Эквайринг. Описание процесса работы. Глоссарий по теме

Содержание

Содержание

Дисклеймер: составители туториала не несут ответственности за возможные терминологические неточности, поэтому просим вас критически относиться к предлагаемым переводческим решениям. Если наше бюро, адаптируя эти материалы под переводчиков, нарушило ваши права, пожалуйста, напишите нам на bartov-e@yandex.ru. 

1. Предисловие

 

Некоторое время назад наша команда столкнулась с необходимостью изучить эквайринг [acquiring], процессинг платежных карт [payment processing] и принципы работы международных платежных систем [МПС— international payment schemes  или card associations]. Определенное понимание работы на местах у нас уже было, т.к. мы давно и плотно занимаемся  переводом как самого стандарта PCI DSS, так и различной сопроводительной документации. Наши безуспешные попытки найти что-то доступно и компактно написанное по принципам работы самих платежных систем побудили нас перевести и переработать публикацию профессора Рамона Дегеннаро (Ramon P. Degennaro) Merchant Acquirers and Payment Card Processors: A Look inside the Black Box, написанную в 2006 году (когда в ходу были карты с магнитной лентой, а не с чипом). Техническую корректность материала проверяли специалисты процессинговой компании United Card Service (UCS). 

Поскольку многие термины имеют не всегда очевидные англоязычные соответствия, часть  русских терминов мы сопроводили англоязычными вариантами.

 

2. Введение

 

Подобно многим потребителям вы, вероятно, принимаете транзакции по кредитным и дебетовым картам [credit and debit card transaction]  как само собой разумеющееся. Вы, также как и масса других людей, подобных вам, являетесь держателем огромного количества платежных карт, по которым ежегодно проводятся миллиарды транзакций.  Вы вряд ли задумываетесь о том, как работает ваша карта, пока при выполнении транзакции не случится сбой. На самом деле, с момента вашего предъявления платежной карты [to produce a card] для оплаты покупок и до момента, когда торгово-сервисное предприятие  [ТСП, merchant]  получит деньги, а с вашего счета будут списаны деньги, выполняется множество операций.

Что же происходит за те несколько секунд, между моментом считывания или прокатывания платежной карты [card read / swipe] и выдачей результата на терминале?  Каким образом считывание карты превращается в строчку в выписке по счету от банка, выпустившего карту [to issue a card]? Если вы что-то покупаете в интернет-магазине или по телефону, почему у вас иногда спрашивают трех- или четырехзначное число, напечатанное на обороте карты, а также дату окончания срока действия карты [expiration date] или секретную информацию [arcane information] типа девичей фамилии вашей матери?

С точки зрения ТСП тоже интересно, как одна и та же процедура считывания или прокатывания карты превращается в оплату за предоставленные товары и услуги?  Почему ТСП платит комиссию, когда принимает карту, выше в одних случаях и ниже – в других случаях?  И почему представитель эквайрера так настойчиво интересуется персональными данными руководителя ТСП прежде чем разрешить ТСП принимать карты к оплате [to accept card]?

На все эти вопросы вы найдете ответы в данной статье.

 

 

3. Типы платёжных карт

 

На сегодняшний день потребители могут делать выбор из огромного количества платежных карт, а мир карт может быть разделен по-разному. 

 

3.1 Банковские карты общего назначения, выпущенные финансовыми учреждениями

 

 Платёжные карты, выпускаемые финансовыми учреждениями [financial institu­tion] называются банковскими [bankcard]. Поскольку они принимаются к оплате огромным количеством разнообразных Торгово-сервисных предприятий (ТСП) [merchant], также можно назвать их универсальными картами [universal cards].

Такие карты общего назначения [general-purpose cards] по своему типу могут относиться к кредитным или расчетным картам. 

Самыми яркими примерами являются карты Visa и MasterCard.

Согласно проведенным исследованиям, в 2003 г. американские потребители воспользовались кредитными картами [credit card] для проведения 19 миллиардов, а дебетовыми картами [debit card] —15,6 миллиардов транзакций.  Эти цифры отражают объем транзакций около 1,7 триллионов долларов США по кредитным картам и 600 миллиардов долларов США – по дебетовым.  В денежном исчислении ежегодный прирост объемов транзакций по кредитным картам был 9,9%, по дебетовым — 21,9 %. Согласно агентству Nilson Report (2005a) в 2004 году у потребителей США было 795,5 миллионов карт Visa и MasterCard (т.е. примерно 3 карты на каждого жителя страны, включая мужчин, женщин и детей).

 

 

3.1.1 Банковские дебетовые карты

 

Платежные карты можно  классифицировать по сроку, который дается потребителям на погашение задолженности.

На дебетовых картах списание денег [withdrawal] выполняется прямо со сберегательного [savings account] или чекового (в США, checking account) счета держателя карты, а сам срок оплаты наступает намного быстрее, чем, например, для кредитной или расчетной карты [charge card]. 

Дебетовые карты можно использовать как в режиме реального времени [online mode], так и в автономном режиме [offline mode]

При использовании в режиме реального времени карта считывается через терминал, оборудованный модулем обработки ПИН-кода [personal identification number, PIN]. В таких случаях, держатель карты вместо того, чтобы подписывать чек [transaction slip], вводит ПИН-код, после чего деньги немедленно списываются [to deduct funds] со счета держателя карты.

В автономном режиме карта считывается через обычный терминал, а ПИН-код не вводится.  Вместо него держатель карты подписывает документы ТСП.  В таких случаях, списание со счета [to debit account] держателя карты осуществляется в течение 2-3 дней.

Держатель дебетовой карты может оплачивать свои покупки на любую сумму в пределах имеющегося на его счете положительного баланса, некоторые карты имеют овердрафтную защиту [overdraft protection] (т.е. при покупке держатель может уйти в минус по своим собственным средствам и воспользоваться средствами банка в пределах установленного банком лимита).

 

3.1.2 Банковские кредитные карты

 

В отличие от них держателю кредитных и  расчетных карт дается больше времени на внесение денег [to deliver funds] для оплаты покупки, а сама карта может иметь предопределенный лимит расходов [predetermined spending limit].  По кредитным картам допускается, чтобы держатель карты вносил только минимальный платеж [minimum payment] и процент на сумму ежемесячно переходящего остатка средств [to pay interest on the balance carried from month to month].

 

3.1.3 Банковские расчётные карты

 

По расчетным картам требуется, чтобы держатель полностью закрывал задолженность [pay the balance in full] в конце каждого месяца (если иное не оговорено отдельно).

 

3.2 Небанковские карты, выпущенные нефинансовыми организациями

 

Нефинансовые организации [nonfinancial institution] выпускают небанковские карты [non-bankcard]

В этой отрасли прибыль формируется из комиссионных выплат по картам [merchant fee], за счет повышения цены или за счет увеличения продаж, и сумма таких комиссионных выплат довольно существенная.  Например, в одном из отчетов сообщается, что комиссионные выплаты по дебетовым и кредитным картам у заправочных станций и магазинов шаговой доступности находятся на 4-м месте по величине после расходов на зарплату, аренду и коммунальные услуги.

 

 

3.2.1 Небанковские кредитные карты

 

Небанковские кредитные карты [nonbank credit card], такие как Discover Card, дают возможность держателю карты переносить дату погашения задолженности [to roll over a balance] на другой месяц.

 

3.2.2 Небанковские расчётные карты

 

Карты для командировочных и представительских расходов [travel and entertainment card], такие как American Express Rewards Green Card и Diners Club Charge Card являются расчетными картами, т.е. без возможности переноса даты погашения.

 

3.2.3 Небанковские дисконтные карты

 

Некоторые розничные сети выпускают свои фирменные карты (карты торговой сети), которые принимаются только в своих магазинах.  Примером такой сети является IKEA. В качестве примеров таких магазинов в России можно привести карты IKEA FAMILY, которые принимают только в магазинах IKEA

 

 

4. Индустрия МПС и её участники

 

Индустрия платежных карт [payment card industry] включает в себя множество различных организаций [entity] для выполнения множества различных задач, и поскольку многие из этих организаций объединились в разного рода объединения и группы, границы, их разделяющие, зачастую выглядят размыто. 

Основные международные платёжные системы

 

4.1 Эмитент

Для маршрутизации транзакций [to route transactions] по соответствующим организациям были сформированы специальные учреждения[institution], среди которых к банковским системам, таким как VISA и MasterCard, могут присоединяться только банки.  

Эмитент [card issuer] выдает карту потребителю и, в случаях с кредитными картами, устанавливает для него кредитный лимит.  Тип отношений: B2C [business-to-consumer, бизнес для потребителя].

 

Каждый эмитент работает, как минимум, с одним процессинговым центром (ПЦ) [payment card processor], а каждое Торгово-сервисное  предприятие (ТСП), принимающее карты, в свою очередь, обслуживается эквайрером.

 

4.2 Эквайрер и процессинговый центр

 

Остальные учреждения создавались для регулирования отношений между ТСП и МПС [card network]. Важнейшими учреждениями [institution], обслуживающими транзакцию, являются эквайрер [merchant acquirer] и ПЦ.  Наиболее крупные представители этих типов организаций сочетают в себе обе функции.

Эквайреры и ПЦ обеспечивают обмен информацией и проведение транзакций между ТСП и эмитентами. Эквайрер заключает договор с ТСП на прием платежей по платежным картам для МПС. Эти отношения называются B2B [business-to-business или бизнес для бизнеса].

Помимо услуг процессинга, эквайреры оказывают ТСП и другие услуги, включая установку POS-терминала [to install card terminal equipment], учет транзакций [to record  transactions], формирование и предоставление отчетов [to provide reports] и решение проблем, связанных с обработкой платежей по картам [to handle problems with card processing]. Некоторые эквайреры также предоставляют сопутствующие услуги как, например, анализ покупательских предпочтений [purchasing patterns] клиентов ТСП.

 

В области эквайринга и процессинга задействовано множество сотрудников.  Г-н Джефф Джонсон (Jeff Johnson), вице-президент по кадровым вопросам в компании CSH Consulting, оценивает количество занятых в этой области людей в 50 тыс. человек. Несмотря на размер этой отрасли, лишь немногие понимают функции, которые выполняют эквайреры и ПЦ.

По этой теме нет практически никаких научных исследований, но, без эквайеров платежной системы в том виде, в котором мы ее сейчас знаем, просто бы не существовало. 

4.2.1 Эквайеры, предоставляющие услуги собственного процессинга

 

Большинство крупных эквайреров предоставляют ТСП услуги собственного процессинга [processing services]. ПЦ обрабатывают запросы на авторизацию по транзакциям [to handle transaction authorization] и осуществляют маршрутизацию транзакций (как правило, электронных) от торговой точки или POS-терминала до МПС (фронт-энд процессинг или front-end processing). Затем, они обрабатывают информацию и платежные потоки, необходимые для преобразования электронной записи, сформированной на POS-терминале, в деньги для ТСП (бэк-энд процессинг или back-end processing).

Участники четырехсторонней МПС [four—party network]

На рисунке выше дана иллюстрация взаимодействия организаций, участвующих в осуществлении транзакции в рамках любой из двух крупнейших МПС – Visa и MasterCard. Такая система называется четырехсторонней: объединения эквайреров и эмитентов, являясь зонтичными организациями [umbrella organization], считаются разными сторонами,  а ПЦ от эквайреров не отделяются, т.к. услуги ПЦ для ТСП зачастую оказываются вместе с услугами эквайрера. В такую систему входят эмитенты, эквайреры с ПЦ, ТСП и держатели карт. Эмитенты карт выдают карты потребителям, осуществляют ведение счетов (биллинг) и собирают с них деньги.  Эквайрер привлекает ТСП, чтобы те принимали карты к оплате, и предоставляет ему услугу фронт-энд маршрутизации транзакции [front-end service of routing the transaction] для ее доставки до ПЦ МПС. ПЦ отвечает за доставку транзакции [delivering the transaction] соответствующему эмитенту, чтобы тот выставил счет [to bill] держателю карты, а ТСП получило деньги [to receive funds] за покупку.

4.2.2 Эквайеры, сотрудничающие с ПЦ

Какие-то эквайреры осуществляют процессинг самостоятельно [to perform processing], а какие-то пользуются услугами сторонних ПЦ [thirdpartyprocessor], то есть являются всего лишь продавцами этих услуг.  В результате большинство эквайреров и ПЦ входят в группы, объединения или партнерства с банком-спонсором или банком-поручителем [sponsoring bank].

В зависимости от потребностей ТСП, эквайрер может продавать услуги фронт-энд процессинга от какой-нибудь одной (или нескольких) компаний, а услуги бэк-энд процессинга [backend processing] от другой. Такие договоренности еще больше усложняют сеть взаимоотношений и, следовательно, процесс проведения транзакций. 

 

 

5. Схемы платёжных транзакций

 

 

5.1 Транзакции по небанковским платёжным картам

 

В этом разделе мы дадим сценарий транзакции с использованием платежной карты торговой сети [private-label card]. Это простейший тип транзакции по карте [card transaction], так как карта принимается только тем же ТСП, который ее выдал. В транзакции участвует только одно ТСП и только один ПЦ.  

 Транзакция начинается в тот момент, когда потребитель предъявляет карту [to present a card] на торговой точке [point of sale]. Продавец вводит сумму покупки и, в зависимости от имеющегося в распоряжении оборудования, либо вводит номер карты и просит покупателя подписаться, либо считывает карту.

В зависимости от конкретного ТСП, оставшаяся часть транзакции обрабатывается ТСП либо самостоятельно, либо через стороннюю организацию, например, через «Кредит Европа Банк». В этом простом примере ПЦ формирует выписку [to bill] для держателя карты и переводит деньги [to remit funds] на счет ТСП.

 

 

5.2 Транзакции по банковским платёжным картам

Основные аспекты работы с платежными картами в разных регионах будут совпадать, но какие-то нюансы, конечно же, будут появляться в том или ином регионе, особенно, если речь идет о платежных картах других платежных систем. 

В ней мы разъясним, как представители платежных систем  заключают договоры с ТСП на прием карт [to sign up to accept payments] и как чеки [sales slip], подписанные клиентом, превращаются в деньги для ТСП. 

На рисунке 1 мы даем схематичное изображение транзакции с использованием дебетовой [debit transaction] и кредитной [credit transaction] карт, где держателю карты [cardholder] известен только банк-эмитент и ТСП [торгово-сервисное предприятие, merchant]

Отношения держателя карты с банком-эмитентом и ТСП защищены Правилами Z и E, изданными Федеральной резервной системой США.  Банк-эмитент и ТСП являются пограничными организациями, которые взаимодействуют с держателем карты в рамках этих нормативных требований [regulation] и с «черным ящиком» через МПС и эквайреров. 

Держатель карты особо не задумывается о том, что транзакции с использованием платежных карт в действительности проходят через весь «черный ящик» — хорошо организованную группу посредников, которая заключает договоры [sign up] с ТСП на прием платежных карт, обрабатывает платежные транзакции [to handle card transactions], управляет процедурой разрешения споров [to manage the disputeresolution process], и, вместе с надзорными органами, устанавливает правила, которые регламентируют порядок проведения транзакций [to govern card transactions].

Границы «черного ящика»

 

6. Процессинг транзакций

Процесс транзакции делится на две основные фазы.  Первая фаза – авторизация [authorization], вторая – клиринг и взаиморасчеты [clearing and settlement].

 

6.1 Авторизация

 

Авторизация – это процесс получения разрешения от банка-эмитента на прием карты к оплате.

 Авторизация начинается с момента передачи карты ее держателем в ТСП для оплаты покупки. Обычно авторизация выполняется на терминале торговой точки, хотя в последнее время все больше и больше транзакций выполняется без предъявления карты [card not present] (например, в интернет-магазинах).  ТСП получают авторизацию в электронной форме, после считывания карты клиента через терминал торговой точки (POS-терминал) или после ввода данных платежной карты вручную. 

Стоит отметить, что некоторые транзакции выполняются по-прежнему при помощи голосовой авторизации, т.е. когда продавец звонит в авторизационный центр, чтобы получить разрешение на прием карты к оплате. Терминал передает в ПЦ MID [Merchant IDthe merchants identification number – уникальный номер ТСП, присваеваемый ему эквайрером и однозначно определяющий ТСП в платежной системе], данные платежной карты [the card information] и сумму транзакции [the transaction amount]. Система ПЦ [processors system] считывает  эту информацию и отправляет запрос  на авторизацию [authorization request]  в соответствующий банк-эмитент через МПС.

Банк-эмитент проводит серию проверок на предмет мошенничества [check for fraud], а также проверяет достаточно ли у держателя карты средств или кредитного лимита для оплаты покупки. По окончании проверок банк-эмитент отправляет ответ [response] с подтверждением [to grant authorization]  или отказом в авторизации [to deny authorization].   Эквайрер получает ответ и передает его [to relay response] в ТСП.  Как правило, весь процесс занимает считанные секунды.

 

6.2 Клиринг и взаиморасчёты

После авторизации начинается вторая важная часть процесса транзакции – клиринг и взаиморасчеты.  Клиринг и взаиморасчеты – это процесс передачи транзакции [to send transaction] через МПС Visa или MasterCard таким образом, при котором ТСП получит оплату за проданные товары и услуги.

Когда потребитель покупает что-то с использованием платежной карты, то между потребителем и ТСП возникают договорные обязательства.  ТСП соглашается доставить товар или оказать услугу, а потребитель соглашается ее оплатить. Взаиморасчеты — это процесс, при котором в рамках погашения взаимных обязательств передаются соответствующие активы [assets]

Клиринг состоит из нескольких операций по транзакции, начинаясь с момента совершения покупки и заканчиваясь в момент окончания взаиморасчетов. Как правило, клиринг включает в себя передачу данных, а не активов.  В качестве примеров можно привести взаимозачет множества продаж [netting of trade]  для сокращения количества доставляемых сообщений [delivery], соблюдения требований к составлению отчетов [a reporting requirement] или обработки неудачно завершенных продаж [a failed trade (например, в связи со сбоями при записи данных [an error in recording]).  Самый обычный пример клиринга – это процесс передачи данных о транзакции [to transfer transaction information] от ТСП в свой банк.  Таким образом, клиринг включает в себя операции, обеспечивающие взаиморасчет.

В действительности, фаза клиринга и взаиморасчетов  в индустрии платежных карт выглядит намного сложнее, т.к. в ней задействованы несколько организаций.  Если помните, МПС включат в себя 4 стороны. Более того, в рамках транзакции каждая из этих сторон может быть представлена кем-то из сотен, а то и тысяч различных эквайреров или эмитентов и одним из миллионов держателей карт и ТСП.  При этом, в зависимости от эквайрера и типа МПС процессы могут несколько отличаться.  

 

6.2.1 Первая фаза клиринга. Передача данных в Автоматизированную расчетную палату

 

В первой фазе ТСП пересылает данные о транзакции своему эквайреру.  Эквайрер пересылает эту информацию в систему учета ТСП [MASmerchant accounting system], которая обслуживает данный счет ТСП.  Иногда, система MAS является частью организации эквайрера, а иногда это разные организации.  В системе MAS транзакции рассортировываются по принадлежности к МПС – Visa, MasterCard и т.д. Затем в системе MAS от суммы транзакции отнимают сумму комиссии эквайрера за обслуживание ТСП [merchant discount fee] (для покрытия расходов эквайрера на выполнение операции), после чего формируется  поручение [to generate an instruction] на перечисление остатка [to remit the difference] в банк ТСП для зачисления на его счет [for deposit into the merchants account]. Эти  поручения система MAS передает в  соответствующую Автоматизированную расчетную палату [automated clearinghouseACH], которая является компьютерной системой, обрабатывающей электронные транзакции между участниками – депозитными учреждениями [depository institution].

 

6.2.2 Вторая фаза клиринга. Передача данных в систему Interchange

 

Для получения этих денег система MAS передает информацию о транзакциях ТСП в систему Interchange, которая является частью МПС Visa или MasterCard.  Система Interchange – это система клиринга и взаиморасчетов, которая осуществляет обмен данными между ПЦ и банком-эмитентом. Эта система рассчитывает межбанковскую комиссию [interchange fee], а также сборы МПС Visa и MasterCard (которые идут на покрытие стоимости услуг банка-эмитента и на обслуживание МПС), а затем отправляет информацию в банк-эмитент. Банк-эмитент, в свою очередь, перечисляет в систему Interchange сумму транзакции за минусом межбанковской комиссии, а та уже передается в систему MAS.  И, наконец, банк-эмитент выставляет счет держателю карты и списывает соответствующую сумму.

 

7. Правила процесса транзакции и ответственность за убытки

7.1 Установленные правила процесса транзакции

 

В процессе покупки с использованием карт [card purchase] и получении счетов [billing]  может пойти (а зачастую и идет) что-то не так. Иногда причиной таких сбоев становится низкое качество товара или услуги,  а иногда ТСП просто не может доставить товар.  У держателей карт и ТСП может возникнуть спор о возмещении платежа [to dispute a refund], при этом мошенничество как со стороны ТСП, так и со стороны держателей карт – вполне обычное дело. 

В большинстве случаев, у держателя карты риски финансового ущерба все же ниже. Такая ситуация стала возможной, так как согласно Правилам Z и правилам МПС [card association rules] установлен лимит до 50 долларов США, при котором держатель карты по умолчанию считается невиновным практически в любых случаях, включающих мошенничество с кредитными картами, при этом Правила E и правила МПС обеспечивают примерно такую же защиту держателям дебетовых карт, а именно в разделе 226.13 Правил Z устанавливается порядок обработки ошибок биллинга [billing error] при обработке транзакций по кредитным картам; в разделе 205.11 Правил E содержатся процедуры разрешения ошибок биллинга [error-resolution procedures] по дебетовым картам, а в разделе 205.6 Правил Е определяются обязанности [obligation] и обязательства [liabilities] потребителя по неавторизованным денежным переводам [unauthorized transfer]).

 

Правила Z и E таким образом смещают зону ответственности за мошенничество от (невиновного [innocent]) держателя карты в сторону других участников транзакции. Участники «черного ящика» и банки-эмитенты принимают на себя эту ответственность [liability] и распределяют  между собой через договорные отношения.

На практике Правила Z и E обеспечивают распределение между участниками  «черного ящика», большинства потерь от транзакций с использованием платежных карт. За исключением момента инициирования транзакции  [to initiate a transaction] у ТСП через POS-терминал, единственный раз, когда держатель карты взаимодействует с «черным ящиком» — момент спора [dispute].  Но даже тогда, когда попытка разрешить спор между держателем карты и ТСП не удается, за защитой [relief] держатель карты обычно обращается в банк-эмитент. Со своей стороны банк-эмитент обычно взаимодействует с черным ящиком только через МПС [card association].

7.2 Претензионные платежи

 

В данном разделе мы опишем, какое воздействие оказывает на эквайрера возврат претензионного платежа [chargeback] и мошеннические транзакции [fraud], а также определим разницу в распределении рисков по транзакциям с точки зрения эквайрера.

Претензионные платежи [a chargeback]Если ТСП не может выполнить обязательства по кредитовой транзакции, оспариваемой клиентом, то эквайрер в таких случаях несет убытки, а возвращаемый платеж называется претензионным. Возврат претензионных платежей обычно выполняется, если клиента не устраивает [to be dissatisfied with] товар или услуга. Начиная с момента проведения транзакции, доставки товара или оказания услуги (берется более поздняя дата) у держателя карты есть время до 3 месяцев, чтобы потребовать возврат платежа [to claim a charge-back] — 60 дней плюс еще месяц в зависимости от даты отсчета биллингового цикла [billing cycle].

Некоторые  особенности условий претензионного цикла довольно сложны, так как они регулируются законом (например, Законом о достоверности информации в кредитовании), нормативными требованиями (Правилами Z по кредитным картам и Правилами E – по дебетовым) и правилами МПС.  См. исследование авторов Mark Furletti, Stephen Smith, 2005 г. (http://tinyurl.com/p4fbae9)  Условия [terms], указанные в тексте, являются обычными для индустрии платежных карт.

Как правило, МПС изначально на стороне клиента, и сумма претензионного платежа снимается со счета ТСП до вынесения решения по претензии [result of a review].  Если спор разрешается в пользу [to resolve in favor of] ТСП, то ТСП получает деньги обратно.  Эквайрер тоже рискует, если ТСП исчезнет в период между моментом продажи и моментом, когда с его счета будет списана сумма для претензионного платежа.  В таких случаях, по правилам МПС, обязательства за ТСП несет эквайрер, а значит он отвечает за возврат денег [to make restitution] клиенту.

Соответственно, ТСП, а в конечном счете – эквайрер, в течение нескольких месяцев рискуют понести убытки, так как транзакция может быть отменена [to be reversed].  В контексте платежей – транзакция не завершена. Такая особенность повышает привлекательность кредитных карт для держателей карт, однако, она же и смещает зону рисков по претензионным платежам в сторону эквайрера.  По сути, именно эквайрер страхует банк-эмитент от неблагоприятных последствий.  Потенциальный риск эквайрера принять на себя обязательства  по выплате схож со страховым полисом или с риском, когда банк дает банковскую гарантию по обязательствам должника.   Эквайреры включают цену этой скрытой страховки в цену, которую ТСП платит за их услуги.

Некоторые исследователи считают, что правило окончательности платежа [paymentfinality rules] по своей сути являются правилами распределения убытков [lossallocation rules]. Эти правила определяют, какой участник транзакции берет на себя убытки [to absorb the loss], если транзакция не будет завершена [to complete a transaction].  Например, транзакция за наличные деньги [cash transactions] завершена тогда, когда товары или услуги обмениваются на деньги.  При отсутствии мошенничества или каких-либо специальных договоренностей (например, гарантии), ни покупатель, ни продавец не могут отменить сделку после обмена.  В то же время, согласно условиям претензионных платежей [chargeback provisions] Visa и MasterCard, транзакции по кредитным картам по факту считаются незавершенными на период вплоть до 3 месяцев с момента доставки товара или оказания услуги.  Вот эта незавершенность [lack of finality] и является основным фактором риска эквайрера, так как пока транзакция не завершена, эквайрер несет риск того, что ТСП не сможет покрыть претензионный платеж [to cover a chargeback].

В отрасли предпринимаются попытки подсчитать такие риски, рассматривая продажу как отложенную доставку [delayed delivery].  В качестве хорошего примера такой модели можно привести подписку на журналы. Подписчики платят за поставку заранее, а срок подписки может растягиваться на несколько лет.

Если журнал прекращает публиковаться до окончания срока действия договора, то подписчик, согласно правилам Visa и MasterCard, имеет право потребовать возврата денег [to have recourse] за неполученные издания. Время, разделяющее момент продажи и момент доставки товара или оказания услуг, увеличивает вероятность того, что ТСП не сможет исполнить свои обязательства и выплатить претензионный платеж.  Далее мы приведем один из наиболее критических примеров такой ситуации.

 

7.3 Отложенное исполнение платежей

 

Пример критической ситуации с отложенным исполнением

Особенности продажи билетов на самолеты и текущие финансовые проблемы в отрасли в совокупности приводят к очень критическим формам рисков в ситуациях с отложенным исполнением заказов.  Представьте себе держателя карты, который планирует авиаперелет.  Иногда держатель карты покупает билет за несколько недель, а то и месяцев до даты вылета, а путешественники обычно рассчитываются за билеты кредитными картами.  Представьте себе, что авиакомпания ликвидируется в период между покупкой билетов и датой вылета.  В таких случаях, согласно правилам МПС, возврат денег должен осуществлять эквайрер.  Насколько велики могут быть потенциальные потери?

Один эквайрер —  National  City Corporation – сообщил, что на 30–е июня 2004 г. общая сумма  транзакций по кредитным картам по продаже билетов, срок вылета по которым в компании United Airlines еще не наступил [outstanding ticket], составила 853 миллиона долларов США. На тот момент авиакомпания United Airlines была в крайне бедственном состоянии, и в целях недопущения банкротства она находилась под защитой специального закона (Chapter 11 protection).  Если бы авиакомпания не смогла выполнить свои обязательства по этим билетам [to honor tickets], то клиенты, купившие билеты с использованием кредитных карт, были бы вправе получить возврат денег [to be entitled to refunds] в соответствии с правилами Visa и MasterCard.

У эквайрера на 30 июня 2004 г. не было достаточного страхового обеспечения, чтобы покрыть эти потенциальные обязательства [to hold no collateral against liabilities].  Сумма в 853 млн. долларов США  за неиспользованные билеты, конечно, представляет собой  риск потенциальных обязательств только по одной компании United Airlines.  В 2004 г. этот эквайрер сообщил, что за 6 месяцев, до конца июня 2004 г., он запроцессировал сумму  в 5 раз большую – около 5 миллиардов долларов США за будущие полеты,  а стоимость неиспользованных полетов к декабрю того же года снизилась до 547 миллионов долларов США.

Разумеется, вряд ли этот эквайрер стал бы нести в полном объеме обязательства по такой огромной сумме. Но давайте рассмотрим этот случай повнимательнее. Для того, чтобы компания National City Corporation стала нести обязательства в полном объеме по этой сумме, должно произойти три вещи.

Во-первых, авиакомпания United Airlines должна была отменить все авиарейсы.

Во-вторых, все пассажиры должны подать требования на возврат оплаты в установленные временные рамки [allotted time limits]. Несмотря на то, что потребовать возврат денег – это их право, многие пассажиры скорее предпочтут полететь на других авиалиниях, которые, как правило, принимают билеты от «брошенных» пассажиров на основе взаимозаменяемости [on a standby basis] при наличии мест [on a spaceavailable basis].

Уточнение: в ноябре 2005 г., Конгресс расширил действие этого положения до ноября 2006 г.  Авиалинии должны принимать эти билеты, но могут устанавливать сборы [to charge a fee] и могут принимать пассажиров на борт только при наличии свободных мест [on a space-available basis].

Эти обстоятельства снижают количество пассажиров, потребовавших возврат оплаты.

И последнее условие – в случае ликвидации авиакомпании эквайрер не должен бы был вернуть себе абсолютно ничего из ее активов.  Такое развитие ситуации представляется маловероятным, так как, даже если речь шла бы об обычном кредите, то компания-эквайрер могла бы возместить хотя бы часть своих потерь от авиакомпании-банкрота. Если бы этот эквайрер, National City Corporation, предвидел бы проблемы, то он также мог бы потребовать   страховое обеспечение [a security deposit], кредитную линию [a line of credit] в банке или начал бы задерживать платежи в адрес ТСП [delay payment].

Но этот эквайрер посмотрел на эту проблему как ситуацию с отложенным исполнением. В первом и втором кварталах 2003 и 2004 гг. компания обработала претензионных платежей примерно на 35 млн. долл. США в квартал, что общей сложности за 4 квартала составило около 150 млн. долл. США.  Фактические потери составили около 1 млн. долл. США ежеквартально, т.е. в общей сложности получилось около 4 млн. долл. США.  На 30 июня 2004 г. в компании на рассмотрении находилось претензионных платежей на 5 млн. долл. США. Компания считает, что «вряд ли» ее ущерб будет «существенным» в связи с упомянутыми выше правилами обработки претензионных платежей. Как бы то ни было, ущерб такого масштаба не является тривиальным, и характеристика «вряд ли» совсем не означает, что существенные убытки невозможны.

8. Факторы рисков

Очевидно, что эквайрер должен учитывать финансовое состояние обслуживаемого ТСП.  Эквайреры проводят такую оценку платежеспособности [credit analysis], однако эта оценка, и оценка, которая проводится перед выдачей банковского займа — это две разные вещи. 

Потенциальные обязательства эквайрера скорее схожи с обязательствами по договору страхования [an insurance contract], чем с поручительством по банковскому займу [a bank loan].  Отчасти обязательства по поручительству совпадают, так как, если подопечная организация не может исполнить обязательства, их исполняет эквайрер. Но здесь есть существенные отличия.  Например, при получении займа, банк передает деньги заемщику.  Однако эквайрер денег ТСП не выдает.  Напротив, он гарантирует возмещение [to indemnify] сторонней организации – эмитенту (который в свою очередь гарантирует возмещение держателю карты) в ситуациях, когда ТСП не может выплатить претензионный платеж.

Существует еще одно существенное отличие от банковских займов — у займов срок погашения может растягиваться на несколько лет.  Напротив, у потребителей хоть и есть возможность затребовать возврат платежа через несколько месяцев после покупки, действительный срок потенциального обязательства по каждой транзакции обычно не превышает нескольких дней.  Кроме того, хотя бы раз в год эквайрер проводит оценку большинства своих предприятий (ТСП) [в США — accounts]. По результату составляется прогноз, где указывается вероятность наступления дефолта [probability of default times] и  доля потерь в случае дефолта [loss given default]. Вероятность наступления дефолта отчасти зависит от периода между двумя оценками [time between account reviews], а размер потерь в случае дефолта — также без учета отложенных доставок редко превышает общий объем процессинга за несколько дней в каждом случае.

В совокупности, ежегодные проверки ТСП эквайрером и краткосрочность условных обязательств [short term of the contingent liability] имеют огромное значение с точки зрения рисков.  Ежегодная оценка несет риск подобный тому, с которым эквайрер столкнулся бы при покупке  краткосрочной облигации [short-term bond], в то время как банковский займ (в некоторых случаях) больше похож на долгосрочную облигацию [longterm bond].  По краткосрочным облигациям инвесторам, когда наступает срок выплаты по облигациям, не нужно реинвестировать деньги в ту же компанию, если ее кредитоспособность [credit quality] снизилась.  У инвесторов в долгосрочные облигации [a longterm investor] такого выбора нет.  Они могут лишь продать свои облигации до наступления срока погашения, если увидят, что могут понести потери, оставив у себя облигации, начавшие терять в цене. Аналогично, если кредитоспособность ТСП падает, то эквайреру не нужно пролонгировать договор [to renew a relationship], в то время как у банка, скорее всего, нет возможности потребовать досрочного возврата займа, только если не будут нарушены договоренности [to violate a covenant].

Поскольку эквайрер рискует в ситуации, когда ТСП не может обеспечить покрытие претензионного платежа, то эквайрер должен оценить кредитоспособность [to evaluate the credit quality] ТСП, желающего пользоваться услугами эквайрера, и затем отслеживать кредитоспособность [to monitor the credit quality] всех ТСП, которых он обслуживает.  Эквайрер принимает во внимание как отраслевые, так и присущие каждому  ТСП факторы и даже характер отдельных транзакций.  На самом деле эквайрер устанавливает разные размеры комиссии в зависимости от того, соблюдает ли ТСП определенные процедуры [to follow procedures] при осуществлении транзакций или нет.

8.1 Отраслевые факторы рисков

 

Поскольку у покупателей, которые пожалели о своей покупке, есть время до трех месяцев до окончания покупки, то категории предприятий, которые наиболее подвержены так называемому «синдрому раскаяния покупателей», представляют собой повышенный риск для эквайрера. Возьмем, например, спортивно-оздоровительные центры, которые для стимулирования покупателей нередко продают годовое членство по стоимости ниже 12 месячных абонементов.  Проблема заключается в том, что многие клиенты жалеют о своем приобретении уже через несколько недель.  И хотя одного «раскаяния» клиента для возврата платежа недостаточно, это подталкивает покупателя к попытке использовать процедуру возврата платежа в своих интересах [to exploit the chargeback process].  Например, он может заявить, что оборудование в клубе вечно ломается или что в помещениях постоянная антисанитария.  Поскольку выражения «вечно ломается» и «постоянная антисанитария» характеризуют качество услуги, то у держателя карты есть неплохие шансы выиграть спор и вернуть себе этот претензионный платеж [to win the chargeback dispute], тем самым создавая риск для эквайрера [to put the acquirer at risk].

ТСП, которые торгуют дорогими предметами [an item of high value] или предметами, стоимость которых определить затруднительно [an item of uncertain value] (например, предметы коллекционирования), также предрасположены к рискам [to be prone to] требований возврата платежей. Клиенты могут быть по разным причинам разочарованы произведением искусства, редкими монетами или марками. Также мошенничество часто встречается в таких типах предприятий,  потому что товары могут быть подделками или копиями, или их состояние может не соответствовать заявленному. Различные гадатели, предсказатели и маги тоже входят в группу высокого риска требований возврата платежей, так как клиенты могут быть разочарованы. Аналогично, клиенты игровых заведений могут пожалеть о покупке, в зависимости от исхода гонки или спортивного состязания.  По этой причине таким предприятиям обычно отказывают в возможности принимать кредитные карты к оплате за покупки.

В таких случаях клиенты вынуждены снимать деньги [to get a cash advance] со своих карт и оплачивать покупки наличными [use the cash to make the purchase].

Товары, которые легко могут быть перепроданы, подвержены риску мошенничества [to be prone to fraud], поэтому и продавцы таких товаров тоже представляют повышенный риск [to present higher risk].  Список группы риска возглавляют продавцы бытовой электроники [consumer electronics] и ювелирных изделий [jewelry].

Нематериальные товары, в частности, скачиваемое ПО, тоже привлекают мошеннические ТСП и потребителей [a fraudulent customer], ввиду сложности проверки [to be difficult to substantiate] подтверждения о доставке и работоспособности продукта.

Услуги таймшера имеют высокий процент требований возврата платежей, так как клиенты иногда делают взносы за несколько месяцев до того, как девелоперские компании начинают строительство, когда еще сложно как-то спрогнозировать удобство расположения апартаментов.  В таких случаях неудовлетворенность клиентов – вполне обычное дело.

Возможно, одним из лучших примеров влияния факторов отрасли являются рестораны. Многие банки знают, что давать займы ресторанам очень рискованно. Например, компания Cline Group, США, проследила за судьбой свыше 4000 полносервисных ресторанов в Далласе и сообщила, что уже в первый год своей работы закрывается в среднем 23% заведений. И тем не менее, рестораны являются очень надежными клиентами эквайреров. Почему?

Давайте рассмотрим, как выполняется транзакция в ресторане. Обедающий после еды расплачивается кредитной картой и уходит. В подавляющем большинстве случаев, можно предполагать, что клиент остался достаточно довольным, чтобы считать транзакцию завершенной, и взаиморасчеты проходят в обычном режиме. Предположим, что клиент остался недоволен.  Несмотря на то, что согласно правилам Visa и MasterCard у клиента в течение нескольких недель есть право оспорить платеж, крайне сложно представить условия, при которых клиент бы рассчитался, ушел из ресторана, а потом подал бы заявление на возврат денег. С большой долей вероятности клиент озвучил бы свою неудовлетворенность во время еды, и практически всегда руководство ресторана решило бы вопрос на месте. На момент использования кредитной карты клиент уже удовлетворен и считает транзакцию завершенной.  Поэтому взаиморасчеты по счетам обрабатываются в обычном режиме. Только в очень редких случаях клиент будет жаловаться после оплаты кредитной картой. Но даже тогда такая жалоба совсем не означает, что убытки понесет эквайрер. Для того, чтобы эквайрер понес убытки [to incur a loss], держатель карты должен выиграть этот спор (в таких случаях маловероятно), а ТСП должно стать неплатежеспособным в период между моментом продажи и моментом подачи требования о возврате платежа. В противном случае, претензионный платеж будет возвращать именно ТСП, а не эквайрер.

 

8.2 Риски, связанные с особенностями работы ТСП 

 

Подобно тому, как страховые компании и банки оценивают кредитные риски [to evaluate the credit risk] отдельных компаний, также поступают и эквайреры.  Например, они изучают стандартные показатели финансовой устойчивости [standard measures of financial strength] , например, финансовые коэффициенты [financial ratios] компании. 

По неакционерным компаниям [an unincorporated business] аудит финансовой отчетности [a financial statement] не проводится, поэтому эквайреры в качестве сопроводительной документации  [to supplement] к  этой отчетности могут попросить налоговые декларации [a business tax return].  Особенно в случае маленьких компаний эквайреры изучают не только информацию о компании, но и собирают информацию об ее собственниках и менеджерах.

Эквайреры могут использовать систему кредитного скоринга [credit scores] от компании FICO, которая позволяет оценивать как компанию, так и физическое лицо.  Для оценки рисков [to gauge risk] эквайреры также используют информацию из кредитных отчетов [credit report] и учитывают, сколько лет потенциальный клиент ведет свой бизнес. 

Обычные кредиторы и эквайреры также изучают уже имеющуюся информацию от других организаций, например, есть ли у ТСП действующие договоры с другими банками.  С большой долей вероятности международную компанию будут проверять тщательнее, чем местную.  История процессинга [processing history] компании, которая уже работала с каким-либо эквайрером, всегда очень важна, а особенно важна статистика по претензионным платежам и мошенническим транзакциям.

Если состояние компании достаточно слабое, то эквайрер может потребовать от владельца предоставления личной гарантии [to offer a personal guarantee]; подобные гарантии распространены при кредитовании малого бизнеса [small business loans]

Эквайрер может также наложить условия, которые будут схожи с ограничительными условиями [a restrictive covenant] при кредитовании малого бизнеса.  Например, эквайрер может ввести установление лимита на процессинг транзакций [a processing limit], что аналогично пределу кредитования [a lending limit] в банке. Подобно банку эквайрер также может потребовать от ТСП со средним уровнем кредитоспособности [a marginally qualified merchant] предоставить обеспечение, как правило, в виде депозитного сертификата  [a certificate of deposit, в России соответствует «справке из банка об открытии счета»], наличных  или аккредитива [a letter of credit].

Если ТСП не может предоставить обеспечение, то эквайрер может ввести у себя залоговую сумму [to institute a holdback] или отсрочку платежа [a delayed payment]. При таких условиях эквайрер после процессинга будет придерживать у себя оплату [to withhold a payment] в течение оговоренного периода.  Время отсрочки обычно зависит от  отсрочки по исполнению обязательств и, реже, от процентного соотношения претензионных платежей [chargeback ratio].

 

8.3 Риски, связанные с транзакциями

 

В одном исследовании отмечалось, что кредитные карты изначально предполагалось использовать только при физическом присутствии карты [to be physically present] на месте продажи.

Если ТСП соблюдают установленные процедуры [to follow procedures], то практически все риски, за исключением мошенничества и отложенной доставки, сводятся к минимуму [to be declined enormously].

Некоторый остаточный риск по-прежнему актуален при транзакциях с предъявлением карты [a facetoface transaction]. Например, если в ТСП платежную карту прокатывают, а не вносят ее номер вручную [manually keying], то шансы на ошибку практически равны нулю.  Разумеется, карту могут украсть, но прокатывание само по себе уже одна дополнительная защитная мера для обеспечения легитимности транзакции: злоумышленник украл саму карту, а не просто ее номер. Это условие оказывает большую помощь в исключении убытков, связанных с воровством, когда, например, недобросовестный официант копирует номер карты при оплате чека по карте.

 

Однако все больше и больше транзакций осуществляется без предъявления карты или физического присутствия ее держателя.  Как следствие, и ТСП, и эквайреры сталкиваются с задачей разработки новых процедур, снижающих риски. 

Транзакции по заказам, оформленным по почте, телефону или, с недавних пор, по Интернету [MOTO transactionsmailorder and telephoneorder transactions] — представляют собой особую группу проблем для МПС.  Наиболее популярным решением для ТСП в этом плане было получение доступа к максимально закрытым данным [increasingly arcane bits of information] во время авторизации. Такие данные помогают убедиться, что покупатель действительно владеет картой, а не только знает ее номер.  Например, МПС давно кодируют на магнитную полосу код проверки подлинности карты [verification number].  У Visa этот код называется Card Verification Value (CVV или CVV1); у MasterCard —  Card Validation Code (CVC  или CVC1). При считывании карты наличие этого кода подтверждает, что карта действительно присутствует на месте продажи.  Проблема заключается в том, что этот подход не работает при продажах без предъявления карты (т.е. через Интернет, почту или телефон), так как карты нет и считать ее нельзя.

Тогда МПС вынуждены были искать иной способ подтверждения того, что покупатель действительно имеет на руках карту на момент оформления покупки.  В результате были введены коды CVV2 и CVC2. Это трехзначные числа (отличные от кодов CVV и CVC, записанных на магнитную полосу), которые напечатаны на обратной стороне карты, справа от подписи.  Поскольку этот номер не эмбоссирован на карте и не указывается в чеках, его сложнее украсть.  Покупатель должен физически иметь карту на руках или получить эти цифры каким-то иным образом, чтобы оформить покупку. Тем не менее, коды CVV2 и CVC2 решают проблему только частично.

Во-первых, МПС только отмечает флажком транзакцию, если покупатель не может предоставить код, а не отвергает ее.

Во-вторых, в некоторых случаях, эту защиту легко обойти [easy to defeat]. Например, недобросовестный официант может при оплате списать номер CVV2 или CVC2, точно так же, как и номер карты. Поскольку все эти процедуры только частично эффективны, эквайреры устанавливают более высокие комиссии на транзакции без предъявления карт, чтобы компенсировать повышенные риски. Тем не менее, коды CVV2 и CVC2 обеспечивают еще один уровень защиты [to provide one more layer of protection] и согласно исследованиям, они действительно помогают предотвратить мошенничество.

Есть еще подход – договориться об определенном вопросе и ответе на него или составить список вопросов и ответов с заранее известными правильными ответами. Например, держателя платежной карты можно спросить о девичьей фамилии его матери. Разрешив держателю карты выбрать вопрос из списка, ТСП и эквайреры усложняют злоумышленнику поиск необходимой информации. Пример тому — служба подтверждения адреса. Такая проверка позволяет избежать мошенничества со стороны злоумышленника, укравшего номер карты, но не имеющего на руках самой карты.

Вышеперечисленные процедуры эффективны в той или иной мере, но согласно исследователям ни одна из них не выделяется особо в плане борьбы с мошенничеством в сети Интернет. В качестве подтверждения они отмечают, что эмитенты так и не снизили межбанковскую комиссию по транзакциям, где соблюдаются эти процедуры. Из свежих нововведений следует упомянуть про технологии Verified by Visa и  MasterCard SecureCode. Обе эти системы при каждой покупке в Интернете предоставляют пароль, который гарантирует что оплату совершает именно держатель карты.

Все эти примеры показывают, что эквайреры с помощью введения различных процедур могут защитить ТСП (и, следовательно, себя) от мошенничества. В конце концов, большинство ТСП слишком малы, чтобы выделять ресурсы на разработку недорогих и эффективных процедур защиты от мошенничества, поэтому эквайрер, предоставляя такие сервисы, может повышать ценность своих услуг для ТСП.  Размер комиссии за обслуживание ТСП является для эквайреров средством мотивации, где эквайреру не требуется навязывать каждому ТСП те или иные защитные меры.

Эквайреры просто обеспечивают эту мотивацию, устанавливая различные уровни квалификационных требований [qualification levels]при соответствии которым для ТСП назначается та или иная комиссии, которую ТСП выплачивают за обслуживание, следовательно, чем больше препятствий преодолевает ТСП по транзакции, тем к более высокой категории [a qualification rate] оно относится и тем ниже получается комиссия.

Обычно используется трехуровневая система, в которой существует следующее разделение транзакций по категориям:
— не отвечающие требованиям [nonqualified rate], соответствуют категории с минимально допустимым уровнем безопасности (и максимальной комиссией);
— частично отвечающие требованиям [partially qualified rate];
— отвечающие требованиям [qualified rate] (высшая категория). 

Для того, чтобы понять, как определяются эти категории, вспомним, как мы вводим номер карты. Если вручную [hand-keyed] — то это автоматически транзакция «не отвечающая требованиям», если вручную плюс использование службы подтверждения адресов, то возможно это «частично отвечающая требованиям» транзакция.  Считывание карты возможно позволит отнести транзакцию к категории «отвечающая требованиям».

В разных отраслях – разные квалификационные критерии.  Например, чаевые в ресторанах – обычное дело, и сумма чаевых обычно неизвестна до тех пор, пока карту не считают или не введут ее номер.  Следовательно, подтвержденная сумма — это нижняя граница от общей суммы [a lower bound], подлежащей списанию со счета держателя карты.  Если конечная сумма вместе с чаевыми значительно выше этой границы, то транзакция может понизиться в категории с «отвечающей требованиям» на «частично отвечающую требованиям».

Управление отдельными продажами у эквайрера происходит не только в момент размещения заказа клиентом. Эквайреры зачастую требуют от ТСП соблюдать определенные процедуры непосредственно перед отправкой товара.  Например, прежде чем отправить ожидавший поступления (задолженный) товар [a backordered item], ТСП могут попросит связаться с покупателем, чтобы проверить телефон, адрес доставки, почтовый адрес или электронный адрес клиента. При МОТО и Интернет-покупках отправитель может настоять на том, чтобы товары были доставлены только на адрес выставления счета по карте [cards billing address] (а не по адресу, который возможно был указан злоумышленником). Такая схема работы помогает снизить уровень мошенничества в целом, так как злоумышленник будет знать, что он может не получить свой товар.

Наконец, МПС определили ряд процедур, которые заставляют эквайреров активнее сотрудничать друг с другом для повышения эффективности работы всей сети.  Один из наиболее очевидных примеров — это список MATCH (Member Alert to Control High Risk Merchants), поддерживаемый платежными системами Visa и MasterCard, в котором указываются проблемные ТСП. Если эквайрер отказывается выдать разрешение ТСП на прием платежных карт к оплате ввиду злоупотреблений со стороны ТСП, но при этом не добавляет его в список MATCH, то этот эквайрер несет обязательства по убыткам, которые могут возникнуть у другого  провайдера из-за этого ТСП.

 

8.4 Риски мошенничества

 

В некоторых исследованиях риск мошенничества [fraud risk] определяют как  риск того, что претензия на получение денег [to collect a claim] не может быть удовлетворена, так как личность человека, из-за которого возникла эта задолженность, установить невозможно. 

Различают три типа мошенничества. 

Первый тип —  мошенничество по существующей карте  [existing account fraud] – связан с кражей данных платежной карты.  Например, злоумышленник, который украл карту и сделал по ней покупки [to order merchandise], совершил мошенничество по карте. 

Второй типа мошенничества – мошенничество с созданием новой платежной карты [new account fraud], его еще часто называют «кражей личных данных» [identity theft] В этом случае, злоумышленник использует информацию о третьем лице для открытия счета [to open an account] и получения кредита на имя жертвы [to incur debts in the name of the victim].  

И, наконец, третий тип — так называемое «мошенничество от первого лица» [to commit first party fraud] — это ситуации, где держатели карт совершают легитимные транзакции, а затем заявляют, что они их не делали.

Риски мошенничества резко возрастают, когда ТСП принимает заказы без предъявления платежной карты, т.е. по почте, телефону или через Интернет [MO/TO transactions, CNP-transactions — mail order/telephone order transactions, card-not-present transactions].  В таких ситуациях согласно Закону о достоверности информации в кредитовании [Truth in Lending Act] держатель карты освобождается от обязательств, он не отвечает даже за первые 50 долларов США (правила МПС обеспечивают практически такую же защиту для держателей дебетовых карт).  Такая защита потребителя [consumer protection] смещает зону риска в сторону ТСП и, таким образом, увеличивает потенциальный риск для эквайреров.

Есть один печально известный случай, где ТСП совершало мошенничество в отношении клиентов [to defraud customers], принимая заказы, которые не собиралось выполнять.  Если бы ТСП вело бы обычную торговлю в обычном магазине, то поводы для беспокойства были бы для клиентов намного более очевидны. Во-первых, клиенты пообщались бы с ТСП вживую и обнаружили бы подозрительное поведение. Во-вторых, клиенты с большей вероятностью обменялись бы опытом с другими клиентами, вполне возможно, они могли бы встретить их в магазине или могли бы услышать разговоры и претензии. И, наконец, в третьих, либо у ТСП  не было бы ни товаров, ни следов предыдущего присутствия на этом месте (что вызвало бы подозрение), либо после закрытия ТСП остались бы какие-нибудь товары или иное обеспечение. В любом случае, у эквайрера по обязательствам было бы больше обеспечения.  Но, как бы то ни было, здесь продажи велись без предъявления карты и мошенническому ТСП [fraudulent merchant] удалось собрать за несколько недель довольно приличную сумму.  Когда потребители устали ждать и начали  предъявлять требования на возврат платежей [to file a chargeback],  то они имели право на защиту [to be entitled to relief], а поскольку мошенническое ТСП платить не могло, то вернуть деньги [to make restitutionпришлось эквайреру.

 

8.5 Технология NFC как инструмент снижения рисков

 

В последнее время было довольно много разговоров о том, какое влияние окажут чипованные EMV- и NFC-карты [near field communication] на индустрию платежных карт. Большая часть этих разговоров касалась влияния на потребителей и ТСП, а вот влияние на эквайреров как-то не обсуждалось.

Могу вас уверить, что это влияние будет довольно заметным как c точки зрения осуществления операций [operational], так и с точки зрения управления рисками [risk management].  Те, кто уже несколько лет работает с терминалами, на которых используются уникальный ключ для шифрования каждой отдельной транзакции [Derived Unique Key Per Transaction] и усечение номера карты [truncation of PAN], знают,  что предстоит пройти эквайрерам, которые взялись за обновление сети терминалов и какое противостояние им предстоит преодолеть со стороны ТСП:

Да вы что, я же вот недавно, 5 лет назад, обновлял свой терминал.  Менять? Опять? Прямо сейчас? Зачем?  По-моему, это развод какой-то.

Если вы пришли в бизнес эквайринга, столкнувшись уже с такими разговорами, —  добро пожаловать в этот мир!

С точки зрения управления рисками, кое-какие улучшения все-таки будут, но появятся новые риски, связанные с переходом. Самый большой риск связан с уходом от мошенничества с транзакциями без предъявления карт [card-not-present fraud, CNP-fraud], на интернет-магазины и на ТСП с наименее защищенными технологиями на месте продажи [with the least secure technology at the POS].

Конечно, с точки зрения эквайринга эти инициативы еще не конец света.  Какие-то козыри эквайрер может извлечь из своих возможностей — например, более тесного взаимодействия со своими ТСП, где им будет предложены такие дополнительные услуги [a value-added service] как, обслуживание купонных акций [couponing], программ лояльности и анализа данных [data mining]. В конечном итоге, это усилит привязку ТСП к эквайреру и, следовательно, увеличит доход.

 

8.5.1 Определение EMV, NFC и дуальности

 

Стандарт EMV был разработан в целях обеспечения глобального взаимодействия [global interoperability] по транзакциям с использованием чиповых карт [a chip-based payment transaction].  Важнейшим элементом технологии EMV является генерация и добавление динамических данных [dynamic digital data] к каждой транзакции. Это позволяет обеспечить предельно высокую безопасность таких типов транзакций и снизить риск мошенничества.

Технология NFC – это технология беспроводной высокочастотной связи малого радиуса действия, используемая обычно в бесконтактных картах [a contactless card] и мобильных телефонах, а также  для радиочастотной идентификации [radio frequency identification, RFID].

Сферы применения мобильных платежей [mobile payment]:

  • розничная торговля [retailing],
  • продажа билетов на общественный транспорт [public transportation ticketing],
  • интерактивная реклама [interactive advertising] и т.д.

Дуальность [duality] в данном контексте означает возможность одного и того же POS-терминала обрабатывать транзакции как с использованием EMV-, так и NFC-карт.  По правилам всех МПС, ТСП должны иметь возможность принимать и EMV- и NFC-карты в следующих целях:

  •   освобождение от обязательств в случае мошенничества [to be exempt from fraud liability],
  •   сокращения области оценки на соответствие требованиям стандарта PCI DSS,
  •   для участия в системе MasterCard Worldwide’s Account Data Compromise (ADC), разработанной для предотвращения мошеннических сделок.

 

8.5.2 Порядок осуществления транзакции с использованием технологий EMV и NFC

 

Порядок проведения транзакций с использованием технологий EMV и NFC практически не отличается от обычного. Здесь только добавляется динамическая аутентификация [dynamic authentication] и технология, реализованная в чипе, которая позволяет эмитенту передавать уникальный код проверки подлинности карты [unique card verification value] при каждой транзакции. Таким образом, карту подделать [to counterfeit the card] практически невозможно, даже если данные транзакции [transaction data] были украдены.

Поскольку использование этой технологии возможно только для транзакций с предъявлением карты, то стоит отметить, что МПС вместе с ИТ-производителями работают над скорейшим переходом механизма динамической аутентификации в сферу электронной коммерции.

 

8.5.3 Последствия для эквайреров

 

При переходе на технологии приема платежей по EMV- и NFC-картам эквайрерам следует учитывать определенные сложности,  например:

  • Обновление терминалов для обслуживания EMV- и NFC-карт: Как уже было сказано ранее, ТСП крайне неохотно идут на изменения.  Многие из них просто не видят смысла в переходе [migrating to] на терминалы EMV/NFC и не желают платить за обновление.

Дело осложняется еще тем, что те ТСП, которые больше всего сопротивляются нововведениям, меньше всего готовы принимать на себя риски по выполнению обязательств в случае мошенничества [to absorb the fraud liability], которое может возникнуть из-за их нежелания перейти на такие терминалы.  Таким образом, информирование является важнейшим компонентом в этой инициативе, как с точки зрения удержания клиентов, так и с точки зрения управления рисками.

Есть еще один важный момент технического плана в этой миграции – со временем обновление терминалов будет требоваться все чаще и чаще, и ТСП придется соответственно покупать новые терминалы для того, чтобы идти в ногу с развитием технологий.

Поскольку эти обстоятельства могут увеличить доходы от предоставления оборудования  в аренду [to lease revenue], они могут так же отразиться на расходах на обслуживание [support costs] и могут потребовать обновления ресурсов, задействованных для обслуживания ТСП.

  • Увеличение атак по транзакциям без предъявления карты
    МПС зафиксировали, что объем EMV- и NFC-карт достиг на рынке критической массы (более 60%), поэтому черные хакеры и мошенники сосредотачиваются на ТСП, осуществляющих транзакции без предъявления карты. Таким образом, есть смысл пересмотреть свою стратегию оценки ТСП на соответствие требованиям стандарта PCI DSS и переопределить понятие «ТСП с высоким риском» таким образом, чтобы под эту категорию попали ТСП, занимающиеся электронной коммерцией [an e-commerce merchant] (если, конечно, этого еще не сделано). Возможно, эквайреру захочется мотивировать свои ТСП, занимающиеся электронной коммерцией, для усовершенствования своих инструментов в течение следующего года для обнаружения мошеннических транзакций [to enhance fraud detection tools], чтобы к моменту, когда внимание злоумышленников будет полностью сосредоточено на электронной коммерции, эти ТСП были бы уже во всеоружии.
  • Смещение обязательств:
    ТСП, которые к 1 октября 2015 года не перешли на терминалы, обслуживающие EMV- и NFC-карты [EMV/NFC-capable terminal], несут обязательства по всем проведенным у них мошенническим транзакциям с картами, где  возможно использование технологий EMV и NFC.  Все эти перемены являются довольно значительными для ТСП, принимающих оплату по карте с ее предъявлением [a card-present merchant], и информацию о них следует четко донести до ТСП, прежде чем начинать переход, чтобы ТСП хорошо понимали последствия отказа от обновления до указанного выше срока.
  • Сокращение области оценки на соответствие требованиям стандарта PCI DSS:
    Все МПС согласились, что не будут требовать подтверждения соответствия требованиям стандарта PCI DSS от ТСП, которые:

    •   перешли на использование в своей среде терминалов EMV/ NFC,
    •   надлежащим образом поддерживают свое соответствие требованиям стандарта PCI DSS,
    •   работают без единого случая компрометации данных в течение последних 12 месяцев.

Следует понимать, что хотя МПС и отказываются от своего права требовать ежегодное подтверждение соответствия требованиям стандарта, все ТСП должны поддерживать это соответствие. Эквайреры по-прежнему несут полную ответственность за соответствие своих ТСП требованиям стандарта, а также за любые комиссии, штрафы или взыскания, применимые в случае компрометации данных.

Все участники МПС должны продолжать защищать статичные критичные данные платежной карты (включая ПИН-коды) и соблюдать требования таких отраслевых стандартов, как PCI DSS, PTS и PA-DSS.

 

9. Глоссарий по теме