Документ представляет обзор состояния антифрода и безопасности платежей в России на 2016 год с акцентом на статистику и тренды в сфере платежных карт. Подробно рассматриваются динамика роста эмиссии платежных карт, мошеннические операции, типы мошенничества и рекомендации по мониторингу и реагированию на инциденты. Также описывается важность анализа данных для повышения эффективности противодействия мошенничеству.

1. Антифрод
на полную мощность
БЕЗОПАСНОСТЬ ПЛАТЕЖЕЙ 2016

6. Статистика и тренды

7. Рынок платежных карт России
118 119
137
162
191
217
228
240
8.90 9.50
12.20
16.20
21.50
26.00
30.30
-5.00
5.00
15.00
25.00
35.00
0
100
200
300
400
2008 2009 2010 2011 2012 2013 2014 2015 ДО
01.10.2015
млн. карт оборот эмиссия трл.руб
Динамика роста эмиссии платежных карт и оборотов по ним
в России по данным ЦБ РФ

8. Динамика мошеннических операций
Данные по суммам мошеннических операций (в млрд. рублей),
совершенных по картам российских эмитентов
0.89
1.14
1.40
2.37
3.59
4.58
1.00
1.25
1.46
2.70
3.64
4.65
0.00
1.00
2.00
3.00
4.00
5.00
2008 2 0 0 9 2010 2011 2012 2013
Данные из отчетов Visa и MasterCard Данные FICO

9. Типы мошенничества
Распределение эмиссионного мошенничества по типам
в Россия по данным MasterCard за 1кв 2016 года
Украденные карты,
12.45%
Потерянные карты,
3.78%
Мошенническое
заявление, 9.04% Поддельные карты,
17.33%
CNP, 55.16%
Захват счета,
1.69%
Сговор с ТСП,
0.02%
Множественный
импринт, 0.25%
Неполученные
карты, 0.29%

10. Риски мошенничества
Прямые финансовые потери:
— возмещение средств клиентам
— штрафы МПС:
Mastercard – затраты на реализацию программы
устранения
Visa – дополнительно прогрессивные штрафы за
критичные нарушения
Репутационные риски
Снижение лояльности клиентов

11. Противодействие
мошенничеству

12. Требования МПС по мониторингу
Контролируется существенное отклонение относительно
средних и заданных показателей (сумма, количество, пр.)
Заданные параметры определяются МПС и экваером
Глубина выборки для определения средних показателей –
1-3 месяца, период вычисления среднего – 1 сутки.

13. Обязательный мониторинг
Хорошо выявляет Плохо выявляет
Массовые мошенничества,
характеризующиеся
существенными отклонениями
от статистических показателей
Мошеннические операции,
носящие единичный
характер.
Мошеннические операции по
характеристикам близкие к
средним (например, к сумме
среднего чека)

14. Используемые «оценки» эффективности
Свой FTS < штрафных порогов МПС
Свой FTS <= отраслевого FTS
Степень выполнения требований по мониторингу от МПС
FTS – Fraud to Sale

15. А теперь присмотримся повнимательней…
Штрафные пороги МПС учитывают отраслевой FTS
Отраслевой FTS:
—общая статистика без разбивки по видам бизнеса
—отражает показатели малого числа игроков рынка
Требования по мониторингу от МПС:
—закрывают только критичные области
—только статистический анализ
—направлены на выявление массового мошенничества

16. Антифрод на полную
мощность

17. Процесс мониторинга мошенничества
Выявление
подозрительных
операций
Обработка алертов
Работа с правилами:
— разработка и модификация
— обогащение данными
— генерация алертов
Работа операторов:
— блокировка карт
— звонки клиентам, IVR
— работа с ТСП
Анализ инцидентов

18. Выявление мошенничества:
новые правила
Нетипичное поведение (например, e-commerce для пожилых
людей)
Нетипичная география транзакции
Отсутствие «шлейфа» транзакций
Мониторинг пар мест компрометации и снятия
Выявление «появления» мошенников

19. Выявление мошенничества:
повышение эффективности
Расширение набора анализируемых данных:
—профиль клиента (возраст, тип карточного продукта, типичное
поведение)
—профиль ТСП
—данные Home Location Register (HLR)
—возможность задание клиентом ограничений (лимиты,
поездки)
Учет предыдущих результатов работы антифрод:
—наличие алертов
—результаты звонков клиенту
—блокировалась ли карта ранее

20. Реагирование на инциденты:
обработка алертов
Документирование процедур, выполняемых операторами
Автоматизация процесса:
—аналитика в правиле
—автоматическое срабатывание (блокировка карт, установка
лимитов, пр.)
—использование IVR
Действия оператора – простые функции: позвонить клиенту,
подтвердить операцию, разблокировать карту

21. Анализ инцидентов
Источники для анализа:
—претензионная работа
—результаты собственного мониторинга
—отчеты платежных систем
Предмет анализа:
—было ли мошенничество выявлено правилами?
—насколько эффективно (своевременно) было выявление?
—как отработаны процедуры обработки алертов?
—есть ли связанные мошеннические операции, которые были
пропущены?

22. Целевые показатели
Правила выявляют все мошеннические операций, генерируя при
этом заданное количество ложных срабатываний
В правилах анализируются данные операции, история
операций, поведенческий паттерн клиента, данные о клиенте,
результаты обработки предыдущих алертов по клиенту
Все карты блокируются автоматически
Часть правил работает в режиме онлайн (генерируются отказы
на операции)
Вся аналитика предусмотрена в правилах, сотрудники
осуществляют только подтверждение операций у клиентов

23. Зачем нужен опыт или почему нельзя
использовать систему «из коробки»?
борода
длинные волосы
пронзительный взгляд

24. Спасибо. Вопросы?
Алексей Бабенко
Ведущий менеджер по развитию бизнеса
a.babenko@infosec.ru