Виды рисков в сфере электронных платежей

Среди рисков электронных платежей выделяются:

риск утраты ликвидности (т.е. риск неисполнения эмитентом своих обязательств в результате недостаточности размера его активов);

кредитный риск (риск получения убытков вследствие неисполнения своих обязательств третьими лицами - банками-участниками, расчетными банками и пр.);

правовой риск (в результате действий или событий правового характера);

операционный риск (риск убытков в результате недостатков организации системы или злоупотребления лиц, имеющих доступ к системе);

риск потери управляемости в результате утраты руководством контроля над одним из вышеперечисленных рисков.

Экспертами Банка международных расчетов также выделяются репутационный, процентный и рыночный риски.

Однако все чаще в составе категории "операционный риск" отмечается наличие специфических рисков, которые носят самостоятельный характер и не укладываются ни в одну из вышеперечисленных категорий. Это, например, риск утраты личных данных пользователя электронных денег, риск взлома электронного кошелька, риск утраты данных или денежных средств из-за сбоя оборудования системы, риск похищения данных клиентов, осуществленного посредством хакерских атак на клиента, банк, магазин или на обслуживающий процессинговый центр и т.п.

Эффективная электронная платежная система, по мнению специалистов, - это такая ЭПС, которая может мгновенно подтверждать сделку, позволяет контрагентам напрямую обмениваться информацией и ценностями без привлечения третьей стороны, находясь внутри безопасной транзакционной среды [3].

Безопасность ЭПС имеет шесть основных уровней:

идентификация - представление всех участников сделки, у которых возникают по ней права и обязательства;

аутентификация - процесс проверки с целью убедиться, что оба участника сделки являются теми, за кого они себя выдают;

авторизация - указание на инициатора сделки;

доверие - уверенность, что ни у кого нет доступа к данным, не являющимся им функционально необходимыми;

уверенность в целости и полноте передаваемых данных во время сделки;

гарантия неотказа клиента от совершенного платежа и платежеспособности клиента.

Согласно данным опроса ВЦИОМ (осень 2012 г.), интернет-пользователи составляют 49% россиян, но только 29% из них имеют опыт шопинга в Сети.

При этом, согласно отчету компании Symantec (лето 2013 г.), убытки от киберпреступлений в мире составляют $114 млрд в год. В 2012 г. от действий хакеров и интернет-мошенников пострадал 431 млн человек. Количество жертв злоумышленников в Сети превысило число пострадавших от преступников в реальной жизни в три раза.

Только за первую половину 2011 г. нападению хакеров подверглись такие компании, как Google, Sony. В нашей стране много шума наделала хакерская атака на популярный интернет-ресурс "Живой журнал".

Киберпреступность в России набирает высокие обороты. Сегодня это уже отдельный бизнес с четко выстроенными процессами. Примерно с 2007 г. в России начались адресные кибератаки в финансовом секторе, направленные на хищение денег с банковских счетов. Хакерские сообщества стали организованными, более профессиональными. Массовые нападения на российские банки начались с 2009 г. По данным МВД России, средний ущерб по каждой удавшейся киберкраже составляет более 3 млн руб.

Росту кибермошенничества способствуют рост рынка денежного безналичного обращения, рост уровня профессионализма и финансовой подпитки киберпреступников. При этом уровень общей компьютерной грамотности остается по-прежнему низким, поэтому количество пострадавших пользователей увеличивается параллельно росту популярности финансовых услуг.

По опросу ProfiOnlineResearch (ноябрь 2012 г.), у 2% опрошенных мошенники крали с карточки деньги, еще у 16% от краж пострадали знакомые, друзья или родственники. Вернуть всю пропавшую сумму посчастливилось лишь 15% пострадавших, часть похищенного обратно получили 19%.86% краж составили суммы менее 30 тыс. руб. В успехе кражи опрошенные винят как владельцев карт (25%), так и банки (23%).

Типичная проблема при платеже в сети Интернет - попытка перехвата данных во время транзакции или похищение информации из базы данных.

Наиболее распространенный вариант мошенничества - фишинг - нацелен на получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем и личных сообщений от имени популярных брендов, банков или соцсетей. Фишеры пытаются обманным путем добиться того, чтобы пользователь посетил фальшивый сайт и ввел на нем свои конфиденциальные данные, что позволяет мошенникам получить доступ к его счетам. Практикуется также вишинг (голосовой фишинг) - тогда вместо поддельного сайта используется якобы банковский телефонный номер.

Сам термин "фишинг" известен с 1996 г. Первой известной попыткой захвата учетных записей ЭПС с целью получить доступ к финансовым данным клиентов стала атака на платежную систему e-gold в июне 2001 г. А уже к 2004 г. фишинг стал основной киберопасностью для юридических лиц. Целью фишеров сегодня являются клиенты банков и ЭПС. К 2013 г. число пострадавших от фишинга в США возросло до 5 миллионов [1].

В 2010-2011 гг. по России прокатилась волна скимминга - компрометации данных банковских карт с помощью специальных считывающих устройств, устанавливаемых на банкоматы.