На карте мира, по версии глобальной платежной системы Visa, Украина — часть огромного региона CEMEA — вместе со странами Африки, Ближнего Востока и Центральной Европы. Лид-офис региона находится в Дубае, откуда в Киев прилетел глава департамента по управлению рисками Visa в регионе Гектор Родригес.
Это был его второй визит в Украину. Родригез провел в Киеве всего два дня. Приехал разговаривать. С клиентами, чиновниками и местным менеджемнтом Visa. Поговорить с главным рисковиком корпорации в регионе CEMEA удалось и «Минфину». Прежде всего — о безопасности безналичных платежей и технологиях, которые помогают бороться мошенниками.
Вы прилетели в Украину всего на два дня – что вы планировали сделать за это время здесь? О чем разговаривали с банками?
Среди прочего, – обсудить с нашими украинскими партнерами способы эффективной демонстрации преимуществ безналичных платежей. Мы заинтересованы в их росте, поэтому безопасность здесь играет важнейшую роль. Говорили и о том, что нужно делать, чтобы защитить держателей карт. В Украине, мы видим тенденцию увеличения случаев «социальной инженерии». Нам важно понимать, что сейчас можно с этим сделать. В том числе речь шла о медиа-кампании на эту тему для населения.
Это чисто украинская проблема или «социальная инженерия» — глобальная тенденция? Почему это столь развито у нас?
В Украине «социальная инженерия» только набирает обороты. Мошенники звонят, чаще всего, людям старшего возраста, и, представляясь сотрудниками банков или госслужащими, просят сообщить реквизиты карты, другую персональную информацию. Нередко люди сами отдают им эти данные. Нечто подобное мы наблюдали и на других рынках. Решить вопрос (хотя бы частично) помогла образовательная кампания.
С банками-партнерами и внутри команды рисков мы много говорили о том, как можно донести эту информацию до клиентов. Здесь важна и работа СМИ. Люди должны усвоить, что ни банк, ни представители официальных органов не имеют права обращаться к ним с просьбой сообщить секретные данные. Например, PIN-код или одноразовый пароль. В Украине пока об этом знают не все.
Вы говорите о местной команде рисков? Какие вопросы она решает и как происходит само принятие решений по нашей стране? Какие вопросы решает макроофис, который курирует все страны региона?
Есть команда, которая отвечает за безопасность безналичных платежей по картам Visa в странах СНГ и Юго-Восточной Европы — их 17. У нее есть все полномочия для принятия решений по развитию бизнеса. Со своей стороны, я всегда готов подключиться, если нужно, для решения сложных вопросов, продвижения каких-то инициатив или встреч с банками или с прессой.
Для своей команды я – ресурс, который они могут использовать для решения сложных бизнес-задач. Все это подчиняется глобальной цели Visa: переход к безналичным платежам. Для этого держатель карты должен быть уверен, что каждая транзакция защищена, а его личная информация в безопасности.
Как с этим успехи в Украине?
Надо сказать, что украинские банки проделали великолепную работу по внедрению платежных терминалов, которые принимают чипованные карты. С чипами работает 98% терминалов. Это очень хороший показатель, один из высочайших в нашем макрорегионе. Это открывает для нас большие возможности на украинском рынке, потому что процент транзакций (сhip on chip), то есть чиповая карта в чиповом терминале, в Украине довольно низок – всего 35%. Для сравнения, средний показатель таких операций по всему региону СНГ и Юго-Восточная Европа составляет 66%. Поэтому нам есть еще с чем работать здесь. Украинские банки пока нужно убеждать усиливать защиту своих клиентов с помощью чипованных карт.
Почему украинские банки не спешат выпускать чип-карты?
Украинский рынок имеет свою специфику. Здесь все начиналось с зарплатных проектов. Как таковых клиентских карт было очень мало. Большая часть граждан ограничивалась получением и снятием зарплаты. Поэтому и сейчас в Украине есть сильный перекос в сторону зарплатных карт. Банкам было дешевле работать по таким проектам с картами на магнитной полосе. Плюс небольшие зарплаты не очень мотивировали банки как-то еще сотрудничать с клиентами вне рамок зарплатных обязательств.
Но сейчас мы видим позитивную тенденцию: человек сам приходит в банк и оформляет карту для личных нужд. И банки, как правило, выдают ему чипованную карту. Карты премиум-класса практически все либо чипованные, либо бесконтактные. Но пока мы вряд ли будем показывать хорошие цифры по чипованным транзакциям: магнитных карт в Украине слишком много. Но один из факторов, который нам с этим поможет, — это принцип нулевой ответственности клиентов. Это должно мотивировать банки выпускать чипованные карты.
Принцип нулевой ответственности – понятно для чего это нужно и интересно клиентам. Но для чего это нужно Visa?
Мы хотим, чтобы потребители платили картами, а не наличными. Для этого нам нужны инструменты, которые делают платежи по картам безопасными. Это с одной стороны чипованные карты или технологии вроде Verified by Visa (VbV). С другой, — политика и процедуры, зная о которых потребители могут быть уверены в безопасности транзакций.
Цель принципа нулевой ответственности как раз в том, чтобы укрепить доверие потребителей к электронным платежам. Клиент должен доверять безналичным расчетам безусловно. Вне зависимости от того, платит ли он посредством телефона в POS-терминале или покупает что-то в интернете. Тогда он всегда будет отдавать предпочтение картам, а не наличным. В этом наш интерес.
Как нулевая ответственность работает на практике?
Принцип нулевой ответственности заключается в том, что клиент не отвечает за мошеннические операции с картой. Важно понимать, что это ни в коем случае не означает полную безответственность. Держатель карты не должен разглашать свои данные и обязан предпринимать разумные меры для защиты своих данных. Люди об этом не задумываются. Приведу пример. Недавно в Дубае на заправке видел, как мужчина банально поленился выходить из машины, чтобы оплатить топливо и просто сказал менеджеру свой PIN. В такой ситуации его уже ничто не может защитить, он сам, добровольно отказался от защиты своей личной информации.
А как Visa со своей стороны отслеживает соблюдение банками принципа нулевой ответственности, учитывая, что от воли клиента здесь мало что зависит?
Первое – банки должны в первую очередь руководствоваться законами своей страны, во вторую — правилами Visa. То есть речь о предписаниях Национального банка. Это очень важный момент. Второе – это условия сотрудничества Visa и банков. У нас есть операционные правила, которые определяют требования к банкам – эмитентам и эквайерам карт Visa, к порядку нашего взаимодействия. Кто хочет работать с нами, должен эти правила выполнять.
Что может дать клиенту со своей стороны сама Visa для обеспечения безопасности?
Есть стандарт EMV. Он существует с начала 90-х. Это — совместное решение Visa, EuroPay и MasterCard, прошедшее тестирование сначала на европейском рынке, а потом распространившееся на весь мир. Конечно, EMV меняется под влиянием времени. Сейчас это, по сути, сложный микро-процессор. EMV сегодня использует методы криптографии, сложные динамичные элементы, которые верифицируют каждую транзакцию. Еще у нас есть сервис проверки транзакций Verified by Visa для интернет-платежей на базе стандарта 3D-Secure для более надежных покупок в интернете. В последнее время большое внимание мы уделяем внедрению механизма токенизации для клиентов, которые пользуются мобильными платежами.
Что такое токен, если кратко? Зачем вообще это нужно потребителю?
Если простыми словами, токенизация – это один из наших ответов на технологический прогресс, еще один уровень защиты платежной карты. C развитием, так называемого «интернета вещей» потребители получили возможность платить не только картой, а и телефоном, часами или каким-либо другим гаджетом или даже предметом. Вместо того, чтобы пересылать уязвимые платежные данные при оплате, допустим телефоном, используется токен, который представляет из себя альтернативный номер вашей карты, но не является этим номером. При этом для каждого отдельного устройства, телефона, компьютера, часов или планшета, используется свой токен.
То есть платежная карта привязывается к мобильному устройству, но благодаря токен-сервису для каждого из этих устройств генерируется свой особый набор из 16 цифр, аналог номера карты, но отличный от него. Когда на одном из каналов происходит утечка данных (то есть попытка взлома), банку и платежной системе очень легко понять, где именно это произошло. Сгенерировать новый токен для атакуемого устройства не составляет труда. А для мошенника украденные данные не имеют никакого смысла.
Не слишком ли все это сложно для потребителя?
Токенизация – практически невидимая для конечного потребителя часть процесса оплаты. Но это основа будущих платежных инноваций, она открывает новые возможности для безопасных платежей – с мобильного, персонального компьютера, планшета, и любого другого устройства.
Токен-технология на самом деле очень проста в использовании, от потребителя требуется только скачать приложение, ввести туда свои данные и идентифицировать себя как клиента банка. Все остальное программа сделает самостоятельно. Смартфонами пользуется множество людей. Механизм оплаты такой же, как и бесконтактной картой – достаточно поднести телефон к терминалу. Все это – объективная реакция платежных систем на технологизацию общества. Мы даем людям возможность не ограничивать свои платежные возможности одним только пластиком. Вопрос в терминалах, которые могут принимать бесконтактные платежи.
Есть ли статистика по таким терминалам на украинском рынке? Какие у Visa планы по распространению вашей технологии PayWave по бесконтактным платежам?
Терминалов, которые могут принимать бесконтактные платежи сейчас около 90 000. Это более 50% всех торговых терминалов в Украине. Их количество растет по объективным причинам, поэтому в контексте токенизации нам не нужно готовить новую эквайринговую сеть, банки сами понимают, что это необходимо.
Ваш главный конкурент в Украине — MasterCard запустил проект по платежам картой в киевском метро. Почему в мире решения безналичной оплаты на транспорте не нашли должного распространения? Visa реализовывала что-то подобное в других городах?
Здесь нужно понимать, что у каждой страны своя уникальная система метро. То что, применимо в Киеве, не подходит, например, для Сан-Франциско. Для каждого города нужно внедрять особое техническое решение. Есть страны, где в метро установлены универсальные терминалы, там можно заплатить любой картой, в том числе и Visa. В Украине мы тоже работаем над этим. В каждом конкретном случае мы пытаемся подстроиться под уже существующее решение.
Вы много говорили о новых технологиях – действительно это сильно облегчает жизнь потребителям, но с другой стороны, это играет и на руку мошенникам, которые не стоят на месте, тоже становясь более «технологизированными». Что платежные системы могут противопоставить мошенничеству нового поколения?
Во-первых, мы уделяем особое внимание верификации транзакций. Для этого у нас есть сервис Verified by Visa для безопасности платежей в интернете. Это решение довольно хорошо принято мерчентами в Украине. На данный момент 40% банков-эмитентов поддерживают Verified by Visa и мы будем продолжать работать над продвижением такой возможности, потому что это действительно безопасно.
Что касается кибер-угроз, Visa управляет одной из крупнейших сетей электронных платежей в мире. Благодаря централизованной архитектуре системы VisaNet, мы можем видеть каждую транзакцию, которая обрабатывается в нашей сети. Используя такие сервисы Visa как Advanced Authorization, мы можем осуществлять скоринг рисков в режиме реального времени и практически предотвращать мошенничество еще до того, как оно случится.
У нас есть своя команда IT-специалистов, плюс мы активно сотрудничаем со спецслужбами – Секретной службой США, Интерполом, Европолом и другими для выявления мошенников международного уровня. Еще мы постоянно контактируем с производителями банкоматов и программного обеспечения и сообщаем им о новом вредоносном ПО – нам нужно точно знать, что их системы защиты максимально соответствуют современным требованиям.
Что вы подразумеваете под понятием «современные требования»?
Все это изложено в общем стандарте PCI DSS (Payment Card Industry Data Security Standard – ред.). Он учрежден совместно крупнейшими платежными системами мира и обязателен для выполнения всеми компаниями, которые с нами сотрудничают. Данный стандарт включает детальные требования к POS-терминалам, банкоматам, софту. Для нас принципиально важно, чтобы все участники платежного процесса, все компании, принимающие участие в обработке платежей, соответствовали требованиями стандарта PCI DSS для защиты финансовой информации потребителей.
Зимой, когда зашла речь о внедрении принципа нулевой ответственности, Visa предоставила украинским банкам некую систему фрод-мониторинга на основе нейросетей. Расскажите об этом более детально: как работает система и почему это эффективно? Почему украинским банкам это нужно?
Внедрять мы ее начали не зимой этого года, а раньше, причем лидеры рынка работали с системой еще до того, как мы объявили о принципе нулевой ответственности.
Как это работает: речь действительно о нейронных технологиях, когда система изучает модель поведения каждого конкретного клиента. Где он обычно покупает продукты, где снимает наличные, где тратит деньги на развлечения. Таким образом, у каждого из нас есть определенный поведенческий профиль, на основании которого каждой транзакции присваивается определенный коэффициент рисковости. Это не мониторинг в классическом виде, когда оператор банка смотрит на транзакцию и решает подозрительная она или нет, соответственно принимает или отклоняет ее. Здесь все делает программа. При этом ее вывод не ограничивается данными по одному клиенту. Система использует различную информацию, которая содержится в VisaNet – это глобальный процессинговый центр, куда стекаются данные по всем подтвержденным транзакциям со всего мира.
То есть если клиент из Украины поехал, к примеру, в Таиланд и мы видим оплату с его карты в точке, где уже ранее был зафиксирован случай мошенничества, система автоматически повышает коэффициент рисковости. Эту градацию банк получает вместе с авторизационным запросом на проведение операции по карте. А там уже все на его усмотрение – он может автоматически отклонять все операции с коэфициентами определенного уровня рисковости или принимать решение в частном порядке – созвониться предварительно с держателем карты и проч.
Каким, исходя из всего этого, вы видите будущее платежей – в глобальном смысле? Что должно измениться, чтобы рынок максимально смог приблизиться к некому идеалу с точки зрения потребителя? Как выглядит этот идеал?
Развитие рынка в ближайшем будущем будет упираться в тот же вопрос, что и сейчас – максимальное доверие потребителей. И мы, как платежная система, и банки работаем для потребителей. Они должны быть уверены, что использование наших инструментов и сервисов абсолютно безопасно для них. И мы со своей стороны тоже должны быть уверены, что их деньги, и информация о них находятся в полной безопасности. А потребитель при этом распоряжается ими так, как лично ему удобно. В этом смысле еще есть над чем работать. Это уже вопрос новых технологий.