Rozmowa z Dominikiem Szotkiem, Head of Credit Risk Management w First Data Polska S.A. (Fiserv).
Od jak dawna First Data Polska zajmuje się ryzykiem transakcji oszukańczych?
Nasza firma, właściciel obecnej na polskim rynku od 30 lat marki Polcard i najdłużej obecny w Polsce agent rozliczeniowy, od samego początku działalności zarządza ryzykiem transakcji dokonywanych kartami płatniczymi i innymi formami płatności bezgotówkowych. I od samego początku naszej działalności w organizacji funkcjonuje specjalny zespół, który zajmuje się przeciwdziałaniu transakcjom nieuprawnionym, popularnie nazywanym oszukańczymi. Przez te trzy dekady, wraz z rozwojem rynku płatności rozrastał się również zespół ekspertów. Dziś to pokaźnych rozmiarów departament, w którym nie przestajemy się dokształcać i rozwijać.
Czy istnieje tylko jeden rodzaj nieuprawnionych transakcji?
Organizacje kartowe typu Visa, Mastercard czy American Express, jak i wszystkie pozostałe dzielą te transakcje, ogólnie rzecz ujmując, na dwa typy. Pierwszy typ tych transakcji są to transakcje typowo oszukańcze, dokonywane przez oszustów, których czasem nazywamy „fraudsterami”. Drugi typ tych transakcji może wynikać z przyczyn typowo konsumenckich, np. opłacony produkt nie zostaje dostarczony albo usługa nie zostaje zrealizowana.
W ramach transakcji oszukańczych możemy wyodrębnić pewne grupy transakcji. Pierwszą z nich są transakcje dokonywane zgubionymi lub skradzionymi kartami. Takie karty są najczęściej wykorzystywane w terminalach płatniczych lub bankomatach przez osoby do tego nieuprawnione, ale nie są to transakcje na wielkie kwoty. Zazwyczaj w takich przypadkach autoryzacja zachodzi zbliżeniowo, więc aktualnie nie przekraczają one 100 zł.
Oczywiście, o ile właściciel karty nie zapisał PINu na karcie lub karteczce, którą umieścił w portfelu, bo zdarzają się i takie przypadki niestety, zwłaszcza wśród osób starszych. Niemniej liczba transakcji zbliżeniowych jest również ograniczona, więc nie jest możliwe, aby zrealizować dużą liczbę transakcji, dokonując płatności jedna po drugiej. Co więcej, transakcje są również ograniczone wartościowo.
Dlatego fakt zgubienia lub kradzieży karty płatniczej należy niezwłocznie zgłosić do banku - wydawcy karty. Zastrzeżenie karty to proces natychmiastowy, który skutkuje tym, że osoba niepowołana nie może już z niej korzystać. Zdarzają się również przypadki „sprytnego oszustwa”, kiedy złodziej spośród kilku kart dostępnych w portfelu wyjmuje tylko jedną. Wtedy fakt utraty karty płatniczej dużo trudniej zauważyć, a oszust ma więcej czasu, by nam zaszkodzić.
Czy taką skradzioną kartę można wykorzystać w inny sposób?
Oczywiście. Skradziona karta może również być wykorzystana do dokonania transakcji w środowisku bez obecności kart, takim jak chociażby Internet lub innego rodzaju zamówienia typu Mail Order bądź Telephone Order. Oszust, który posiada w ręku fizyczny plastyk, ma dostęp do wielu danych: numeru karty, jej ważności, kodu CVC.
Często to wystarczy, aby dokonać oszustwa kartowego, którego skutki mogą być zdecydowanie większe niż utrata 100 zł z konta. I to jest kolejny argument, aby jak najszybciej zgłosić utratę karty u wydawcy, nawet jeżeli nie jesteśmy pewni, czy ją zgubiliśmy, została nam skradziona, czy po prostu nie pamiętamy, gdzie ją zostawiliśmy.
A karty sfałszowane? Nadal stanowią duży problem?
Transakcje oszukańcze dokonywane przy użyciu kart sfałszowanych, czyli „counterfeit cards”, to proceder rynkowy, który w dużej mierze został wyeliminowany dzięki mikroprocesorom. Obecnie coraz rzadziej płacimy przy użyciu paska magnetycznego karty, co jeszcze kilka lat temu było standardem. Ponadto w naszej sieci akceptacji nie dopuszczamy do tzw. fallbacków, czyli do dokonania transakcji w sytuacji, kiedy mikroprocesor na karcie jest uszkodzony lub zniszczony.
Z satysfakcją mogę powiedzieć, że obecnie nie odnotowujemy w terminalach naszej sieci przypadków transakcji przy wykorzystaniu sfałszowanych kart. Głównie z tego właśnie powodu, że całkowicie wyeliminowana została możliwość dokonania transakcji przy użyciu paska magnetycznego, jeśli na tym pasku zapisana jest informacja, że oryginalna karta była lub jest wyposażona w mikroprocesor.
To karty, a czy zdarzają się również przejęcia całych rachunków bankowych?
Tak. Może nastąpić przejęcie rachunku bankowego łącznie z kartą albo przejęcie samego rachunku karty płatniczej. Może się to odbyć np. poprzez wykorzystanie socjotechniki lub zagrywki psychologicznej zastosowanych w bezpośrednim kontakcie z posiadaczem karty lub rachunku. Można by tu mnożyć scenariusze, bo pomysłowość oszustów jest niczym nieograniczona. Wyłudzenie danych, zwane „phishingiem”, może nastąpić przez telefon, w Internecie, nawet w aplikacji komórkowej.
Najczęstszym błędem popełnianym przez właścicieli jest w takim przypadku udostępnienie informacji na temat karty lub rachunku w niezabezpieczonym, podejrzanym środowisku albo osobie podszywającej się za pracownika banku lub sprzedawcę. Złodziej może wtedy zablokować kartę i zamówić wysyłkę nowej na inny adres niż podany w banku, może zalogować się do bankowości elektronicznej.
Dlatego pod żadnym pozorem nie wolno udzielać tak wrażliwych informacji przez telefon, jeżeli mamy choć cień wątpliwości, czy rzeczywiście rozmawiamy z pracownikiem naszego banku. Niestety ostatnio jest to plaga, że oszuści podszywają się pod instytucje finansowe bądź nawet agentów rozliczeniowych i dzwonią do klientów, identyfikując się numerami call center bądź biur obsługi klienta.
Wiele osób uwierzyło, że po drugiej stronie jest ich opiekun z banku, wobec czego podało swoje dane osobom i podmiotom nieuprawionym. Pandemia sprzyja takim wyłudzeniom, bo banki często aktualizują dane klientów w kanałach zdalnych, co złodzieje oczywiście wykorzystują. Najprostszym zabezpieczeniem przed utratą danych jest oddzwonienie do własnego banku w celu weryfikacji zgłoszenia.
W Internecie mamy łatwą możliwość sprawdzenia, czy to nasz bank i czy adres strony www jest bezpieczny. Strona internetowa banku wraz z całą e-bankowością musi być zaszyfrowana i posiadać odpowiedni, ważny certyfikat. Można to sprawdzić, klikając w kłódeczkę w pasku adresów, przed https. Jeśli nadal nie mamy stuprocentowej pewności, że jesteśmy na właściwej stronie www banku – jakieś treści lub wygląd strony budzą nasze podejrzenia – najlepiej na wszelki wypadek zrezygnować z kontynuowania podejmowanych działań.
A jak sytuacja wygląda w płatnościach bez użycia karty?
Transakcje oszukańcze dokonywane bez fizycznej obecności karty stanowią dużą grupę. Najwięcej z nich to wspomniane przeze mnie na początku transakcje MO/TO, czyli Mail Order i Telephone Order. Są to zamówienia dokonywane telefonicznie bądź mailowo poprzez podawanie danych karty – czyli jej numer, datę ważności, która jest niezbędna do dokonania takiej transakcji, i czasami, ale nie zawsze trzycyfrowego tajnego kodu CVV bądź CVC.
Zadaniem tego kodu jest autentykacja, że dane karty płatniczej są podawane przez prawowitego posiadacza i że tylko on widzi te trzy cyferki na tej karcie i nikt inny. Ale sam kod nie do końca chroni posiadacza karty. Dzieje się tak dlatego, że część danych kartowych (numer, data ważności) może ulec tzw. kompromitacji i wycieka z różnych systemów sklepowych, bankowych czy portali społecznościowych. Taki wyciek danych może też nastąpić w efekcie działania nieuczciwego pracownika takiej instytucji, ale prawie zawsze te dane wykradają hakerzy.
Czy można wykryć niepowołaną transakcję bez udziału właściciela karty?
W wielu przypadkach tak. Każda autoryzacja transakcji to długi łańcuch komunikacji pomiędzy różnymi uczestnikami rynku płatności. W trakcie płatności informacja z naszego terminala albo urządzenia innego agenta jest wysyłana do wydawcy karty, czyli do banku. Tę informację wysyła tam organizacja kartowa, np. Visa lub Mastercard. Bank w swoich systemach autoryzacji sprawdza, czy karta jest aktywna.
Zawsze też weryfikuje, czy ten klient posiada środki, a następnie dokonuje analizy ryzyka transakcji. Wyobraźmy sobie, że 85-letnia osoba płaci kartą nad ranem w klubie disco – jest to transakcja możliwa, ale raczej niecodzienna, prawda? Taka transakcja uznana za nietypową dla danego posiadacza karty może zostać szczególnie zweryfikowana. Natomiast, jeżeli wszystko jest w porządku, karta nie jest zastrzeżona, dochodzi do typowej transakcji, na rachunku są środki, bank płatność przyjmuje. I to wszystko trwa zaledwie ułamki sekund.
A o jakiej skali przestępczości mówimy?
Obecnie przez nasze systemy przechodzi ok. 90-100 mln transakcji miesięcznie i nie mówimy tu o okresie np. bożonarodzeniowo-noworocznym. Możemy wobec tego założyć, że dziennie mamy do czynienia z 3 mln transakcji. Nasza firma wprowadziła kompleksowy monitoring. Transakcje śledzimy w czasie rzeczywistym, czyli już na poziomie autoryzacji.
Następnie przyglądamy się im uważnie w plikach rozliczeniowych, najpóźniej jeden dzień po dokonaniu transakcji. W przypadku wykrycia nieprawidłowości generowany jest alert. Nasi eksperci weryfikują go i w zależności od oceny ryzyka dokonują dodatkowych czynności, kontaktując się bezpośrednio z akceptantem w celu wyjaśnienia sytuacji. Oprócz tego ściśle współpracujemy ze wszystkimi bankami na całym świecie w zakresie monitorowania transakcji i przeciwdziałaniu nieuprawnionym transakcjom.
Miesięcznie odnotowujemy ok. 500 transakcji oszukańczych. I aż 70% z nich to transakcje nisko kwotowe, dokonane zbliżeniowo. Mówimy więc o niewielkiej skali przestępczości, patrząc przez pryzmat ok. 100 mln transakcji obsługiwanych miesięcznie. To najlepszy dowód na skuteczność prowadzonych przez nas działań.
O transakcjach oszukańczych, przeciwdziałaniu prania brudnych pieniędzy można mówić bez końca, bo to jest temat rzeka. Ale to, co najważniejsze, to, że nasi klienci i konsumenci mogą czuć się bezpiecznie. Cieszy nas rosnąca świadomość zagrożeń czy upowszechnienie w e-commerce takich rozwiązań jak Generator Linków, który w ostatnim czasie mocno zyskał na znaczeniu i popularności ponieważ dzięki tej usłudze ryzyko transakcji oszukańczych zostaje zminimalizowane niemal dla zera.
Wierzę, że dzięki takim rozwiązaniom w przyszłości transakcji oszukańczych będzie jeszcze mniej. Z jednej strony, jak powiedziałem, rośnie nasza świadomość i ostrożność, a z drugiej – posiadamy coraz skuteczniejsze narzędzia wykrywania podejrzanych transakcji ale też nieustannie udostępniamy naszym klientom rozwiązania, które zapewniają bezpieczeństwo płatności bezgotówkowych.