Безопасность карточного бизнеса : бизнес-энциклопедия.
Оценка рисков в ПСБК.
Мошеннические операции в ПСБК с точки зрения эмитента могут быть оценены количественно, потому что они связаны с проведением несанкционированных операций по счетам клиентов банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен.
SFR = Рмош Sсум, (1).
Где Рмош — вероятность проведения мошеннической операции по карте;
Sсум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).
Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических операций, поскольку величина доступных средств на счете клиента банка известна.
На основе анализа особенностей проведения операций по банковской карте в ПСБК автор выделяет ряд необходимых условий для проведения мошеннической операции независимо от типа мошенничества:
1) данные карты должны быть скомпрометированы;
2) скомпрометированные данные использованы для попытки проведения несанкционированной операции;
3) попытка проведения несанкционированной операции была осуществлена.
Если все три вышеперечисленных условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на авторизационный запрос проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).
Из вышеизложенного следует, что вероятность проведения мошеннической операции Рмош с учетом формул условной вероятности и (1) можно определить следующим образом:
Рмош = Р(кпр) Р(исп|кпр) Р(поп|кпр-исп) (1 — Р(обн)), (2).
Где Р(кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической операции;
Р(исп|кпр) — вероятность использования скомпрометированных данных для проведения операции;
Р(поп|кпр-исп) — вероятность проведения несанкционированной операции (успех попытки проведения);
Р(обн) — вероятность обнаружения несанкционированной операции эмитентом.
В соответствии с общепринятой классификацией существуют следующие типы мошенничества:
1) использование украденных или утерянных карт;
2) использование неполученных карт;
3) использование поддельных карт;
4) проведение операции с использованием реквизитов карты без ее присутствия;
5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;
6) другие виды мошенничества.
Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа, т. е. в расчетах можно ограничиться типами 1–5, если устранять неоднозначности присвоением известных типов.
Далее рассмотрим особенности мошеннических операций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Рмош по формуле (2).