В першу чергу нас цікавить стан справ на ринку масових електронних розрахунків в Україні. Відзначимо, що аналіз основних статистичних показників діяльності банків України на ринку платіжних карток за останні роки дозволяє зробити висновок про стійку тенденцію зростання потенціалу цього ринку в Україні. Загальна кількість платіжних карток, емітованих українськими банками (за якими була здійснена хоча б одна операція протягом року), лише протягом 2004 року збільшилась на 48 % з 11529 тис. шт. до 17079 тис. шт. Співвідношення кількості карток, емітованих різними платіжними системам на території України, показано на Рис. 2.4.31. При збільшенні загальної кількості платіжних карток в цілому в Україні,спостерігається тенденція скорочення частки так званих неплатіжних карток. Найбільш активний приріст за кількістю емітованих карток спостерігається в таких платіжних системах,як Національна система масових електронних платежів, MasterCard та VISA.
Рис. 2.4.31. Картки, емітовані різними платіжними системами в Україні
Наступні питання ілюструють проблеми, пов'язані з необхідністю довіряти комусь при роботі з системами електронних платежів.
Коли ви користуєтесь кредитною карткою для здійснення покупок через інтернет, яким чином ви можете бути впевненими, що хто-небудь не захоче перехопити номер вашої картки під час передачі по мережі і не використає його в своїх власних цілях?
Коли ви контактуєте з сайтом Е-комерції з наміром здійснити покупку, яким чином ви можете дізнатися, чи є цей сайт легітимним?
Коли одна компанія пересилає рахунок іншій компанії через інтернет, як реципієнт може переконатися, що рахунок не було змінено?
Якщо покупець надсилає вашій компанії електронний чек, а пізніше відмовляється від цього, яким чином ви можете довести зворотнє?
Лише використання досконалої системи захисту при роботі в режимі он-лайн забезпечує необхідний рівень безпеки.
Головною для безпеки електронних платежів є інфраструктура відкритого ключа (PKI — Public Key Infrastructure), яка дозволяє здійснювати шифрування, робити цифрові підписи та створювати цифрові сертифікати. Серцевиною РКІ технології є шифрування з відкритим ключем, яке гарантує конфіденційність та секретність повідомлення при його переміщенні по мережі у зв'язку з неможливістю, високою вартістю або великими витратами часу на дешифрування. У випадку електронних платежів повідомлення може містити інформацію щодо кредитних карток, яка входить у стандартні форми або умови контрактів між двома компаніями. Сучасні криптографічні системи використовують складні математичні формули і комп'ютерні алгоритми. Незалежно від рівня складності всі криптографічні методи мають чотири основних частини: вихідний текст, шифрований текст, алгоритм шифрування, ключ.Існує два основних класа систем шифрування: симетрична, або система з секретним ключем, та асиметрична, або система з відкритим ключем.
Навіть якщо алгоритм стає відомим, повідомлення є захищеним доти, доки невідомим залишається ключ. В принципі ключ можливо розгадати, для чого потрібно за допомогою комп'ютера перебрати всі можливості для розшифровки тексту. Комп'ютери з високою продуктивністю при паралельній роботі можуть робити мільйони спроб в секунду. Ось чому довжина ключа (у бітах) є головним фактором у захисті повідомлення. Відомо, що 40-бітовий ключ зламується протягом декількох секунд, 56-бітовий ключ—протягом декількох днів, а 64-бітовий—протягом декількох років, в залежності від потужності комп'ютера.
При шифруванні відкритим ключем використовується пара ключів — відкритий ключ для шифрування повідомлення і секретний ключ для дешифрування послання. Найбільш вживаним алгоритмом шифрування з відкритим ключем є алгоритм RSA, в якому використовуються ключі змінної довжини від 512 біт до 1024 біт. Перевага шифрування з відкритим ключем полягає в тому, що один з ключів пари може бути несекрет- ним. Тепер,коли Web-сайт розсилає свій відкритий ключ великій групі потенційних покупців, цей факт не має значення, оскільки єдиною можливістю для дешифрування повідомлення, створеного за допомогою цього відкритого ключа, є використання відповідного секретного ключа, який є лише на Web-сайті.
Головною проблемою при шифруванні за допомогою відкритого ключа є швидкість. Воно не може використовуватися для шифрування та роз- шифровки великих масивів даних. Симетричні алгоритми є набагато швидшими у порівнянні з алгоритмами відкритого ключа, оскільки вони потребують значно коротших ключів.
На практиці для шифрування повідомлень використовується комбінація симетричного та відкритого ключів, яка називається цифровою оболонкою (digital envelope). В цьому випадку той, хто відсилає повідомлення, спочатку створює симетричного ключа (який ще називають ключем для сеансу зв'язку), шифрує його за допомогою відкритого ключа реци-пієнта і відсилає реципієнту. Реципієнт дешифрує зашифрований ключ для сеансу зв'язку за допомогою свого секретного ключа. Тепер обидва мають ключа для сеансу зв'язку. Після цього той, хто відсилає повідомлення, використовує цього ключа для шифрування великих масивів даних і відсилає їх реципієнту. Реципієнт використовує того ж ключа для сеансу зв'язку для розшифровки великого за обсягом повідомлення.
У США 2 жовтня 2000 року Національний інститут стандартів та технології (NIST) оголосив про перехід на новий Федеральний стандарт обробки інформації (FIPS), в основу якого покладено алгоритм бельгійця Рюйндала, що виявився серед інших алгоритмів найменшим, найшвидшим та по захисту еквівалентним 128-бітовому ключу. Завдяки своєму розміру та швидкості цей алгоритм зможе використовуватися для захисту передачі інформації в нових мобільних телефонах.
Розглянемо питання, пов'язані з крадіжками грошей з пластикових карток. Такі крадіжки скоюються злодіями, хоча кожен власник пластико- вої картки багато разів чув про те, що пін-код потрібно зберігати дуже ретельно, номер картки ніколи і нікому не давати і не показувати, а саму картку зберігати від викрадення.
На практиці ж навіть просте отримання готівки у банкоматі може закінчитися погано,оскільки потрібно знати способи, якими користуються аферисти.
Спосіб перший:
Часто грабіжники використовують пристрої, які після встановлення на банкоматі допомагають їм отримати інформацію про картку користувача. Є групи, які встановлюють на клавіатури спеціальні «насадки», які зовнішньо повторювали оригінальні кнопки. Власник картки знімав гроші з рахунку без будь-яких проблем, але при цьому підробна клавіатура запам'ятовувала всі натиснуті клавіші, в тому числі і пін-код. Порада власнику картки полягає у необхідності уважно вивчити клавіатуру незнайомого банкомату перед тим, як знімати гроші.
Спосіб другий:
Зловмисниками використовується пристрій, який називають lebanese loops. Це пластикові конверти, розмір яких трохи більший за розмір картки. Такий конверт попередньо закладають в щілину банкомату. Коли хазяїн кредитки намагається зняти гроші, то банкомат не може зчитати дані з магнітної стрічки. До того ж в наслідок конструкції конверту не вдається повернути картку. В цей момент підходить зловмисник і каже, що буквально за день перед цим з ним трапилось те ж саме. Щоб повернути картку, потрібно просто ввести пін-код і натиснути два рази на клавішу Cancel. Власник картки робить це і, ясна річ, йому нічого не вдається. Він вирішує, що картка залишилась в банкоматі і йде для того, щоб звяза- тися з банком. Зловмисник після цього спокійно дістає кредитку разом з конвертом за допомогою простих засобів. Пін-код власник (тепер вже бувший) пластикової картки сам ввів його в присутності афериста. Злодію залишається лише зняти гроші з рахунку.
Спосіб третій:
Технічно складно, але в принципі можливо перехопити дані, які банкомат відправляє до банку для того, щоб переконатися у наявності гро- шей на рахунку. Для цього зловмисникам потрібно підключитися до відповідного кабелю, не руйнуючи його, і зчитати необхідні дані. Врахо- вучи той факт, що в інтернеті легко знайти відповідні інструкції, то можна бути переконаним, що такий варіант буде зустрічатися досить часто.
Спосіб четвертий:
Для того, щоб дізнатися про пін-код, деякі аферисти встановлюють неподалеку мініатюрну відеокамеру. Самі ж вони в цей час знаходяться в найближчому автомобілі з ноутбуком, на екрані якого можна бачити цифри, які вводить власник картки. Тому при введенні пін-коду бажано прикривати клавіатуру вільною рукою.
Спосіб п'ятий:
Дорогий, але дуже надійний спосіб, який полягає в тому, що зловмисники встановлюють у людному місці свій власний «банкомат». Він, звичайно, не працює (чому майже ніхто не дивується) і, ясна річ, ніяких грошей не видає. Зате успішно зчитує з картки всі необхідні дані. А потім з'ясовується, що власник ще вчора зняв всі гроші з рахунку і чомусь не може цього згадати.
Спосіб шостий:
В свій час зловмисники встановлювали у отвори для кредитних карток спеціальні пристрої, які запам'ятовували всі дані щодо встановленої у банкомат картки. Після цього зловмисникам залишалось лише отримати пін- код або описаними вище способами, або банально підглядаючи із-за плеча.
Спосіб сьомий:
З цим способом боротися неможливо, а можна лише змиритися. В цьому випадку ніщо не залежить від вашої уважності, обережності або передбачливості. Просто бувають випадки, коли у зговір зі зловмисниками вступають ті люди, яким добратися до ваших кредиток і так дуже просто: наприклад, службовцям банків. Це буває дуже рідко, але від таких випадків не застрахований ніхто.
Що стосується намагнічування та ембосування (нанесення на пласти- кову картку випуклих елементів), то на київському радіоринку можна абсолютно вільно придбати пристрої, що дозволяють як ембосувати карту, так і нанести на неї магнітну стрічку і «завести» відповідну інформацію. Ціна таких пристроїв — біля сотні доларів.
В Україні маштаби діяльності кардерів (людей, що займаються аферами з пластиковими картками) поки що не дуже великі. Найбільш розповсюджений вид шахрайства полягає в тому, що злочинці добувають рек- візіти карток з метою подальшого використання для здійсненя покупок в інтернет-магазинах. Копію картки при цьому робити необов'язково, а витратити чужі гроші таким чином навіть простіше.
Копіюють картки у нас поки що достатньо рідко: у багатьох українських магазинах при оплаті пластиковою карткою просять показати паспорт, а підробка паспорту—це не лише зайві клопоти, а й ще одна стаття Кримінального Кодексу. Якщо хтось такою діяльністю і займається, то частіше за все підробні картки продаються на Захід або призначені для українців, які відправляються в турпоїздки.
Якщо у2001 році шахрайство з кредитними картками обійшлося бізнесу приблизно в 9 млрд. дол. США, то до 2005-го, за оцінками Meridien Research, його обсяг сягнув більше 60 млрд. дол. США.
Ще нещодавно пластикова картка в гаманці робила її власника в очах оточуючих багатою людиною. Нині ж на це дивляться простіше: масштаби емісії платіжних карток в Україні оцінюються в мільйонах. Як результат, «пластик» можна зустріти навіть у портфелі школяра. Звісно, зросли й обсяги сервісу таких карток у торговельній мережі країни. В Законі України «Про внесення змін до Закону України «Про платіжні системи та переказ грошей в Україні» від 6 жовтня 2004 року № 2056-IV, який набрав чинності 03.11.04 р., міститься пункт, що зобов'язує торговців забезпечити можливість розрахунків платіжними картками:
«14.7. Торговці, які здійснюють підприємницьку діяльність у сфері продажу товарів, громадського харчування та послуг та які відповідно до закону повинні використовувати реєстратори розрахункових операцій, зобов'язані забезпечити можливість здійснення держателями спеціальних платіжних засобів розрахунків за продані товари (надані послуги) з використанням цих спеціальних платіжних засобів (як мінімум трьох міжнародних і/або внутрішньодержавних платіжних систем).
Умови переведення торговців на обов'язкове приймання спеціальних платіжних засобів в оплату за продані ними товари (надані послуги), винятки щодо виконання таких розрахунків окремими категоріями торговців визначаються Кабінетом міністрів України».
Технічне забезпечення можливостей здійснення розрахунків за продані товари з використанням спеціальних платіжних засобів здійснюється за допомогою так званих POS-терміналів (від англійського «point of sale terminal», тобто «термінал торгової точки»). Цей спеціальний електронний пристрій, що знаходиться у торговій точці, дозволяє зчитувати інформацію з пластикової картки (а точніше, з її магнітної смуги чи мікро- чіпа), здійснюючи зв'язок із банком-емітентом для ідентифікації даних картки та проведення операції оплати (це називають авторизацією). Такий зв'язок здійснюють каналами телефонного зв'язку, виділеними лініями, Ethernet, CDMA, інтернетом, супутниковими і радіоканалами зв'язку тощо. З карткового рахунку власника списують необхідну суму для оплати товару, а касир торговельного залу оформляє необхідні розрахункові документи. Більшість касових апаратів, що продаються в Україні, сумісні з POS-терміналами, тобто дозволяють підприємству організувати єдину розрахункову систему. Існують і так звані імпринтери—механічні пристрої, що дозволяють отримати відбиток даних картки та даних торгової точки на спеціальному чеку (сліпі), який підписують касир і покупець. Потім банк інкасує сліпи та списує кошти з карткового рахунку клієнта. Однак, у сфері торгівлі поширення набули саме POS-термінали.
Положення про порядок емісії платіжних карток і здійснення операцій з їх застосуванням було затверджено постановою правління Нацбанку України від 27 серпня 2001 року № 367. Цим документом визначаються умови діяльності з технологічного, інформаційного обслуговування торговців і виконання розрахунків із ними за операції, здійснені із застосуванням платіжних карток. Така діяльність називається еквайрин- гом. Донедавна еквайрингом займалися лише банки, але не всі, а лише ті, які одержали спеціальну ліцензію. Нині саме вони пропонують напрацьовані та найзручніші схеми. Тому, хто бажає обзавестися терміналом, насамперед потрібно знайти такий банк (еквайрингову організацію). Умови, на яких банки надають послуги еквайрингу, приблизно такі:
безкоштовне встановлення й обслуговування необхідного устаткування (POS-термінали) та програмного забезпечення; така безкоштовність — мабуть, головний плюс усієї системи еквайрингу;
складання всієї звітної документації;
безкоштовне навчання персоналу роботи з POS-терміналом;
оперативні консультації з питань, що виникають у процесі обслуговування клієнтів за пластиковими картами;
стягування банківської комісії за послуги еквайрингу;
перевірка платоспроможності картки при використанні імприн- терів;
безкоштовна інкасація чеків (сліпів) при використанні імприн- терів.
Конкретні умови зазначаються у договорі з банком. У ньому ж необхідно передбачити обов'язкові умови, що містяться в п.4.1 Положення НБУ.
Організація розрахунків з допомогою платіжних карток у магазині має низку переваг:
безпека (мінімізується можливість пограбування, втрати готівки, помилки касира в розрахунках);
економія (як мінімум, на послугах інкасації);
психологічний фактор (за статистикою, розраховуючись карткою, клієнти легше витрачають гроші, ніж при оплаті готівкою).
В той же час існують проблемні питання:
розмір банківської комісії. Він коливається від 2,5—3% по найпоширеніших картках (VISA та Mastercard) до 7% (по картках American Express). При цьому вже згаданий п.4.1. Положення містить вимогу про те, що торговець не може підвищувати ціну на товар (послугу), якщо його (її) оплачують з допомогою платіжної картки, а не готівкою. Таке зобов'язання фіксується у договорі з банком-еквайром. Це означає, що з прибутку у вигляді 10-відсот- кової націнки торговець має віддати банку третину;
термін зарахування коштів, списаних із карткового рахунку, на поточний рахунок продавця. Як правило, в договорах еквай- рингу він становить від одного до п'яти банківських днів. Та на практиці, на жаль, нерідко трапляється, коли на гроші доводиться чекати значно довше;
термін проведення розрахункової операції.
Тут можуть бути цілком об'єктивні проблеми, пов'язані з якістю телефонного чи іншого зв'язку при встановленні з'єднання між магазином і банком.
проблеми ідентифікації особи. Багато банків «забивають» у договорі умову, відповідно до якої продавець для проведення авторизації зобов'язаний вимагати у клієнта документ, що посвідчує особу (коли сума перевищує певний ліміт, встановлений у договорі). Напевно, не варто наводити статистику того, скільки людей, вирушаючи до супермаркету за покупками на вихідні, беруть із собою паспорт.
проблеми конфіденційності. Багато клієнтів негативно ставляться до того, що змушені випускати з рук картку при проведенні розрахунків.
Пояснити це легко: кількість злочинів, пов'язаних із шахрайством у сфері електронних платежів, зростає. Що вже казати, коли клієнт не просто випускає картку з рук, а й на певний час втрачає її з поля зору (наприклад, при розрахунку в ресторані). Розв'язати цю проблему мають переносні Р08-термінали. З їх допомогою офіціант може «прокатати» картку просто на столику клієнта.
ризик шахрайства при використанні платіжних карток. Наприклад, зняття з рахунку клієнта більшої, ніж потрібно, суми. Фахівцям з карткових розрахунків відомо про існування спеціальних картридерів, що зовні нічим не відрізняються від Р08-терміналів, які не лише знімають гроші з рахунку, а й зчитують і зберігають усю інформацію кредитної картки для створення її дубліката. Поки що в Україні такі прийоми практично невідомі саме через незначну поширеність кредиток. Але обсяг шах- райств у світі зростає високими темпами.
Умови переходу на використання Р08-терміналів має встановити Кабінет міністрів України. Цілком можливо, що він визначить строки переходу на використання Р08-терміналів у різних сферах торгівлі та послуг, а також обсяг товарообігу, перевищення якого потребує встановлення термінала в торговій точці, роз'яснить, чи потрібно мати стільки ж Р08-термі- налів, скільки в торговій точці РРО. Тож, напевне, те чи інше підприємство потрапить до розряду винятків. Законодавство дозволяє торгувати без РРО (насамперед ідеться про приватних підприємців, які сплачують єдиний податок) — вони, як і раніше, працюють без касових апаратів.
Згідно даних Національного банку України середні темпи приросту електронних платежів складає близько 20%. У більшості випадків користувачі просто знімали у банкоматах гроші. І лише 5% припадає на долю розрахунків у торговій мережі. На першому місці знаходяться крадіжки грошей за допомогою підробок платіжних карток, на другому місці - крадіжки, які стали можливими завдяки викраденню-втрати платіжних карток (до 35% загального обсягу). Часто громадяни зберігають картку разом з РШ-кодом, що значно полегшує тому, хто викрав картку або знайшов гаманця з карткою процес зняття грошей. Інші випадки зустрічаються значно рідше. Несанкціонований доступ до рахунку, наприклад, пов'язаний з незаконним взламуванням банківських інформаційних систем, що непросто зробити в технічному плані і пов'язано з ризиком. А крадіжки через інтернет поки в Україні малорентабельні внаслідок незначних обсягів фінансових операцій такого роду. Хоча в майбутньому таких вид кримінального бізнесу може стати прибутковим, як зараз в Європі.
Підрахувати збитки, пов'язані з комп'ютерною злочинністю в Україні, досить важко з декількох причин. Одною з головних причин є латентність правопорушень такого роду. Власники пластикових платіжних засобів не завжди повідомляють про факт викрадення грошей. Також не завжди про це правоохоронним органам повідомляють і банковські установи. У зв'язку з цим важко точно підрахувати кількість правопорушень і рівень їх розкриття. Суттєвою перешкодою є відсутність дієвої структури або механізму, які могли б забезпечити збирання подібної інформації, її аналіз, виявлення тенденцій і статистичних показників. Банківські працівники визначають рівень латентності на рівні 60%, розуміючи під цим випадки, коли клієнти беруть відповідальність на себе і не повідомляють про це ані правоохоронні органи, ані банк. Причина цього досить проста— відсутність надії на ожливість повернення втрачених грошей.
Експерти називають такі дані: річний обсяг збитків українських клієнтів від шахрайських операцій з рахунками за підсумками минулого року складає біля 300 тис. доларів США. В позаминулому році ця цифра була вдвічі меншою, що дозволяє зробити висновок: злочинність, пов'язана з платіжними картками, зростає швидше, ніж обсяги операцій з легальними пластиковими картками.
Практика показує, що у випадку розкриття злочину викрадені кошти можна все-таки повернути. Однак реальні шанси мають лише ті користувачі, які втратили суми 50-150 гривен. Це відбудеться лише тоді, коли злочинці будуть заарештовані і будуть мати необхідне для повернення збитків майно або суми грошей. Процес повернення тягнеться довго, мова про індексацію не йде. Отже, особливого прогресу в Україні з цього питання поки нема.
Поки шахраї знаходять нові способи взламування пластикових карток, фахівці намагаються знаходити все нові способи недопущення крадіжки. Виходячи з того, що стопроцентний захист можливий лише у випадку припинення бізнесу, банківські установи націлені на мінімізацію збитків. У відповідності з правилами платіжних систем банки повинні проводити моніторинг операцій карток з метою виявлення сумнівних. Після виявлення сумнівних карток всі можливі заходи повинні вживатись з метою недопущення подальших збитків: блокування рахунку, заміна карток, виявлення джерел витоку інформації тощо. Забезпечити захист клієнтів можна шляхом впровадження в картковий бізнес чіпів.
Крім того, торгова точка повинна забезпечити прозоре обслуговування, що дозволяє покупцю спостерігати процес розрахунку за допомогою картки від початку до кінця. При укладанні договору кожний банк повинен навчати власників карток і видавати їм на руки правила користування карткою. При виконанні всіх цих вимог ризик буде зведено до мінімуму.
Необхідно зауважити, що в основному договори українських фінансових установ або взагалі не містять положень щодо відповідальності у випадку шахрайства (крім втрати або крадіжки), або передбачають повну відповідальність клієнта за шахрайство з платіжною карткою. Операції, які було підтверджено РШ-кодом, повністю вважаються відповідальністю клієнта. Пояснюється це тим, що засіб доступу до рахунку було видано клієнту і тільки він може точно знати, що відбувається з його карткою, чи виконуються зобов'язання з використання платіжного засобу. Зараз відсутні чіткі і зрозумілі законодавчі механізми регулювання в цьому питанні.