Подробный разбор программ мониторинга Visa и Mastercard в контексте кардинга
Кардинг — это вид мошенничества, при котором злоумышленники используют украденные данные кредитных или дебетовых карт для совершения несанкционированных транзакций. Для мерчантов кардинг представляет серьёзную угрозу, так как высокий уровень таких мошеннических операций может привести к попаданию в программы мониторинга платёжных систем Visa и Mastercard, что влечёт за собой штрафы, ограничения и даже полное прекращение возможности принимать платежи. В этом ответе я подробно разберу, как Visa и Mastercard отслеживают мошенничество, связанное с кардингом, какие пороговые значения применяются, этапы программ мониторинга, последствия для мерчантов и меры профилактики. Ответ ориентирован на образовательные цели, чтобы объяснить механизмы работы и помочь мерчантам минимизировать риски.Контекст кардинга
Кардинг обычно происходит в среде card-not-present (CNP) транзакций, таких как онлайн-покупки, где физическая карта не используется, а данные вводятся вручную (например, номер карты, CVV, срок действия). Злоумышленники получают данные карт через фишинг, утечки баз данных, скиммеры или даркнет-рынки. Для мерчантов это проявляется в виде:- Fraudulent chargebacks (чарджбэки по мошенничеству): Держатель карты оспаривает транзакцию, так как не санкционировал её.
- Enumeration attacks (атаки перебора): Злоумышленники массово тестируют украденные данные карт, чтобы определить действующие комбинации, что увеличивает количество отклонённых транзакций или мелких тестовых покупок.
- Account takeover (ATO): Мошенники получают доступ к учётным записям клиентов и используют сохранённые методы оплаты.
Платёжные системы (Visa и Mastercard) отслеживают эти активности через метрики, такие как fraud-to-sales ratio (доля мошеннических транзакций к общему объёму продаж) и chargeback ratio (доля чарджбэков). Если показатели превышают установленные пороги, мерчант попадает в программы мониторинга, что влечёт финансовые и операционные последствия.
Программы мониторинга Visa
Visa объединила свои программы мониторинга мошенничества и споров в Visa Acquirer Monitoring Program (VAMP), которая начала действовать с 1 апреля 2025 года. VAMP отслеживает как мошенничество (включая кардинг), так и споры (чарджбэки) для CNP-транзакций. Программа фокусируется на двух ключевых метриках:- VAMP ratio — комбинированный показатель fraud и споров.
- Enumeration ratio — доля транзакций, связанных с атаками перебора (тестирование карт).
Пороговые значения VAMP (2025 год):
| Метрика | Порог (basis points, bps) | Минимальный объём |
|---|---|---|
| VAMP ratio (fraud + disputes) | 100 bps (1%) | ≥1000 fraud/disputes в месяц |
| Enumeration ratio | 15 bps (0.15%) | ≥300 000 enumerated транзакций в месяц |
- VAMP ratio рассчитывается как: (Количество fraud-транзакций [TC40] + споры [TC15], минус исключения) / Общее количество транзакций за месяц. TC40 — это коды мошенничества, которые эмитенты карт сообщают через систему Visa (например, код 10.4 для кардинга). TC15 — коды споров, связанных с чарджбэками.
- Enumeration ratio учитывает попытки массового тестирования карт, что характерно для кардинга.
Этапы программы VAMP:
- Advisory Period (уведомительный, до 1 октября 2025):
- Мерчант получает уведомление от эквайера о превышении порогов.
- Нет штрафов, но требуется анализ и начало работы над снижением fraud.
- Цель: дать время на внедрение инструментов против кардинга (например, 3D Secure).
- Workout Period (исправительный, 1–4 месяца):
- Мерчант совместно с эквайером разрабатывает remediation plan (план исправления).
- Требуется внедрение мер, таких как усиленная проверка транзакций, фильтрация по IP/геолокации, или machine learning для выявления подозрительных операций.
- Отчётность обязательна, но штрафы пока не применяются.
- Enforcement Period (принудительный, с 5-го месяца):
- Если мерчант не снижает fraud до пороговых значений, начинаются штрафы.
- Штрафы (на 2025 год):
- Стандартный уровень: $25 000 фиксированно + 10.5% liability за fraud chargebacks (код 10.5, упрощённый возврат средств эмитентам).
- Excessive уровень: $8 за каждую мошенническую/спорную транзакцию + ежемесячные штрафы до $100 000.
- Критическое последствие: Если мерчант остаётся в программе более 12 месяцев, эквайер обязан закрыть его аккаунт, что фактически лишает возможности принимать карты Visa.
Как кардинг влияет на VAMP:
- Fraud chargebacks (TC40): Кардинг приводит к росту чарджбэков с кодом мошенничества (например, 10.4 — "Card Absent Fraud"). Это напрямую увеличивает VAMP ratio.
- Enumeration: Атаки перебора, характерные для кардинга, увеличивают enumeration ratio, даже если транзакции отклоняются, так как Visa фиксирует попытки.
- Пример: Если мерчант обрабатывает 100 000 транзакций в месяц, и 1000 из них — fraud (включая кардинг), VAMP ratio составит 1% (1000/100 000), что уже на пороге. Добавьте сюда атаки перебора (например, 300 000 попыток), и enumeration ratio превысит 0.15%, автоматически переводя мерчанта в программу.
Программы мониторинга Mastercard
Mastercard использует Excessive Fraud Merchant (EFM) Program для борьбы с мошенничеством, включая кардинг, в CNP-транзакциях. Эта программа является частью более широкой Acquirer Chargeback Monitoring Program. EFM фокусируется на fraud chargebacks и соблюдении стандартов безопасности, таких как 3D Secure.Пороговые значения EFM (2025 год):
| Критерий | Порог |
|---|---|
| Объём транзакций | ≥1000 Mastercard-транзакций в предыдущем месяце |
| Fraud volume | ≥$50 000 в fraud chargebacks за месяц |
| Fraud ratio | ≥0.5% (fraud chargebacks / продажи предыдущего месяца) |
| 3D Secure compliance | <50% транзакций в regulated странах (или <10% в unregulated) |
- Fraud ratio рассчитывается как: (Количество fraud chargebacks в текущем месяце) / (Общее количество транзакций в предыдущем месяце). Например, если в прошлом месяце было 10 000 транзакций, а в текущем 50 fraud chargebacks, ratio = 0.5%, что уже на пороге.
- 3D Secure compliance: Mastercard требует, чтобы в странах с регулируемым 3DS (например, ЕС) не менее 50% транзакций проходили через 3D Secure, иначе риск попадания в EFM возрастает.
Этапы программы EFM:
- Identification/Notification (1 месяц):
- Эквайер автоматически регистрирует мерчанта в программе при превышении порогов.
- Требуется разработка remediation plan для борьбы с кардингом (например, внедрение 3DS, фильтрация по velocity checks).
- Нет штрафов, но начинается мониторинг.
- Remediation (исправительный, до 6 месяцев):
- Мерчант должен снизить fraud ratio ниже 0.5%.
- Возможен extension (продление) на 6 месяцев, если прогресс заметен, но требуется отчётность (ежемесячные обновления плана).
- Основной фокус: внедрение инструментов против кардинга, таких как machine learning для выявления аномалий или tokenization.
- Enforcement (принудительный, с 2-го месяца при отсутствии прогресса):
- Штрафы зависят от длительности пребывания в программе:
Месяц в программе Штраф (USD) 2–3 $1000–$5000 4–6 $10 000–$25 000 7+ До $100 000 + $5 за каждый chargeback сверх 300 - Если мерчант одновременно в EFM и Excessive Chargeback Program (ECP), штрафы взимаются только по EFM.
- Выход: 3 последовательных месяца с fraud ratio <0.5% — снятие штрафов и выход из программы.
- Штрафы зависят от длительности пребывания в программе:
Как кардинг влияет на EFM:
- Fraud chargebacks: Кардинг приводит к росту чарджбэков с кодами мошенничества (например, Reason Code 4837 — "No Cardholder Authorization"). Это ключевая метрика EFM.
- 3D Secure non-compliance: Если мерчант не использует 3DS для большинства транзакций, риск кардинга возрастает, так как злоумышленники легче проводят несанкционированные платежи.
- Пример: Мерчант с 10 000 транзакций в прошлом месяце и $50 000 в fraud chargebacks (50 чарджбэков по $1000) имеет fraud ratio = 0.5% (50/10 000). Если только 40% транзакций проходят через 3DS в ЕС, он автоматически попадает в EFM.
Последствия для мерчантов
Попадание в программы VAMP или EFM из-за кардинга имеет серьёзные финансовые и операционные последствия:- Финансовые убытки:
- Штрафы: Для Visa — от $25 000 + $8 за транзакцию; для Mastercard — до $100 000 + $5 за chargeback. Для крупного мерчанта с тысячами fraud-транзакций в месяц это может составить миллионы долларов.
- Chargeback liability: Мерчант несёт полную ответственность за возврат средств по мошенническим транзакциям, что увеличивает убытки.
- Высокие комиссии: После попадания в программу эквайеры могут перевести мерчанта в категорию high-risk, что увеличивает processing fees (1–3% за транзакцию) и вводит rolling reserves (замораживание 5–10% выручки на 6–12 месяцев).
- Репутационные и операционные риски:
- MATCH list (Member Alert to Control High-Risk Merchants): Попадание в чёрный список Visa/Mastercard затрудняет открытие новых аккаунтов у других эквайеров.
- Termination: Если мерчант не выходит из программы в течение 12 месяцев (Visa) или 6–12 месяцев (Mastercard), эквайер обязан закрыть его аккаунт, что фактически лишает возможности принимать карты.
- Дополнительные требования: Мерчант обязан внедрить дорогие инструменты (3DS, fraud detection software), что требует инвестиций в IT-инфраструктуру.
- Долгосрочные последствия:
- Переход к high-risk процессорам: Такие процессоры берут повышенные комиссии и часто работают с менее надёжными мерчантами, что увеличивает операционные расходы.
- Ухудшение клиентского опыта: Строгие меры против кардинга (например, жёсткие проверки транзакций) могут привести к false declines (ложным отказам), отпугивая легитимных клиентов.
- Юридические риски: В случае массового кардинга и утечек данных мерчант может столкнуться с судебными исками от клиентов или регуляторов.
Профилактика кардинга
Чтобы избежать попадания в VAMP или EFM, мерчантам необходимо активно бороться с кардингом. Вот ключевые меры:- Технологические решения:
- 3D Secure (EMV 3DS): Обязательное внедрение для CNP-транзакций, особенно в ЕС, где регулирование требует SCA (Strong Customer Authentication). 3DS перекладывает ответственность за fraud на эмитента, снижая чарджбэки.
- Fraud detection tools: Используйте платформы, такие как Sift, Kount или Signifyd, которые применяют machine learning для анализа транзакций (velocity checks, геолокация, поведенческие паттерны).
- Tokenization: Заменяйте данные карт токенами, чтобы минимизировать риск утечек.
- CVV/CVC verification: Проверяйте коды безопасности для всех транзакций.
- IP and device fingerprinting: Отслеживайте IP-адреса и устройства для выявления подозрительных паттернов (например, множественные попытки с одного IP).
- Операционные меры:
- Мониторинг в реальном времени: Используйте дашборды эквайера для отслеживания fraud ratio и chargeback ratio. Цель: держать fraud <0.5% (Mastercard) и VAMP ratio <1% (Visa).
- Velocity checks: Ограничивайте количество транзакций с одной карты или IP за короткий промежуток времени, чтобы блокировать enumeration attacks.
- Manual review: Для высокорисковых транзакций (например, крупные суммы или заказы из стран с высоким уровнем fraud) проводите ручную проверку.
- Сотрудничество с эквайером:
- Регулярно консультируйтесь с эквайером для получения отчётов и рекомендаций.
- При попадании в программу разработайте remediation plan, включающий конкретные шаги (например, внедрение 3DS за 3 месяца).
- Участвуйте в программах обучения Visa/Mastercard по управлению рисками.
- Клиентский опыт:
- Балансируйте меры безопасности и удобство. Слишком жёсткие проверки могут увеличить false declines, что снижает конверсию (например, отказы легитимных транзакций на 5–10% снижают выручку).
- Обучайте клиентов использованию 3DS для минимизации споров.
Пример сценария
Ситуация: Интернет-магазин электроники обрабатывает 50 000 транзакций в месяц ($5 млн). Из них 600 транзакций ($60 000) помечены как fraud из-за кардинга (код 10.4 для Visa, 4837 для Mastercard). Fraud ratio = 1.2% (600/50 000), что превышает пороги VAMP (1%) и EFM (0.5%).Последствия:
- Visa (VAMP): Магазин попадает в Advisory Period, получает уведомление. Без исправления через 4 месяца начнутся штрафы: $25 000 + $8 за каждую из 600 транзакций = $29 800 за месяц.
- Mastercard (EFM): Магазин сразу в Enforcement (месяц 2): штраф $1000–$5000. Если не исправить за 6 месяцев, штрафы вырастут до $25 000 + $5 за каждый chargeback сверх 300 (300 × $5 = $1500).
- Дополнительно: Эквайер повышает комиссии до 2.5% и вводит 10% rolling reserve. Магазин теряет $125 000 ежемесячно из-за замороженных средств.
Решение: Магазин внедряет 3D Secure (охват 80% транзакций), velocity checks (ограничение 3 попыток с одного IP) и fraud detection tool (Signifyd). Через 3 месяца fraud ratio падает до 0.3%, магазин выходит из EFM и избегает Enforcement в VAMP.
Заключение
Кардинг создаёт значительные риски для мерчантов, так как высокий уровень мошенничества приводит к попаданию в программы мониторинга Visa (VAMP) и Mastercard (EFM). Эти программы включают строгие пороги (1% для Visa, 0.5% для Mastercard), этапы исправления и штрафы до $100 000 + дополнительные сборы за транзакции. Последствия включают финансовые потери, репутационные риски и потенциальное закрытие аккаунта. Для профилактики кардинга мерчантам необходимо внедрять 3D Secure, fraud detection tools и сотрудничать с эквайерами. Регулярный мониторинг и оперативное реагирование помогут избежать санкций и сохранить бизнес.Для актуальных деталей рекомендую проверять правила на официальных сайтах Visa (visa.com) и Mastercard (mastercard.com) или консультироваться с эквайером, так как пороги и штрафы могут обновляться (например, VAMP ужесточит пороги в 2026). Если у вас есть конкретный кейс или нужно разобрать пример, напишите, и я помогу!
