כמו במטריקס: חדרי המלחמה של חברות האשראי
מתקפת ההאקרים האחרונה על ישראל הציפה אל פני השטח את המלחמה האינסופית שמתנהלת הרחק מעינו של הצרכן, אי שם בחדרי בקרה מתחת לאדמה. "הונאות הן חלק מהעסק"
עמוק מתחת לאדמה באחת הערים המרכזיות בארצות הברית נמצא מרכז האבטחה של החברה הבינלאומית מסטרקארד שכרטיסיה מבצעים בכל שנה כ-23 מיליארד עסקאות. בלב המרכז מצוי אולם גדול במיוחד הכולל מסכים גדולים שעליהם רצים ללא הרף נתונים, אותם בוחנים עשרות עובדים טרוטי עיניים בניסיון למצוא כשלים או פריצות.
- חשיפת האשראי: ניתוקים ועומס במוקדי השירות
"זה נראה כמו המטריקס", תיאר בראיון שקיים באחרונה עם ynet דניאל כהן, מנהל הנציגות של מסטרקארד בישראל. "יש שם טלוויזיות שמשדרות חדשות מכל העולם, ונמצאים שם עובדים שדוברים כמה שפות ומאיישים את העמדות מסביב לשעון. מדובר בעובדים עם המון ידע וניסיון שעושים הכל כדי שלא יהיו הונאות. אף שאני לא יכול להתחייב שלא יהיו אירועי הונאה, חשוב שהצרכן יידע שהחשיפה שלו להונאות בכרטיסי אשראי היא מינימלית. אם מישהו גונב את הכרטיס - זה על אחריותנו. אנחנו כל הזמן מחפשים פתרונות בעולם לבעיה הזאת".
בצורה דומה מאוד עובדים מרכזי האבטחה של חברות כרטיסי האשראי בישראל. אמנם מספר הכרטיסים והעסקאות כמובן קטן בהרבה, כך שגם היקפי כוח האדם נמוכים יותר, אך המודל דומה. "רמת האבטחה בקרב המנפיקים הישראלים גבוהה מאוד", אומרים בחברת מסטרקארד העולמית.
אף שחברות האשראי אוהבות לדבר על הטכנולוגיות העתידיות שלהן, אין ספק כי האתגר המרכזי שלהן הוא ההתמודדות עם ההונאות הרבות בתחום. בשנים האחרונות התפתחות הטכנולוגיה והרחבת השימוש באתרי הקניות באינטרנט, הציבו אתגרים חדשים בפני מחלקות ניהול הסיכונים מעבר להונאות "המסורתיות", כגון גניבת כרטיסים, העתקת הפס המגנטי וכדומה.
מי שיבדוק את האנשים המנהלים את יחידות ניהול הסיכונים בחברות האשראי, ימצא שם לא מעט קצינים בכירים לשעבר בצה"ל, בעיקר מיחידות המחשבים והמודיעין. חברות כרטיסי האשראי הבינלאומיות והחברות הישראליות משקיעות משאבים גדולים באיתור הונאות. במקרים רבים, החברות יודעות על הונאה או גניבת כרטיס הרבה לפני שהלקוח בכלל מודע לכך. עם זאת, אין חסינות מוחלטת בפני הנוכלים.
עד כמה גדול היקף ההונאות?
בחברות האשראי מסכמים יום קשה ועמוס במיוחד ולא בגלל האירוע עצמו, שלדבריהם הרבה פחות דרמטי ממה שהצטייר, אלא בעיקר בניסיונות להרגיע את הציבור. במקרה שאירע אתמול נחשפו כ-14 אלף כרטיסי אשראי של כלל החברות (ההתפלגות בין חברות האשראי תואמת את נתח השוק שלהן). ואמנם לא מדובר באירוע חריג בקנה מידה בינלאומי. די להיזכר בהונאה בסיטי בנק ובפריצה לשרתי חברת סוני באפריל האחרון, שני אירועים שבהם נחשפו מאות אלפי כרטיסים.
"החברות מתמודדות מול זייפנים כל הזמן", אמר הבוקר ל-ynet דב קוטלר, מנכ"ל ישראכרט. מעט אירועים מתפרסמים. בדרך כלל אירועים מסוג זה מסתכמים באלפים בודדים או מאות כרטיסים. אף שהפעם מדובר באירוע קצת יותר גדול הטיפול בו זהה למקרים אחרים, אולי בעוצמה קצת יותר גבוהה. במשך השנה אנחנו נתקלים לעתים באירועים יותר גדולים".
בחינת הדו"חות הכספיים של חברות כרטיסי האשראי מעלה כי סך כל הכספים שהשיבו החברות ללקוחות בגין שימוש לרעה שנעשה בכרטיסם, עומד על כ-20 מיליון שקל בשנה לכל חברות כרטיסי האשראי בישראל. בהתחשב בכך שמחזור הקניות של הציבור הישראלי עומד על יותר מ-200 מיליארד שקל בשנה, מדובר בהיקף נמוך במיוחד.
בלאומי קארד, לדוגמה, טוענים כי שיעור ההונאה ממחזור הקניות הממוצע, המשמש כמדד לסיכון הזה, עומד באירופה על 0.04%, ואילו בארץ ההיקף שלו הוא חצי בדיוק.
האם יש סכנה לכספו של הלקוח?
בחברות כרטיסי האשראי מנסים להרגיע ומדגישים כי ברוב מוחלט של המקרים ניתן ללקוח כיסוי מלא במקרה של הונאה. "כאשר לקוח עשה עסקה באינטרנט וזה לא הוא, הוא מקבל את הכסף. את כל החששות צריך לשים בפרופורציה", אומר גיל טופז, סמנכ"ל כאל וראש אגף ניהול סיכונים.
"במוצר הזה יש הונאות, זה חלק מהעסק", מוסיף ישי ורטהיימר, מנהל מחלקת סיכוני אשראי בכאל. "אני כמעט לא מכיר מקרים שבהם החברה לא תגן על לקוח שעושה עסקה. צריך להיות מאוד רשלן בשביל שזה יקרה".
יש לציין כי לרשות הלקוח עומדים 30 יום לדווח לחברת האשראי על שימוש לרעה שנעשה בכרטיס האשראי שלו ושבהם החברה מחויבת להשיב לו את הכסף.
בכיר באחת מחברות כרטיסי האשראי אומר ל-ynet "המערכות שלנו יכולות לנטר גם מיליוני כרטיסים, זה בכלל לא משנה כמה הונאות מבוצעות, הנקודות הבעיתיות יותר זה בהצפת מוקדי השירות , שם יכולים להיוווצר עומסים גדולים שיקשו על הפעילות הזו.
ומה לגבי הכסף, אם חלילה מדובר בכמות גדולה של לקוחות ובהחזר כספי גדול במיוחד?
"גם לזה יש פתרונות. אנחנו מחוייבים להחזיר את הכסף, העיקרון בדברים האלה עובד שבדרך כלל החוליה החלשה בהתנהלות הסליקה היא זו שמשלמת את המחיר (לא הלקוח), וזה גם תלוי ברמת האבטחה שלה, לרוב בית העסק דווקא עשוי לשאת בתוצאות.
בכלל אנחנו מדברים על משהו מאוד תיאורטי, אבל החברה גם יכולה להפסיד את כל הרווח שלה באותה שנה כדי להשיב כסף ללקוחות וחוץ מזה לחברות יש גם הון עצמי של מאות מיליוני שקלים, שניתן להשתמש בו במקרה הצורך. אנחנו עומדים בכל הדרישות של בנק ישראל (הקצאות הון) ואף מעבר לכך".
כדאי להזכיר גם כי חברות כרטיסי האשראי נמצאות בבעלות הבנקים (כאל - בבעלות דיסקונט, ישראכרט - בבעלות הפועלים ולאומי קארד - בבעלות לאומי) המופקחים בצורה קפדנית על ידי בנק ישראל.
לאזן בין מניעת סיכונים לנוחות הלקוחות
במהלך הלילה האחרון נעשו לא מעט טלפונים בין מומחי האבטחה של חברות כרטיסי האשראי השונות, שהחל מאתמול בלילה נמצאים במשרדי החברות. "מי שגונב, גונב מכולם", אומר מומחה אבטחה באחת מחברות כרטיסי האשראי. לדבריו, לאור הגבלות הממונה על ההגבלים העסקיים בכל הנוגע לשיתוף פעולה ותיאום בין החברות, העניין הזה תמיד בעייתי. "היכולת שלנו לשתף מידע עם חברות אחרות מוגבלת, אך כשיש חקירה של פרשה כלשהי אנחנו עושים זאת יחד. באזור הזה אין תחרות".
כיצד מתקבלת ההחלטה להגביל כרטיס של לקוח, עקב חשד להונאה?
בחברות כרטיסי האשראי מסבירים כי למעשה מדובר בניהול איזונים ומניעת סיכונים ובמקביל ניסיון להימנע ככל הניתן מפגיעה בנוחות של הלקוח.
"אנחנו מנהלים את הסיכון, אבל לא הופכים אותו לאפס. המטרה היא לצמצם את הסיכון למינימום ולתת שירות טוב ללקוח. למשל בארה"ב ברירת המחדל היא שבמקרה של חשד להונאה, לא ניתן להשתמש בכרטיס בחו"ל, צריך אישור לפני וזה על חשבון הנוחות של הלקוחות המשחק בניהול סיכונים הוא בין מאזנים מסוימים", מסביר ורטהיימר.
לדבריו, יש שלושה שלבים של טיפול בנזקים: מניעה, שירות וטיפול בנזק. "לפעמים יש מצב שבו בטוחים ב-100% שהיתה הונאה - ואז עוצרים את הכרטיס. אם לקוח עושה באמצע הלילה באפריקה עסקה ב-100 אלף שקל אין ספק שמדובר בעסקה חשודה. אנחנו צריכים להיות כמה שיותר מדויקים, כדי שכולם יהיו מרוצים. באזורים האפורים אנחנו נמדדים".
הוא מציין כי יש אנשים שעושים עסקאות של מאות אלפי שקלים בכרטיס - אבל בלי טלפון לחברת האשראי, העסקה לא תאושר; ויש כאלו שעסקות בהיקפים כאלה היא ההתנהגות הרגילה שלהם. "היתה לנו לקוחה שעשתה עסקה באלפי שקלים במספרה בטורקיה. כמה אנשים מסתפרים במחיר כזה? התברר שזו היתה לקוחה חרדית שרכשה פאות לעסק".
כיצד עובד שיתוף הפעולה בין חברות כרטיסי האשראי הבינלאומיות?
"חברות כרטיסי האשראי הבינלאומיות (מסטרקארד, ויזה וכו') הקימו מועצה משותפת לפני מספר שנים, לאחר שהחליטו לעשות סדר והמציאו תקן לכל מי שעוסק בכרטיסי אשראי, המנפיקות וגם בתי העסק", אומר ורטהימר. "התקן הזה אומר אלו פרטים מותר לשמור ובאיזה צורה (הצפנה). התקן הזה מטיל חובות שעולות הרבה מאוד כסף. הם מאוד נוקשים, ואי עמידה בתנאים שלהם גוררת קנסות. לבתי העסק אין היום כל ברירה. אני חייב להודיע להם על כל הונאה בודדת. אנחנו גם חייבים לדווח להם על בתי עסק שלא עומדים בתקן.
במה שנוגע לאבטחה בהגנה על נתוני הכרטיס, במובנים מסויימים אין ספק שהם נמצאים הרבה מעבר לדרישות של בנק ישראל, והסיבה היא שהם מסתכלים על כל העולם. הם רואים פריצות הם רואים שנגרמים נזקים. הם רואים אירועים שמשפיעם על מיליוני לקוחות והם פוחדים שאנשים יחששו להתשמש בכרטיסי אשראי".
לדברי גלעד קהת, סמנכ"ל ניהול סיכונים ורגולציה בלאומי קארד, הבעיה היא בעיקר בעסקים הקטנים יותר. "אסור לבתי עסק לשמור פרטי כרטיסים", הוא אומר. "יש תקינה שמחייבת בתי עסק - אילו נתונים אפשר לשמור ובאיזו צורה. לרוב, בתי העסק מקפידים כי אנחנו דורשים מהם לעשות זאת. לחברות הגדלות יש משאבים לעשות את זה. אבל בחלק מהעסקים הקטנים לא מקפידים".
לפנייה לכתב/ת 
