Заказать пластиковую карточку: миссия выполнима. Где вы находитесь? Виды магнитной полосы: Hi-Co и Lo-Co

После вчерашней истории с кражей денег с моей карты Сбербанка путем клонирования карты, я решил вникнуть, как же это происходит.
И, честно говоря, был шокирован двумя вещами: что создать копию карты легко может даже школьник и что США просто райское место для мошенников, клонирующих банковские карты.
То, что вы прочтете в этом посте, многих их вас очень удивит.

Предупреждение: данный пост написан ИСКЛЮЧИТЕЛЬНО в ознакомительных целях и для предупреждения читательской аудитории о потенциальных опасностях при пользовании банковскими картами.
Копирования своих или чужих банковских карт является нарушением законом РФ и влечет за собой уголовную ответственность.
Не пытайтесь использовать информацию из этого поста для осуществления неправомерных действий по копированию и использованию банковских карт!

Вы знаете, что банковские карты — это перезаписываемый носитель малой ёмкости (около 2 кб)? Фактически, дискета. А скорее, аудиокассета! Если у вас есть старый кассетный магнитофон, включите его и проведите магнитной полосой кредитной карты по головке. Вы услышите звук: магнитофон считал номер счёта, имя владельца карты и дополнительную служебную информацию. Нет, конечно современные банковские карты немного сложнее, чем обычная магнитофонная лента, однако принцип действия идентичен. И как это часто бывает со многими техническими решениями, устаревшими, но принятыми и используемыми повсеместно... кредитные карты фактически не имеют какой-либо серьёзной защиты от копирования!
Их можно просто переписать, как в далекие 80-е мы переписывали Metallica или Ласковый Май с кассеты соседа по парте.
И именно этим занимаются множество мошенников по всему миру, считывая информацию с наших карт скиммерами, записывая затем карты-клоны и продавая их на гигантском черном рынке. К примеру, в Южной Америке на поток поставлено воровство данных с карт (в Бразилии уже даже не пытаются бороться с установкой скиммеров на банкоматы), а в США - легализация карт-клонов.
Что, как и почему, читайте под катом.

Как устроена банковская карта

В зависимости от банка и типа карты на ней может быть установлено 3 элемента: магнитная полоса на обратной строне карты, EMV-чип и RFID (чип и антенна для бесконтактного считывания карты, так называемый Pay Pass). Самая современная карта имеет все три элемента. Самая незащищенная - та, у которой есть только магнитная полоса. А теперь, внимание! Магнитная полоса есть на ВСЕХ картах. То есть все карты можно скопировать. Дальше вопрос в том, можно ли скопированную карту использовать. С этим сложнее, ведь чип подделывать до сих пор так и не научились и в любом банке вам скажут, что ваша чипованная карта защищена и воспользоваться ее клоном не смогут. Это НЕПРАВДА! Мою чипованную карту склонировали и ею воспользовались. Как?
И в этом месте на арену выходят США! В этой самой богатой стране в мире до сих пор банки ПРАКТИЧЕСКИ не выпускают карты с чипами, пользуясь картами с полосой, и даже вашу чипованную карту в магазине будут по-старинке прокатывать на полосу! При том, что практически все терминалы в точках продажи без проблем могут работать с чипованными картами.
То есть, для использования вашей суперзащищенной чипованной карты в США мошенникам даже не нужно пытаться копировать ваш чип! Они без проблем смогут прокатать магнитную полосу карты где-нибудь на кассе самообслуживания. Именно поэтому в начале поста я назвал США раем для мошенников подобного плана.
Почему это происходит? Все просто! Ничего личного, просто бизнес. Все карты в США застрахованы от кражи средств, за страховку платит клиент, так что это просто гигантский рынок для страховых компаний. Так зачем банкам напрягаться и тратить лишние деньги на более дорогие чипованные карты?

Теперь давайте подробнее об элементах защиты карты.
1. Магнитная полоса на обратной стороне карты. на самом деле магнитных полосы целых три, так называемые Track 1, 2 и 3.
Вот как полоса выглядит под микроскопом.

Теоретически, вооружившись ножницами, скотчем, картоном и куском магнитофонной плёнки, можно сделать собственную магнитную карту! Хотя проще найти уже готовую, чистую или пустить в дело старую кредитку с истёкшим сроком действия. Мошенники для массовой записи клонов используют даже различные подарочные карточки VISA и, так называемый "белый пластик" без каких либо принтов. Главное - пригодный для записи магнитный слой.
В банковских картах, как правило, используется Track 1 и 2. В прошлом на треке номер 3 хранился в зашифрованном виде пин-код — для возможности работы с банкоматами в офлайн-режиме. Но с развитием систем коммуникаций и откровенной уязвимости такого подхода последние банкоматы, которые работали с офлайн-пином на Track 3, ушли в небытие в середине 90-х. В настоящее время Track 3 в кредитных картах не используется. Поэтому пин-код мошенникам нужно добыть иным способом и для этого они в паре со скиммером используют либо накладку на клавиатуру банкомата, либо вешают маленькую видеокамеру над банкоматом. Если пин-код украсть не удастся, стоимость склонированного пластика будет невысокой, т.к. им можно воспользоваться только для покупки товаров, а это очень высокий риск. А вот если удалось и считать данные карты, и пин-код, стоимость такой карты возрастает в разы, ведь с нее можно снять наличные в любом банкомате. И, кстати, деньги по такой мошеннической операции (если был введен пин-код) банк вам не вернет по правилам VISA.
Вот как выглядит считывающая головка платежного терминала. На фото хорошо видны три элемента для считывания треков.

2. EMV (Europay, MasterCard, Visa Chip) чип — похожий на сим-карту и имеющий схожие электронные характеристики. Данный чип отвечает за проверку транзакции по карте на EMV совместимых банкоматах и создан международным концерном кредитных компаний в ответ на излишнюю лёгкость в копировании кредиток с магнитной лентой.

Одна из причин того, что чипы не подделывают это то, что недостаточно просто скопировать содержимое чипа на другую карту в первую очередь потому, что никакой информации на чипе зачастую просто нет (иногда на чипе храниться копия Track 2). Проверка идёт на аппаратном уровне, в интернете встречаются упоминания, что банкомат генерирует некий номер, на который чип должен дать верный ответ. Однако во многих банках проверка идёт просто на наличие EMV-чипа от данного банка!!!
Другими словами, если записать магнитную полоску на карту без EMV-чипа или карту с EMV-чипом другого банка, то банкомат такую карту не примет, а вот если закатать дорожку на истёкшую карту того же банка с правильным EMV-чипом, то снять деньги можно.
В любом случае EMV защищает только возможность снять деньги с банкоматов причём только тех, что имеют такую функцию. В абсолютном большинстве платёжных терминалов и банкоматов по всему миру по-прежнему считывается только магнитная карта без участия EMV. Это особенно касается стран третьего мира и, как я уже сказал выше, США!

Как же копируют карты с магнитной полоской?

Существует достаточно большой ассортимент аппаратного обеспечения для работы с магнитными картами. Лучший выбор — это MSR 206 совместимые устройства: они наиболее распространены и к ним существует больше всего программного обеспечения. И вообще они есть в любом отеле, где в качестве ключа используется магнитная карта. Покупаются они через интернет-магазин типа Ebay.
Устройство работает через интерфейс последовательного com-порта. Стоимость колеблется от 100 до 300$, отличаются устройства между собой комплектацией и дизайном, но принципиальной разницы между ними нет.

Через TOR можно найти немало утилит, с помощью которых происходит считывание и копирование данных с магнитных полос.
Вот так выглядит интерфейс одной из них, Jerm

А вот так диалоговое окно для непосредственной работы с картой

Read — считать карту. Индикатор на MSR206 загорается жёлтым цветом, карта считывается, ее содержимое появляется в окнах ASCII и HEX, а также в полях Track 1, 2, 3. Если нужно сохранить образ полученной карты, команда "File\Save as…". Если же сразу нужно сделать дубликат, просто Write . Осталось провести чистой картой по MSR206 и все, карта скопирована!
Erase Track(s) — если нужно использовать для перезаписи карту, на которой уже есть какая-то информация (например, банковская карта с истёкшим сроком действия), то перед повторным использованием карту нужно очистить. Для этого выделяются все три трека и нажимается кнопка Erase. Осталось провести картой по устройству.
Есть даже пакетный режим, Batch mode , если нужно записать сразу множество магнитных карт.

Как получают данные для копирования карты?

Как я уже сказал выше, мошенникам достаточно считать данные с магнитной полоски, а чип их вообще не интересует.
Как они это делают, знают все. С помощью скиммеров, которые накладывают на банкоматы.

Скиммером может быть пластиковая накладка, прикрепляемая к кардридеру, миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Также распространены специальные накладки на клавиатуру, считывающие порядок набора ПИН-кода. К банкоматам скиммеры крепятся с помощью обычного двустороннего скотча или застежки-«липучки». Например, если клавиатура была вогнутой, то специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать. Производители банкоматов в последние годы стали устанавливать на банкоматы специальные устройства, позволяющие распознавать скиммеры.
Обнаружить невооруженным глазом скиммер на банкомате довольно сложно, поэтому рекомендуется пользоваться только теми банкоматами, которые расположены в отделениях банков, крупных торговых центрах, на охраняемой территории.
Да, скиммер способен украсть информацию только с магнитной полосы, а не с чипа. Но мошенникам, которые затем легализуют карты в США, этого достаточно.
Существуют также портативные скиммеры, позволяющие делать копию карты, когда она оказалась в руках злоумышленника (например, если он по совместительству ещё и официант в ресторане, где клиенты часто расплачиваются пластиковыми картами).

Из беседы с человеком, глубоко изучавшим эту тему, я узнал, что большинство данных карт в наше время "воруют" в Южной Америке. Если в России и других странах службы безопасности банков постоянно борятся со скиммерами, то в Бразилии и Колумбии этого просто не делается, что дает мошенникам широкие возможности.
Далее мошенники записывают полученные данные на, так называемый, белый пластик и оптом продают карты дельцам. Карты переправляются в США и с них либо снимают деньги, если удалось снять пин-код, либо по дешевке продают на черном рынке.
Ну а там уже кто в интернете что-то пытается купить, кто в супермаркете, как случилось с моей картой...

P.S. Да, а для защиты от скиммеров многие банкоматы устанавливают специальные прозрачные антискиммеры, вы их все видели. Вот только за границей они есть далеко не везде и именно там вы подвергаетесь наибольшему риску, что вашу карту могут скопировать.

При написание поста использованы некоторые материалы

Все больше людей пользуются пластиковыми банковскими картами. Лишь немногие знают, чем одна карта отличается от другой. (Visa от MasterCard, карта с чипом от обычной карты с магнитной полосой). Многие хранят деньги на пластиковой карте, так как считают, что там они более защищены от воровства. Так до недавнего времени было и со мной. Простой поход по магазинам обошелся в 0 р. на счету и при этом карта ни разу не была использована. Разве такое возможно? Оказывается вполне даже. Этот пост скорее для тех людей, которые еще верят в защищенность кусочка пластика с магнитной полосой и доверяют ему все свои сбережения.

Техническая сторона

Карта с магнитной полосой

Для данного типа карты информация заносится на магнитную полосу. Карты с магнитной полосой бывают трёх форматов: ID-1, ID-2, ID-3 (наиболее распространен формат ID-1). Магнитная полоса содержит 3 дорожки (чаще всего используют только 2), на которые в закодированном виде записывают номер карты, срок ее действия, фамилию держателя карты и тому подобные данные. Наиболее полно и точно карты с магнитной полосой описаны в стандартах:

• ISO-7810 «Идентификационные карты - физические характеристики»;
• ISO-7811 «Идентификационные карты - методы записи»;
• ISO-7812 «Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов» (5 частей);
• ISO-7813 «Идентификационные карты - карты для финансовых транзакций»;
• ISO-4909 «Банковские карты - содержание третьей дорожки магнитной полосы»;
• ISO-7816 «Идентификационные карты - карты с микросхемой с контактами» (6 частей)

Большинство видов пластиковых карт имеют размер, определённый стандартом ISO 7810 ID-1. Какие же средства защиты (помимо магнитной полосы, на которую заносится информация о владельце) позволяют отличить данную карту среди многих других? Подобная информация так же заносится в штрих код. Например, у «Связного банка» при переводе денег на счет достаточно знать именно штрих-код. Идентифицировать владельца так же можно при помощи образца его личной подписи на обратной стороне. Так же все карты имеют идентификационный номер, срок действия и специальный код CVV2 или CVC2 на обороте. Этих данных достаточно чтобы совершать платежи через Интернет. Многие банки так же наносят на свои карты голографические знаки.

Гибридная карта с чипом

В отличии от карт с магнитной полосой, при совершении транзакций задействуется именно информация с чипа. Чип обладает большим объемом памяти, и информация на нем подвергается более сложному типу шифрования. При осуществлении транзакции картой с магнитной полосой, она всегда имеет одинаковые идентифицирующие карту данные, которые передаются в банк. Поэтому их можно скопировать и изготовить поддельную карту. Микропроцессорная карта работает иначе: каждая транзакция подтверждается специально сформированным для нее кодом, и для каждой последующей операции требуется новый код, сделать дубликат фактически невозможно. Гибридный вариант прижился ввиду сложного перехода техники принимающей карты на новый тип данных. Сейчас чипы умеют читать практически все устройства принимающие пластиковые карты. Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.

Суровая реальность

• Магнитная полоса с информацией о владельце
• Подпись на обороте карты
• Голограмма с логотипом банка
• СМС-информирование о транзакциях
• Пин-код
• Штрих-код

Что из этого работает ?

Магнитная полоса удачно копируется специальным устройством - скиммером. После чего изготавливается дубликат карты и все что остается это узнать пин-код карты. Для этого обычно в паре со скиммером используется скрытая видеокамера или же если это сам злоумышленник в лице официанта или продавца, то он старается подсмотреть пин-код. Еще более технологичный вариант, когда к устройству ввода подключается считыватель вводимых данных.
Так же для получения данных у владельцев используются фишинговые сайты или рассылки где владельцев карт просят ввести их секретную информацию (номер карты CVV2 или CVC2 и т.п.).
Довольно распространенные случаи, когда злоумышленники портят считыватель карт так чтобы карта там застряла. Если владелец уходит, то появляется злоумышленник и завладевает картой.
Существует разновидность другого метода - кардинга (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.
Сейчас набирает обороты более сложный вариант скимминга - шимминг (от англ. тонкая прокладка). Эти устройства в отличие от скиммеров, незаметны: тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт, позволяя похитить номер карты и ее пин-код. Эксперты успокаивают, что до России такой вид мошенничества пока не дошел, так как это довольно дорого и трудноосуществимо. (На мой взгляд, мне попался именно этот вариант, так что эксперты могут брать себе на заметку).

Подпись на обратной стороне . Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись. В случае с дубликатом ничего не мешает нанести свою подпись и свои имя, фамилию на изготовленную копию. По своему опыту - проходил пол года с картой где стерлась подпись на обороте и только потом мне указали на это и заставили при них оставить автограф (что еще абсурднее).

Голограмма с логотипом банка . Как способ подтвердить, что у вас не поддельная карта на руках вполне может быть, но не более того.

Штрих-код . Достаточно иметь снимок карты и штрих-код легко дублируется.

Моя любимая часть - СМС-информирование . Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут. Надо заметить, что телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще. Так что как способ защиты очень сомнителен. Темболее как подсказали пользователи MyHabrahabr и SpiritOfVox есть способ вообще блокировать телефон жертвы на момент «потрошения» её карты.

Итоги

Банковская система США планирует заменить устаревшие и уязвимые с технической точки зрения пластиковые кредитные карточки с магнитной полосой, которые сегодня используются жителями страны для безналичного расчёта, на новый тип карт. Согласно изданию Wall Street Journal, данная модернизация будет повсеместно осуществлена уже в октябре 2015 года.

Новые карточки в обязательном порядке обзаведутся технологией chip-and-PIN, которая уже несколько лет используется банковскими структурами остального мира. Как бы удивительно это не казалось, карта с магнитной полосой до сих пор распространена на территории США, несмотря на огромное число махинаций по подделке и незаконному снятию сумм со счетов обладателей без их ведома и согласия. Больше не будет никаких магнитных полос, никакого считывания информации по черной линии.

Американцы, интенсивно путешествующие по Европе, особенно последние несколько лет, отметили, что система кредитных карт в Штатах видится даже им слишком старомодной и отсталой от современных тенденции в данной сфере в сравнении с европейскими коллегами. Зачастую туристы могут испытывать некоторые трудности со своими «кредитками», находясь за рубежом, так как в Европе некоторое время назад отказались от магнитной полосы из-за слишком высокой статистики взлома подобных карт. Однако кредитные и дебетовые карточки, которые по сей момент в ходу для безналичного расчёта в США, по заявлению специалистов, отстали в техническом плане от остального мира лет так на 10.

Новый тип пластиковых карт будет иметь микрочип, а не магнитную полоску, и запрашивать от владельца PIN-код при выполнении процедуры оплаты. Такая система защиты пластика имеет ряд достоинств и гораздо более безопасна по нескольким причинам. Во-первых, обязательный запрос PIN-кода предотвратит ошибочное или умышленное списание суммы, к примеру, обслуживающим персоналом, который выполняет платеж при помощи вашей карты. В более продвинутом варианте с системой chip-and-PIN вам обязаны предоставить терминал, в который вы вставите пластиковую карточку и сразу введёте «пин-код», вместо того, чтобы без запроса «кода безопасности» передавать в чужие руки карту. Это исключит как фактор использования ваших средств персоналом не самым порядочным образом, так и защитит вас от распространенных сегодня модификаций терминалов, которые с лёгкостью копируют данные с магнитной полосы.

По недавним подсчетам, хакерам удалось украсть 70 млн номеров кредиток при безналичном расчете в период наибольшей покупательской активности со Дня благодарения по Рождественский вечер. Злоумышленники «модернизировали» терминалы для приёма классических пластиковых карточек с магнитной полосой и копировали с неё информацию, что позволяло им в дальнейшим расплачиваться уже с помощью чужих средств. С системой chip-and-PIN выполнить данную операцию будет уже намного сложнее. По крайней мере, чтобы «скопировать» чип и узнать пароль владельца, потребуется гораздо больше сил и умения, а также технических приспособлений. Если система с чипом и обязательным паролем не сможет полностью уберечь пользователей карт от мошенничества, то хотя бы существенно скажется на статистике подобных краж.

К тому же магнитная полоса стала слишком «лакомой составляющей» для хакеров, так как может быть взломана даже не слишком высококвалифицированными злодеями. Во Франции при переходе на систему chip-and-PIN количество махинаций с кредитными картами снизилось на 80%, хотя приведенная статистика имеет довольно расплывчатый характер из-за неофициального источника её первоначальной публикации.

Что касается стран СНГ, то здесь пока что преступления с банковскими картами не достигли таких масштабов, как в Европе и Соединенных Штатах. Поэтому маловероятно, что в скором будущем нас ожидают какие-либо качественные изменения в этом направлении. К тому же культура оплаты безналичным способом у нас развита не так хорошо, как за границей. Поэтому за пределами крупных городов можно столкнуться с проблемой как обналичивания « пластика» , так и расчёта с его помощью за оказанные услуги и приобретенные товары.

С чего все начиналось.

В прошлом году, в мае стало известно о документальном оформлении Центробанком анонсированного ранее запрета на выпуск банками карт, имеющих только магнитную полосу.

Стоит отметить, что разговоры на эту тему начались еще в феврале. Как указано в проекте поправок к положению Банка России от 9 июня 2012 года, касающегося защиты информации при денежных переводах, такого рода операции по выпущенным отечественными банками картам, срок действия которых начинался после 1 января текущего года, можно будет совершать только, если у каждой карты будет микропроцессор или одновременно и чип, и магнитная полоса.

Также уточнялось, что по действующим картам (или картам, выпущенным и активированным до 1 января 2015 года) операции останутся доступными, даже если на них есть и микропроцессор, и только магнитная полоса.

Как следует из текста поправок к указанному выше положению ЦБ, уточненные правила призваны обеспечить защиту информации при денежных переводах денежных через банкоматы и платежные терминалы, системы интернет-банкинга и мобильный банкинг.

К примеру, согласно документу, операторам по переводу денежных средств вменены в обязанность регулярные проверки своих банкоматов и терминалов на предмет несанкционированных вмешательств в программное обеспечение, незаконную установку дополнительного оборудования или такого же незаконного пользования коммуникационными портами. Лицевая панель терминала должна быть оснащена информацией для клиента о порядке его действий при нештатной ситуации, при которой нарушается защита информации. Платежный оператор обязан быстро отключить терминал при выявлении любого из описанных выше нарушений в его работе.

В то же время при разработке систем мобильного банкинга должна быть обеспечена защита информации, которая подлежит обработке в процессе использования системы, или программный запрет на её запись на мобильное устройство по завершении сеанса.

Итак, как было сказано заместителем директора департамента национальной платежной системы ЦБ Романом Прохоровым, все карты, эмитированные отечественными банками с 1 июля 2015 года, должны иметь микропроцессор (чип), причем, не важно, дебетовая это карта или кредитная. Это ощутимо снизит вероятность скиммер-атак. По словам Прохорова, большинством банков уже ситуация уже оценена, и они самостоятельно начали выпускать только чиповые карты. По мнению Прохорова, обязательный характер постановления для всех кредитных организаций - это обеспечение равенства их интересов.

Однако речь о том, что будет запрещено хождение нечипованных карт, не идет. Все карты без чипа, которые были выпущены до 1 июля текущего года, терминалы и банки будут свободно принимать, пока не истечет срок их действия. Во многих банках уже перешли к использованию только чиповых карт, остальные сделают это в ближайшее время.

По словам сертифицированного аудитора компании Digital Security Андрея Гайко, несомненно, когда мы перейдем на карты, имеющие встроенный микропроцессор, это приведет к значительному сужению возможностей для мошеннических маневров, так как копирование карт с магнитной полосой отличалось простотой. По словам руководителя по развитию продуктов компании Group-IB Павла Крылова, если ознакомиться со статистикой Центробанка, сегодня в России примерно 30% карт, не имеют EMV-чипа. Как раз на этот процент снизятся потери от скимминговых угроз (копирований карт). Но запрет выпуска карт без EMV-чипа приведет к повышению стоимости карточных продуктов банков для клиентов. В то же время, можно допустить и то, что это поможет переключить внимание злоумышленников на операции CNP (card not present), осуществляемые при оплате товаров или услуг через Интернет. Это может вызвать рост хищений, если эти операции не имеют защиту в виде технологии 3D-Secure (требует дополнительного подтверждения операции - к примеру, по СМС-коду).

По мнению руководителя направления по борьбе с мошенничеством центра инфобезопасности компании «Инфосистемы Джет» Алексея Сизова, мошенники не остановятся из-за отказа от карт без чипов. Дальнейшее развитие получит сегмент мошенничества в сфере CNP, с эксплуатацией и fallback-операций, игнорирующих отсутствие чипа. Но массовый характер скиминга как таковой все же должен пойти на убыль, когда все страны мира примут Chip Liability Shifts и стандарты международных платежных систем в отношении приема карт с микропроцессорами.

Однако, по мнению руководителя аналитического центра компании Zecurion Владимира Ульянова, в ближайшее время мы не сможем на 100% отказаться от полосы на картах. И вообще, если говорить в целом, у чиповых карт больше надежности, чем у обычных карт — это подтверждает статистика мошенничеств. Но не стоит думать, что это панацея. Ведь на картах, как и раньше, будет магнитная полоса. А если отказаться от нее или умышленно испортить (некоторым озабоченным безопасностью пользователям свойственно поступать и так), это приведет к нарушению совместимости карт с платежным терминалом. В связи с этим пластиковые карты без магнитной полосы появятся нескоро - большая часть современных банкоматов попросту не смогут открыть картоприемник для такой карты.

По мнению Станислава Шилова, директора по продажам компании «Бифит», налаживание четкого регулирования в этом направлении крайне актуально в нынешних условиях, когда угрозы набирают обороты, а многие банки нацелены на сокращение расходов на безопасность. При этом стоит сказать, что некоторые новые требования, например, по безопасной разработке программного обеспечения, уже де-факто выполняют и ключевые разработчики, и ведущие банки. Тем не менее мы уверены, что, если новые требования внедрят и прочие участники рынка, это будет способствовать повышению безопасности конечных клиентов - при условии, что выполнение будет не чисто формальным, а, наоборот, предусматривать рост защищенности решений, которыми мы пользуемся.

Неоднозначно мнение по сложившейся ситуации Владимира Ульянова, считающего, что, если говорить о требованиях к безопасности программного обеспечения клиентов, то имеет место сильное опоздание. В самом деле, системами интернет-банкинга мы пользуемся уже давно, но вопросами по их защищенности озаботились хоть немного только в последние годы. Да и сегодня уровень безопасности оставляет желать лучшего. Внимание разработчиков, главным образом, сфокусировано на удобстве работы в системе, функционале, интерфейсе, но не защищенности всей этой системы. В итоге уязвимы многие, в том числе и пользующиеся высокой популярностью среди клиентов приложения. В связи с этим мы рассчитываем на повышение защищенности разрабатываемого ПО, а норма декларативного характера заставит программистов сделать так, чтобы критерий безопасности оказался в числе приоритетных при разработке новых приложений.

Что же мы имеем сейчас?

Итак, повторимся - с 1 июля текущего года банкам надлежало приступить к выпуску расчетных и кредитных карт, оснащенных микропроцессором - таково указание Центробанка. Ряд банков вплоть до этого срока занимались выпуском бесчиповых карт, объясняя это тем, что по некоторым продуктам выпуск таких карт более оправдан с экономической точки зрения.

По словам директора по эмиссии и расчетам процессингового центра Альфа-банка Сергея Брынина, мы 1 июля отказались от выпуска бесчиповых карт, но выпуск чип-карт по стоимости дороже в разы: в каких-то сегментах они оправданны, в каких-то - в потребительском кредитовании и некоторых видах зарплатных карт - нет. По словам директора по процессингу Промсвязьбанка Александра Петрова, без чипов, преимущественно, можно было получить карты моментального выпуска, но с июля и такие карты клиенты получают с чипами. По словам представителя «ВТБ 24», все розничные карты на руках клиентов являются чиповыми, а небольшой процент нечиповой эмиссии был в рамках «технических» карт, которые выдавались для того, чтобы клиентам было удобно погашать кредиты наличными, ипотеку и автокредиты.

По словам сотрудника компании «Алиот» (производство карт), стоимость обычной магнитной карты при средних тиражах составляет порядка 0,3-0,4 евро, чиповые карты - плюс к этой цене минимум 0,60-0,7 евро, таким образом видно, что разница в цене - в 2-3 раза. Подобное удорожание карты для банка не настолько большая сумма, если карта использовалась клиентом еженедельно по 1-2 раза и чаще. Большая часть крупных банков, ежегодно выпускающих свыше 100 000-150 000 карт, уже практически полностью перешли к чиповым картам. Исключение - ряд банков и РНКО, расценивающих свои карточные продукты не в виде полного комплекта услуг для банковского обслуживания, а в виде продукта для узконаправленных целей, к примеру, карты для перевода выплат по ОСАГО, переводов денежных средств, подарочных карт или моментально выпускаемых карт.

Стоит напомнить, что еще в 2013 году регулятором был проведен опрос о степени готовности банков перейти на выпуск чиповых карт. Тогда только 28% опрошенных банков осуществили полный переход на их выпуск, а к 2015 году это пообещали сделать 45% респондентов. При этом 19,3% банков, среди которых прошел опрос, заявили, что не планируют даже и начинать выпуск чиповых карт.

По словам директора департамента розничного бизнеса «Росгосстрах банка» Андрея Борискина, банк с 1 июля наладил выпуск только карт с чипами. Но небольшое количество нечиповых карт, которые были выпущены до июля, может быть еще не получили клиенты, но это не является эмиссией новых карт. Банк находится под контролем одноименной страховой группы и выплаты направляются в том числе на банковские карты.

По словам представителя Центробанка, пока банки не заявляли о затруднениях, связанных с выпуском микропроцессорных платежных карт. И пока нет никаких ограничений по срокам окончательного вывода из обращения карт с магнитной полосой. Вывод из обращения бесчиповых карт Альфа-банка будет осуществлен через два года.

С середины 2013 года в Сбербанке все карты выпускаются с чипом, на сегодняшний день 79% карточного портфеля Сбербанка приходится именно на карты с чипом. В Промсвязьбанке порядка 80% от общего выпуска занимают чиповые карты, у магнитных - 20%. По словам представителя Райффайзенбанка, у них налажен выпуск только карт с чипами.

Как считает директор департамента управления рисками Visa в России Олег Скородумов, в нашей стране степень проникновения чиповых карт Visa ощутимо выше общемировых показателей. Рост доли чиповых карт заметно сказывается на снижении уровня мошенничеств с картами.