счету клерк оплатил свой долг перед букмекером, затем запаковал в конверт карту и выписку по счету и направил клиенту. А чтобы скрыть недостачу, для чего необходимо было оттянуть момент получения новой карты клиентом, клерк указал на конверте неправильный почтовый индекс получателя.

Грабеж и разбой в отношении держателей платежных карт

Простому обывателю на первый взгляд может показаться странным, как могут сочетаться такие высокотехнологичные банковские инструменты, как платежные карты, с такими отнюдь не "беловоротничковыми" преступлениями, как обыденные грабежи и разбои. Тем не менее и в практике российских криминальных структур, и за рубежом (в США, Западной Европе) именно этот вид преступлений является одним из доминирующих в отношении держателей банковских платежных карт и их имущества.

Грабеж

Согласно ч. 1 ст. 161 УК РФ грабеж - это открытое хищение чужого имущества. Другими словами, собственник или иной законный владелец имущества осознает, что у него изымают имущество и осознает противоправную природу этого изъятия. Грабеж всегда совершается в присутствии собственника или иного владельца имущества либо на виду у посторонних, когда лицо, совершающее это преступление, сознает, что присутствующие при этом лица понимают противоправный характер его действий независимо оттого, принимали ли они меры к пресечению этих действий или нет, то же касается случаев, когда действия преступника обнаруживаются в ходе совершения кражи, что тем не менее не останавливает преступника, который продолжает совершать незаконное изъятие имущества или его удержание*(118).

Именно поэтому грабеж квалифицируется как "открытое" хищение, т.е. открытое и очевидное как для жертвы преступления, так и для самого преступника. Дело в том, что в тех случаях, когда жертва преступления видит, что совершается хищение, однако виновный, исходя из окружающей обстановки, полагает, что действует тайно, содеянное является не грабежом, а тайным хищением чужого имущества, т.е. кражей*(119).

Грабеж считается оконченным, если имущество изъято и виновный имеет реальную возможность им пользоваться или распоряжаться по своему усмотрению (например, обратить похищенное имущество в свою пользу или в пользу других лиц, распорядиться им с корыстной целью иным образом)*(120).

Крайне редко на практике имеют место случаи, когда противоправные действия преступников направлены не на завладение чужим имуществом путем изъятия платежной карты, а, например, на осуществление временного удержания чужой карты с последующим возвращением собственнику либо в связи с предполагаемым правом на имущество держателя карты или его часть. В зависимости от обстоятельств дела такие действия при наличии к тому оснований подлежат квалификации по ст. 330 УК РФ или другим статьям Уголовного кодекса Российской Федерации*(121).

Дело в том, что в предпринимательских кругах (и в быту) иногда происходит так, что у одного из предпринимателей (или партнеров) образуется задолженность перед другим, при этом долг не всегда признается стороной. Однако для того чтобы гарантировать свои интересы, предполагаемый кредитор может изымать, в том числе открыто, не только имущество должника, но и инструменты доступа к имуществу как дополнительную гарантию защищенности своих интересов. При этом предполагается, что признание долга должником и его погашение приводят к возврату неправомерно изъятой и удерживаемой кредитором или предполагаемым кредитором банковской платежной карты должника. Разумеется, кредитор не должен самоуправно осуществлять такие действия.

Здесь речь идет как раз о "предполагаемом праве" на имущество - фактически кредитор полагает, что имеет требование к должнику, и, чтобы обеспечить исполнение этого требования, он изымает у должника его банковскую карту.

Разбой

Разбой определен в Уголовном кодексе РФ (ч. 1 ст. 162) как нападение в целях хищения чужого имущества, совершенное с применением насилия, опасного для жизни или здоровья, либо с угрозой применения такого насилия.

Разбой является так называемым двухобъектным преступлением, т.к. совершается с применением насилия или угрозой его применения, при этом основным объектом преступных посягательств является имущество, а дополнительным - личность потерпевшего. Разбой является наиболее опасной насильственной и открытой формой хищения.

Нападение при разбое - это внезапное применение насилия к потерпевшему, которое, как правило, совершается открыто, но может быть осуществлено и скрытно от потерпевшего (нападение сзади, выстрел из засады и т.п.). Как разбой квалифицируются также случаи приведения потерпевшего в бессознательное состояние путем применения опасных для жизни и здоровья сильнодействующих ядовитых или одурманивающих веществ в целях завладения имуществом. Обязательная характеристика насилия при разбое - создание опасности для жизни или здоровья потерпевшего. Насилие может выражаться не только в физических действиях, но и в психологическом поведении - в виде устных угроз, крика, жестов, выпадов, из характера которых или их последствий следует очевидная

опасность для жизни и здоровья жертвы. Цель психического вида насилия - парализовать волю жертвы, принудить ее передать имущество либо не препятствовать его изъятию.

Разбой считается оконченным с момента нападения в целях хищения чужого имущества, совершенного с применением насилия, опасного для жизни или здоровья, либо с угрозой применения такого насилия*(122).

Отличием разбоя от грабежа является не просто применение насилия (угроза применения насилия), а именно такого насилия, которое создает угрозу жизни и здоровью потерпевшего. Фактическое причинение вреда при этом не обязательно, достаточно того факта, что в момент совершения преступления потерпевший воспринимал угрозу как создающую реальную опасность для его жизни или здоровья.

Виды грабежа и разбоя в отношении держателей платежных карт

Характерная черта современных преступлений против собственности, включая грабеж и разбой,

- это появление в существующей криминогенной ситуации их новых, специализированных видов, которые заведомо нацелены не на любое имущество жертвы, а именно на денежные средства держателей платежных карт, доступ к которым преступники получают в результате реализации заранее запланированных акций, а также в результате работы устойчивых преступных группировок.

Разберем такую ситуацию, которая имело место в одном из крупных российских городов -региональных центров с населением свыше одного миллиона человек. В этом городе существовала развитая сеть банкоматов различных коммерческих банков.

Студент одного из местных вузов изготовил миниатюрную панель, выполненную под стиль банкомата. Эта панель накладывалась на клавиатуру банкомата, обеспечивая нажатие кнопок на панели вместе с кнопками терминала. Такая функциональность прибора позволяла студенту узнавать ПИН-коды к картам пользователей банкомата. Путем слежки и другими способами устанавливались их места жительства, после чего эти адреса и ПИН-коды к картам продавались участникам организованных преступных групп. Те, в свою очередь, отслеживали перемещение держателя карты и при удобном случае осуществляли на него разбойное нападение, в результате которого карта изымалась. Далее преступники направлялись к ближайшему банкомату и обналичивали баланс по карте.

Налицо разбойное нападение, совершенное в соучастии. Соисполнителями разбоя являются нападавшие лица, а также те, которые получали наличные денежные средства по карте жертвы преступления (ст. 33 УК РФ). И те и другие осуществляли в рамках преступления действия, объективно необходимые для безвозмездного изъятия денежных средств со счета держателя платежной карты и их обращения в свою пользу. Преступление имеет стадию приготовления (ч. 1 ст. 30 УК РФ), когда участники организованной преступной группы (ОПГ) приобретали ПИН-код карты, адрес ее держателя, отслеживали маршрут его передвижения, осуществляя выбор наиболее подходящего места для нападения. Стадия приготовления также включала выбор банкомата, через который осуществлялось обналичивание баланса карты, выбор одежды, в которой преступник получал наличные (например, куртки с капюшоном либо солнцезащитных очков и кепки), чтобы скрыть личность от средств видеонаблюдения за банкоматом, и т.п.

Студент, который изготовил и установил панель для запоминания ПИН-кодов пользователей банкомата, является пособником разбоя (ч. 5 ст. 33, ст. 162 УК РФ), т.к. он заведомо изготовил оборудование, необходимое для предоставления соисполнителям разбоя информации, без которой завладение денежными средствами жертвы с использованием банкомата было бы невозможно. Этот студент знал (и не мог не знать), что ПИН-коды нужны именно для обналичивания баланса по карте через банкомат. Соответственно для осуществления такой операции производится изъятие карты у ее законного держателя, что в указанной ситуации является преступлением.

В связи с тем что в рассматриваемом случае пособник (студент) непосредственно не участвовал в разбое, содеянное соисполнителями преступление не может квалифицироваться как совершенное группой лиц по предварительному сговору (пособник не участвовал в сговоре на конкретный разбой). В этих случаях в силу ч. 3 ст. 34 УК РФ действия организатора, подстрекателя и пособника следует квалифицировать со ссылкой на ст. 33 УК РФ*(123).

Кроме разбоя соисполнители хищения могут применять и другие способы завладения платежной картой (например, карта может быть похищена в результате карманной или квартирной кражи, грабежа). В Италии и других странах Западной Европы распространены случаи, когда на людных улицах с большой скоростью проносятся скутер или мотоцикл, водители которых выхватывают у прохожих (обычно женщин) из рук сумки. Этот способ грабежа известен еще с 1930-х годов, а наибольшее распространение он получил после Второй мировой войны.

Разница между сегодняшними такими преступлениями и их первоначальным видом заключается в том, что предметом грабежа становятся не столько деньги, которые могут оказаться в женской сумочке, сколько кредитные карты жертв. Такие случаи совершаются все в более организованной форме

- сумки вырывают у жертв, когда они отходят от банкоматов, выходят из отделений банка и т.п.

Нередки случаи отъема денег у клиентов банка при получении/взносе наличных через

банкоматы. Преступники могут действовать как по отдельности, так и организованной группой. Например, вблизи банкомата или в зоне прямой видимости находится наблюдатель, за углом размещен непосредственный исполнитель грабежа или разбоя. Когда клиент получит деньги или вытащит их для осуществления взноса, по знаку наблюдателя исполнитель молниеносно выдвигается к банкомату, далее он либо выхватывает деньги у жертвы, либо под угрозой применения насилия добивается их передачи и скрывается.

В штатах Флорида, Калифорния, Невада (США) распространены грабежи и разбои, совершаемые в отношении так называемых заблудших овец*(124). Осуществляется это преступление следующим образом.

Как известно, в жарких южных штатах богатые американцы предпочитают передвигаться в основном на автотранспорте, оснащенном кондиционерами. Человек подъезжает на автомобиле к банкомату, снимает крупную сумму денег, предполагая направиться, к примеру, в казино в Лас-Вегасе. Однако, отъезжая от банкомата, он видит, что улица перегорожена автомобилем, в котором нет водителя. Жертва преступления вынужден свернуть на боковую улицу, там нужный ему выезд снова блокирован, т.к. его перегородила уже другая "брошенная" машина. В конце концов человек попадает в "каменный мешок", выезд из которого загорожен еще одним автомобилем, и его грабят. Это один из излюбленных приемов негритянской и латиноамериканской преступности в США.

Именно ввиду перечисленных обстоятельств приобретает особое значение разработка коммерческими банками мер, которые бы смогли предотвратить или хотя бы снизить вероятность совершения таких преступных действий.

Например, швейцарские и итальянские банки для этого разрабатывают и устанавливают специальные системы видеонаблюдения, которые позволяют контролировать рисковую зону, также вблизи банкоматов и входов в отделения и кассы банков размещают "лежачих полицейских", столбы-барьеры и иные инженерные конструкции, которые вынуждают транспортные средства, в том числе такие малогабаритные, как скутеры и мотоциклы, двигаться с меньшей скоростью либо по кривой, что также снижает мобильность возможных преступников.

Для борьбы с преступниками, которые "загоняют" жертвы в безлюдные районы, службы безопасности американских банков, таких, как Bank of America, Well Fargo, контролируют свободу проезда по близлежащим улицам. Все маршруты, по которым осуществляется проезд в центр, должны быть свободны. В случае необходимости для этой работы привлекается полиция.

К сожалению, современные условия демонстрируют появление аналогичных как по способам совершения, так и по степени организации преступлений и у нас в России в крупнейших городах -Москве, Санкт-Петербурге, Самаре, Екатеринбурге, Уфе и др.

Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов

Согласно ч. 1 ст. 187 УК РФ изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов представляют собой "изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами".

Преступление является тяжким, квалифицированным, факультативный квалифицирующий признак - совершение преступления организованной группой (ч. 1 ст. 187 УК РФ).

Изготовлением поддельных кредитных или расчетных карт является как частичная их подделка, так и изготовление полностью поддельных карт, при котором обеспечивается их существенное сходство с подлинными картами по размерам, дизайну и другим параметрам.

Сбыт поддельных карт представляет собой, с нашей точки зрения, только их передачу изготовителем либо посредником другим лицам на возмездной или безвозмездной основе. Однако некоторые специалисты-криминологи склоняются к тому, что сбытом поддельных кредитных или расчетных карт следует считать также непосредственное их использование для осуществления расчетных операций, как это характерно, к примеру, для определения сбыта поддельных денег или ценных бумаг (ст. 186 УК РФ).

Такой подход является в корне неверным по следующим основаниям: при расчете в том числе за товары и услуги поддельными деньгами или ценными бумагами в результате их сбыта эти инструменты и мнимые ценности передаются от преступника другому лицу, фактически определяя и переход соответствующих прав, которые в силу подделки являются фиктивными, т.е. реально несуществующими. При этом потерпевшая сторона не осознает, что получает подделку.

Если потерпевший осознает, что ему предлагают подделку, то речь может идти о покушении на сбыт поддельных денег или ценных бумаг (ст. 30, 186 УК РФ).

При возмездной или безвозмездной передаче поддельных денег или ценных бумаг другому лицу, которое заведомо знает, что получает подделки, и, как правило, намерено осуществить их последующую реализацию или использовать в своих мошеннических действиях, речь также идет о сбыте.

В обоих рассмотренных случаях имеет место физическая передача подделок от преступника к новому владельцу - будь то потерпевший (1 случай) или другой преступник (2 случай).

Однако в ситуации со сбытом поддельных кредитных или расчетных карт, если подделка используется для расчетов, ее физической передачи от преступника сотруднику магазина, банка, парикмахерской и т.п. не производится. Преступник при осуществлении расчетов поддельной картой по сути вводит работников торговой точки в заблуждение относительно своего действительного статуса как держателя карты - он предоставляет карту для осуществления расчетов, после чего карта ему возвращается. Преступник не осуществляет сбыта подделки, а осуществляет мошеннические действия, путем обмана завладевая имуществом магазина. В случае же со сбытом поддельных денег и ценных бумаг при осуществлении расчетов подделки не возвращаются сбытчику, а остаются у нового пользователя. Именно в силу этого обстоятельства, а именно - вовлечения подделок в платежный оборот, сбыт поддельных денег и ценных бумаг криминализирован законодателем.

Таким образом, сбыт поддельных кредитных или расчетных карт представляет собой только их возмездную или безвозмездную передачу другому лицу, которое заведомо знает о том, что приобретает подделки, и, как правило, имеет целью их последующий сбыт или использование в мошеннических целях.

Распространен случай, когда изготавливаются подделки, хотя и не имеющие внешнего сходства с оригиналом, но полностью копирующие магнитную полосу оригинальной карты, ее номер, при этом, как правило, преступник сбывает их вместе с ПИН-кодом.

По имеющейся информации*(125) в России преступными группами все чаще используются комплексные технические средства, необходимые для изготовления поддельных расчетных карт, - на банкомат монтируются не просто какая-либо панелька, позволяющая запоминать ПИН-код, а целый блок связанных и синхронизированных устройств. Например, в приемную щель банкомата вставляется портативный считыватель магнитной полосы (на профессиональном жаргоне "скин девайс" или "скинер"*(126?), а над клавиатурой монтируется микрокамера. В результате любой операции клиента через этот банкомат преступники получают необходимый и достаточный набор для осуществления подделки - дамп карты клиента и ее ПИН.

С учетом этих изменений мы бы могли рекомендовать банкам не реже одного-двух раз в день производить технический осмотр банкоматов, особенно установленных в удаленных местах (метро, торговые центры, вокзалы), на наличие таких устройств. Это позволит повысить безопасность операций клиентов.

"Сопутствующие" и "производные" преступления в карточном секторе

Под "сопутствующими" и "производными" преступлениями в сфере карточного бизнеса мы имеем в виду действия, необходимые для распределения и легализации преступных доходов. Эти действия также не лишены криминальной составляющей.

Речь идет о таких преступлениях, как незаконное предпринимательство (ст. 171 УК РФ), лжепредпринимательство (ст. 173 УК РФ), легализация (отмывание) имущества, приобретенного лицом в результате совершения им преступления (ст. 174.1 УК РФ), приобретение или сбыт имущества, заведомо добытого преступным путем (ст. 175 УК РФ), и др.

С развитием электронной коммерции стало очень выгодно использовать для мошеннических действий так называемые электронные магазины. Создавая такой магазин, преступники получают определенное преимущество по сравнению с традиционным способом совершения мошенничества, ведь им нет необходимости так или иначе контактировать с жертвой лично. Однако часто электронные магазины преступников создаются без фактического создания юридического лица, что является незаконным предпринимательством (ст. 171 УК РФ), либо с созданием юридического лица, но без цели продажи товаров и оказания услуг, что очевидно (лжепредпринимательство, ст. 173 УК РФ). Создание магазинов электронной торговли или юридических лиц преследует своей целью обеспечение и прикрытие преступной деятельности.

Рассмотрим ситуацию, когда преступление совершается для легализации или распределения преступных доходов.

Например, преступники воспользовались похищенной картой в магазине, в результате чего приобрели шубу и другие вещи общей стоимостью $15 000. В принципе все эти вещи им не нужны. Поэтому за основным преступлением - мошенничеством, как правило, следует другое преступление -либо легализация (отмывание) имущества, приобретенного лицом в результате совершения им преступления (ст. 174.1 УК РФ), когда преступники сами сбывают на рынках, через ломбард или иным способом похищенные вещи, либо продажа похищенного скупщикам краденого, которые, в свою очередь, несут уголовную ответственность по ст. 175 УК РФ.

При расследовании уголовных дел по фактам мошенничества с кредитными и расчетными картами правоохранительным органам и службам безопасности банков надо иметь в виду, что в большинстве случаев, когда преступники в результате хищения получают не деньги, а другие ценности, за мошенничеством обязательно следуют другие преступные действия, нацеленные на легализацию похищенного, его трансформацию в денежную форму и распределение выручки между соучастниками преступления.

Использование банками средств Интернета для борьбы с киберпреступностью

Зарубежные коммерческие банки активно используют средства глобальной сети Интернет для борьбы с мошенничеством и другими преступлениями, совершаемыми в отношении самих банков и их клиентов. Для этого на веб-сайтах банков во взаимодействии с правоохранительными органами создаются специальные разделы, так называемые WANTED POSTERS, т.е. объявления о розыске. Это своеобразный электронный аналог стендов "Их разыскивает милиция", устанавливаемых при входе в помещения отделов внутренних дел в нашей стране.

На примере постера американского банка Wells Fargo (рис. 4) можно видеть, что публикуются не только фотографии предполагаемых преступников, но и их имена, суммы вознаграждения от банка за поимку преступника или предоставление информации о нем, контактные телефоны, а также краткое описание фактически совершенных разыскиваемыми лицами преступлений. Подобные электронные стенды полезны не только для клиентов банка, но и для его сотрудников, особенно это касается многофиалиальных банков, когда объектами преступных посягательств становятся клиенты разных отделений и филиалов.

WANTED

by trie Federal Bureau of investigations for bank fraud

Up to $2,500 Reward

for any information leading tc identification, arrest and/or conviction

Oescripti on: Female. 40-45 years of age. 54 0". 240 lbs., brown eyes, black hair with grey streaks

Description:

Male, brown eyes, black hair, receding hairline, may have mole on left upper lip.

These individuals are suspected cf impersonating true Wells Fargo customers in California and Arizona They may be connected in some way with the suspects pictured on Web Fargo Wanted pesters #12^.

Call WeTip anonymously at 1-800-782-7463 and refer to Weils Fargo Poster*127.

Puc 4. Объявление о розыске

Рис. 4. Объявление о розыске'

В приведенном постере дается объявление о розыске двух мошенников, которые выдавали себя за в действительности существующих клиентов банка Wells Fargo из Калифорнии и Аризоны, представляя в банк подложные документы - водительские удостоверения и карты социальной страховки, в результате чего им удалось совершить крупное хищение с клиентских счетов. Только за информацию, которая поможет в их розыске или аресте, банк готов заплатить до $2,5 тыс. Реальные суммы вознаграждения в зависимости от экономической и социальной опасности преступников колеблются в диапазоне от $1 тыс. до $2,5 млн. В США эти меры доказали свою высокую эффективность, ежегодно за счет сообщений по таким объявлениям ФБР удается раскрывать до 5-7% преступлений с задержанием преступников.

Существует, правда, и другой, на первый взгляд негативный, аспект таких объявлений - банк фактически признает, что его система безопасности небезупречна. Однако в современных условиях для большинства клиентов это и так является очевидным, поэтому мы полагаем, что они отнеслись бы с пониманием и поддержкой к подобным инициативам отечественных банков.

Скоринг

С точки зрения управления рисками работы банка с картами скоринг предназначен в первую очередь для управления рисками кредитования (кредитный скоринг) и выявления/предотвращения мошенничества. Что касается самого термина "скоринг", то он означает математический подход, с помощью которого на основании набора известных (или измеряемых) характеристик объекта прогнозируется определенная искомая характеристика, которую на момент оценки прямо измерить невозможно, при этом намеренно избегается поиск каких-либо причинно-следственных связей.

Прежде чем перейти к собственно кредитному скорингу, стоит вкратце обратиться к истории развития скоринга как подхода к решению практических задач классификации и сегментации.

История скоринга

Исторически скоринг как подход был впервые использован в биологических исследованиях во второй половине 30-х гг. XX в. для сортировки объектов, которые было невозможно рассортировать на основании какого-либо одного признака, а другим способом или сильно затруднено, или даже невозможно. Так сортировались черепа (по принадлежности одному или другому племени) и луковицы ирисов (по принадлежности тому или иному сорту). Первоначально использовался линейный статистический подход - линейная регрессия. Идея была достаточно проста: измерялись доступные параметры или характеристики уже отсортированных объектов, затем на основании статистических регрессий выделялись отдельные наиболее значимые параметры - т.е. те, которые с наибольшим эффектом разделяли изучаемые объекты. Следующим шагом было построение статистической рейтинговой таблицы (или матрицы) (scorecard), в которой каждому значимому параметру придается определенный "вес" или "счет" (score) в зависимости от его величины, а затем определяется сумма этих "счетов" или "баллов" для конкретного объекта. Знаки и значения при составлении рейтинговой таблицы выбираются так, чтобы большим положительным значениям соответствовало желаемое "положительное" качество (например, принадлежность "племени А"), а меньшим - "отрицательное" (например, принадлежность "племени Б"). Оказалось, что, несмотря на то что ни один отдельно взятый параметр или характеристика не позволяют провести сколько-нибудь надежное разделение, в совокупности объекты же с суммарным счетом более величины "а" с достаточной вероятностью (например, 95%) относились к "племени А", объекты с суммарным счетом менее значения "б" с достаточной вероятностью относились к "племени Б", и определенное количество объектов со счетом между "б" и "а" было невозможно рассортировать с достаточной надежностью.

Естественно, требовалось соблюсти все необходимые условия для построения таких рейтинговых таблиц: правильный выбор исходных групп для обучения, проверка построенной рейтинговой таблицы на тестовой группе (где принадлежность уже известна) и только потом -использование ее для сортировки объектов с неизвестной принадлежностью.

Скоринг весьма широко используется в естественно-научных исследованиях (в том числе в социологии и антропологии), а также в бизнесе - прежде всего в маркетинге и особенно в прямых продажах (таких, как торговля по каталогам с целью определения, кому именно следует рассылать каталоги для обеспечения наиболее эффективного результата продаж*(127)).

В последнее десятилетие скоринг интенсивно используется операторами мобильной связи как для решения маркетинговых задач, так и для определения риска "ухода" или "переключения" клиента, его доходности и т.д.

Кредитный скоринг

Кредитный скоринг - это использование скоринговых решений в процессе кредитования, причем

как физических лиц, так и юридических (особенно предприятий малого и среднего бизнеса).

Первостепенная задача, которую решают при кредитовании с помощью скоринга - это управление рисками.

Приоритет формулировки концепции кредитного скоринга обычно отдается Дэвиду Дюрану, который в своем исследовании, опубликованном в 1941 г. в National Bureau of Economic Research, использовал 7200 "хороших" и "плохих" кредитных историй займов с регулярным погашением, предоставленных 37 фирмами. Он применил критерий хи-квадрат (chi-square) для выявления характеристик, которые заметно различали "плохих" от "хороших", и разработал индекс эффективности, предназначенный для демонстрации того, насколько эффективна данная характеристика для дифференциации степени риска ("хороший"/"плохой") среди заявителей на кредиты. Затем он воспользовался дискриминационной функцией для разработки моделей кредитного скоринга.

Статистическая методология, предложенная Дюраном, далеко не сразу завоевала США. Одним из ограничений было то, что для понимания метода требовалась квалификация профессионального математика.

Spiegel - большой американский ритейлер - весьма рано начал использовать кредитный скоринг. Другой такой фирмой стала Household Finance Corp. Уже в 1946 г. ее президент Е.Ф. Вандерлик разработал Credit Guide Score для оценки новых заявителей, однако внедрение шло с трудом (впоследствии менеджеры его филиалов признавались, что они сначала выдавали кредиты, а потом подгоняли баллы, чтобы оправдать принятое решение).

Вполне понятно сопротивление внедрению скоринговых моделей со стороны кредитных инспекторов, не желавших быть замененными компьютерами. В конце концов экономическое давление вместе с развитием компьютерной техники в конце 60-х - начале 70-х гг. привело к дальнейшему совершенствованию эмпирических скоринговых моделей и постепенному их внедрению.

Использование кредитного скоринга для кредитных карт

С появлением в конце 60-х гг. кредитных карт и банки, и другие эмитенты поняли полезность кредитного скоринга. Большое количество клиентов, подающих заявки на кредитные карты каждый день, сделало невозможным - ни экономически, ни с точки зрения трудозатрат - никакое другое решение, кроме как автоматизация принятия решения о кредитовании. При использовании кредитного скоринга эти организации быстро обнаружили, что эта методика является существенно более надежным прогнозом, нежели экспертные оценки (процент дефолтов снизился на 50% и более).

Виды кредитного скоринга

Как правило, выделяют минимум три области применения кредитного скоринга:

скоринг заявлений (application scoring);

поведенческий скоринг (behaviour scoring);

скоринг по взысканию (collection scoring).

Скоринг заявлений - это определение кредитоспособности (уровня риска дефолта) заявителя при принятии решения о предоставлении кредита на основании данных, доступных в момент подачи заявления, - информации собственно из заявления, собственных данных кредитной организации, данных из кредитного бюро, а также других доступных баз данных (например, по утерянным паспортам).

При этом принимается не только решение о предоставлении кредита, но и о размере и условиях кредитования.

После того как кредит выдан, необходимо отслеживать его использование и возврат. И если в случае кредитов с фиксированными условиями (например, разовый целевой потребительский кредит на шесть месяцев) все условия известны заранее и основным для кредитора является полное возвращение кредита с процентами в срок, т.е. ключевым является определение кредитоспособности клиента на момент выдачи кредита, то для кредитной линии - в том числе револьверной кредитной карты - ситуация отличается коренным образом. Неизвестно, как клиент будет пользоваться кредитом - сразу выберет весь кредитный лимит или только его часть, как будет возвращать - сразу все или только минимальный установленный платеж, и не изменится ли его кредитоспособность через шесть месяцев или через год. И это - область поведенческого скоринга, где под этим названием на самом деле скрывается целый набор решаемых задач.

В первую очередь это оценка риска просрочки платежа и/или невозврата и определение тех действий, которые необходимо предпринять, - в этом поведенческий скоринг переходит в скоринг по взысканию (collection scoring).

Следующей задачей, решаемой в рамках поведенческого скоринга, является определение доходности/убыточности клиента для кредитной организации. Для этого отслеживается история его транзакций на протяжении определенного отрезка времени (например, шести месяцев) и согласно установленным критериям определяется его "ценность", а потом на основании уже известных клиентских историй и профилей клиентов прогнозируется будущая "доходность" клиентов, находящихся

в кредитном портфеле в данный момент.

В этом же классе определение таких важных параметров клиентов, как вероятность их ухода (attrition), склонность их к использованию данного или других продуктов (propensity), а также к увеличению объемов использования (up-sale) или приобретения других продуктов (cross-sell).

Следует сделать два крайне важных замечания: (1) данные по транзакциям используются для выявления и предотвращения мошенничества (см. раздел настоящей главы "Скоринг и мошенничество") (и это тоже относят к поведенческому скорингу); (2) для поведенческого скоринга все в большей степени используются данные не только по конкретному счету (продукту), а весь комплекс данных по клиенту, т.е. как именно он пользуется всем набором используемых продуктов.

Недаром опытные банкиры говорят, что по ипотеке перестают платить в последнюю очередь. Имея данные по другим продуктам, проблемного клиента можно "увидеть" раньше и попытаться своевременно найти решение.

Прагматический подход, т.е. отказ от поиска причинно-следственных связей между параметрами и использование выявленных зависимостей между параметрами для прогнозирования поведения клиента (вероятности дефолта по кредиту), вызывает у многих довольно сильное отторжение и приводит к определенным законодательным ограничениям в этой области в некоторых странах.

В США законодатели озаботились тем, что скоринг, возможно, ведет к дискриминации, поскольку учитывает пол, возраст, цвет кожи, религию и т.д. В результате в 1974 г. был принят "Акт о равных возможностях" (The Equal Credit Opportunity Act - ECOA), исключивший использование пола и семейного статуса, а в марте 1976 г. - поправки к нему, которые исключили еще несколько категорий, в том числе расу, цвет кожи, религию, страну происхождения, возраст, получение общественных пособий. Это наложило серьезные ограничения на возможность использования значащих характеристик и затруднило построение статистически и методологически надежных систем.

Основы разработки рейтинговой таблицы, ее проверки и настройки

Изначально при определении риска кредитования и принятии решения о том, выдавать ли кредит (а если выдавать, то на каких условиях), использовался исключительно оценочный или экспертный подход. Как правило, решение принималось на основании 3-х, 4-х или 5-ти "Си" ("С"):

1) характер клиента (The Character of the person) - известен ли характер клиента и характеристика его семьи;

2) капитал (The Capital) - какая сумма запрашивается;

3) обеспечение (The Collateral) - что из своей собственности готов предоставить клиент в залог;

4) платежеспособность (The Capacity) - насколько клиент способен выплачивать кредит, сколько у него свободных денег;

5) условия (The Condition) - каковы условия на рынке.

В настоящее время кредитный скоринг основывается на методах статистических исследований или исследований операций (operational research). Статистические подходы включают в себя дискриминационный анализ, в основе которого лежат линейная регрессия и более эффективная логарифмическая регрессия и классификационные деревья (classification trees), иногда называемые алгоритмами рекурсивного разделения. Методы исследования операций включают в себя определенные варианты линейного программирования. Большинство разработчиков скоринговых моделей применяют один или несколько вышеуказанных методов, часто в комбинации. Кроме того, в разработке скоринговых моделей используется ряд методов непараметрической статистики и подходы моделирования с помощью "искусственного интеллекта". Так, в последние десятилетия испытывались подходы нейронных сетей, экспертных систем, генетических алгоритмов и методы "ближайших соседей". Весьма интересно, что к одной и той же классификационной проблеме применяются столь разнообразные методы. Отчасти это обусловлено исключительно прагматическим подходом к проблеме снижения риска при выдаче кредитов: если работает - надо использовать! Цель - спрогнозировать, кто не справится с возвратом, а не дать объяснение, почему не справится, или подтвердить ту или иную гипотезу о связи между невыплатой и определенными экономическими или социальными параметрами (что отчасти и спровоцировало бурные обсуждения и принятие акта ЕСОА).

Построение скоринговых моделей

Для построения скоринговых моделей (причем независимо от выбранного математического подхода) берется репрезентативная выборка из предыдущих заявителей (от нескольких тысяч до сотен тысяч - что не проблема для отрасли, обслуживающей десятки миллионов клиентов). Для каждого заявителя из выборки извлекается полная информация из анкеты-заявления и информация из его кредитной истории за фиксированный период времени (обычно 12, 18 или 24 мес.). Затем принимается экспертное решение, какую историю считать приемлемой, т.е. является ли клиент "хорошим" или "плохим". Чаще всего "плохим" считается клиент, не выплативший по кредиту 3 месяца подряд. Всегда оказывается некоторое число клиентов, которых нельзя отнести ни к "хорошим", ни к "плохим", поскольку они либо недостаточно давно получили кредит (прошло слишком мало времени), либо их кредитная история "неясна" (например, были задержки по 3 месяца, но не подряд). Как правило, такие "промежуточные" клиенты исключаются из выборки.

Эмпирические требования к базе данных, используемых для построения скоринговой модели:

размер выборки - не менее 1500 всего, не менее 500 плохих;

четкое определение критерия "плохой"/"хороший". Далеко не всегда ясно, на каком этапе кредитной истории, по какому признаку и на каком уровне разделять "плохих" и "хороших";

четкое определение временного отрезка - периода жизни продукта (зависит от самого продукта и может меняться от месяца - мобильный телефон до десятилетий - ипотека);

стабильность состава клиентской группы - демография, миграции, сохранение привычек потребления;

неявное, но обязательное требование: стабильность экономических, политических, социальных и прочих условий.

При построении кредитных моделей существенным является выбор временного горизонта -отрезка времени между подачей заявления (выдачей кредита) и классификацией "плохой'?хороший". Анализ показывает, что процент дефолта как функция длительности нахождения клиента с организацией поначалу растет и только через 12 месяцев (кредитные карты) и даже более (разовые займы) начинает стабилизироваться. Таким образом, меньший временной горизонт приводит к недооценке и не учитывает полностью всех характеристик, предсказывающих дефолт. С другой стороны, временной горизонт более двух лет оставляет модель подверженной к сдвигам в составе клиентской группы в течение этого времени, т.к. как состав клиентов в выборке в начале временного горизонта может оказаться существенно отличным от состава клиентов, приходящих в настоящее время. Фактически используются два единовременных среза (в начале и в конце временного горизонта) для создания модели, которая стабильна по времени (за пределами начального временного отрезка). Это и диктует выбор длины временного отрезка - временного горизонта при моделировании.

Другим чрезвычайно важным и дискутируемым вопросом остается соотношение "хороших" и "плохих" в выборке. Должно ли оно отражать реальное соотношение их в составе населения или их должно быть равное число (такое соотношение резко облегчает построение модели с математической точки зрения)?

Далее построение скоринговой модели превращается в классификационную проблему, где входными характеристиками (или параметрами) являются ответы на вопросы анкеты-заявления и параметры (или данные), получаемые в результате проверок из различных организаций (например, полиции, судов, местных советов, кредитных бюро и т.д.), а выходными характеристиками (ответом) -искомым результатом - является разделение клиентов на "хороших" и плохих" согласно имеющимся кредитным историям, сопоставленным по этим входным характеристикам.

Собственно рейтинговая таблица (scorecard) - это система придания численных баллов (счета) характеристикам (или параметрам) заемщика для получения искомого числового значения, которое отражает, с какой вероятностью у заемщика по отношению к другим заемщикам произойдет некое событие или он совершит определенное действие (аспект "по отношению" в определении очень важен).

Кредитная рейтинговая таблица, например, не показывает, какой уровень риска следует ожидать (скажем, какой процент кредитов данного типа, вероятно, не будет возвращен); вместо этого она показывает, как данный заем, скорее всего, будет вести себя по отношению к другим займам. Например, ожидается ли, что процент невозвратов или дефолтов для кредитов с данным набором атрибутов будет больше или меньше, чем у кредитов с другим набором.

Большинство рейтинговых таблиц построены с помощью расчета регрессионной модели -статистической модели, которая проверяет, как отдельный параметр (характеристика) влияет на другой параметр или (чаще всего) на целый набор других параметров.

Регрессионная модель дает в результате своего применения набор коэффициентов (factors), называемых регрессионными, которые можно интерпретировать как корреляцию между искомыми параметрами (которые необходимо определить) и объясняющими параметрами, сохраняя неизменными все остальные воздействия на искомые параметры. Эти коэффициенты превращаются в веса баллов (point weights) в рейтинговой таблице.

Самый часто используемый метод построения рейтинговых таблиц

Чаще всего для построения рейтинговых таблиц используется статистический метод логистической регрессии. Однако для объяснения этого подхода стоит начать с простой линейной регрессии, а потом перейти к логистической - как особого случая линейной.

В простейшем случае линейная регрессия пытается найти линейную связь между двумя переменными: X и К Переменная Y, которую пытаются спрогнозировать, определяется как зависимая (поскольку она зависит от X). Переменная X является объясняющей, поскольку она "объясняет", почему У меняется от одного индивидуума к другому.

С помощью линейной регрессии пытаются выяснить следующее: если меняется X, то насколько

вероятно, что в результате этого также изменится и К Для того чтобы это сделать, необходим набор данных, в котором можно наблюдать множество пар X и соответствующих ему К Когда они будут отложены на плоскости XY и будет получено некое множество, может оказаться, что оно ложится на некую прямую, т.е. есть определенная связь между X и Y, которую можно попытаться аппроксимировать с помощью уравнения:

Y = B0 + B1 x X1

где

B0 - это величина Y, когда X = 0;

B1 - наклон прямой линии.

Эти В. являются коэффициентами регрессии. На практике, скорее всего, окажется несколько объясняющих переменных:

Y = B_0 + B_1 x X_1 + B_2 x X_2 + ... + B_n x X_n.

Логистическая регрессия в сравнении с линейной регрессией

При использовании скоринга, как правило, зависимая переменная принимает значения в очень небольшом диапазоне. Чаще всего работают с бинарной переменной, т.е. такой, которая принимает только два целых значения: так, например, по кредиту дефолт или произошел, или нет; клиент, получивший каталог по почте или ответил, или нет. Как правило, в таком случае дефолту приписывают значение "1", а выплаченному кредиту - значение "0".

Модель в итоге должна оценить вероятность дефолта по кредиту (или ответа клиента на каталог).

И хотя линейная модель иногда используется для расчета рейтинговой таблицы, логистическая регрессия оказывается много удобнее, поскольку она специально построена для случаев, когда зависимая переменная - бинарная (т.е. принимает, как мы уже говорили, только два значения).

Линейная регрессия может давать значения вероятности и меньше нуля, и больше единицы, что лишено смысла. Логистическая модель избегает этого, поскольку работает не с самим бинарным значением зависимой переменной, а с вероятностью или шансами (odds), что это значение действительно реализуется. Логарифм отношения вероятности реализации к вероятности нереализации называют логитом (logit), который может принимать любые значения, как отрицательные, так и положительные. Поэтому для логитов вполне можно использовать модель линейной регрессии (отсюда и название "логистическая").

В модели логистической регрессии объясняющие переменные, умноженные на свои коэффициенты, предполагаются линейными по отношению не к Y, как в линейной регрессии, а к логиту -натуральному логарифму отношения шансов:

ln (p/(1 - p)) = B_0 + B_1 x X_1 + B_2 x B_2 + X_2 + ... + B_n x X_n, где

р - вероятность того, что V произойдет;

р/(1 - р) - отношение шансов.

Шансы и соотношение шансов

Соотношение шансов позволяет сравнивать уровни рисков для разных кредитов. Так, если для одного р1/(1 - p_1) = 0,11, а для другого р2/(1 - р2) = 0,052, то их отношение составит 0,46, т.е. риск невозврата по одному кредиту составляет чуть меньше половины риска невозврата по второму кредиту.

Самые важные выводы из этого следующие: необходимо получать сами шансы и их отношения для разных кредитов из логистических регрессий, т.к. только так удается прямо сопоставить и учесть как влияние отдельных характеристик на уровень риска, так и относительный риск одного кредита по отношению к другому. Попытки обойтись одной рейтинговой таблицей не позволяют оценить рисковость одного кредита относительно другого в силу возможного влияния характеристик, которые были учтены для одного и не учтены для другого.

Вычисление относительных весов отдельных характеристик рейтинговой таблицы

Построив и оценив логистическую модель, можно подставить величины X для любого заявителя или кредита и вычислить счет (score), используя уравнение:

Однако этот счет представлен в шкале натуральных логарифмов, что неудобно для интерпретации. Поэтому счет переводится в линейную шкалу, где определенное число баллов выбирается так, чтобы это число обеспечивало удвоение шансов того, что определенное событие произойдет. Для этого необходимо умножить счет на множитель, равный числу баллов, которое должно представлять удвоение шансов, а затем поделить на 1n(2):

счет по линейной шкале = (В1 х Х1 + ... + Вп х Хп) х (20/1п(2)),

если желаемое число баллов, необходимое для удвоения шансов, равно 20.

Иначе, если надо узнать, сколько именно баллов дает каждая характеристика, можно умножить каждое В_1 на (20/(1n(2)), а затем умножить на значение параметра X_1.

Использование КС-статистики для оценки полученной рейтинговой таблицы

Скоринговая таблица конструируется так, чтобы ранжировать различные кредиты в терминах шансов по отношению к определенному событию. Необходимо, чтобы такая скоринговая таблица приписывала кредитам, с которыми происходит некое событие, и кредитам, с которыми оно не происходит, различные счета.

Например, кредитная скоринговая таблица (скоринговая карта) приписывает меньший счет тем кредитам, которые впоследствии испытают серьезные трудности с возвратом или перейдут в дефолт, так что в целом группа плохих кредитов должна иметь меньшие счета, чем группа хороших кредитов.

Для определения качества полученной таблицы строятся графики - кривые распределения процентов хороших и процентов плохих кредитов (от соответствующего общего числа хороших и плохих) в зависимости от величины счета, и качество скоринговой таблицы (карты) характеризуется тем, насколько эти две кривые разделяются.

Именно для численного определения качества разделения и используется статистика Колмогорова-Смирнова (K-S statistics), которая дает числовую меру этого разделения. Статистика КС вычисляется просто: это максимум разности между кумулятивным процентом распределения "хороших" и кумулятивным процентом распределения "плохих". Теоретически статистика КС может принимать значения от 0 до 100, однако на практике она обычно оказывается в диапазоне от 25 до 75.

Примерная градация выглядит так:

меньше 20 - наверное, скоринговая таблица непригодна к применению;

20-40 - неплохая таблица;

41-50 - хорошая таблица;

51-60 - очень хорошая таблица;

61-75 - поразительно хорошая таблица;

больше 75 - вероятно, слишком хороший результат, чтобы быть правдой, наверное, что-то неправильно* (128).

Следует отметить, что качество скоринговых моделей следует постоянно проверять и мониторинг является обязательной процедурой в процессе эксплуатации. Со временем могут меняться как экономические условия, так и поведенческие особенности заемщиков, и только своевременная подстройка или даже замена скоринговых моделей обеспечат эффективное управление кредитными рисками.

Скоринг и мошенничество

Скоринг помогает не только в управлении рисками невозврата в случае дефолта клиента, но он также используется для задач выявления и предотвращения мошенничества.

Следует подчеркнуть, что (по доступным оценкам) примерно половина невозвратов обусловлена дефолтом, и для контроля этих рисков используются методы кредитного скоринга, а другая половина -мошенничеством, и для снижения этих рисков также используются скоринговые методы.

Мошенничество при кредитовании можно разделить на две категории:

1) мошенничество при попытке получить кредит (происходящее при подаче заявления);

2) мошенничество, происходящее в процессе использования и погашения кредита.

Второе чаще связано с кражей или самой карты, или ее данных для последующего использования в преступных целях. Соответственно методы и выявления, и предотвращения при рассмотрении заявления отличаются от методов, используемых для контроля использования карты и выполняемых по ней транзакций.

Мошенничество, происходящее во время подачи заявления на кредит, подразделяется на мягкое (soft) и жесткое (hard).

В случае мягкого мошенничества заявители, как правило, используют свое настоящее имя, чаще

всего они уже подавали заявки на кредит, но получили отказ, зачастую из-за их неспособности расплатиться. И они манипулируют своими данными так, чтобы выглядеть более основательно (старше, выше доход, более продолжительное проживание по данному адресу; сокрытие адресов, по которым они проживали, когда у них были проблемы - например с выплатой). И хотя эти заявители и намереваются выплачивать кредит, объективно они навряд ли на это способны.

В случае жесткого мошенничества заявитель изначально и не собирается платить и, как правило, использует для подачи заявления украденную или даже изобретенную идентификацию (личные данные), за этим зачастую стоит профессиональная организованная группа мошенников.

Риск жесткого мошенничества сильно отличается от кредитного риска как по своей природе, так и по способам наилучшего предотвращения. Риски же мягкого мошенничества в определенной степени коррелируют с кредитным риском.

Модели, разработанные для оценки кредитного риска, практически не работают для выявления и предотвращения риска мошенничества. Например, в случае если мошенничество заключается в использовании украденной идентификации, то кредитная скоринговая модель чаще всего даст высокий балл и одобрит такое заявление. По этой причине специальные модули по выявлению и предотвращению мошенничества обязательно включаются в интегральную систему обработки принимаемых заявлений. Важнейшим источником информации для сопоставления данных и выявления мошенничества являются кредитные бюро, а также внешние специализированные базы данных (например, по утерянным и украденным паспортам) и обязательно - собственная база данных кредитной организации.

Наиболее эффективными оказываются те системы, которые построены не на основе экспертных правил, а на основе моделирования - нейронными сетями, регрессионными методами, деревьями решений (decision trees), индукцией правил (rules induction), генетическими алгоритмами, анализом связей (link analysis) на основе теории графов (graph theory).

Такие системы используются как для проверки поступающих заявлений, так и в работе с действующими картами - для выявления и предотвращения мошенничества в транзакциях (причем удается применять скоринг в реальном времени, включая в него алгоритмы оценки мошенничества текущих транзакций).

Новый вид мошенничества - фишинг

Термин "фишинг" (phishing) - измененная форма от английских слов Phone (телефон) и Fishing ("рыбная ловля"). Он появился в "американском" английском для обозначения новых схем жульничества, служащих для того, чтобы выманить у пользователей номера их кредитных карт, пароли доступа к банковским счетам и счетам платежных систем.

Первое упоминание о фишинге относится к 1996 г., когда пользователи американского провайдера America Online получили поддельные сообщения с просьбой сообщить пароль для входа в систему с целью модификации информации. Настоящей целью данной атаки был доступ к чужим счетам для оплаты Интернета.

Со временем в Интернете появились различные электронные платежные системы, многие банки стали предлагать услуги интернет-банкинга. Это превратило фишинг в очень распространенный и прибыльный способ воровства информации.

Фишинговая атака является своеобразной "рыбалкой" - идея заключается в том, что, пока здравомыслящее большинство игнорирует приманку, некоторые "клюнут".

Для этих целей мошенники тем или иным способом добывают базы данных электронных адресов пользователей Интернета и рассылают e-mail письма, содержащие информацию, убеждающую пользователя посетить ложный веб-сайт, на котором предлагается ввести (обновить) персональные данные.

В роли рыбака здесь выступает мошенник, заинтересованный в получении доступа к счету пользователя или к информации о его платежной карте. Разумеется, просто так конфиденциальную информацию, позволяющую получить удаленный доступ к счету номера на незнакомых сайтах, никто оставлять не будет. Поэтому мошенники разрабатывают новый сайт, практически полностью повторяющий элементы дизайна той организации, на клиентов которой направлена фишинг-атака (например, крупного банка или электронной платежной системы). На странице, по оформлению напоминающей сайт крупного финансового учреждения, обычно представлена информация о необходимости "подтверждения личных данных" (среди которых присутствуют номер банковской карты, срок ее действия, ПИН-код и др.). Поля формы, естественно, вовсе не ведут на сервер банка или платежной системы, а заботливо отсылаются мошеннику, после чего пользователь может быть перенаправлен на официальный сайт, т.к. его миссия считается законченной*(129).

Масштабы фишинга

Фишинг достиг огромных, даже по меркам глобальной сети, размеров. Согласно результатам отчета Gartner, опубликованного 15 июня, за последний год почти 2 млн. человек попались на подобный обман, потеряв около $2,4 млрд. из-за несанкционированного доступа к своим счетам. По данным антифишинговой рабочей группы (APWG)*(130), 5 октября 2004 г. зафиксировано резкое увеличение количества фишинг-сайтов и почтового спама. В октябре 2004 г. было зарегистрировано 6597 фишинговых атак, в августе - 2158, в июле - 1974, в июне - 1422, в мае - 1197, в апреле - 1125, в марте -402, в феврале - 282, в январе - 176), среднее количество атак в день в октябре составило 212,8 (в августе - 69,6, в июле - 63,7, в июне - 47,4).

Количество зарегистрированных активных фишинг-сайтов составило: в октябре - 1142, в сентябре - 543, в августе - 727, в июле - 584. В среднем ежемесячный рост фишинг-сайтов с июля по октябрь составил 25%.

Кого атакуют фишеры

Анализ-фишинг атак с января по июнь 2004 г. показывает смещение акцента в качестве атакуемых целей с розничных систем (таких, как eBay) на финансовые учреждения (банки). В марте месяце на первом месте была платежная система eBay, на втором - Citibank, в апреле на первом месте Citibank, на втором - eBay, в июне на второе место вышел U.S. Bank, отодвинув eBay на третье. Организацией, наиболее часто подвергавшейся фишинг-атакам в июле 2004 г., был Citibank (682).

Распределение фишинг-атак по секторам индустрии (данные за 2004 г.):

- финансовые организации: в октябре - 73%, в сентябре - 80%, в августе - 78%, в июле - 71%;

- поставщики интернет-услуг: в октябре - 14%, в сентябре - 13%, в августе - 9%, в июле - 17%;

- розничные системы: в октябре - 7%, в сентябре - 7%, в августе - 7%, в июле - 5%;

- другие: в октябре - 7%, в сентябре - 0%, в августе - 7%, в июле - 7%.

По количеству размещенных фишинговых веб-сайтов лидируют США: октябрь - 29%, июль - 35%, июнь - 27,1%. Среди других стран, размещающих фишинговые веб-сайты, представлены: Китай - 16%, 15% и 15,6%; Южная Корея - 9%, 16% и 19,8%; Россия - 8%, 7% и 1%; Великобритания - 5,5% (июль) и 1% (июнь); Мексика - 4,5% и 2,1%; Тайвань - 2,5% и 7,3%. Около 35% сайтов используются без ведома владельцев. При этом сайтов, содержащих некоторую часть оригинального названия в URL-адресе, -20,1%, сайтов, не имеющих имени хоста, а содержащих только IP-адрес, - 63%, сайтов, не использующих порт 80, - 12,2%.

Среднее время жизни мошеннических сайтов - 6,4 дня, самый длительный период времени существования - 31 день.

Фишинг, как один из наиболее быстро развивающихся типов финансового мошенничества, подрывает веру в электронную почту, доверие между пользователями и организациями электронной коммерции, начиная от сетевых продавцов и заканчивая банками.

В рамках исследования, проведенного Ponemon Institute (компания, занимающаяся вопросами конфиденциальности частной жизни и гражданских свобод), были опрошены 1335 американских интернет-пользователей. В результате опроса обнаружилось, что 76% респондентов знакомы с электронными письмами-обманками, 70% из этого числа заходили на сайт-обманку, ссылка на который располагалась в подложном письме, 15% оставляли на этом сайте свои персональные данные, а 2% признались в том, что понесли конкретные финансовые потери в результате фишинга.

По оценкам специалистов антиспамовой компании Brightmail, ежедневно обнаруживаются около 25 уникальных жульнических программ типа "фишинг". Корпорации, клиенты которых подверглись такому обману, ежегодно выкладывают приблизительно $500 тыс. на борьбу с 62 млн. электронных фишинг-писем. Компания Brightmail обрабатывающая около 20% рассылаемых по всему миру электронных писем, ежемесячно разбирается с более чем 2,4 млрд фишинг-сообщениями. По некоторым данным, в настоящее время фишинг-письма составляют около 4% всего спама, и эта цифра постоянно увеличивается. Фишинг меняется даже быстрее, чем спам, потому что этот вид мошенничества намного более прибыльный. Создатели подобных программ не только получают доступ к клиентским банковским счетам, но и используют личную информацию пострадавших для получения кредитных карт, о существовании которых жертва даже не догадывается в течение нескольких недель, а то и месяцев.

До недавнего времени большинство фишинг-атак были направлены против клиентов банков англоговорящих стран, таких, как США, Англия и Австралия. Но в последнее время специалисты в области безопасности отмечают смещение в сторону таких стран, как Бразилия и Германия. В 2004 г. данный вид мошенничества затронул и страны СНГ, в том числе Россию. С начала августа украинские пользователи Интернета начали получать фишинг-письма с предложением обновления/изменения своих персональных данных, а в России в 2004 г., как уже говорилось выше, подвергся фишинг-атаке Citibank.

Фишинг, применяя новые приемы, использует старые методы, делая ставку на такие стороны человеческой натуры, как доверчивость, страх, жадность.

Пример "фишингового" письма

Мошенники очень быстро реагируют на меняющуюся обстановку. Например, в результате летнего банковского кризиса в России появились письма, сообщающие, что из-за проблем банковской системы за снятие "с пластиковой карты денег теперь в большинстве российских банков забирают 1015% комиссионных вместо обычных 5%". Чтобы спасти россиян от таких "потерь", им предлагают открыть банковский счет на свое имя в каком-нибудь надежном американском банке. Для того чтобы выбрать кредитное учреждение, пользователям предлагается за $22 купить справочник, который содержит информацию по открытию банковского счета в Америке. Указанную сумму "благодетели" предлагают прислать в Чехию.

Повышается технический уровень мошенников. Некоторые создатели фишинга начали использовать небольшие написанные под Java всплывающие окна, накладывающиеся на адресную панель таким образом, что пользователи думают, будто находятся на настоящем сайте, а не на поддельной странице. Они также добавляют пиктограмму в виде замка, которая считается символом интернет-защиты, придавая своим страницам еще более подлинный вид.

С планируемым разрешением в Рунете регистрации доменных имен с кириллицей клиенты любого банка могут стать жертвами фишинга (для этого нужно зарегистрировать сайт с тем же именем, что и атакуемый банк, но буква "а" должна быть не латинская, а кириллическая.

Не потеряли своей актуальности вредоносные программы, которые могут быть без ведома пользователя тайно загружены на его компьютер. Программа активизируется автоматически, когда пользователь заходит на определенные веб-сайты, например банковские, тайно записывает личные данные и пересылает их мошеннику.

Существует цепочка преступной интерактивной деятельности, использующая инструментарий интернет-методов. По словам исполнительного директора антиспамовой компании Ironport Скотта Вайсса (Scott Weiss), представители организованной преступности финансируют компьютерных хакеров, рассылающих вирусы, разработанные для создания "виртуальных компьютерных сетей" зомби-машин. После этого злоумышленники распродают ресурсы на этих виртуальных компьютерных сетях, предоставляя возможность рассылать через них миллионы фишинг-электронных писем, которые почти невозможно отследить.

Старший полицейский офицер и глава Национального департамента Великобритании по борьбе с преступлениями в сфере высоких технологий*(131) Мик Дитс (Mick Deats) заявляет, что зачастую после взлома банковских счетов происходят сложные операции по отмыванию денег, проводимые в Сети. "В основном преступные элементы приходят из Восточной Европы, ведь за последнее время мы столкнулись с множеством обманутых русскоязычных пользователей, предоставлявших свои счета для перевода денег обратно в Россию", - отмечает он. Обычно этих жертв находят с помощью программ мгновенных сообщений (ICQ), проверяя их связи на родине (в России или странах СНГ), после чего просят выручить "российского бизнесмена", пытающегося переслать немного денег домой, обещая, естественно, за это вознаграждение.

Как определить, является ли письмо попыткой "фишинга"?

Приведем несколько внешних признаков того, что письмо является обманным.

1. Тема и тело письма бедно отформатированы и содержат много ошибок.

2. Письмо начинается с неличностного приветствия, такого, как "Дорогой клиент". Обычно действительные компании посылают письма, в которых обращаются к получателю по имени.

3. Манера изложения письма беспокоящая или тревожная, как у писем, запрашивающих финансовую или другую персональную информацию, в тревожном тоне в письме сообщается о том, что многие клиенты потеряли свои учетные записи и это может случиться и с получателем.

4. Если письмо содержит ссылку, следует провести мышью над ней. Если видимая ссылка в теле письма не совпадет со ссылкой в строке статуса, то существует большая вероятность, что письмо было подделано (например, в строке написан адрес , а гиперссылка ведет на адрес ).

Проблема фишинга в западных странах стала одним из главных приоритетов для правительств, органов юстиции и финансовых компаний, в то время как информационно-техническое общество пытается найти ее решение.

17 июня 2004 г. министерство финансов США, Организация защиты прав потребителей (Better Business Bureau) и Федеральная торговая комиссия (Federal Trade Commission) объединились, чтобы обучить пользователей компьютеров тому, как правильно избегать нападения фишинг-преступников. Группа компаний, в состав которой вошли IBM и Fidelity Investments, открыли "Форум по надежным электронным коммуникациям" (TECF) - торговую группу, основной целью которой стало создание технических стандартов для борьбы с фишингом. Председатель TECF и директор по продуктовой и маркетинговой стратегии компании PbstX Шон Элдридж (Shawn Eldridge) надеется, что группа сможет создать ряд технологических и юридических стандартов для борьбы с мошенничеством.

Обещающим выглядит развитие интернет-технологий, которые могли бы гарантировать

законность получаемых сообщений. Компания Internet Engineering Task Force разрабатывает спецификации для регистрации авторизированных серверов, занимающихся рассылкой электронной почты. Подобная практика дополняет работу Microsoft над технологией Caller ID, а также компании Pobox.com над системами Sender Policy Framework (как CallerlD, так и SPF-системы проверяют электронные адреса, сравнивая серверы отправки с доменом отправляющего их человека).

Старший вице-президент технологической стратегии в компании MCI Винт Керф (Vint Cerf) считает, что аутентичность должна стать решающим прорывом в будущее. По его мнению, возможность проверить надежность источника электронной почты даст как минимум начало управления.

Другие антифишинговые решения включают систему Yahoo! DomainKeys, способную проверять содержание сообщений и панелей от eBay и Earthlink, которые в случае обращения к одному из фишинг-сайтов становятся красными или просто к ним перекрывается доступ.

28 июня 2004 г. корпорация MasterCard International официально присоединилась к программе по борьбе с компьютерным мошенничеством, связанным с использованием подложных финансовых данных и кредитных карт. Программа была инициирована компанией NameProtect, созданной специально для борьбы с мошенничеством в этой области. Основной целью программы является проведение комплекса мероприятий по предупреждению случаев мошенничества. Специалисты NameProtect установили сервисы мониторинга во всех известных системах обмена и продажи финансовых данных. Использование этих служб, по словам главы NameProtect обеспечивает наибольшую эффективность в борьбе с мошенниками - "меч правосудия поражает непосредственно черный рынок кредитных карт".

Чтобы решить проблему фишинга, в американском Сенате подготовлен специальный законопроект. Он запрещает подделку сайтов с целью принудить пользователя передать свои идентификационные данные другому лицу. Преступлением согласно законопроекту является и подделка обратных адресов электронной почты с целью заманивания пользователей на поддельные сайты.

В конце августа министерство юстиции США объявило о завершении операции "Веб-капкан", в ходе которой было заведено 160 уголовных дел, где фигурируют свыше 150 тыс. потерпевших. В сотрудничестве с властями Румынии и Нигерии были достигнуты следующие результаты: более 350 подследственных, 103 ареста и 53 приговора, 117 уголовных исков, обвинительных заключений и извещений, исполнение более чем 140 ордеров на обыски и изъятия. К операции были привлечены огромные ресурсы буквально по всему миру. 20-летний житель Техаса, который для получения номеров кредитных карт заманивал пользователей сервиса PalPay на ложный сайт, был осужден на 46 месяцев тюремного заключения (в результате своей деятельности он получил доступ к реквизитам 473 карт и 152 счетам).

5 мая 2004 г. британская полиция арестовала двенадцать выходцев из стран бывшего Советского Союза, подозревающихся в организации махинаций с целью хищения информации о счетах клиентов крупных банков. Преступники рассылали жертвам электронные письма с предложением подтвердить информацию о своих счетах. При этом клиентам банков было необходимо заполнить специальную форму, размещенную на фальшивом сайте. Естественно, внешний вид такого сайта полностью копировал оформление и структуру официального ресурса. 14 октября 2004 г. в лондонском магистратном суде на Боу-стрит были выдвинуты обвинения в фишинге четверым интернет-мошенникам.

По информации интернет-издания CNews.ru, начальник пресс-службы "Управления К" Анатолий Платонов, комментируя ситуацию с фишингом в России, отметил, что бороться с этим явлением "Управление К" намерено "при помощи оперативно-розыскных мероприятий". Однако, чтобы бороться с преступлением, управлению требуется как минимум заявление потерпевшего, которое тот может написать в отделении милиции по месту жительства.

Пункт 2 Постановления Пленума Верховного Суда Российской Федерации от 25.04.95 N 5 "О некоторых вопросах применения судами законодательства об ответственности за преступления против собственности" гласит: "Дела о преступлениях против чужой, в том числе и государственной, собственности являются делами публичного обвинения и не требуют для их возбуждения, производства предварительного расследования и судебного разбирательства согласия собственника или иного владельца имущества, ставшего объектом преступного посягательства". Постановление Пленума Верховного Суда Российской Федерации от 27.12.2002 N 29 "О судебной практике по делам о краже, грабеже и разбое" сохраняет в силе данный пункт.

Некоторые специалисты в области безопасности достаточно скептически оценивают будущее борьбы с фишингом.

По мнению Дуга Пековера (Doug Peckover), президента компании Privacy, производящей программное обеспечение, традиционные антифишинг-инструменты (такие, как фильтры) не работают, необходимо внедрять новые средства.

Старший вице-президент в исследовательской фирме Meta Group Мет Каин (Matt Cain) считает, что бурный рост фишинг-мошенничества, а заодно и универсального спама и вирусов, способствует кризису, который может угрожать самому существованию электронной почты.

Основные уязвимости, которые использует фишинг - это человеческий фактор и слабые средства защиты в технологии аутентификации.

Информация, которую получают фишеры от клиентов банков и платежных систем: имена, фамилии, домашние адреса, телефоны, номера платежных карт, срок действия платежных карт, защитные коды карт (CVV2/CVC2), ПИН-коды, тип платежных карт, название банка, номер банковского счета; имя и пароль для доступа к счету через Интернет.

Практически это весь перечень запрашиваемого на фишинг-сайтах. Данной информации оказывается достаточно, чтобы получить несанкционированный доступ к счетам клиентов. Платежные системы (eBay) используют в качестве идентификации клиентов только имя и пароль. То же самое делают многие зарубежные банки при предоставлении доступа к счету через Интернет (в качестве имени может запрашиваться номер банковской карты, а в качестве пароля - ПИН-код). Данная технология является явно недостаточно защищенной.

Для оплаты товаров и услуг с использованием банковских карт по почте и телефону, а также в большинстве случаев оплаты через Интернет (если банк-эмитент и банк-эквайрер не используют защищенные технологии платежей Verified by Visa и Secure Code - на сегодняшний день они еще недостаточно распространены) достаточно знать номер карты, срок ее действия и код верификации карты (CW2/CVC2).

Что касается получения наличных денежных средств через банкомат, то знания номера карты, срока ее действия и защитного кода CW2(CVC2) (т.е. тех данных, которые знает клиент и может сообщить их мошеннику) будет недостаточно, т.к. на магнитной полосе дополнительно записана еще некоторая информация, которую держатель карты не знает. Это так называемый код верификации ПИН-кода (PW) - четыре десятичные цифры (10 000 значений) и код верификации карты (CW/CVC) - три десятичные цифры (1000 значений), который отличается от записанного на полосе для подписи кода (CW2/CVC2). Таким образом, чтобы изготовить карту и получить по ней деньги в банкомате, помимо сведений, которые держатель может сообщить сам (номер карты и срок ее действия), необходимо иметь комбинацию из семи десятичных цифр (10 000 000 возможных значений).

Существует еще одна сфера деятельности мошенников в области банковских карт. Это так называемый скимминг - несанкционированное копирование информации с магнитной полосы карты. Целью скимминга является получение второй дорожки магнитной полосы. Именно эта дорожка содержит все необходимые данные, передаваемые в процес-синговый центр эмитента для получения авторизации. Классическое копирование магнитной полосы карты осуществлялось в торговых предприятиях, когда держатель передавал свою карту для оплаты. Данный способ существует и на сегодняшний день. Однако развитие компьютерных технологий, использование протокола TCP, появление в крупных магазинах локальных сетей, по которым передается информация со вторых дорожек, деятельность хакеров по взлому компьютерных систем и утечка информации от провайдеров электронных каналов связи привели к колоссальному увеличению случаев данного мошенничества. На кардерских сайтах*(132) существуют предложения о продаже огромного количества дампов скопированных карт.

В силу массовости и больших масштабов фишинга и скимминга происходит симбиоз данных направлений мошенничества. В результате фишинга имеется достаточно большая база данных номеров карт с ПИН-кодами, а в результате скимминга есть подобная база со вторыми дорожками магнитных карт. Мошенники из обеих групп обмениваются информации и получают возможность изготовить поддельную банковскую карту с известным ПИН-кодом.

В западных технологиях особенно уязвимым является интернет-доступ к счету клиента. Достаточно каким-либо образом узнать имя и пароль доступа к счету (например, от самого же клиента, путем перебора или иными методами), и злоумышленник получает полный контроль над финансовыми средствами. При использовании слабых алгоритмов аутентификации клиентов (например, использование только статических паролей) в новых технологиях интернет-платежей Verified by Visa и Secure Code получаемая фишерами информация позволит обойти защитные механизмы протокола 3D-secure.

Российские банки в связи с более жестким законодательством по использованию средств криптографической защиты в большинстве своем при организации услуг интернет-банкинга используют сертифицированные ФАПСИ или ФСБ средства криптографической защиты информации. Доступ к счету клиента и взаимная аутентификация банка и клиента осуществляются с использованием надежных криптографических алгоритмов (секретные ключи обладают достаточной длиной и хранятся на отчуждаемых носителях информации). Фишинговая атака на такие технологии окажется явно бессмысленной. В результате российские банки предоставляют своим клиентам более защищенную, а следовательно, и более качественную услугу. На фоне тех потерь, что несут зарубежные банки, это может использоваться отечественными банками как сильный маркетинговый ход.

ккк

В заключение выделим некоторые направления действий в борьбе с фишингом.

1. Применение защищенных технологий. Переход на чиповые карты, использование технологии платежей Verified by Visa и Secure Code, применение криптографии для аутентификации и для закрытия

каналов связи.

2. Информирование клиентов о безопасных способах использования банковских услуг. Какая бы защищенная технология не использовалась, все будет зависеть от того, правильно ли ее применяют.

3. Изменение российского законодательства. В последнее время значительно изменились способы совершения преступлений. Принятые же законодательные акты не восполняют имеющиеся пробелы. Создание системы, охватывающей все вопросы, от нормативно-правовых до организационных, позволит эффективно противодействовать любым вызовам и угрозам в информационной сфере.

4. Взаимодействие правоохранительных органов и различных коммерческих структур. Только объединив усилия, можно должным образом противостоять высокотехнологичной преступности.

Содержание раздела

---