Первые банковские карты в России

— обеспечение требований к сохранности заявлений и сохранению банковской тайны по содержащимся в них сведениям; эти процедуры могут значительно варьироваться в зависимости от системы защиты помещений бэк-офиса, наличия сейфов для хранения заявлений и т.п.

Банковские риски, возникающие при обслуживании карт

Управление рисками обслуживания банковских карт можно подразделить по видам выполняемых операций, так как каждый вид деятельности имеет свои особенности и зачастую выполняется различными структурными подразделениями.

По операциям с кредитными картами базовым банковским риском является кредитный риск, и процедуры по его минимизации, так же как и по кассовым операциям, детально регламентируются Положением ЦБ РФ от 26.03.2004 № 254-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности».

Следует обратить внимание на взимание комиссии за выпуск карты. Существует практика взимания этих комиссий автоматически при открытии карточного счета, в счет образующейся задолженности. Такая практика приводит к тому, что, если клиент по каким-либо причинам не воспользуется кредитной картой, эта задолженность будет классифицироваться и обрабатываться в автоматическом режиме как кредитная (с начислением процентов, пеней и т.п.), при этом клиент будет полагать, что не обязан уплачивать проценты и пени за нее. Суммы задолженности, как правило, настолько незначительны, что предъявление к каждому клиенту исковых требований представляется нецелесообразным, однако трудозатраты на классификацию, ведение досье, создание резерва и учет этой задолженности при наличии массовой практики достаточно велики, что приводит к повышению уровня операционных и надзорных рисков по ней. Кроме того, общая сумма такой задолженности может оказаться весомой. В данном случае способствовать минимизации этого риска может уплата комиссии клиентом отдельно.

Следующий риск касается мелких сумм непогашенных овердрафтов и связан с теми же самыми рисками. В данном случае в рамках системы управления рисками банку следует определить как предельно допустимую величину общей задолженности по кредитным картам, так и предельно допустимый размер непогашенной задолженности по каждому клиенту, затраты по которой банк готов понести без обращения в судебные инстанции ввиду их нерентабельности. В целях минимизации рисков банку следует предусмотреть разработку ступенчатой системы мер воздействия (рассылка писем, вызов в банк, лишение льгот по прочим услугам банка и т.п.) и действий самого банка (усиление контроля, ограничение операций и т.п.) по предотвращению указанных рисков. Желательно также выделение сотрудников, ответственных за работу с проблемной задолженностью по картам, и установление показателей работы с проблемной задолженностью (статистические отчеты по уменьшению/увеличению проблемной задолженности), а также разработка порядка признания задолженности безнадежной и процедур ее списания.

Довольно часто возникают проблемы также и с неразрешенными овердрафтами по кредитным картам. Так, например, стандартным условием при выдаче овердрафта является право банка снизить лимит по карте при выявлении факторов, свидетельствующих об ухудшении качества задолженности. Однако при этом зачастую существует временной лаг от принятия такого решения до введения соответствующих изменений в настройки АБС, что приводит к возникновению неразрешенного овердрафта. Кроме того, существует ряд платежей, игнорирующих эти настройки (бронирование гостиниц за рубежом, иные виды платежей). Помимо вышеперечисленных процедур по минимизации риска в данном случае следует разработать процедуру незамедлительного уведомления клиента об уменьшении лимита (по телефону, путем отправки SMS и т.п.). Также в договорах следует предусмотреть санкции к клиенту за образование сверхлимитной задолженности и первоочередной порядок ее погашения.

Общими для дебетовых и кредитных карт являются и спорные вопросы, связанные с отказами от совершенных операций (проведением по картам не санкционированных клиентом операций). Во всех случаях отказа клиента от операций банку следует проводить служебное расследование с целью установления его причин. Минимизировать данный риск возможно с помощью:

— четкого определения порядка рассмотрения данных споров в договоре;

— процедуры инструктажа клиента по вопросам пользования картой и пин-кодом и порядку блокировки карт в случае утери, кражи карты или сомнения в характере проводимых по ней операций. Письмо ЦБ РФ от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”» рекомендует размещение памятки о правилах пользования картой в местах общего доступа (на стендах, в операционных залах).

В последнее время участились случаи мошенничества по картам с использованием банкоматов, в том числе с наложением на панель банкомата специальных «считывающих» устройств. Оптимальным способом минимизации рисков является установка видеонаблюдения. Немаловажен также выбор места для установки банкомата в непосредственной близости от пунктов охраны, однако это не всегда возможно. Во всех случаях, когда установка видеонаблюдения невозможна, следует ввести процедуру обязательного ежедневного контроля лицевой панели банкомата силами инкассаторов, осуществляющих загрузку, и/или силами сотрудников торговых залов и иных помещений, в которых установлен банкомат.

С целью минимизации рисков мошенничества при работе с банкоматами в число подозрительных должны попадать все операции, по которым пин-код вводится более чем два раза. Сведения об указанных операциях должны передаваться ответственному сотруднику, который в течение установленного времени (чаще всего 2–3-х дней) осуществляет дальнейший контроль за операциями, проходящими по подозрительной карте.

Операции по эквайрингу, помимо рисков, в целом присущих картам физических лиц, несут дополнительные риски, которые можно подразделить:

— на технические (неисправное или неверно эксплуатируемое оборудование, сбои в каналах связи);

— недобросовестного партнерства (мошенничества, халатности и/или недостаточной квалификации со стороны персонала эквайринговой точки).

Первый из перечисленных рисков минимизируется установкой лицензированного оборудования, инструктажем по его обслуживанию и регулярной проверкой его технической исправности, а также соблюдением требований по защите каналов связи от несанкционированного доступа и прочих требований по защите информации при обмене данными.

Второй вид рисков можно минимизировать, во-первых, соблюдением принципа «Знай своего клиента», а во-вторых, обязательным контролем за совершением операций. Очень частыми являются такие нарушения, как проведение операторами операций по картам без предъявления документов, удостоверяющих личность клиента, и недостаточная внимательность при сличении подписей клиента на банковской карте и на слипе ПОС-терминала. Это же является одним из самых распространенных способов «обналичить» утерянную или украденную карту, поэтому данному риску должно уделяться достаточное внимание.

Риски по зарплатным проектам и корпоративным картам, помимо базовых, в основном проявляются в небрежности при передаче данных на выдачу и перевыпуск карт, нарушениях процедур передачи и учета конвертов с пин-кодами, порядка росписи клиентов на банковских картах, выдачи памяток (инструктажа) и т.п. Здесь применимы те же минимизирующие риски процедуры, применяемые в банке при оформлении заявлений и выдаче карт. Кроме этого, клиенту, которому оформляется зарплатный проект (корпоративная карта), должно уделяться повышенное внимание в части соблюдения принципа «Знай своего клиента».

По каждому из вышеперечисленных направлений ответственные подразделения должны вести статистический учет проблемной задолженности и возникающих убытков (при этом важно отграничить проблемные операции, по которым проводится работа, от безнадежных, признаваемых операционными убытками), объединяемых в базы проблемной задолженности и операционных убытков.

В свою очередь подразделения анализируют данные, содержащиеся в базах, для оценки своей деятельности.

 

 

2.3 Обеспечение безопасности функционирования банковских карт

 

Защита информации осуществляется в соответствии с требованиями к защите информации, которыевключаются операторами этих платежных систем в правила платежных систем.

Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных:

на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;

на соблюдение конфиденциальности информации;

на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.

Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:

создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;

включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;

осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;

проведение анализа рисков нарушения требований к защите информации и управление такими рисками;

разработка и реализация систем защиты информации в информационных системах;

применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);

выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;

определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.

Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации. Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Операторы и агенты утверждают локальные правовые акты, устанавливающие порядок реализации требований к защите информации. [Приложение 4]

Банком «ХКФ Банк» разработана специальная памятка для клиентов-владельцев банковских карт, связанная с обеспечением безопасности функционирования и совершением операций с банковской картой. Соблюдение рекомендаций, содержащихся в Памятке, позволит обеспечить максимальную сохранность банковской карты, ее реквизитов, ПИН и других данных, а также снизит возможные риски при совершении операций с использованием банковской карты в банкомате, при безналичной оплате товаров и услуг, в том числе через сеть Интернет.

Общие рекомендации:

Никогда не сообщайте ПИН третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной организации, кассирам и лицам, помогающим Вам в использовании банковской карты.

ПИН необходимо запомнить или, в случае если это является затруднительным, хранить его отдельно от банковской карты в неявном виде и недоступном для третьих лиц, в том числе родственников, месте.

Никогда ни при каких обстоятельствах не передавайте банковскую карту для использования третьим лицам, в том числе родственникам. Если на банковской карте нанесены фамилия и имя физического лица, то только это физическое лицо имеет право использовать банковскую карту.

При получении банковской карты распишитесь на ее оборотной стороне в месте, предназначенном для подписи держателя банковской карты, если это предусмотрено. Это снизит риск использования банковской карты без Вашего согласия в случае ее утраты.

Будьте внимательны к условиям хранения и использования банковской карты. Не подвергайте банковскую карту механическим, температурным и электромагнитным воздействиям, а также избегайте попадания на нее влаги. Банковскую карту нельзя хранить рядом с мобильным телефоном, бытовой и офисной техникой.

Телефон кредитной организации-эмитента банковской карты (кредитной организации, выдавшей банковскую карту), указан на оборотной стороне банковской карты. Также необходимо всегда иметь при себе контактные телефоны кредитной организации-эмитента банковской карты и номер банковской карты на других носителях информации: в записной книжке, мобильном телефоне и/или других носителях информации, но не рядом с записью о ПИН.

С целью предотвращения неправомерных действий по снятию всей суммы денежных средств с банковского счета, целесообразно установить суточный лимит на сумму операций по банковской карте и, одновременно, подключить электронную услугу оповещения о проведенных операциях (например, оповещение посредством SMS-сообщений или иным способом).

При получении просьбы, в том числе со стороны сотрудника кредитной организации, сообщить персональные данные или информацию о банковской карте (в том числе ПИН), не сообщайте их. Перезвоните в кредитную организацию-эмитент банковской карты (кредитную организацию, выдавшую банковскую карту) и сообщите о данном факте.

Не рекомендуется отвечать на электронные письма, в которых от имени кредитной организации (в том числе кредитной организации-эмитента банковской карты (кредитной организации, выдавшей банковскую карту)) предлагается предоставить персональные данные. Не следуйте по «ссылкам», указанным в письмах (включая ссылки на сайт кредитной организации), т.к. они могут вести на сайты-двойники.