Криптоэквайринг. Основные риски и способы их минимизации

что такое криптоэквайринг

Вступление

Криптоэквайринг начинает понемногу просачиваться в нашу жизнь, и им всерьез уже интересуются крупнейшие компании индустрий B2C и B2B. О рисках в этой новой для рынка технологии мы поговорили с руководителем направления антифрод технологий криптокошелька «Mercuryo» Николаем Бочаровым.

Криптоэквайринг и связанные с ним риски

— Николай, расскажите, что такое криптоэквайринг?

— Под криптоэквайрингом стоит понимать прием платежей в пользу физических или юридических лиц с использованием криптовалюты. Различаются два основных вида:

  1. Прием на входе фиата с последующей конвертацией в криптовалюту по курсу биржи и перевод клиенту эквивалента, например, в биткоинах.
  2. Прием и перевод клиенту криптовалюты. В данном случае никакой конвертации не происходит, клиенту прямиком идет перевод.

— Где наибольший риск?

— Наибольший риск несет в себе первый вариант, так как там происходит пересечение фиатных денег, которые украсть легче, с анонимной криптовалютой, которую в свою очередь легче скрыть, чем и пользуются злоумышленники. В настоящее время существует большое количество различных обменников, сервисов и платежных решений, сочетающих в себе оба вида приема и перевода криптовалюты.

— Давайте рассмотрим все риски, присущие обоим видам приёма и перевода криптовалюты?

— Первое. Прямые финансовые потери. Возникают в связи с возможностью оспорить операции через процедуру chargeback со стороны кардхолдеров. Также возможен вариант принятия на обслуживание фиктивного магазина, который либо прогоняет ворованные карты через себя, либо проводит некое количество карт, оформленных на аффилированных с ним лиц, и впоследствии самостоятельно оспаривает операции как неоказание услуги.

Тем самым, за вычетом комиссии на эквайринг и некоторых расходов, связанных с номинальным сервисом, злоумышленник получает обратно примерно 80% от вложенной суммы.

Повышенное внимание со стороны международных платежных систем (МПС) и различных регуляторов к криптовалюте приводит к тому, что риск за несоответствие кода merchant category code (MCC) реальной деятельности мерчанта, особенно если он из категории high risk (например, гемблинг, беттинг, форекс) гораздо выше. Штраф за такое нарушение начинается от 25000 USD.

Многие мерчанты, которые предпочитают работать по мискодингу или с нарушением правил МПС в программах BRAM или VBPP, также зачастую используют криптоэквайринг, надеясь на то, что МПС не будет разбирать какой товар или услуга оплачивается с помощью криптовалюты, сконвертированной из фиатных карточных средств.

Но на практике это не работает, важнейшую роль здесь играет отображение для плательщика прохождения операции, и если кардхолдер в итоге получает, к примеру, пополнение баланса для игры в покер, предыдущие действия по открытию промежуточных кошельков, конвертации в крипто или иную цифровую или условную валюту не будет иметь существенной роли.

Похожая статьяVisa в цифровой мир. Зачем нужны криптовалютные картыВторое. Регуляторные риски. Любая компания, которая осуществляет криптоэквайринг и хочет при этом быть в рамках закона должна выбрать ту юрисдикцию, где эта деятельность законна и регулируется. Наличие лицензии может существенно поднять рейтинг и доверие среди отправителей и получателей платежей, а также снизить возможные претензии и негативный интерес со стороны различных надзорных органов.

С другой стороны, наличие подобной лицензии обязывает ее владельца соблюдать определенные правила, в том числе иметь рабочую AML-политику и строго ей соответствовать. Любой мошеннический платеж или сомнительная оплата при проверке может трактоваться как отмывание денежных средств или финансирование терроризма.

Несмотря на то, что платежи с использованием криптовалюты считаются анонимными и это является их преимуществом, регуляторы обязывают идентифицировать своих клиентов. Для этого существуют различные способы, которые мы подробнее рассмотрим ниже. Если рассматривать в качестве регулятора МПС, то за неоднократные нарушения их правил участника могут дисквалифицировать и лишить возможности принимать карточные платежи.

Третье. Репутационные риски. К ним относятся все нефинансовые потери для компании, несущие в себе негатив, как правило, от клиентов. Эти риски можно монетизировать и оценить, потому что любая репутационная потеря влечет за собой финансовую. Те, кто утверждают обратное, просто никогда не просчитывали эти потери в рублевом или ином выражении, пусть и в качестве упущенной выгоды.

Взлом биткоин-кошелька и вывод средств клиента может напрямую и не быть следствием ошибки компании, но для пострадавшего это не всегда очевидно, и в любом случае подобный инцидент будет бросать тень на деятельность и надежность компании в целом.

— Каким образом можно минимизировать все вышеизложенные риски?

— Тут важен комплексный подход. Во-первых, наличие AML-политики и внедрение ее во все процессы и процедуры. Ошибочно считать, что достаточно иметь копипаст данного документа на сайте и во внутренних распорядках компании.

Любой регулятор в этой области имеет вполне приемлемые условия, исполнение которых всегда можно адаптировать к реалиям ведения бизнеса, специфике процесса оплаты или требованиям и ожиданиям клиентов. Под клиентами в данном случае я имею в виду как физических, так и юридических лиц.

Во-вторых, проверка мерчантов, в пользу которых ведется прием платежей должна проходить как в рамках AML-политики, так и в рамках так называемой Cybercrime проверки, которая оценивает клиента с менее формальной точки зрения и уделяет большое внимание следующим аспектам:

  1. Оценка вероятности подмены заявленной деятельности на запрещенную, смежную ограниченную или требующую лицензирования высоко рисковую. Например, набирающий сегодня популярность фэнтэзи-спорт идет рука об руку с азартными играми, которые должны обрабатываться с соответствующим МСС кодом – 7995, а также соответствовать другим требованиям, применяемым платежными системами к high risk мерчантам.
  2. Соответствие заявленных мерчантом характеристик приема платежей оценочным, таким как оборот и средний чек – времени присутствия на рынке, посещаемости и виду деятельности, страны приема карт – географии захода пользователей, языковому разнообразию контента, скачек оборота или его внезапное изменение характеристик – логичной причине, которую можно найти самостоятельно или с помощью разъяснения непосредственно самого мерчанта и тд.
  3. «Контрольная закупка», включает в себя перечень действий, направленных на установление истинной деятельности клиента и отображение всех стадий оплаты с точки зрения пользователя, пользующимся услугами и/или товаром мерчанта. Включает в себя, но не ограничивается следующими действиями: заказ и оплата или бронирование товара/услуги с последующей отменой, предложение о сотрудничества в качестве поставщика услуг или их распространителя, провокационные попытки приобрести незаконный товар или услугу, проверка всех видов обратной связи.

В-третьих, использование кросс-канальной адаптивной антифрод-системы, которая имеет возможность масштабирования в части подключения новых аналитических блоков в случае необходимости.

В основу ее работы должны быть заложены не только классические ограничительные фильтры и правила, но и возможность самостоятельно без участия человека изменять свои правила в случае наступления определенных заданных ранее событий. Примеры, в которых такая функция будет крайне полезной:

  1. В пользу любого мерчанта из списка ранее заданных (например, подозрительных по какому либо признаку) происходит скачок оборота по картам, пусть Германии, превышающий в несколько раз среднесуточный оборот мерчанта за последний месяц по всем картам. В таком случае происходит блокирование ввода/вывода средств в пользу данного мерчанта и/или закрытие всех карт Германии на прием для всех мерчантов с одновременным уведомлением оператора для немедленного ручного разбора ситуации.
  2. Один или несколько пользователей (признак принадлежности к одной группе – использование одного отпечатка устройства, ip-адреса, параметров из ранее блокированных в системе, нод TORa и тд,) регистрируют за заданный промежуток времени определенное количество кошельков/учетных записей, которые кратно превышают аналогичный усредненный показатель. При наступлении таких событий все созданные кошельки, а также уникальные параметры, участвующие в их создании, такие как email, номер телефона, карта, device id блокируются и помещаются в карантин.

В-четвертых, криптоаналитика. Единых критериев и четких правил как ее организовать нет, но в своей основе может содержать следующие составляющие:

  1. Использование черных списков биткоин-кошельков и отслеживание подобных транзакций в своей системе. Данные списки можно собирать самостоятельно в даркнете по различным объявлениям, связанных с незаконной деятельностью, или же использовать готовые решения: некоторые компании делают это самостоятельно и продают готовые списки с подобными адресами.
  2. Определение кластера кошелька, его природы происхождения. Оценка каждой группы с присвоением определенного балла, составление итогового веса каждой транзакции.
  3. Составление связей в виде графического отображения.
  4. Использование скоринговой модели подсчета общего веса каждой транзакции с учетом всех возможных источников информации (кросс-канальность). Например, если на входе был фиат, а после него перевод криптовалюты на внешний неизвестный кошелек, и при этом пользователь предоставил документы для KYC, которые не прошли по качеству, следует учитывать все эти составляющие и смотреть на картину целиком. При этом крайне желательно свести к минимуму роль человека в качестве оценщика и субъекта, принимающего решение.

— Эти меры нужны только для того, чтобы соответствовать законодательству, или по твоей практике есть и другие бонусы от «белых» схем?

— Эти меры помогут не только в случае проверки регулятора или запросов из правоохранительных органов показать лояльность компании закону в сфере антиотмывочного законодательства, но и реально отвадить или создать дополнительный барьер тем мошенникам, которые ищут платежки-помойки для своих незаконных целей.

— Расскажи, как строится работа твоего антифрод департамента?

— В Mercuryo мы осуществляем круглосуточный контроль над всеми операциями, как на ввод, так и на вывод. Но может быть и полуавтоматический контроль – когда сотрудники, осуществляющие мониторинг транзакций, не работают в режиме 24/7.

Разница между обоими вариантами в том, что во втором случае требуется автоматизировать большее количество процессов и настраивать сценарии прохождения платежей более гибко. Если процессы оставлять ручными и возлагать все на сотрудника мониторинга, то всегда остается шанс того, что оператор проглядел подозрительную транзакцию, устал или отвлекся.

Почти идеальный вариант смогли создать мы — полностью автоматизированную систему с круглосуточным мониторингом. Человек нужен лишь для контроля за работоспособностью антифрод системы с периодической ее настройкой и разбором нестандартных случаев.

По материалам VC, автор — Anton Repnikov

Оставить отзыв

 

Отзывы к записи:

На данный момент отзывов к этой записи нет. Ваш комментарий может быть первым.

наверх