Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"

Автор книги: авторов Коллектив

сообщить о нарушении

Текущая страница: 16 (всего у книги 22 страниц)

Рис. 4.3. Управление условиями мониторинга

Каждый факт мошенничества должен анализироваться относительно того, выявлен ли он был или мог бы быть выявлен с помощью СМТ. Если мошенничество было обнаружено с помощью СМТ, то, возможно, требуется уточнение заданных условий анализа транзакций для более раннего обнаружения подобных фактов и (или) снижения количества ложных срабатываний по немошенническим транзакциям. В случае если мошенничество не было выявлено, следует рассмотреть вопрос о добавлении новых условий анализа транзакций в СМТ для того, чтобы аналогичные транзакции могли быть выявлены в дальнейшем.

При изменении заданных условий мониторинга и добавлении новых необходимо оценивать следующие величины:

– степень выявления транзакций определенной схемы мошенничества;

– возможные потери по мошенническим транзакциям, которые могут возникнуть в результате их пропуска при заданных условиях мониторинга;

– количество ложных срабатываний по немошенническим транзакциям;

– нагрузка на операторов СМТ, обрабатывающих подозрительные транзакции;

– нагрузка на операторов call-центра, обеспечивающих взаимодействие с держателями карт для подтверждения транзакций.

4.3.5.5. СМТ на основе нейронных сетей

Из предыдущих разделов становится понятно, что современная СМТ обеспечивает анализ транзакций как минимум на основе правил. Если у банка есть квалифицированные специалисты, способные создавать правила и поддерживать их в актуальном состоянии, то этого часто будет достаточно для организации эффективной защиты от мошенничества в платежной сфере и поддержания рисков на приемлемом уровне.

Тем не менее очень привлекательной выглядит возможность использования аналитических моделей на основе нейронных сетей. Основными преимуществами таких моделей являются построение на основе классифицированных данных о транзакциях (мошеннических и легальных) и их адаптивность с учетом появления информации о новых фактах мошенничества. К минусам следует отнести сложность построения, а также необходимость наличия моделей либо для каждого клиента/ТСП, либо для характерной группы клиентов/ТСП, поведение которых является достаточно типичным. Отдельно нужно строить модель мошенника либо модели для мошенничества различных типов.

Далее в данном разделе рассмотрим один из подходов к построению аналитической модели на основе нейронных сетей.

Задача, которую предстоит решить с использованием модели на основе нейронной сети, относится к распознаванию образов – следует проанализировать транзакцию и сделать вывод о ее принадлежности классу мошеннических, либо к классу легальных транзакций. Нейронные сети, используемые для распознавания, относятся к классу многослойных персептронов (рис. 4.4).

Рис. 4.4. Многослойный персептрон с одним промежуточным слоем

Обучение такой сети происходит следующим образом: каждой входной модели транзакции (вектору информационных признаков транзакции) ставится в соответствие целевое значение О, если транзакция легальная, и 1, если транзакция нелегальная (мошенническая). Вместе они составляют обучающую пару. Для обучения требуется несколько обучающих пар, обычно не меньше произведения количества нейронов в слоях сети. По входной модели транзакции вычисляется выход сети и сравнивается с соответствующим целевым значением. Разность между выходом сети и целевым значением используется для изменения весов дуг, связывающих нейроны в слоях. Эти изменения происходят в соответствии с некоторым алгоритмом, стремящимся минимизировать ошибку. Векторы информационных признаков из обучающей выборки последовательно подаются на вход сети, ошибки вычисляются и веса подстраиваются до тех пор, пока ошибка не достигнет заданного уровня. Следует отметить, что выходным значением может быть не 0 или 1, а, например, число в интервале от 0 до 1 включительно.

Этот процесс зависит от огромного числа факторов и далеко не всегда приводит к желаемому результату. Фактически используется метод проб и ошибок. Требуется опыт работы с нейронными сетями вообще и, в частности, с моделями транзакций, чтобы получить приемлемый результат.

В рассматриваемом подходе исходные признаки транзакции являются отправной точкой. На их основе получаются расширенные признаки транзакции, после чего формируются входные данные для нейронной сети – информационные признаки транзакции.

Таблица 4.9. Исходные признаки транзакции

Относительно представленных в таблице 4.9 данных следует сделать ряд замечаний:

1. Множества мошеннических и легальных транзакций должны быть четко разделимыми, что является необходимым условием обучения нейронной сети.

2. Многие мошеннические транзакции могут быть выявлены только при анализе последовательности транзакций, только по одной сделать вывод о ее мошенническом характере часто бывает невозможно.

Из этого следует, что если множества легальных и мошеннических транзакций плохо разделимы, что встречается достаточно часто (мошеннические транзакции, например, в Интернете на I-Times или Blizzard для одного клиента могут быть вполне типичными для другого), то обучить сеть на полном наборе таких «неразделяемых» данных не получится. Именно поэтому создаются отдельные модели для каждого клиента или каждой карты/терминала, что позволяет учесть особенности транзакций по конкретной карте или конкретному терминалу.

Второе замечание приводит к необходимости расширения набора признаков, которые следует использовать для обучения нейронной сети. Пример набора таких расширенных, то есть не содержащихся непосредственно в данных текущей транзакции, признаков приведен в таблице 4.10.

Таблица 4.10. Расширенные признаки транзакции

Нейронная сеть работает с числовыми значениями, поэтому на ее вход необходимо подавать соответствующие величины. Исходные и расширенные признаки транзакции следует преобразовать в числа, которые будут являться входными значениями для нейронной сети. Вариантами преобразования признаков транзакции может быть такое, которое дает бинарные значения (например, вход сети «транзакция в банкомате» может принимать значения 1 или 0) или действительные числа (например, отношение общей суммы покупок в ТСП за сутки к среднемесячному суточному значению по карте данного клиента или карточного продукта).

Число внутренних слоев может быть подобрано экспериментально, но рекомендуется выбирать не большое их число (2–3), иначе такая топология сети может препятствовать обучению сети. Так, проводимые эксперименты с многослойными нейронными сетями прямого распространения показывали неплохие результаты (сеть обучалась, ошибка не превышала заданной пороговой величины) при наличии двух скрытых слоев.

В СМТ аналитическую модель на основе нейронных сетей можно использовать совместно с другими методами. Например, так, как показано на рисунке 4.5. Первым шагом анализа эмитентской транзакции является извлечение профиля клиента (это может быть статистический профиль, построенный без привлечения методов нейронных сетей) и оценка транзакции на соответствие этому профилю. Такая проверка позволяет учесть характерные транзакции для клиента и снизить число ложных срабатываний на легальных транзакциях, которые для других клиентов могут являться подозрительными на предмет их мошеннического характера. Если транзакция соответствует профилю, то можно считать ее не подозрительной, то есть легальной.

Рис. 4.5. Комбинированная оценка эмитентской транзакции

Если транзакция не соответствует профилю клиента, то на втором шаге проводится оценка транзакции по модели мошенничества. Такая модель может быть единой в СМТ либо их может быть несколько для мошеннических транзакций разных типов – в любом случае ранее выявленные факты несанкционированных операций по другим картам служат сигналом к тому, что и данную транзакцию следует рассматривать как подозрительную. Если шаблон мошеннического поведения применим к данной транзакции – она считается подозрительной (мошеннической).

Третьим шагом является оценка транзакции по модели нейронной сети – ни легального, ни мошеннического характера у данной транзакции не выявлено, значит, следует провести нечеткую оценку с использованием нейросети. На основе выхода сети можно будет сделать вывод о том, считать ли транзакцию легальной или подозрительной.

В заключение следует отметить, что построение и обучение нейронной сети является весьма трудоемким процессом, сильно зависящим от качества и особенностей данных. Так, необходима точная классификация мошеннических и легальных транзакций – все ошибки в такой классификации приведут к неверному обучению сети. Также важно учитывать, что легальные транзакции для одной группы клиентов могут быть признаны мошенническими для другой, и без учета этой специфики провести адекватную оценку с приемлемым уровнем ошибок достаточно сложно (если вообще возможно).

4.3.6. Выводы

Риски, связанные с мошенничеством в платежной сфере, являются ее неотъемлемой характеристикой, полностью исключить которую невозможно. Рациональным представляется подход, связанный с количественной оценкой этих рисков и применением средств и инструментов для их уменьшения, среди которых системы мониторинга транзакций в настоящее время занимают важнейшее место.

Глава 5
Процедуры минимизации рисков при работе с платежными картами

По мере увеличения масштабов карточного бизнеса вопросы минимизации рисков становятся наиболее актуальными. Как говорится в известной пословице: «Деньги сбереженные – все равно что деньги приобретенные». Сохранить заработанные средства также важно, но часто бывает значительно сложнее, чем их непосредственно зарабатывать. Поэтому все чаще мы видим в штате банков людей с красивой должностью «риск-менеджер», призванных предупреждать возникновения риска и последующих потерь для кредитной организации. На тему карточных рисков написано огромное количество различных материалов, затрагивающих все направления данного бизнеса, начиная от общих вопросов теоретического характера и заканчивая узкоспециализированными направлениями. Мы постараемся в рамках настоящей главы дать рекомендации первичных вводных относительно вопросов контроля за рисками в карточном подразделении и выделить два, на наш взгляд, основных риска при работе с картами: операционный риск, возникающий при оформлении и обслуживании карт, а также риски, возникающие у клиентов при использовании карты.

5.1. Операционные процедуры минимизации рисков в карточном подразделении

5.1.1. Хранение, перемещение и выдача заготовок и пластиковых карт

Заготовки пластиковых карт после получения от поставщика рекомендуется передавать и хранить в кассовом хранилище. Получение заготовок карт обычно производится ответственным сотрудником карточного подразделения только в случае необходимости их доставки в персонализационный центр. Физическую доставку карт рекомендуется осуществлять силами подразделения инкассации банка, равно как наличных денег и прочих ценностей. После проведения персонализации готовые пластиковые карты доставляются из персонализационного центра ответственным сотрудником банка, имеющим доверенность на получение персонализированных карт. Доставленные, но не выданные клиенту персонализированные карты хранятся в помещении с ограниченным доступом в металлическом шкафу или сейфе. Во внерабочее время шкаф или сейф запирается, а ключ сдается службе охраны под роспись в журнале.

Карты, сданные клиентами, а также испорченные заготовки карт, возвращенные персонализационным центром, должны быть уничтожены в день их получения ответственным сотрудником карточного подразделения. Во время обработки персонализированных карт сотруднику, выполняющему обработку, запрещается покидать рабочее место, оставляя на столах карты. Они должны быть сданы сотруднику, ответственному за их хранение, и помещены им в металлический шкаф (сейф).

При выдаче карт сотрудник данного подразделения должен разъяснять клиентам необходимость скорейшего информирования службы клиентской поддержки по телефону или при личном посещении офиса банка о факте утраты карты (указывая страну и город, где была утрачена карточка). При поступлении телефонного сообщения от клиента об утрате карточки, сотрудники службы клиентской поддержки блокируют ее в системе авторизации со статусом Decline или Pick Up. Факт блокировки должен быть зафиксирован в электронном журнале блокировки карт с указанием подробностей передачи запроса на блокировку.

При поступлении телефонного сообщения от клиента о краже карты, сотрудники службы клиентской поддержки должны ее блокировать в системе авторизации со статусом Pick Up. Факт блокировки также должен быть зафиксирован в журнале блокировки карт.

5.1.2. Процедуры проверки клиентов при оформлении кредитных карт

5.1.2.1. Первичная проверка клиента и документов сотрудником фронт-офисного подразделения банка (производится сотрудником, принимающим документы на выпуск карты)

Проводится проверка самоличности клиента: сличение внешнего вида клиента с фотографией в документе, удостоверяющем личность, после сличения необходимо снять копию с документа. Сотруднику банка необходимо попросить клиента предоставить (если есть возможность) дополнительно любой другой документ (водительское удостоверение, военный билет, заграничный паспорт, удостоверение служебное, разрешение на ношение оружия и т. п.) и снять с него копию. При разговоре с клиентом необходимо обратить внимание, а непосредственно после беседы зафиксировать следующие данные:

• внешний вид клиента:

– одет плохо (мятая, старая, грязная одежда и т. п.);

– выглядит плохо (небрит, не причесан, без следов использования косметики (если женщина), болезненный вид ит. д.);

• поведение клиента:

– клиент неохотно отвечает на вопросы, путается и не может вспомнить что-либо, не дает информацию для анкеты;

– нервничает, ведет себя дерзко (отвечает вопросом на вопрос, например: «Зачем вам это?», «На что это влияет?»), подробно расспрашивает о мерах воздействия на должников, допустивших просрочку.

Проводится проверка документа, удостоверяющего личность на предмет отсутствия видимых признаков подделки (далее будут приведены наиболее распространение виды мошеннических действий с паспортами):

• механическое удаление, исправление (подчистка, соскабливание, смывание, химическое вытравление) записей, печатей;

• изменение содержания первоначальных записей за счет дописок, исправлений отдельных букв, цифр, внесение в свободные графы новых записей;

• замена фотокарточки;

• замена листов;

• использование недействительного (просроченного) паспорта.

Признаки механических подделок. При осмотре листов паспорта при хорошем освещении под разными углами хорошо различима взъерошенность волокон бумаги и потеря глянцевитости в местах подчистки. При рассмотрении листов паспорта на просвет можно обнаружить утончение поверхностного слоя бумаги в местах подчистки. Места с повышенной глянцевитостью бумаги также свидетельствуют о возможных подчистках с дальнейшей их зашлифовкой. Химические вещества и растворители, попадая на бумагу, могут изменить ее цвет и поверхностную структуру, в результате чего при травлении, смывании записей часто на бумаге появляются окрашенные пятна, разводы, гладкая поверхность бумаги становится шершавой. Выявить эти признаки можно путем осмотра паспорта под разными углами освещения, а также на просвет.

Признаки изменения содержания первоначальных записей. К понятию дописки тесно примыкают дорисовки, которые изменяют конфигурацию букв, цифр и штрихов. Специальные чернила, которыми заполняются паспорта, имеют густо-черный цвет и отличаются характерным блеском. Поэтому дописки отличаются блеском и толщиной линий. При осмотре паспорта с целью обнаружения изменения содержания записей путем дописки необходимо внимательно изучить толщину, цвет и оттенок во всех письменных знаках и их частях, сравнить между собой ширину и наклон букв и цифр, а также их конфигурацию, решить вопрос о наличии или отсутствии признаков повторной обводки.

Признаки замены в паспорте фотокарточки. Фотокарточка владельца паспорта может быть заменена целиком или частично. Частичная замена фотокарточки осуществляется путем присоединения новой фотокарточки к оставленным на паспорте частям старого снимка с размещенными на них оттисками рельефной печати. Как полная, так и частичная замена в паспортах фотокарточек распознается при внимательном осмотре их поверхности под разными углами освещения. Следы отделения фотокарточки от паспорта можно обнаружить по краям фотокарточки в виде отрыва участков поверхностного слоя бумаги с имеющимися на них линиями рисунка защитной сетки. Особенно хорошо следы отделения фотокарточки видны, если прежний снимок по своим размерам был несколько большим, чем вновь наклеенный. Следует обратить внимание на наличие рельефных оттисков на вновь наклеенной фотокарточке (при подделке такие оттиски могут отсутствовать), а также на несимметричность расположения букв в строке оттиска, различную ширину и глубину штрихов, их неровные края, извилистость.

Признаки замены в паспорте листов. Одним из видов подделки паспортов является замена листов с целью уничтожения имеющихся на них различных записей и отметок. В ряде случаев листы паспорта подменяются листами из других паспортов, однако наличие на определенных листах (1, 3, 7, 9,13,19) типографского оттиска серии и номера облегчает обнаружение признаков замены листов уже при беглом осмотре паспорта, так как серии и номера на разных страницах должны совпадать между собой.

Для установления возможной замены листов в паспорте осмотр производится в следующей последовательности:

• сверяются серии и номера на каждой странице паспорта с номером, нанесенным на первую страницу;

• внимательно изучаются линии разделения листов или частей по их конфигурации, наличию и совмещению рисунков защитных сеток, наличию или отсутствию общих элементов (пятен, загрязнений, текстов и т. п.);

• изучаются участки поверхности листа вокруг обозначения серий и номеров с целью обнаружения возможной вклейки этих участков;

• осматриваются буквы серии и цифры номеров для выявления признаков подчистки и рисовки на подчищенных участках новых букв и цифр.

Использование недействительного (просроченного) паспорта. Паспорт подлежит замене по достижении его владельцем 20– и 45-летнего возраста. Для проверки действительности паспорта, замены паспорта в связи с наступлением очередного возрастного периода можно использовать простейшую программу в Excel, результатом работы которой является сообщение о валидности паспорта. Внешний вид такой программы приведен ниже, где пользователь заполняет дату рождения и дату выдачи паспорта клиентом и получает сообщение: valid – паспорт действительный, invalid – паспорт не был заменен вовремя и в настоящий момент недействителен. Такие паспорта могут быть использованы мошенниками для последующего опротестования кредитной сделки или в таком паспорте оказывается переклеенной фотография владельца (для определения этого вида подделки вернитесь к соответствующей проверке).

Возможный внешний вид программы, написанной в среде Excel для определения действительности паспорта, приведен на рисунке 5.1, жирным шрифтом выделены данные, которые вводит пользователь, сотрудник фронт-офисного подразделения для определения действительности паспорта.

После того как заполнена анкета, клиент предоставил паспорт, сотрудник банка должен проверить исходные данные в анкете, и при необходимости провести опрос клиента, а именно по возможности уточнить:

• если в анкете адрес регистрации и адрес фактического проживания отличаются, выяснить причину (сделав пометку в графе «Адрес фактического проживания») и указать время (продолжительность) проживания по указанному (фактическому) адресу;

• если в анкете не указаны городские телефоны места регистрации, фактического местожительства, мобильный телефон, выяснить, почему не указаны телефоны, при этом попросить контактные телефоны ближайших родственников и внести их в анкету (с пометкой в графу «домашний телефон» – «родственник»);

Рис. 5.1. Определение действительности паспорта с помощью Excel

• если в анкете указано имущество, выяснить долю личной собственности (машина, квартира, дача), а также уточнить, есть ли в собственности: земля; доля (%) как учредителя в коммерческой компании; или акции какой-либо компании, и если есть – информация обязательно должна быть внесена в графу «другая собственность»;

• если в анкете указано, что клиент состоит в браке, то уточнить, работает супруг(а) или нет, если нет, то в графе «Другие иждивенцы» должны быть указаны помимо находящихся на попечении других иждивенцев (инвалиды, не работающие родственники или несовершеннолетние родственники), и Ф.И.О. супруга (и);

• если в анкете указано, что клиент имеет карты других банков, уточнить вид карты и в каких банках, а если это кредитные карты или карты с разрешенным овердрафтом, то в графе «Наличие кредитов в банках» обязательно должно быть отражено название банков.

В конце беседы сотрудник банка должен предупредить клиента об ответственности за предоставление недостоверных данных и возможных при этом последствиях. (Возможный вариант: «Хотим вас предупредить, что информация, указанная вами в анкете, будет проверяться, и в случае выявления недостоверной информации вам будет отказано в выдаче карты».)

5.1.2.2. Проверка установочных данных

Выполняется сотрудником, ответственным за вопросы экономической безопасности. При этом требуется установить:

• прописан ли заявитель по указанному адресу прописки;

• существует ли реально адрес прописки, не является ли указанный адрес фиктивным;

• проживает ли реально заявитель по адресу, указанному в качестве заявленного адреса проживания;

• соответствует ли действительности указанное в качестве принадлежащего заявителю имущество: квартира, автомобиль.

5.1.2.3. Проверка данных, связанных с личностью заявителя

Выполняется сотрудником, ответственным за вопросы экономической безопасности. При этом необходимы:

• проверка, не числится ли заявитель в розыске, в ориентировках правоохранительных органов;

• проверка, не оформлен ли документ на бланке, числящемся в перечне украденных, утраченных, признанных недействительными и т. д.;

• проверка по специализированным базам на предмет выявления компрометирующих сведений;

• проверка на наличие судимостей;

• проверка, зарегистрирован ли телефон, указанный в качестве домашнего по адресу, указанному в качестве места фактического проживания;

• проверка возможности связаться с клиентом по домашнему или мобильному телефону. В случае невозможности связаться с первого раза, попытки дозвониться должны осуществляться не менее четырех раз в день, с периодичностью не чаще раза в час. Первый и последний звонок должны быть произведены в 9:00 и 21:00 соответственно. В случае невозможности связаться в течение двух рабочих дней об этом ставится отметка на заявлении;

• звонок по домашнему телефону и получение информации, проживает ли заявитель в квартире, в которой установлен телефон, указанный заявителем;

• проверка, числится ли заявитель в штате организации, указанной в качестве места работы и соответствует ли действительности указанная заявителем должность;

• проверка соответствия уровня дохода возрасту, должностному и имущественному положению (без документарного подтверждения);

• оценка финансовой адекватности:

• реалистичность оценки квартиры заявителем;

• реалистичность указанных расходов.