Обратная связь
Отправьте нам заявку, мы свяжемся с Вами!
Нажимая Отправить Вы соглашаетесь с Политикой защиты и Обработки персональных данных
Время чтения 9 мин
Как работают онлайн-платежи: ключевые участники, риски и защита.
Онлайн-платежи — это система финансовых транзакций, включающая разных участников системы. Их работа регулируется финансовыми стандартами и механизмами безопасности. Развитие цифровых платежей сопровождается ростом мошенничества, что требует усиления контроля операций и выявления подозрительных транзакций. В статье рассмотрим ключевых участников системы, основные риски и меры регулирования.
Участники системы онлайн-платежей.
Мерчанты — юридическое лицо или индивидуальный предприниматель, принимающий онлайн-платежи за товары и услуги.
Платежный шлюз — программно-аппаратное решение, которое обеспечивает передачу данных о платеже от клиента к процессинговому центру. Он шифрует информацию о карте и обеспечивает безопасность транзакции. Платёжный шлюз может быть отдельным сервисом или интегрированной частью эквайринговой платформы.
Примеры: ЮKassa, CloudPayments, RBK Money.
Процессинговый центр — организация, обрабатывающая платежные данные, проверяющая их на корректность и передающая запросы банку-эквайеру и банку-эмитенту. Процессинговые центры играют ключевую роль в скоростной и безопасной обработке транзакций.
Примеры: Киберплат, Payture, CloudPayments.
Банк-эквайер — банк или лицензированная финансовая организация, которая обслуживает мерчанта, принимая и обрабатывая платежи клиентов. Эквайер предоставляет услуги по обработке транзакций, перечислению средств мерчанту и соблюдению требований платёжных систем.
В России эквайерами обычно выступают крупные банки, такие как Сбербанк, Тинькофф или ВТБ, но данная роль может выполняться также другими организациями с лицензией на эквайринг.
Международная платёжная система (МПС) — глобальная инфраструктура для транзакций (Visa, MasterCard).
В России действует национальная платёжная система — НПС «МИР».
Банк-эмитент — банк, выпустивший платёжную карту для клиента. Он проверяет наличие средств на счёте и одобряет или отклоняет транзакцию.
Платежный шлюз — программно-аппаратное решение, которое обеспечивает передачу данных о платеже от клиента к процессинговому центру. Он шифрует информацию о карте и обеспечивает безопасность транзакции. Платёжный шлюз может быть отдельным сервисом или интегрированной частью эквайринговой платформы.
Примеры: ЮKassa, CloudPayments, RBK Money.
Процессинговый центр — организация, обрабатывающая платежные данные, проверяющая их на корректность и передающая запросы банку-эквайеру и банку-эмитенту. Процессинговые центры играют ключевую роль в скоростной и безопасной обработке транзакций.
Примеры: Киберплат, Payture, CloudPayments.
Банк-эквайер — банк или лицензированная финансовая организация, которая обслуживает мерчанта, принимая и обрабатывая платежи клиентов. Эквайер предоставляет услуги по обработке транзакций, перечислению средств мерчанту и соблюдению требований платёжных систем.
В России эквайерами обычно выступают крупные банки, такие как Сбербанк, Тинькофф или ВТБ, но данная роль может выполняться также другими организациями с лицензией на эквайринг.
Международная платёжная система (МПС) — глобальная инфраструктура для транзакций (Visa, MasterCard).
В России действует национальная платёжная система — НПС «МИР».
Банк-эмитент — банк, выпустивший платёжную карту для клиента. Он проверяет наличие средств на счёте и одобряет или отклоняет транзакцию.
Процесс онлайн-платежа
Ключевые понятия.
Чарджбек (Chargeback) — процедура возврата средств клиенту по спорной транзакции. Запускается клиентом через банк-эмитент, если товар не был доставлен, услуга оказана некачественно или транзакция была мошеннической. Это один из способов защиты прав потребителя в системе онлайн-платежей.
3DS и MIR Accept
3DS и MIR Accept
- 3DS (3D Secure) — протокол безопасности, разработанный Visa и MasterCard для подтверждения транзакций. Включает многофакторную аутентификацию (например, ввод кода из SMS).
- MIR Accept — российская версия 3D Secure для карт системы «МИР», с аналогичными методами защиты.
Типы фрода в онлайн-платежах.
1) Мошенничество с картами — использование украденных данных карты для совершения покупок.
2) Дружественный фрод — клиент умышленно заявляет о транзакции как о мошеннической, чтобы вернуть деньги за покупку, совершённую им.
3) Фрод с возвратами — мошеннические действия, связанные с возвратом товара.
4) Подмена MCC-кодов — смена кода категории продавца для обхода ограничений или снижения комиссий.
5) Мошенничество с треугольной схемой — злоумышленник создаёт поддельный интернет-магазин, принимает заказы от покупателей, а затем использует украденные данные карт для оплаты товаров у реальных продавцов.
6) Социальная инженерия — обманные действия, направленные на получение конфиденциальной информации у владельцев карт, таких как данные карты, CVV-коды или одноразовые пароли.
7) Накрутка кешбека — злоупотребление программами лояльности, когда пользователи создают фиктивные транзакции для получения бонусов или кешбека.
8) Нежелательные P2P-платежи — переводы, инициированные без согласия отправителя, часто с использованием украденных данных аккаунта.
Система быстрых платежей (СБП).
Особенности и риски фрода в СБП.
Система быстрых платежей отличается низкими комиссиями и высокой скоростью обработки транзакций. Однако эти преимущества могут быть использованы мошенниками для реализации различных схем, таких как многократные переводы небольших сумм или подставные транзакции. Чтобы минимизировать риски, применяются индикаторы подозрительных операций (ИПО).
Индикаторы подозрительных операций.
1) Частые переводы на небольшие суммы — признак возможного дробления платежей для обхода лимитов или подозрительных транзакций.
2) Несоответствие цели платежа — указанная категория платежа не совпадает с реальным назначением (например, перевод заявлен как личный, но используется для оплаты услуг).
3) Активность с незарегистрированных устройств — использование новых устройств для проведения транзакций без предварительной регистрации вызывает подозрение.
4) Повышенная активность новых пользователей — создание большого числа учётных записей или карт, используемых для перевода средств.
5) Многократное использование одного QR-кода — указывает на возможное мошенничество, связанное с фиктивными получателями.
6) Переводы между связанными аккаунтами — постоянные операции между одними и теми же участниками могут указывать на схемы отмывания денег или фиктивные сделки.
Как работают ИПО.
Каждый из этих индикаторов фиксируется системой мониторинга, которая анализирует транзакции в реальном времени. При обнаружении подозрительных операций транзакция может быть временно заблокирована, а у пользователя запрашиваются дополнительные данные для проверки транзакции.
Эти индикаторы используются в соответствии с требованиями законодательства о противодействии отмыванию денег и финансированию терроризма (ПОД/ФТ), включая нормы 115-ФЗ. Они помогают своевременно выявлять и предотвращать подозрительные операции, соответствуя российским и международным стандартам финансовой безопасности.
Система быстрых платежей отличается низкими комиссиями и высокой скоростью обработки транзакций. Однако эти преимущества могут быть использованы мошенниками для реализации различных схем, таких как многократные переводы небольших сумм или подставные транзакции. Чтобы минимизировать риски, применяются индикаторы подозрительных операций (ИПО).
Индикаторы подозрительных операций.
1) Частые переводы на небольшие суммы — признак возможного дробления платежей для обхода лимитов или подозрительных транзакций.
2) Несоответствие цели платежа — указанная категория платежа не совпадает с реальным назначением (например, перевод заявлен как личный, но используется для оплаты услуг).
3) Активность с незарегистрированных устройств — использование новых устройств для проведения транзакций без предварительной регистрации вызывает подозрение.
4) Повышенная активность новых пользователей — создание большого числа учётных записей или карт, используемых для перевода средств.
5) Многократное использование одного QR-кода — указывает на возможное мошенничество, связанное с фиктивными получателями.
6) Переводы между связанными аккаунтами — постоянные операции между одними и теми же участниками могут указывать на схемы отмывания денег или фиктивные сделки.
Как работают ИПО.
Каждый из этих индикаторов фиксируется системой мониторинга, которая анализирует транзакции в реальном времени. При обнаружении подозрительных операций транзакция может быть временно заблокирована, а у пользователя запрашиваются дополнительные данные для проверки транзакции.
Эти индикаторы используются в соответствии с требованиями законодательства о противодействии отмыванию денег и финансированию терроризма (ПОД/ФТ), включая нормы 115-ФЗ. Они помогают своевременно выявлять и предотвращать подозрительные операции, соответствуя российским и международным стандартам финансовой безопасности.
Компании-поставщики решений для онлайн-платежей.
Компании, такие как ООО «КБ ТехноСкор», разрабатывают технологии для анализа транзакций, предотвращения фрода и обеспечения безопасности данных. Они поддерживают банки, платёжные платформы и мерчантов.
Основные решения:
Основные решения:
- Мониторинг транзакций — автоматическое выявление подозрительных операций.
- Интеграция систем — подключение платёжных шлюзов и соблюдение законодательства.
- Защита данных — минимизация рисков утечек.
ФинЦЕРТ ЦБ РФ и защита клиентов.
Центр мониторинга и реагирования на кибератаки (ФинЦЕРТ).
Подразделение Банка России, которое мониторит угрозы в финансовом секторе, разрабатывает рекомендации и взаимодействует с банками для минимизации рисков утечек данных. ООО «КБ ТехноСкор» активно сотрудничает с АСОИ ФинЦЕРТ, интегрируя передаваемые данные (фиды — информационные потоки) для оперативной блокировки подозрительных операций в соответствии с установленными регламентами.
Операции без согласия клиента.
Согласно законодательству РФ, банк обязан вернуть деньги клиенту за операцию, совершённую без его согласия, если не докажет, что клиент сам нарушил правила безопасности.
Подразделение Банка России, которое мониторит угрозы в финансовом секторе, разрабатывает рекомендации и взаимодействует с банками для минимизации рисков утечек данных. ООО «КБ ТехноСкор» активно сотрудничает с АСОИ ФинЦЕРТ, интегрируя передаваемые данные (фиды — информационные потоки) для оперативной блокировки подозрительных операций в соответствии с установленными регламентами.
Операции без согласия клиента.
Согласно законодательству РФ, банк обязан вернуть деньги клиенту за операцию, совершённую без его согласия, если не докажет, что клиент сам нарушил правила безопасности.
Заключение
Онлайн-платежи — это сложная экосистема, где ключевую роль играют мерчанты, платёжные шлюзы, банки и регуляторы. Компании, такие как ООО «КБ ТехноСкор», разрабатывают решения для предотвращения фрода и защиты данных. Глубокое понимание этих процессов помогает пользователям и компаниям эффективно управлять рисками и защищаться от мошенничества.
Онлайн-платежи — это сложная экосистема, где ключевую роль играют мерчанты, платёжные шлюзы, банки и регуляторы. Компании, такие как ООО «КБ ТехноСкор», разрабатывают решения для предотвращения фрода и защиты данных. Глубокое понимание этих процессов помогает пользователям и компаниям эффективно управлять рисками и защищаться от мошенничества.
Была статья ли полезной?