Риски интернет-платежей и способы их снижения

Руководитель LHV Paytech Лаури Тедер обращает внимание на то, что мы живем в эпоху, когда количество цифровых мошенничеств растет тревожными темпами — даже быстрее, чем сама электронная коммерция.

Только в 2025 году жители Эстонии потеряли в результате интернет-мошенничества около 23 миллионов евро. Во всем мире убытки от мошенничества в сфере интернет-торговли в 2024 году составили 44 миллиарда долларов, а к 2029 году прогнозируется их рост до 107 миллиардов долларов. Это не абстрактные цифры. За каждой цифрой стоят торговцы, которые лишились выручки, и клиенты, которые потеряли доверие.

Но есть и хорошая новость: значительную часть этих рисков можно предотвратить. Для этого нужно понимать, что именно представляет собой интернет-преступность.

Целью мошенников является человек.

Первая и главная истина: в наши дни основной причиной мошенничества является не технологическая уязвимость, а человеческая слабость. Преступники — это профессионалы, которые осознанно играют на человеческих слабостях и систематически используют их в своих целях.

Три причины, по которым торговцы попадают в рискованную ситуацию

При приеме платежей у продавца существует три основных источника рисков.

• Злонамеренный клиент — клиент использует похищенные данные карты или подает необоснованное требование по возврату (англ. friendly fraud). Операции с использованием похищенных данных карты или платежных данных является одним из самых распространенных способов мошенничества. Это может повлечь за собой оспаривание транзакции и финансовый ущерб. Необоснованное требование по возврату — это ситуация, когда клиент намеренно или по ошибке утверждает, что не совершал определенную транзакцию, и требует возврата средств либо напрямую у торговца, либо посредством оспаривания.

• Слабая информационная безопасность — международный стандарт безопасности PCI DSS устанавливает для платежных организаций требования, которые защищают данные платежных карт. Если системы не соответствуют этим требованиям, преступники получают доступ к банковским счетам и возможность измененять контент сайта таким образом, который позволяет им собирать данные ваших клиентов или банковских карт. Важнейшие угрозы в данной сфере — слабые пароли и случаи, когда сотрудники становятся жертвами фишинговых писем. Это может привести к репутационному ущербу, штрафам или затратным обязательным расследованиям. Рекомендуем ознакомиться с презентацией PCI DSS для торговцев.

• Недостаточные внутренние процессы — без четких правил и обученных сотрудников подозрительные операции с картами могут остаться незамеченными или возникнут благоприятные условия для ошибок, последствия которых могут дорого обойтись. Такие случаи возникают, например, при возврате средств на отличный от исходного платежный инструмент, при ошибках, вызванных спешкой, и выдаче товара/продукта в ситуации, когда имеются явные признаки мошенничества.

Знай своего клиента и бизнес

Лучшее средство против мошенничества — это осведомленность. Если вы знаете своего клиента и бизнес, то хорошему клиенту вы сможете предложить лучший пользовательский опыт, а при работе с неизвестными клиентами снизить риски.

Задайте себе три вопроса.

1. Что вы продаете? Легко ли превратить ваш продукт в деньги? Излюбленными целями мошенников являются подарочные карты, электроника и товары класса люкс. Товары с повышенным риском требуют более строгого контроля.

2. Кто ваш клиент? В какой стране он находится и платежным средством какой страны он пользуется? Каково его обычное покупательское поведение, то есть средняя сумма, количество и регулярность покупок? Здесь есть один важный нюанс: Сделки VIP-клиентов часто очень похожи на мошеннические. Таким образом, крупные суммы и повторные покупки автоматически не являются признаками надежного клиента: нужно рассматривать совокупность его поведенческих моделей, а не отдельные сигналы. Для выявления паттернов используйте различные инструменты предотвращения мошенничества. Например, если вдруг клиент хочет совершить крупную покупку по карте США или используя несколько банковских карт, это может быть мошенничеством. Иногда преступники пытаются совершать покупки на разные суммы, чтобы узнать, сколько денег на карте. Это как ворота безопасности в физическом магазине.

3. Какой способ оплаты лучше? Оплата картой или банковским переводом, Apple Pay или Google Pay — у каждого способа свой профиль риска и распределение ответственности. Например, аутентификация 3D Secure при возникновении спора перекладывает ответственность на банк держателя карты. Без защиты 3D Secure возможный ущерб несет сам продавец. В некоторых случаях для определенных транзакций эффективна предварительная авторизация. Следует знать, что платежи через Apple Pay и Google Pay проходят строгую аутентификацию, то есть с точки зрения торговца при определенных спорах ответственность лежит на держателе карты. В то же время эти способы очень удобны для клиента. Банковский платеж клиенту не так легко оспорить, однако платеж по карточке для него часто предпочтительнее, так как с ним могут быть связаны бонусы или страхование покупок.

Если что-то кажется слишком хорошим или слишком срочным, остановитесь и подумайте

Это самое простое, но самое важное правило. Мошенники действуют быстро и играют на эмоциях — они создают искусственное давление, чтобы вы действовали, не задумываясь.

Рекомендации по предотвращению мошенничества и снижению рисков

• Соблюдайте требования стандарта PCI DSS — это минимальные правила информационной безопасности. Убедитесь, что все сотрудники используют надежные пароли и ознакомлены с правилами цифровой безопасности.

• Будьте в курсе распространенных видов и тенденций мошенничества, а также того, как защитить себя и предприятие в подобных ситуациях. Например, устанавливайте более низкие лимиты на платежи и используйте принцип четырех глаз.

• Если ваш продукт или услугу легко перепродать, внимательно следите за случаями, когда мошенник, например, пытается получить с помощью похищенного платежного средства товар, чтобы затем дешево его перепродать.

• Знайте своего обычного клиента. Установите правила по предотвращению мошенничества, чтобы выявлять подозрительные транзакции и оценивать их аутентичность. Если речь идет о крупной покупке и вы видите этого клиента впервые, найдите причину и позвоните ему. Так вы сможете убедиться, что это настоящий клиент, а не мошенник. Если вы заметили, что ваши клиенты используют иностранные банковские карты или карты разных банков, проявите бдительность и убедитесь, что это не мошенничество.

• Всегда возвращайте средства на тот же платежный инструмент, с помощью которого была совершена покупка. Если это был платеж по карточке, то сделайте возврат на карту, а если исходный платеж был произведен в банке, то сделайте возврат на банковский счёт.

• Держите в порядке свою документацию по продажам. Это поможет вам в случае возникновения спора быстро предоставить все необходимые доказательства, связанные с продажей, оплатой и доставкой.

• Прошедшему аутентификацию клиенту можно предложить расширенный выбор способов оплаты. Для клиента, который совершает покупку впервые или не прошел аутентификацию, выбирайте такие способы, при которых вы не несете ответственности за транзакцию. Такие способы — это, например, карточные платежи с сильной аутентификацией (3D Secure), Apple Pay, Google Pay и банковский платеж.

В итоге риски онлайн-платежей никуда не исчезнут, но с ними можно осознанно работать. Начните с трех вещей: знайте своего клиента и его покупательские привычки, выбирайте способ оплаты, соответствующий профилю риска, следите за актуальностью своих процессов и держите сотрудников в курсе цифрового мошенничества. И, если что-то кажется слишком хорошим или слишком срочным, остановитесь и подумайте. Эта пауза для размышлений часто ценнее любого технического решения.