Источник (Oborot.ru): "Риски, возникающие при приеме платежей с использованием пластиковых карт при расчетах в сети Интернет
При знакомстве с этой статьей некоторые термины
могут показаться незнакомыми человеку, не занимающимся профессионально
платежными системами. Поэтому в начале приведем краткий справочник специальных
слов, встречающихся в публикации.
Банк-эквайер – банк, предоставляющий услуги приема к оплате кредитных/
дебетных карт
Биллинговая компания, биллинг – компания, предоставляющая возможность
принимать оплату по кредитным картам и взимающая с этого определенный процент.
Об отличиях между платежной системой и биллингом читайте в статье.
Международная платежная система – Visa, MasterCard и т.п.
Платежная система, интернет-пеймент гейтвей, internet payment gateway, ИПГ – организация, служащая посредником между покупателем, продавцом и банком в
осуществлении платежей
Фрод, fraud – мошенничество, в данном случае, с применением банковской
карты
Чарджбэк, charchgeback – платеж, опротестованный владельцем банковской
карты
Эквайеринг, aquiring – услуга приема кредитных и дебетовых карт, которую
предоставляет банк
На данный момент существуют три варианта приема платежей на сайтах, продающих товары или услуги через сеть Интернет:
1. Прием платежей непосредственно сайтом, который сам обеспечивает транспорт транзакции до платежного центра (ПЦ) банка-эквайера (БЭ), т.е. прямое подключение торговца к банку-эквайеру. Это редко встречающийся вариант подключения, в котором все риски перед международной платежной системой (МПС) ложатся на продавца товаров или услуг.
2. Прием платежей через платежную систему (или, как ее еще называют, интернет-пеймент гейтвей /internet payment gateway / - ИПГ), обеспечивающую прием транзакции и ее транспорт к процессинговому центру банка-эквайера, который обслуживает фирму-владельца сайта. В этом случае эквайринговой точкой для международных платежных систем является сам сайт, продающий товары или услуги, а значит, как и в первом пункте, возможные санкции международной платежной системы налагаются именно на фирму-владельца. То есть риски перед МПС здесь несет непосредственно продавец товаров/ услуг.
3. Прием платежей через биллинговую компанию (биллинг), которая так же, как платежная система, берет на себя функцию транспорта транзакции до банка-эквайера, но при этом выполняет еще ряд функций: мониторинг и управление рисками, организацию доступа к детальной статистике по транзакциям и обеспечение расчетов с владельцами сайтов, подключенных к биллингу. В данном случае эквайринговой точкой, видимой международной платежной системе, является сам биллинг, а все его клиенты (сайты, подключенные к биллингу) не видны МПС. Соответственно, возможные санкции со стороны международной платежной системы применяются в данном случае не непосредственно к продавцу товаров (услуг), а к биллингу как к эквайринговой точке - то есть к организации, не продающей что-либо, а обслуживающей платежи.
Рассмотрим преимущества и недостатки каждого из вариантов для интернет-магазинов.
Итак, вариант N1 - точка продажи товаров/ услуг подключена напрямую к платежному центру банка-эквайера. Это наиболее архаичный путь приема платежей, имеющий право на существование либо в условиях неразвитости инфраструктуры сети Интернет как торговой среды, либо при обслуживании очень крупного интернет-магазина с большим оборотом (хотя бы несколько сотен тысяч долларов в месяц). В данном варианте все стороны вынуждены помимо выполнения своих непосредственных функций заниматься несвойственным им делами. То есть, банк должен разработать специализированное программное обеспечение для приема платежей через Интернет и следить за состоянием интернет-каналов до платежного центра.
Магазину же, помимо самой торговли, приходится заниматься обеспечением транспорта транзакции до платежного центра, организацией дорогостоящей защиты своего сервера от кражи данных о кредитных карточках клиентов, отслеживать транзакции с целью выявления потенциально мошеннических платежей, содержать отдел поддержки, связанный не только непосредственно с продажами, но и с вопросам, касающимся транзакций. Если даже банк и захочет брать на себя несвойственные ему функции, то интернет-магазин должен вложить слишком большие средства в создание инфраструктуры, способной решать чуждые ему вопросы, а также заложить в свой бюджет деньги на повседневное решение этих проблем.
Такое под силу только торговцам с большими оборотами. Причем безубыточность взваливания на себя вышеперечисленных непрофильных для продавца функций при наличии нескольких сотен тысяч долларов оборота в месяц - это оптимистичный прогноз (если, конечно, подходить к делу серьезно и не надеяться на 'авось пронесет', особенно в случае защиты от мошенничества).
Вариант N2 - обслуживание через платежную систему, обеспечивающую прием транзакции и ее транспорт до платежного центра (ПЦ) банка-эквайера. Этот вариант гораздо прогрессивнее, нежели подключение торговцев непосредственно через банк. Ведь система может осуществить прием платежей, их транспорт до ПЦ и обеспечить защиту конфиденциальных данных гораздо лучше, чем интернет-магазин. Упрощается процесс регистрации новых магазинов, так как специалисты системы разрабатывают простую схему подключения, рассчитанную на неспециалистов и не требующую специальных навыков или знания терминов. С работниками платежного центра и банка-эквайера работники системы разговаривают на одном языке и способны реализовывать сложные в техническом плане варианты транспорта транзакций в платежный центр.
К недостаткам этого варианта относится то, что интернет-магазинам все равно необходимо заниматься непрофильным делом, а именно, отслеживать потенциально мошеннические транзакции и вкладывать немалые деньги в организацию и обеспечение этого процесса немалые деньги. Здесь перед магазинами опять встает дилемма: либо инвестировать солидную сумму в защиту от мошенничества немалые деньги, что под силу только магазинам с большими доходами, либо не делать ничего, а потом разводить руками и говорить 'ну вот, видите, как получилось'. На данный момент чаще всего имеет место второй сценарий, особенно это касается сайтов, продающих что-либо без физической доставки товара (а именно этот тип сайтов наиболее успешно ведет бизнес в Сети).
Кроме этого, российские системы, занимающиеся обслуживанием платежей с использованием пластиковых карт (я имею в виду Assist и Cyberplat ), не предоставляют возможностей интернет-магазинам отслеживать риски. Принимая транзакции на своем сервере (и это правильно!), они не дают интернет-магазину никакой информации, по которой можно было бы судить о подозрительности пришедшей транзакции (и вот это уже неправильно). В итоге даже интернет-магазины, желающие активно управлять рисками, а не ждать прихода чарджбэков сложа руки, не имеют возможности это делать, так как не видят основные параметры транзакции (как единичной, так и в целом общее количество транзакций по своему сайту).
В целом же платежные системы, работающие на российском рынке, можно отнести не чисто к варианту N2, а к промежуточному между вариантами N2 и N3. Эти системы берут на себя часть функций, свойственных биллингам, но при этом декларируют свою ответственность исключительно в вопросах транспорта транзакции и обеспечении недоступности конфиденциальных данных никому кроме них и платежного центра. Это является необходимым, но не достаточным условием обеспечения безопасности интернет-эквайринга.
Вариант N3 - обслуживание через биллинг. Биллинг, так же, как и платежная система, берет на себя организацию транспорта транзакции до платежного центра банка-эквайера, но при этом выполняет ряд других важных функций. Главная из этих функций - это предупреждение и выявление потенциально мошеннических транзакций еще до прихода чарджбэков по этим транзакциям (мониторинг рисков и управление ими). Биллинг, в отличие от платежной системы, кровно заинтересован в эффективном управлении рисками, так как жизнь биллинга ограничена жизнью его как эквайринговой точки, зарегистрированной в международной платежной системе. А значит, если у него начнутся неприятности из-за большого количества недействительных операций, и эквайринговая точка попадет под штрафы МПС, то эти штрафы придется выплачивать самому биллингу. Это совершенно закономерно - ведь он берет на себя мониторинг и управление рисками и должен деньгами отвечать за уровень своего профессионализма в этом вопросе.
Поэтому среди биллинговых компаний существует своеобразный 'естественный отбор' - если компания способна противостоять онлайновому мошенничеству и не превышать допустимых международной платежной системой уровня чарджбэков, значит она продолжает жить и развиваться дальше. Если же уровень профессионализма отдела безопасности биллинга не очень высок, тогда вряд ли этот биллинг проживет долго - либо он 'умрет' естественной смертью', не выдержав груза чарджбэков и последующих штрафов от международной платежной системы, либо будет искать новые банки-эквайеры, через которые сможет проработать несколько следующих месяцев.
Естественно, когда приходят чарджбэки и сопутствующие им штрафы, биллинги стараются не изымать деньги из своего кармана. В конце концов, не они продавали товары /услуги - биллинг только обслуживал платежи на подключенных к нему сайтах. Соответственно, он эти деньги постарается 'изъять' с владельцев этих сайтов. Насколько эффективно ему удастся это сделать зависит от того, как построена система финансовых взаиморасчетов биллинга с сайтами, которые он обслуживает, а также от того как точно отдел безопасности биллинга сумел спрогнозировать уровень чарджбэков на каждом сайте. При организации борьбы с мошенничеством необходимо также не 'отлучать' владельцев обслуживающихся сайтов от этой борьбы, а наоборот - привлекать их к ней.
Для того, чтобы люди покупали в интернет-магазине (да и в обычных реальных магазинах тоже), необходимо, чтобы в этом магазине был поток посетителей - тогда не все, но некоторые из них совершат покупку. При этом естественно, что чем больше посетителей и чем выше их "качество", тем больше будет продаж. Зачастую владельцы магазинов не сами обеспечивают этот поток посетителей, а заключают соглашение с партнерами. Если кто-либо из их посетителей купит какой-либо товар/ услугу, то партнер, который привел этого покупателя, получит определенный процент от суммы денег, уплаченной посетителем в интернет-магазине. Получается, что мошенничеством с целью извлечения прибыли имеет возможность заниматься не только держатель карточки (купивший что-либо в интернет-магазине и желающий отказаться от платежа, получив уже все что ему нужно) или владелец интернет-магазина, но и партнер, которому причитается процент с каждой транзакции.
Владелец сайта сам должен быть заинтересован в возможности контролировать транзакции. Ведь чарджбэки все равно придется в конечном случае выплачивать ему, да и размер временно удерживаемой суммы с продаж в качестве резерва тоже зависит от количества недействительных операций. Чтобы привлечь владельца сайта на свою сторону в деле борьбы с мошенничеством, необходимо предоставлять ему в статистике максимально большое количество параметров по продажам на его сайте с разбивкой по партнерам. Самый простой пример участия владельца интернет-магазина в борьбе с мошенничеством - это показывать ему не только количество успешно проведенных транзакций, но и количество отказов в авторизации, желательно, с причинами отказа. Если владелец сайта видит, что по какому-то из его партнеров процент неуспешных транзакций намного превышает средневзвешенный процент, он вполне может написать биллингу письмо и отказаться от услуг этого партнера. Это только один пример из того, как можно привлечь владельцев сайтов на свою сторону в борьбе с мошенническими транзакциями.
Теперь разберемся, кто при каждой из схем работы несет риски перед международными платежными системами. По правилам платежных систем, риски несут эквайринговые точки. Если они не способны выполнить свои финансовые обязательства по пришедшим чарджбэкам от держателей карт и по штрафам, наложенным международными платежными системами на торговые точки за превышение допустимого уровня чарджбэков, то эти обязательства переходят на банк-эквайер, который обслуживает данную точку. То есть:
- При варианте 1 (непосредственное подключение к банку-эквайеру) риски несет владелец интернет-магазина. В случае, если он не способен погасить финансовые обязательства, произошедшие вследствие наступления этих рисков, то ответственность переходит к банку-эквайеру.
- При варианте 2 (подключение через платежную систему) ситуация такая же. Платежная система находится 'сбоку' и никак не несет ответственность по рискам интернет-магазина.
- При варианте 3 (подключение через биллинг) риски несет биллинговая компания, которая должна распределить эти риски между своими клиентами. Если клиенты не способны погасить задолженность, это делает биллинговая компания. Если биллинговая компания, в свою очередь, не способна погасить задолженность, то риски перед международными системами переходят на банк-эквайер.
Здесь я постараюсь рассмотреть, какие из тех вариантов, которые я описал выше, присутствуют на данный момент на рынке и какими особенностями они обладают.
Начнем опять с варианта N1 - то есть с приема платежей на сайте, который подключен напрямую к платежному центру банка-эквайера. На данный момент эта схема практически не применяется, так как на рынке появились уже более прогрессивные варианты бизнеса типа работы с платежной системой (единым техническим оператором) или биллинговой компанией и, в свою очередь, еще не "выросли" столь крупные интернет-магазины типа Amazon.com, которым было бы выгодно тащить на себе воз 'непрофильных' проблем, которые подразумевает этот вариант приема платежей. Хотя в будущем, когда электронная коммерция в РФ приобретет такой размах, что появятся магазины-гиганты, этот вариант снова может возродиться.
Вариант N2 - работа через платежную систему. В данный момент на российском рынке существует несколько компаний, которые работают в этой сфере. Наиболее известные платежные системы в России – это 'Киберплат' и 'Ассист'. Поэтому, рассматривая состояние рынка приема платежей с помощью кредитных карт в сети Интернет через платежные системы, я буду рассматривать работу через эти две компании.
'Киберплат' и 'Ассист' принимают на себя ответственность исключительно за транспорт транзакции до платежного центра банка-эквайера. Между тем, указанные компании заявляют, что производят мониторинг транзакций на предмет выявления фродовых операций. К сожалению, процесс мониторинга транзакций происходит таким образом, что торговец, подключенный к этим платежным системам, абсолютно лишен возможности видеть детали транзакции. Я не говорю о полном номере карты - это правильно, что торговцу не дается полный номер карты – неизвестно, как обстоит с безопасностью его сервера, кто имеет доступ к конфиденциальным данным, существует ли вообще какое-либо разграничение доступа и т.д.
Однако торговец полностью лишен возможности самостоятельно отслеживать и управлять рисками и вынужден надеяться лишь на эффективность мониторинга платежной системы. В случае прихода чарджбэков, как-то сразу всеми забывается, что транзакции мониторились системой, и торговец не имеет никакой возможности влиять на уровень недействительных операций на своем сайте. Ответственность за превышение уровня чарджбэков все равно возлагается на торговца. Поэтому, по-моему мнению, нынешние платежные системы, действующие в России, нельзя назвать 'чистыми' ИПГ - они берут на себя почти все функции биллинговой компании за исключением ответственности за антифродовый мониторинг. По сути и 'Ассист', и 'Киберплат' в России являются биллингами, находящимися в привилегированных условиях - они не несут никакой ответственности за свою работу. За исключением приема транзакции на своем сервере и транспорта транзакции до платежного центра банка-эквайера. Прим. ред. Это не совсем верно в отношении "Ассиста". На сайте компании заявлена возможность настройки параметров приема платежей самим торговцем.
Я ни в коей мере не могу упрекать системы мониторинга рисков и управления ими компаний 'Ассист' и 'Киберплат'. Именно 'не могу', так как просто не знаю как они действуют, какие транзакции принимают, а какие - отвергают. И этого не знает никто, кроме сотрудников этих компаний. И именно этот факт - то, что торговец не может влиять на антифродовую политику своего сайта, отвечая при этом за ее эффективность - и является, на мой взгляд, главным препятствием развития рынка интернет-эквайринга в России. Ведь банки, обслуживая интернет-торговца, имеют в виду, что мониторинг рисков и управление ими осуществляется интернет-магазином, а интернет-магазин уверен в том, что эти функции хорошо выполняет платежная система, однако возможности эффективно делать это самому у него нет. При этом платежная система выполняет-таки мониторинг и управление рисками, но когда приходят чарджбэки, то выясняется, что виноват интернет-магазин. А в чем он виноват, скажите мне? В том, что система приняла покупателя с его сайта и получила все данные о нем, платежный центр авторизовал транзакцию, а торговец получил от системы уведомление о том, что 'все ОК'?
Для банка еще хорошо, если ему попался богатый владелец интернет-магазина. Тогда банк его еще в случае чего 'прижать' сможет и получить недостающие на чарджбэки деньги. А если попался не очень богатый? Тогда банк со скрипом, но вынимает-таки деньги из своего кармана - портить отношения с международной платежной не хочется! В итоге у нас оказываются двое разочарованных в электронной коммерции (банк-эквайер и торговец) и один 'как бы сбоку' (платежная система).
Вариант N3 - работа через биллинговую компанию - то есть каждый владелец сайта работает как субмерчант биллинговой компании. Это вариант существует. Но пока имеет место четкое разделение по сайтам, которые обслуживаются биллингами. В основном это продажа цифрового контента - то есть сайты для взрослых, продажа программного обеспечения путем скачивания его с сервера поставщика, продажа услуг хостинга и т.д. В то же время необходимо отметить, что это наиболее прибыльный сегмент рынка в Сети, и именно на нем и делаются основные деньги в электронной коммерции не только в России, но и во всем мире. Кроме того, именно в этих сегментах рынка наши электронные бизнесмены успешно и на равных конкурируют со своими зарубежными коллегами
Необходимо отметить, что во многих случаях опыт работы банков с биллингами нельзя назвать удачным. Это связано с тем, что, во-первых, именно в тех сферах бизнеса, которые обслуживают биллинги, наиболее распространены попытки совершения онлайнового мошенничества, а во-вторых, биллинговые компании создавались в основном дилетантами в этой области.
Вспомните сколько банков появилось в начале 90-х годов в России и сколько из них выжили? С биллинговыми компаниями произошло то же самое. Так как специалистов в этой сфере на тот момент не было вообще, то банкам, принимавшим на обслуживание эти биллинговые компании, было не из кого выбирать. Вспомните, как миллионы людей несли деньги в банк 'Чара', 'МММ', 'Хопер-инвест' и т.д. Тем не менее никто не говорит сейчас о том, что банки не нужны, так как был банк 'Чара', что не стоит покупать газпромовские ценные бумаги из-за того, что ценные бумаги выпускали 'МММ' и 'Хопер-инвест'. Так же и с биллингами - период эйфорического увлечения возможностями, которые открыл для бизнеса Интернет, вынес на поверхность много пены в лице дилетантов, создавших программное обеспечение для биллинга 'на коленке' и посчитавших, что транзакцию нужно только принять - а там деньги получены, пропиты или прогуляны - и все - больше никаких проблем. Конечно, и мошенники залезали в этот бизнес.
Но сейчас ситуация меняется. И, как ни странно, людей, работающих в сфере предоставления биллинговых услуг, заставил профессионализироваться кризис электронной коммерции, начавшийся в 2000-м году. Банки, которые 'обожглись' на дилетантах, начали очень взвешенно подходить к оценке предприятий, которые хотят обслуживаться у них по интернет-эквайрингу.
Биллинговые компании принимают на себя ответственность перед банком и международной платежной системой за все транзакции, которые проходят через них, то есть несут ответственность за прием транзакции на своем сервере, транспорт транзакции до платежного центра, мониторинг входящих транзакций на предмет выявления потенциально мошеннических транзакций, мониторинг транзакций и после их совершения на предмет выявления фрода. За каждый процесс, который биллинговые компании выполняют, эти компании несут ответственность - если придет чарджбэк, то этот чарджбэк придет не на сайт, который обслуживается биллингом, а на сам биллинг (с точки зрения международной платежной системы и банка-эквайера). И это, в принципе, правильно, так как каждый должен нести ответственность за те задачи, решение которых он взял на себя. Другое дело, что перед тем, как начать работать с биллинговой компанией, необходимо убедиться в ее профессионализме - то есть в том, как налажено обеспечение процесса безопасности на каждой из стадий. А 'стричь' все биллинговые компании 'под одну гребенку' - это, на мое взгляд, то же самое, что сравнивать 'Альфа-банк' или 'МДМ' с банком 'Чара'.
Источник (Oborot.ru): "Риски, возникающие при приеме платежей с использованием пластиковых карт при расчетах в сети Интернет