Пірати XXI століття. Україна може стати оплотом шахрайства з платіжними картами

Пасивність вітчизняних банків у розвитку карткових технологій призвела до різкого зростання шахрайства з платіжними картами Visa і MasterCard, випущеними в Україні. За даними Національного банку, кількість шахрайських операцій з використанням платіжних карт, випущених українськими банками, у 2009 році зросла, порівняно з 2008-м, у 6,5 разу (!) до 39,3 тис. випадків.

Не секрет, що банки і платіжні системи традиційно намагаються приховати реальні обсяги карткового злодійства, щоб не підривати довіру клієнтів до платіжних карт. Тому цілком імовірно, що фінустанови у своїй звітності перед регулятором істотно занизили реальні масштаби карткового шахрайства. Справжній розмах шахрайських операцій із платіжними картами сьогодні відповідально оцінити ніхто не береться. Та все ж таки дані НБУ чітко демонструють негативну тенденцію.

«Така ситуація в основному пояснюється тим, що банки — члени міжнародних платіжних систем — не приділяють достатньої уваги захистові інформації, а також продовжують емітувати платіжні карти з магнітною смугою, які нині вкрай незахищені», — зазначається в листі НБУ, розісланому вітчизняним фінансовим установам. НБУ зобов’язав банки прискорити перехід на використання платіжних карт із чіпами, забезпечити встановлення (за згодою клієнтів) добових лімітів на суми та кількість операцій з отримання готівки як на території України, так і за її межами.

Змарнований час

Сумні рекорди України у сфері платіжних карт були легко прогнозовані. В умовах фінансової кризи банкіри практично перестали розвивати цей напрям, зосередивши зусилля на порятунку своїх активів. Кількість активних платіжних карт (тобто карт, із яких реально здійснювалися б операції з оплати товарів або зняття готівки в банкоматах) в Україні в 2009 році зменшилася на 24,6% — до 29,1 млн. шт. При цьому на початку 2010 року частка карт із магнітною смугою становила 93% від загальної кількості активних платіжних карт. Списувати всі проблеми на фінансову кризу тепер уже стало майже модно, проте справжні причини нинішньої ситуації, яка склалася на ринку пластикових карт, зароджувалися ще в докризовий період, коли і в банків були кошти на розвиток бізнесу, і в клієнтів сучасні технології викликали жвавий інтерес.

Міжнародні платіжні системи в рамках боротьби із шахраями остаточно ухвалили рішення про перехід із магнітних карт на чіпові ще в 2005 році. Формально пластик із магнітною смугою може використовуватися паралельно з чіповими картками досить тривалий період. Проте вже у 2005 році в країнах Західної Європи були впроваджені нові правила безпеки під час проведення операцій із картами. Зокрема набрало сили правило про «перенесення відповідальності» (Liability Shift): тепер за всі втрати від шахрайських транзакцій відповідає та сторона (емітент або еквайєр), яка не завершила переходу на чіп. У результаті власники багатьох магазинів та ресторанів Західної Європи, остерігаючись шахраїв, відмовилися обслуговувати власників традиційних магнітних карт, що й спонукало банкірів укласти серйозні кошти й оперативно перейти на нові картки з чіпом. Процес переходу тривав у європейських фінустанов два-три роки. При цьому не тільки відбувалася заміна карт, а й проходило повне переобладнання банкоматних і термінальних мереж. Українські ж банки весь цей час лише придивлялися до нових технологій, не відчуваючи достатніх стимулів для їх розвитку. Вітчизняні банкіри продовжували емітувати картки з магнітною смугою, обмежуючись, утім, окремими пробними проектами, переважно з випуску комбінованих (зі смугою та чіпом) пластикових карт.

У результаті час було безповоротно втрачено, а несподівана криза лише загострила ситуацію. Шахраї, які витіснялися з європейських країн, змушені були звернути свою увагу на менш технологічні банківські ринки, і насамперед — на Україну, в якій склалася унікальна ситуація: величезна кількість випущеного пластику на тлі підвищеної уразливості як самих карток, так і мереж передачі даних.

Упаяний у пластик комп’ютер

Переважна більшість банкірів погоджуються з НБУ, що впровадження чіпових карт може дозволити максимально захистити власників карт і знизити ризик шахрайства до мінімуму.

Картку, яка має чіп, часто називають смарт-картою (від англ. smart — інтелектуальний). Основною особливістю карт із чіпом, або смарт-карт, є те, що замість (або крім) магнітної стрічки вони мають інтегральну мікросхему. Чіп-модулі містять мікроконтролер, постійну пам’ять і пам’ять з можливістю перезапису. Це дозволяє зберігати на картці досить великий обсяг інформації і, що ще важливіше, за необхідності її змінювати. Зазвичай на картку записуються персональні ідентифікаційні номери, кілька версій системних і банківських ключів та дані про клієнта. Перехід на старшу версію ключів приймає служба безпеки банку (у плановому або позаплановому порядку) для виконання певних операцій (як on-line, так і off-line). На чіпі зберігається також інформація про суму, яка міститься на картці чи рахунку, що дозволяє використовувати карту в режимі off-line. Таким чином, системи, які базуються на роботі зі смарт-картами, — гнучкіші, функціональніші та більш захищені, аніж системи, що використовують картки з магнітною стрічкою, на яких записано лише номер карти, адресу банку і незмінний ідентифікаційний код.

Завдяки вищепереліченим функціональним перевагам рівень безпеки смарт-карт на порядок вищий. Чіпову картку нині практично неможливо підробити. Магнітну стрічку шахраєві скопіювати нескладно, для цього йому доведеться всього лише купити за 100—150 дол. скімер — спеціальний пристрій, який зчитує інформацію з карти. В електронного чіпа набагато складніший алгоритм захисту, і сьогодні жодним скімером даних із нього не скопіювати.

Крім того, смарт-карта дозволяє проводити перевірку клієнта без відсилання запиту у фінустанову, а інколи — і набагато швидше здійснювати транзакцію (немає необхідності чекати відповіді з банку). Чіп на картці не піддається впливу магнітних полів, не боїться вологи, легких подряпин і, таким чином, надійніший.

Проте головна причина початку випуску банками цих карт — високий рівень захисту даних клієнта і його коштів на рахунку.

Умови перевірки PIN-коду для таких карток істотно відрізняються від процедури перевірки PIN-коду карт із магнітною стрічкою. Крім того, чіп має більший криптозахист, порівняно з магнітною стрічкою, він складніший у виготовленні. Усе це, разом узяте, значно ускладнює підробку таких карт, роблячи їх виробництво в кустарних умовах економічно невигідним і майже неможливим.

Транзакція з допомогою карти з магнітною стрічкою завжди використовує однакові ідентифікаційні дані, які передаються в банк. Тому їх можна перехопити й виготовити підроблену карту. Чіпова ж картка працює інакше: кожна транзакція підтверджується сформованим спеціально для неї кодом, і для наступної транзакції потрібен новий код. Тому використовувати дані колишніх транзакцій немає сенсу, а зробити дублікат чіпа практично неможливо.

Як результат — нині в усьому світі ще не зафіксовано жодного випадку шахрайства зі смарт-картами.

Розстановка сил

Сьогодні в Україні реально працює близько 34 млн. пластикових карт. З них десь два мільйони припадає на одноемітентні системи. 2,7 млн. — карти Національної системи масових електронних платежів (НСМЕП). Решта — карти Visa і MasterCard. Із 29 млн. активних карт міжнародних платіжних систем усього близько мільйона платіжних чіпових карт стандарту EMV (скорочено від Europay, MasterCard, Visa) — спільно розробленого стандарту для чіпових карток, реально працюють.

При цьому суто чіпових карт міжнародних платіжних систем MasterCard або Visa не випускає жоден вітчизняний банк. Поки що емітується лише комбінований пластик — на ньому розміщені і магнітна стрічка, і мікропроцесор. Переходити тільки на чіп банки не зважуються, знову ж таки — через відсутність повноцінної інфраструктури з прийому таких карт. Сьогодні власник чіпової картки цілком може отримати відмову у магазині або в банкоматі, бо там просто не встановлено необхідне технічне обладнання. Щоб унеможливити такі ситуації, банки й випускають комбіновані карти. Їх тримачів обслужать або за чіпом, або за магнітною стрічкою. В останньому разі власники комбінованого пластика піддаються тим самим ризикам, що й тримачі звичайних магнітних карт.

Упаяний у карту мікропроцесор — це, по суті, мікрокомп’ютер. Відповідно, на нього можна встановлювати різні програми, які саме — залежить від фантазії маркетологів фінустанови та її технічних можливостей.

Чіпові технології дозволяють надавати тримачам карт низку сервісів, таких як бонусні схеми, грошові і товарні гаманці, програми лояльності. Причому реалізовувати можна не тільки програму банку-емітента, а й програми інших організацій (наприклад, програми лояльності авіаперевізників, операторів мобільного зв’язку, мереж супермаркетів тощо).

Замкнене коло

Проблеми розвитку карткових технологій у наших умовах являють собою замкнене коло. У банкірів і торговців немає мотивації до встановлення банкоматів і терміналів для карток, які поки що не здобули визнання в покупців, — а це визнання виникне лише тоді, коли люди зможуть розраховуватися більш технологічними картками, оплачуючи товари та послуги, і безпроблемно знімати готівку в банкоматах.

Таким чином, тверезо оцінюючи перспективи карткових технологій, можна сміливо стверджувати, що в Україні нові проекти міжнародних платіжних систем з’являться не скоро. І не так через фінансову кризу та бажання заощадити, як тому, що більшість прогресивних рішень без «зобов’язалівки» або активного просування в нашій країні найчастіше приречені на провал.