Платежи с использованием криптовалюты называются криптоэквайрингом. Существуют два основных вида криптоэквайринга:
1. Прием на входе фиата с последующей конвертацией в криптовалюту по курсу биржи на момент совершения сделки и последующий перевод клиенту эквивалента, например, в USDT.
2. Прием и перевод криптовалюты. В данном случае конвертации при переводе не происходит.
Наибольший риск содержится в первом варианте, так как там происходит пересечение фиатных денег, которые украсть легче, с анонимной криптовалютой, которую в свою очередь легче скрыть, чем и пользуются преступники. В настоящее время существует большое количество различных площадок, бирж, обменников, сервисов и платежных решений, сочетающих в себе оба вида приема и перевода криптовалюты.
Какие последствия могут принести вышеуказанные риски?
1. Прямые финансовые потери. Возникают в связи с возможностью оспорить операции через процедуру chargeback со стороны кардхолдеров. Также возможен вариант принятия на обслуживание фиктивного магазина, который либо прогоняет ворованные карты через себя, либо проводит некое количество карт, оформленных на аффилированных с ним лиц, и впоследствии самостоятельно оспаривает операции как неоказание услуги.
Тем самым, за вычетом комиссии на эквайринг и некоторых расходов, связанных с номинальным сервисом, злоумышленник получает обратно примерно 80% от вложенной суммы.
Повышенное внимание со стороны международных платежных систем (МПС) и различных регуляторов к криптовалюте приводит к тому, что риск за несоответствие кода merchant category code (MCC) реальной деятельности мерчанта, особенно если он из категории high risk (например, гемблинг, беттинг, форекс) гораздо выше. Штраф за такое нарушение начинается от 25000 USD.
Многие мерчанты, которые предпочитают работать по мискодингу или с нарушением правил МПС в программах BRAM или VBPP, также зачастую используют криптоэквайринг, надеясь на то, что МПС не будет разбирать какой товар или услуга оплачивается с помощью криптовалюты, сконвертированной из фиатных карточных средств.
Но на практике это не работает, важнейшую роль здесь играет отображение для плательщика прохождения операции, и если кардхолдер в итоге получает, к примеру, пополнение баланса для игры в покер, предыдущие действия по открытию промежуточных кошельков, конвертации в крипто или иную цифровую или условную валюту не будет иметь существенной роли.
2. Регуляторные риски. Любая компания, которая осуществляет криптоэквайринг и хочет при этом быть в рамках закона должна выбрать ту юрисдикцию, где эта деятельность законна и регулируется. Наличие лицензии может существенно поднять рейтинг и доверие среди отправителей и получателей платежей, а также снизить возможные претензии и негативный интерес со стороны различных надзорных органов.
С другой стороны, наличие подобной лицензии обязывает ее владельца соблюдать определенные правила, в том числе иметь рабочую AML политику и строго ей соответствовать. Любой мошеннический платеж или сомнительная оплата при проверке может трактоваться как отмывание денежных средств или финансирование терроризма.
Несмотря на то, что платежи с использованием криптовалюты считаются анонимными и это является их преимуществом, регуляторы обязывают идентифицировать своих клиентов. Для этого существуют различные способы. Если рассматривать в качестве регулятора МПС, то за неоднократные нарушения их правил участника могут дисквалифицировать и лишить возможности принимать карточные платежи.
3. Репутационные риски. К ним относятся все нефинансовые потери для компании, несущие в себе негатив, как правило, от клиентов. Эти риски можно монетизировать и оценить, потому что любая репутационная потеря влечет за собой финансовую. Те, кто утверждают обратное, просто никогда не просчитывали эти потери в рублевом или ином выражении, пусть и в качестве упущенной выгоды.
Взлом биткоин кошелька и вывод средств клиента может напрямую и не быть следствием ошибки компании, но для пострадавшего это не всегда очевидно, и в любом случае подобный инцидент будет бросать тень на деятельность и надежность компании в целом.
Как можно минимизировать данные риски?
Первое, наличие AML политики и внедрение ее во все процессы и процедуры. Ошибочно считать, что достаточно иметь копипаст данного документа на сайте и во внутренних распорядках компании.
Любой регулятор в этой области имеет вполне приемлемые условия, исполнение которых всегда можно адаптировать к реалиям ведения бизнеса, специфике процесса оплаты или требованиям и ожиданиям клиентов. Под клиентами в данном случае я имею в виду как физических, так и юридических лиц.
Второе, проверка мерчантов, в пользу которых ведется прием платежей должна проходить как в рамках AML политики, так и в рамках так называемой Cybercrime проверки. которая оценивает клиента с менее формальной точки зрения и уделяет большое внимание следующим аспектам:
1. оценка вероятности подмены заявленной деятельности на запрещенную, смежную ограниченную или требующую лицензирования высоко рисковую. Например, набирающий сегодня популярность фэнтэзи спорт идет рука об руку с азартными играми, которые должны обрабатываться с соответствующим МСС кодом – 7995, а также соответствовать другим требованиям, применяемым платежными системами к high risk мерчантам;
2. соответствие заявленных мерчантом характеристик приема платежей оценочным, таким как оборот и средний чек – времени присутствия на рынке, посещаемости и виду деятельности, страны приема карт – географии захода пользователей, языковому разнообразию контента, скачек оборота или его внезапное изменение характеристик – логичной причине, которую можно найти самостоятельно или с помощью разъяснения непосредственно самого мерчанта и тд;
3. «контрольная закупка», включает в себя перечень действий, направленных на установление истинной деятельности клиента и отображение всех стадий оплаты с точки зрения пользователя, пользующимся услугами и/или товаром мерчанта. Включает в себя, но не ограничивается следующими действиями: заказ и оплата или бронирование товара/услуги с последующей отменой, предложение о сотрудничества в качестве поставщика услуг или их распространителя, провокационные попытки приобрести незаконный товар или услугу, проверка всех видов обратной связи.
Третье, использование кросс-канальной адаптивной антифрод системы, которая имеет возможность масштабирования в части подключения новых аналитических блоков в случае необходимости.
В основу ее работы должны быть заложены не только классические ограничительные фильтры и правила, но и возможность самостоятельно без участия человека изменять свои правила в случае наступления определенных заданных ранее событий. Примеры, в которых такая функция будет крайне полезной:
1. в пользу любого мерчанта из списка ранее заданных (например, подозрительных по какому либо признаку) происходит скачок оборота по картам, пусть Германии, превышающий в несколько раз среднесуточный оборот мерчанта за последний месяц по всем картам. В таком случае происходит блокирование ввода/вывода средств в пользу данного мерчанта и/или закрытие всех карт Германии на прием для всех мерчантов с одновременным уведомлением оператора для немедленного ручного разбора ситуации.
2. один или несколько пользователей (признак принадлежности к одной группе – использование одного отпечатка устройства, ip-адреса, параметров из ранее блокированных в системе, нод TORa и тд,) регистрируют за заданный промежуток времени определенное количество кошельков/учетных записей, которые кратно превышают аналогичный усредненный показатель. При наступлении таких событий все созданные кошельки, а также уникальные параметры, участвующие в их создании, такие как email, номер телефона, карта, device id блокируются и помещаются в карантин.
Четвертое, криптоаналитика. Единых критериев и четких правил как ее организовать нет, но в своей основе может содержать следующие составляющие:
1. использование черных списков биткоин кошельков и отслеживание подобных транзакций в своей системе. Данные списки можно собирать самостоятельно в даркнете по различным объявлениям, связанных с незаконной деятельностью, или же использовать готовые решения: некоторые компании делают это самостоятельно и продают готовые списки с подобными адресами;
2. определение кластера кошелька, его природы происхождения. Оценка каждой группы с присвоением определенного балла, составление итогового веса каждой транзакции;
3. составление связей в виде графического отображения;
4. использование скоринговой модели подсчета общего веса каждой транзакции с учетом всех возможных источников информации (кросс-канальность). Например, если на входе был фиат, а после него перевод криптовалюты на внешний неизвестный кошелек, и при этом пользователь предоставил документы для KYC, которые не прошли по качеству, следует учитывать все эти составляющие и смотреть на картину целиком. При этом крайне желательно свести к минимуму роль человека в качестве оценщика и субъекта, принимающего решение.
Эти меры помогут не только в случае проверки регулятора или запросов из правоохранительных органов показать лояльность компании закону в сфере анти отмывочного законодательства, но и реально отвадить или создать дополнительный барьер тем мошенникам, которые ищут платежки – помойки для своих незаконных целей.
Есть ли риски в приеме криптовалюты?
МЕНЮ
Услуги
Для бизнеса
Блог
О компании
БЛОГ
Немного о Stripe
Как долго работать?
Нужно ли платить
налоги?
ПОЛИТИКА
О КОМПАНИИ