17 августа 2012, 16:17
Количество просмотров 1012

Практика претензионной работы в российских банках

Станислав Черняк, начальник претензионного отдела банка УРАЛСИБ Как утверждает одно известное высказывание, в тот же самый день, когда...
Практика претензионной работы в российских банках


Станислав Черняк, начальник претензионного отдела банка УРАЛСИБ

Целые разделы правил платежных систем, многочисленные публикации и статьи описывают, как правильно следует организовывать и проводить работу в области риск-менеджмента с целью предотвращения и минимизации потерь от мошенничества по платежным картам. Однако, по нашему мнению, сократить объемы потерь позволяет не только грамотно поставленный риск-менеджмент. Необходимо помнить, что обычно работа с мошенническими операциями проходит в банке в несколько этапов, а именно:
I этап – Мероприятия, относящиеся к риск-менеджменту, т. е. мониторинг подозрительных операций, выявление мошеннических операций, проведение мероприятий, направленных на их предотвращение, информирование платежных систем и т.д.
II этап – Проведение претензионной работы по прошедшим мошенническим операциям.
III этап – Работа по отнесению сумм мошеннических операций на убытки или страховку (при невозможности отнесения убытков на держателей карт или торговые точки).

Все три этапа тесно взаимосвязаны между собой. Так, если подразделением, ответственным за риск-менеджмент, оперативно выявлена и качественно отработана мошенническая активность, то и сотрудникам, ответственным за проведение претензионной работы, придется проводить процедуру опротестования по меньшему количеству успешных мошеннических операций. В свою очередь, чем качественнее проведена претензионная работа, тем меньшие суммы относятся на убытки банка, его клиентов или страховые компании. Есть и обратная связь. Иногда подразделение рискменеджмента получает информацию о мошеннических операциях, которые трудно выявить в процессе мониторинга, непосредственно от претензионного подразделения, принявшего соответствующее заявление клиента. Кроме того, проведение претензионной работы именно по мошенническим операциям требует обязательного формирования сообщений через системы SAFE и FRS, что входит в функции именно риск-менеджмента.

В рамках настоящей статьи мы уделим особое внимание прежде всего второму этапу, а именно – тому вопросу, как, по нашему мнению, следует проводить претензионную работу по мошенническим операциям, так как зачастую грамотно выстроенная претензионная работа (при этом иногда срабатывает и фактор везения) позволяет снизить или вообще избежать финансовых потерь.
Станислав Черняк– начальник претензионного отдела ОАО “УРАЛСИБ”. Курирует такие направления деятельности банка, как претензионная работа, клиентская поддержка, риск-менеджмент, повышение компетенции специалистов банка в данных областях. В УРАЛСИБ пришел в 1997 г., начав свою деятельность в направлении развития карточного бизнеса банка. Ранее занимал должности в Автобанке и Автобанк-Никойле. Родился 24 декабря 1976г. Имеет диплом Учетно-финансового факультета Московского Государственного Университета Коммерции при Министерстве внешних экономических связей РФ.


Обращаясь к первоисточнику

Итак, первое, на что необходимо обратить внимание при проведении претензионной работы по мошенническим операциям, – это те основополагающие принципы разделения ответственности за мошеннические операции между эквайером и эмитентом, которых придерживаются платежные системы Visa International и MasterCard Worldwide. В соответствии с существующей на сегодняшний день концепцией ответственность за все мошеннические операции, кроме операций в сфере электронной коммерции и MOTO, несет эмитент (прежде всего мы имеем в виду операции по утерянным, украденным и поддельным картам). Что касается ответственности за операции по фальсифицированным картам, основные потери от которых несут банки-эмитенты, то соответствующие положения можно найти в мануалах VIOR VOLUME I (глава RISK MANAGEMENT, раздел Counterfeit Losses) и Security Rules and Procedures (глава Fraud Loss Control Standards , раздел Responsibility for Counterfeit Loss). Ответственность может быть перенесена с эмитента на другого участника транзакции только в случае имевших место доказанных нарушений правил платежных систем, в результате которых стало возможным осуществление мошеннической операции. Общие рассуждения о том, что клиент, например, находился на момент прохождения операции в другой стране, не принимаются платежными системами в качестве такого доказательства – эмитенту необходимо доказать нарушение эквайером (или его торговой точкой) конкретного пункта правил. Сюда же можно отнести и переход ответственности в рамках специальных программ, т.е. различных Liability Shift, к рассмотрению которых мы вернемся позднее. Таким образом, если действия эквайера были признаны корректными, то эмитенту практически невозможно оспорить мошенническую операцию. К “счастью” для эмитентов, как показывает практика, эквайеры регулярно ошибаются, и задача эмитента заключается в том, чтобы найти такую ошибку и грамотно ей воспользоваться.

Стандартные методы опротестования

Переходя к рассмотрению собственно порядка проведения претензионной работы, мы выделяем два пути: стандартный и нестандартный. Под стандартным понимается опротестование операций по причинам, которые описаны кодами Chargeback и случаями Compliance. При стандартном варианте предпочтительней использовать те коды, применение которых требует наименьших трудозатрат. Разумеется, не в ущерб качеству претензионной работы.

Вначале рассмотрим порядок опротестования мошеннической операции с присутствием карты и ее держателя (Card Present), в роли которого выступил мошенник, т.к. опротестование операций в сфере MOTO и Electronic Commerce, относящихся к операциям Card Not Present, имеет свои особенности и будет рассмотрено чуть позже.

Прежде всего необходимо сформировать и отправить через системы SAFE и FRS сообщения о мошеннических операциях. Помимо выполнения требований платежных систем в ряде случаев эмитент может получить сообщение о праве опротестовать операцию в связи с нахождением торговой точки, где прошла мошенническая операция, в списке точек, на которые открыто так называемое chargeback window (код 93 Visa и 4849 MasterCard). Как показывает практика, иногда это может оказаться единственной возможностью опротестовать такие операции, как, например, оплата проезда по платным автотрассам, мостам, туннелям и т.п.

Затем целесообразно проверить, не допущены ли нарушения, позволяющие использовать коды Chargeback из “авторизационной” и “процессинговой” групп.
В соответствии с существующей на сегодняшний день концепцией ответственность за мошеннические операции, кроме операций в сфере электронной коммерции и МОТО, несет эмитент
По сути, необходимо получить ответы на следующие вопросы:

1. Авторизована ли операция и не был ли получен отказ на авторизационный запрос? (возможность использования кодов 72 или 71 Visa, 4808 или 4847 MasterCard);

2. Не находилась ли карта в бюллетене изъятых карт на момент прохождения подлимитной операции? (возможность использования кодов 70 Visa, 4807 MasterCard);

3. Не проведена ли операция по карте с истекшим сроком действия? (возможность использования кодов 73 Visa, 4835 MasterCard);

4. Вовремя ли представлена операция к оплате? (возможность использования кодов 74 Visa, 4842 MasterCard);

5. Нет ли двойного процессирования операции? (возможность использования кодов 82 Visa, 4834 MasterCard);

6. Не нарушены ли правила проведения операции в устройстве типа CAT? (возможность использования кодов 96 Visa, 4808 или 4847 MasterCard).

Преимуществом использования всех приведенных кодов является то, что они гарантируют опротестование операции практически со 100%-ной вероятностью при минимальных трудозатратах: нет необходимости запрашивать копии документов по операции, а также посылать сопроводительную документацию (кроме кода 4847 MasterCard).

Если ни один из кодов “авторизационной” и “процессинговой” групп не подходит, и при этом карта чиповая, нужно проверить, нет ли возможности опротестовать операцию в рамках действующих положений программы Liability Shift по мошенническим операциям по чиповым картам. Под “Liability Shift” понимается перенос с эмитента на эквайера финансовой ответственности за мошеннические операции, прошедшие по чиповой карте в терминале (POS или ATM), который не поддерживает работу с чиповыми картами, и подтверждение торговой транзакции ПИН-кодом. Платежными системами в специальных мануалах достаточно подробно описаны все процессы, связанные с миграцией на чип. Нам же важно обратить внимание на следующие моменты. Прежде всего необходимо знать, что Liability Shift действует не по всему миру, а только в тех регионах, которые заявили о той или иной степени участия в программе Liability Shift. При этом, если регион в рамках той или иной платежной системы объявил о внедрении Liability Shift, это еще не означает, что все эмитенты других регионов имеют право опротестовывать операции в этом регионе в рамках Liability Shift. Для этого необходимо, чтобы между регионами было подписано соответствующее соглашение или, как в платежной системе MasterCard Worldwide, регион должен заявить об участии в программе Transitional Chip Liability Shift. Применительнок российским участникам международных платежных систем следует иметь в виду, что на сегодняшний день Visa Liability Shift действует только в регионах CEMEA и Europe, причем по банкоматным операциям – только между участниками из региона CEMEA. По MasterCard Liability Shift действует в регионе Europe и Малайзии. Так как процесс расширения программы Liability Shift активно развивается, то необходимо постоянно отслеживать изменения, чтобы точно знать, есть ли у эмитента право опротестовать мошенническую операцию по “чиповой” причине.

Второй момент связан с тем, что на сегодняшний день в ряде случаев выяснение вопроса о возможности опротестования операции в рамках Liability Shift требует серьезного анализа операции, а именно: параметры карты и терминала, какой вид мошеннической операции прошел по карте, проверялся ли ПИН-код в режиме online или offline, и вообще проверялся ли ПИН-код, имел ли место Fallback и т.д. Для этого платежными системами были подготовлены специальные flow chart, следуя которым, можно определить, кто несет ответственность за мошенническую операцию (Visa CEMEA Member Letter 02/04 “Chip migration – liability shift” и MasterCard Europe Edition Operations Bulletin, № 10, October 2004). Однако зачастую бывает сложно получить ответ на тот или иной вопрос flow chart’а, так как это зависит от конкретных значений полей авторизационных и транзакционных сообщений, т. е. необходимо разбираться в форматах сообщений и знать, в каком поле находится интересующее нас значение. Данные об интересующих нас полях и их значениях, полученные из различных информационных писем и мануалов платежных систем, обобщены в таблице 1.

Таким образом, выяснение вопроса о том, есть ли возможность опротестовать операцию в рамках программы Liability Shift, может оказаться непростой задачей. Единственным утешением здесь может служить то, что на сегодняшний день подвергать операции глубокому анализу приходится очень редко, так как в подавляющем большинстве случаев оказывается, что эквайер не поддерживает чип вообще. Для опротестования операции по “чиповой” причине используются следующие коды:

1) операции по фальсифицированным картам – 62 Visa, 4862 MasterCard (небанкоматные операции), 4870 MasterCard (банкоматные операции по MasterCard и все операции по Cirrus/Maestro; с апреля 2007г. код 4870 можно будет использовать и для опротестования небанкоматных операций по MasterCard);

2) операции по украденным, утерянным, неполученным картам – 81 Visa, 4837 MasterCard (с октября 2007 г. вводится новый код 4871).
Практика претензионной работы в российских банках - рис.1
Если ни один из кодов “чиповой” группы для опротестования операции не подходит, нужно запрашивать копии документов по операции. Кстати, если речь идет о фальсифицированной карте с магнитной полосой, то перед запросом документов стоит проверить, происходила ли передача эмитенту в процессе авторизации информации со второй и первой дорожки магнитной полосы карты. Если нет, то можно воспользоваться теми же кодами 62 Visa, 4862 MasterCard. Вернемся к запрошенной копии. Вопервых, эквайер может вообще не предоставить требуемую копию, и тогда можно смело использовать коды 81 Visa и 4837 MasterCard. Если же копия будет представлена, необходимо проверить:

1) правильный ли документ предоставлен эквайером? (возможность использования кодов 60 Visa, 4802 MasterCard)

2) совпадает ли валюта операции и транзакции? (возможность использования кодов 76 Visa, 4846 MasterCard)

3) есть ли подпись держателя карты на чеке по операции? (возможность использования кодов 81 Visa и 4837
MasterCard; правила MasterCard предоставляют право выставления chargeback по коду 4837 без предварительного запроса копии)

4) не была ли совершена мошенническая операция в той же точке, где ранее прошла операция, осуществленная законным держателем карты? (возможность использования кодов 57 Visa и 4840 MasterCard; правила MasterCard предоставляют право выставления chargeback по коду 4840 без предварительного запроса копии)

5) не была ли сумма операции разбита на несколько “подлимитных” сумм с целью избежать онлайновой авторизации? (возможность использования стандартного случая Compliance)

6) насколько подпись держателя карты на чеке отличается от его подписи на карте? (возможность использования стандартного случая Compliance) Практика претензионной работы в российских банках - рис.2
О последнем из перечисленных стандартном случае Compliance стоит поговорить подробнее. Для наглядности рассмотрим пример из реальной практики. В наш банк поступил Pre-Compliance, в котором эмитент утверждал, что торговая точка не сверила подпись на чеке и на карте, при этом образцы подписей отличались друг от друга (рис. 1 и 2).
После короткого анализа ситуации было принято решение отказать эмитенту, и вот по какой причине. Дело в том, что платежные системы признают правомерность Compliance только в тех случаях, когда не вызывает сомнения, что на полосе для подписи одно имя, а на чеке совершенно другое. Например, на карте четко написано “Джон Смит”, а на чеке “Иван Смит”. В нашем же случае имеют место лишь две “закорючки”, и стороны могут очень долго и безрезультатно спорить, отличаются они или нет, принадлежат ли две “закорючки” одному человеку или нет. Точку в этом споре может поставить только графологическая экспертиза. Понятно, что такой роскоши платежные системы себе позволить не могут. Поэтому в большинстве случаев вина эквайера не будет считаться доказанной, и решение будет вынесено против эмитента.

На этом, собственно говоря, исчерпываются возможности эмитента по опротестованию мошеннических операций стандартными способами. Если эмитент не придумает какой-либо нестандартный ход, то суммы можно относить на убытки банка или страховку.

Практика претензионной работы в российских банках - рис.3



Претензионная работа по операциям МОТО и Electronic Commerce


Претензионная работа по операциям МОТО и Electronic Commerce требует отдельного рассмотрения в силу присущих им особенностей, таких как отсутствие карты, подписи клиента, 100%-ная авторизация и т. д. При опротестовании мошеннических операций МОТО и Electronic Commerce прежде всего необходимо проверить, не использовались ли при проведении операции системы 3D-Secure или MasterCard SecureCode. Дело в том, что при использовании эквайером этих систем срабатывает Liability Shift, аналогичный “чиповому”, но при этом ответственность переходит уже с эквайера, который традиционно несет основные потери от мошенничества по транзакциям такого типа, на эмитента. Для определения использования 3D-Secure или MasterCard SecureCode необходимо узнать значения следующих полей авторизационного запроса:

1. Для 3-D Secure
а) значение “05” или “06” в поле 60 позиции 9–10 (Mail/Phone/Electronic Commerce and U.S. Bill Payment Indicator);
б) наличие записи в поле 126.9 (3-D Secure CAVV), если и эмитент, и эквайер поддерживают 3-D Secure.

2. Для MasterCard SecureCode
а) значение “1” или “2” в подполе 42 (Security Level Indicator) поля 48;
б) наличие записи в подполе 43 (UCAF) поля 48, если и эмитент, и эквайер поддерживают MasterCard SecureCode.

Если мошенническая операция прошла без использования вышеупомянутых систем, то можно считать дело практически выигранным, при этом нужно выбрать наилегчайший путь, т. е. сначала получить ответы на следующие вопросы:

    1. Авторизована ли операция и не был ли получен отказ на авторизационный запрос? (возможность использования кодов 72 или 71 Visa, 4808 или 4847 MasterCard);

    2. Вовремя ли представлена операция к оплате? (возможность использования кодов 74 Visa, 4842 MasterCard);

    3. Нет ли двойного процессирования операции? (возможность использования кодов 82 Visa, 4834 MasterCard).

Если ни один из этих кодов не подходит, используются коды 83 Visa или 4837 MasterCard. Рис. 1 Рис. 2 Несколько слов об опротестовании мошеннических операций по “нечиповым” картам в банкоматах. Выставление Chargeback по кодам 90 Visa и 4859 MasterCard может показаться совершенно бесперспективным, однако, как показывает практика, не стоит пренебрегать даже такой возможностью, ведь вам может просто повезти. Завершая рассказ о стандартных способах опротестования, необходимо упомянуть и об “эквайринговой” стороне претензионной работы. В отличие от эмитента эквайеру не надо придумывать, каким образом опротестовывать операцию, а только “отбиваться” по тому коду, который выбрал эмитент.

В большинстве случаев, если операция авторизована, правильно и вовремя представлена к оплате, есть подпись на чеке, соответствует требованиям по CHIP/PIN/3D-Secure/MasterCard SecureCode, то эмитенту практически невозможно опротестовать операцию. Если же эквайер все-таки ошибся, и Chargeback правомерен, нужно постараться найти ошибки у самого эмитента. Например, проверить, действительно ли у клиента возник овердрафт из-за позднего представления, отправлено ли сообщение в систему SAFE/FRS и т. п.

Нестандартные методы опротестования

Как уже было сказано выше, если ни один из вышеописанных стандартных вариантов опротестования не подходит, эмитент может попытаться пойти по нестандартному пути. Под нестандартным вариантом мы понимаем выставление эквайеру претензии по причине нарушения того или иного пункта правил платежных систем, которое не описано стандартными случаями Compliance или кодами Chargeback. Претензия оформляется через ту же процедуру Compliance, а выбор причины зависит от вашего воображения в сочетании с хорошим знанием правил платежных систем. Зачастую это блеф, рассчитанный на то, чтобы запугать эквайера подачей дела в Арбитраж платежной системы с последующей оплатой комиссий в случае проигрыша. Задача эквайера заключается в том, чтобы грамотно разобраться в ситуации и уверенно ответить, чтобы, в свою очередь, посеять зерна сомнения у эмитента в целесообразности подачи дела в Арбитраж. Таким образом, все зависит от того, насколько стороны хорошо аргументируют свою позицию и трактуют правила, которые в каждом конкретном случае “куда повернул, туда и вышло”. Естественно, есть риск, что если дело дойдет до разбирательства в Арбитраже, арбитражный комитет может трактовать ситуацию по-своему и не в вашу пользу. Бывают ситуации, когда одинаковые ситуации трактуются то в пользу эмитента, то в пользу эквайера. Я хотел бы привести несколько примеров из практики, которые лучше охарактеризуют предмет разговора, чем общие рассуждения.

Случай 1. Стандартная ситуация: несколько операций по поддельной “нечиповой” карте, проведенные на территории Великобритании, авторизованы, правильно представлены к оплате, полностью переданы требуемые данные с магнитной полосы, подпись и т. д. В общем, придраться не к чему. Однако через некоторое время по почте была получена изъятая поддельная карта (рис. 3–4). Подделка оказалась плохого качества, но этого было недостаточно для “обвинения”. Однако на карте отсутствовал префикс – четыре цифры, напечатанные под номером карты и совпадающие с первыми четырьмя цифрами номера карты. В три банка-эквайера были направлены Pre-Compliance c указанием на нарушение пункта 5.5.B (VIOR vol.1). В “нагрузку” было указано, что спецсимвол “V” также не соответствует стандартам. Два банка согласились и возместили суммы операций. Однако от третьего банка поступил отказ. Эквайер аргументировал отказ отсутствием доказательств, что именно эта карта использовалась в его торговой точке. По утверждению эквайера, в торговой точке была предъявлена карта, соответствующая всем требованиям платежной системы. Доказать обратное мы не могли (иногда действительно одновременно используется несколько поддельных карт) и от своих претензий были вынуждены отказаться. Этот случай очень хорошо демонстрирует, что переиграть удается не всегда и не всех.

Случай 2
. Курьезный случай. Операция выдачи наличных на крупную сумму по поддельной карте. В ответ на запрос документов эквайер вместе с копией чека зачем-то предоставил четкую ксерокопию паспорта держателя и его карты (последняя – также с отсутствием префикса и спецсимвола). В данном случае доказывать, что использовалась именно эта карта, не пришлось. Эквайер согласился с Pre-Compliance по причине нарушения пункта 5.1.D.1.a (VIOR vol.1).

Случай 3. Опять поддельная карта. Одна из особенностей данного случая – операция на крупную сумму была разбита эквайером на десять отдельных операций. Каждая из операций была авторизована, были соблюдены все правила платежных систем. Однако эмитент предъявил претензию, использовав причину стандартного Compliance – Split Transaction. В вину эквайеру было поставлено следующее – разбив сумму операции на несколько частей, он избежал одной авторизации на большую сумму. При этом эмитент утверждал, что если бы операция не была разбита, то на авторизационный запрос системой был бы автоматически послан ответ о необходимости связаться с эмитентом (Call Issuer). Тем самым удалось бы избежать прохождения мошеннической операции.

В конечном счете дело рассматривалось арбитражным комитетом, который встал на сторону эмитента. Признаюсь, что этот случай не из нашей эмитентской практики, но с аналогичной ситуацией мы, в свою очередь, столкнулись как эквайеры.

Случай 4. От эмитента поступил такой же Pre-Compliance, как и в Случае 3. Честно говоря, причина Split Transaction стандартного Compliance описывает ситуацию, когда операции разбиваются с целью провести несколько подлимитных неавторизуемых операций, а не избежать авторизации на большую сумму. Можно было именно таким образом и ответить эмитенту, но мы знали, какое решение приняла ранее платежная система в аналогичной ситуации (см. случай 3). Рисковать не хотелось, и мы решили проверить, действительно ли у эмитента установлены ограничения, при превышении которых формируется отказ по коду Call Issuer. Была найдена реально существующая карта такого же BIN’а, и через виртуальный терминал с аналогичным МСС проведена операция на общую сумму.

Как и предполагалось, мы получили положительный ответ, а не Call Issuer. Таким образом, эмитент “слукавил”, о чем ему и было сообщено в нашем ответе. Полученная авторизация, разумеется, была сразу отменена. Дело так и не было отправлено в Арбитраж…

Случай 5. Еще один пример “нестандартного” подхода. В рамках расследования деятельности одной мошеннической торговой точки с нами связался представитель одного из пострадавших эмитентов. В неофициальном разговоре мы сообщили, что данная точка действительно проводила мошеннические операции, рассказали о принятых мерах, предварительных результатах. Через некоторое время от эмитента поступил трехстраничный Pre-Compliance, в котором со ссылкой на наш разговор утверждалось, что торговая точка проводила операции по поддельным картам (т.е. без участия законного клиента) и тем самым был нарушен пункт 5.3.F.1.a (VIOR vol.1). Мало того, что данный пункт говорит совсем о другом, эмитент к тому же доказывал факт прохождения мошеннических операций только устным подтверждением от эквайера, что никак не может быть приложено к делу при рассмотрении в Арбитраже. Поэтому в ответе на Pre-Compliance мы написали, что операции проводилась самим законным держателем непосредственно в торговой точке. В заключение хотелось бы подчеркнуть, что нестандартный подход – это не только умение обвинить и ультимативно потребовать возврата сумм. Иногда намного целесообразней обратиться с письмом “Доброй воли” (Good Faith), указав на нарушения, допущенные торговой точкой. Такой подход настраивает коллег по цеху на желание по возможности помочь, а не пойти на принцип, чего бы это ни стоило. Особенно это касается взаимоотношений между российскими банками. В нашей практике было немало случаев, когда по письмам “Доброй воли” в пользу пострадавшей стороны удавалось урегулировать такие ситуации, которые никогда не разрешились бы с помощью “жестких” Chargeback или Compliance.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube