Оптимальный уровень мошенничества выше нуля / forpes.ru

Главная
Оптимальный уровень мошенничества выше нуля

Оптимальный уровень мошенничества выше нуля +16

01.10.2025 13:01

interpres 0 901 Источник

В недавних обсуждениях одного из вида мошенничества с кредитными картами у меня родился комментарий: «Оптимальный уровень мошенничества больше нуля».

Это утверждение контринтуитивно, и может показаться, что я стараюсь быть слишком умным. Но вам стоит этому поверить.

Уровень преступности как выбор политик

Если вы любите играть в симуляторы, то знакомы с такой механикой: игрок нажимает на кнопку, и какой-то показатель его цивилизации сразу реагирует на это, соответствующим образом меняясь. В реальной жизни причина и следствие не всегда так прямолинейны, но эта связь существует, и в мире есть (или были) юридические системы, радикально отличающиеся от нашего статус-кво, достигавшие очень разных результатов, как прямое последствие выбора политик.

Это можно перефразировать так: преступление — это выбор политик, как с точки зрения определений (можно просто решить, что какое-то действие перестаёт быть преступлением, и преступность внезапно снижается), так и потому, что преступления реагируют на то, что находится под вашим контролем. Бóльшая часть мира решила использовать самые простые политики, но всё равно существуют варианты с произвольно выбираемым уровнем строгости, от «увеличить бюджет полиции» до «полностью запретить алкоголь» или «создать оруэлловскую антиутопию».

Мошенничество — это уникальное подмножество преступлений, которое в значительной степени существует в зависимости от усилий по борьбе с ней со стороны негосударственных субъектов. Подавляющее большинство всех случаев мошенничества, которые удаётся остановить, выявить, рассмотреть и даже наказать (!), осуществляется силами одной или нескольких частных компаний. И в данном случае именно частный сектор должен принимать стратегические решения, которые, подобно решениям государственного сектора, уравновешивают нежелательность мошенничества с желательностью таких общественных благ, как открытое общество, лёгкий доступ к услугам и (не в последнюю очередь!) получение прибыли.

Ограничимся мошенничеством с платежами

Чтобы статья не оставалась чересчур абстрактной, давайте ограничимся одним конкретным типом мошенничества, направленным на один конкретный тип субъекта: злодей крадёт платёжные учётные данные, например, номер кредитной карты, и с их помощью получает ценные товары или услуги бизнеса. Это чрезвычайно распространённый вид мошенничества, который стоит миру примерно 10-20 миллиардов долларов в год, и тем не менее, относительно других видов мошенничества он достаточно ограничен.

Этот вид мошенничества возможен по самой природе системы. Лучшие умы государства, финансового сектора и бизнеса собрались и решили, что они хотят, чтобы этот вид мошенничества был возможен. Вероятно, это заявление покажется вам поразительным, но это действительно так.

Прежде, чем мы углубимся в «как?», давайте разберёмся с «почему?».

Кто платит за мошенничество с платежами?

Ответственность за мошенничество с платежами распространяется каскадно, она установлена сочетанием правовых норм, договоров и практик ведения бизнеса. Специфика может быть сложной, но чтобы конкретно визуализировать это, рассмотрим пример пользователей потребительских кредитных карт в США.

Можно предположить, что в случае кражи/взлома кредитной карты и её использования злоумышленником для приобретения чего-то, ответственность должен нести держатель карты. Он и в самом деле страдает от первичных потерь, но общество решило, и это отражено в правовых нормах (в частности, в Regulation E), что эти потери должны переходить к финансовому институту, если они не превышают $50. Финансовый сектор США в качестве маркетингового решения, по сути, закрывает глаза на эти $50.

Эмитент банковской карты, следуя правилам бренда кредитной карты (разработанным в симбиозе с правовыми нормами), автоматически запрашивает возмещение этих потерь у платёжной системы (оператора платежей) бизнеса. Тот аналогичным образом автоматически запрашивает возмещение потерь у самого бизнеса.

В подавляющем большинстве случаев на этом каскад заканчивается. Хотя существует страховка (это и специализированное страхование возврата платежа (чарджбэка), и общее страхование бизнеса), чаще всего бизнесы просто списывают потери от мошенничества точно так же, как они списывают аренду офисов, зарплату персонала и затраты на маркетинг.

Помните те 10-20 миллиардов долларов, о которых мы говорили выше? Именно это и происходит с ними в обычной практике ведения деловых операций. Это распределение потерь почти автоматическое, в нём почти никогда не участвуют суды или адвокаты, и они лишь изредка требуют человеческого вмешательства.

Мошенничество как необходимые деловые расходы

Представим, что нас только что наняли в Корпорацию директором отдела мошенничества. Вы знаете, что в конечном итоге будете нести ответственность за большинство случаев мошенничества, происходящих по этому паттерну. Какую сумму потерь вы должны сообщить в качестве целевого показателя вашему CEO?

Ноль?! Вы думаете, что директор отдела маркетинга мечтает тратить ноль на маркетинг!? Это объективно будет глупым целевым показателем. Его, очевидно, следует уволить и заменить тем, кто понимает в добавочном доходе.

Предельная выгода от допущения мошенничества в отношении вас, вероятно, больше нуля, и, следовательно, вам следует мириться с ненулевым уровнем мошенничества. Можно воспринимать это как необходимые расходы, аналогично затратам на аренду, зарплаты или рекламу. Вы даже можете оформить это, как налоговое списание. (Спросите у своего бухгалтера; компании часто ошибочно понимают правила в этой сфере.)

Причина этого заключается в том, что директор отдела мошенничества осознаёт, что варианты доступных ему политик влияют на удобство пользования и для мошенников, и для добропорядочных пользователей. Он хочет выбрать политики, которые уравновешивают снижение уровня мошенничества с простотой транзакций для обычных пользователей.

Траты и преимущества выбора политик, связанных с доверием

Возможно, сама структура обсуждений мошенничества заранее настраивает людей рассматривать пространство выбора в негативном свете. Предложу эквивалентную функцию, имеющую другую эмоциональную заряженность: насколько мы будем доверять людям и при каких условиях?

Мошенничество — это а) нарушение доверия, приводящее к б) денежным потерям обманутого мошенниками и в) денежным приобретениям мошенника. Можно добиться нулевого уровня мошенничества, не доверяя никому и ни при каких обстоятельствах.

Однако доверие — это невероятно полезная для общества технология. Человеческая цивилизация обладает фундаментальной слабостью — любого человека запросто можно убить во сне. Огромная доля усилий общества направлена на то, чтобы создать условия, при которых этой тривиальной уязвимостью практически никогда не пользуются. Говорят, что Бог закрыл все баг-репорты, заявив, что это фича, и патчить её в ближайшее время не будет.

Доверие — это и фундамент торговли; в ней это многослойная концепция: разные люди в разных ситуациях имеют разный уровень доверия. Для повышения доверия чаще всего нужно потратиться, но в дальнейшем это снижает сложности при транзакциях. Бухгалтеру своей компании вы доверяете больше, чем своим работникам, работникам доверяете больше, чем клиентам, а клиентам — больше, чем людям, с которыми никогда не сталкивались, и так далее.

Во взаимоотношениях доверия эти затраты возлагаются на обе стороны. Чтобы нанять бухгалтера, компании нужно найти и собеседовать множество потенциальных бухгалтеров, а затем на многие годы нанять победителя, а бухгалтеру нужно потратить годы жизни для получения профессиональных рекомендаций, и затем в течение всей карьеры показывать, что вы стоите доверия. По этой причине бухгалтерам доверяют самые заветные тайны компаний и стран.

Разумеется, онлайн-магазины не смогли бы работать, если бы перед покупкой кроссовок на сайте пользователю пришлось бы предпринимать схожие усилия. Магазин бы не продал ни одной пары обуви мошеннику, но и продажи были бы мизерными.

Как сделать покупателем человека, которого ни разу не видел

Индустрии платежей приходится решать множество фундаментальных проблем. Одна из них — быстрое создание бизнеса благодаря принятию решения доверять тому, кого вы никогда не видели, в такой степени, чтобы позволить ему приобретать ценные товары и услуги, основываясь лишь на обещании расплатиться в будущем.

Обещание! Простые слова! Миллиарды долларов были потрачены на маркетинг, чтобы убедить вас, что платёж — это нечто большее, нежели обещание. Это ложь, и этой лжи мы все выбираем отчасти верить, потому что это гораздо более эффективная модель для управления миром, чем голая истина.

Для бизнесов привлечение новых клиентов предпочтительнее, чем непривлечение. Они могут выбирать тот уровень препятствий, который новый клиент должен преодолеть перед тем, как ему предложат товары и услуги. Многие бизнесы обнаружили, что снижение этого уровня приводит к привлечению большего количества новых клиентов, которые тратят больше и продолжают совершать новые транзакции. (По совпадению, это «единственные три цели маркетинга».)

Можно подвергать клиентов-новичков (или даже повторных клиентов) длительному процессу согласования, в том числе, чтобы повысить своё доверие к ним, или снизить воспринимаемую степень риска того, что они совершат мошенничество. Например, в качестве условия ведения бизнеса вы можете попросить их о крепком рукопожатии.

Требование крепкого рукопожатия — это, на самом деле, эффективная мера защиты от мошенничества. Требование того, чтобы это происходило лицом к лицу, снижает количество международных профессиональных банд мошенников, которые бы желали атаковать вас, потому что они находятся физически далеко и неспособны пожать руку. К сожалению, по той же причине это и снижает количество клиентов, которому вы сможете продавать свои товары и услуги: большинство людей живёт далеко от ваших розничных магазинов.

Петли защиты от мошенничества, используемые в онлайн-торговле

Вероятно, в процессе покупок вы сталкивались с петлёй защиты от мошенничества, хотя могли этого и не заметить. У вас когда-нибудь спрашивали вместе с адресом доставки и адрес для выставления счетов? Это необходимо для AVS (Address Verification System). Очевидно, что это снижает удобство для пользователя, и такое снижение можно выразить количественно: почти правилом стало то, что чем меньше полей в формах оплаты, тем выше конверсия. (Конверсия — это отраслевой термин, обозначающий процент потенциальных покупок, превратившийся в реальные успешные покупки.)

Когда-нибудь задавались вопросом, зачем сайту нужно, чтобы вы завели аккаунт? Одна из основных причин заключается в том, что это создаёт историю пользователя, позволяющую бизнесу направлять большее внимание на пользователей-новичков (более рискованных с точки зрения мошенничества), чем на многолетних постоянных покупателей (менее рискованных). Если бизнес допускает покупки с гостевых аккаунтов, это значит, что он принял решение мириться с бóльшим уровнем мошенничества (и уменьшить свою способность влиять маркетингом на потребителя) в обмен на повышение продаж.

Часть помех работает в фоновом режиме или лишь для некоторых пользователей. Например, при размещении высокорискованных заказов, бизнес может попросить сначала подтвердить владение телефонным номером (клиент должен ввести код, отправленный на этот номер) или даже поговорить с сотрудником отдела мошенничества перед выполнением транзакции. Обе эти меры направлены на препятствование экономике крупномасштабного мошенничества: телефонные номера и голосовые вызовы более затратны по сравнению с синтетическими данными и обычно позволяют выполнить утечку информации о мошеннических операциях, что помогает предпринимать меры защиты против них.

У разных бизнесов есть разный уровень терпимости к мошенничеству

Маржа создаёт маржу. Бизнес с высокой маржой склонен, при прочих равных условиях, тратить больше на маркетинг и продажи, чем бизнес с низкой маржой; если он не будет этого делать, то конкуренты «повысят ставку» затрат на привлечение клиентов из своей большой маржи.

Также бизнес с низкой маржой склонен больше закрывать глаза на мошенничество с платежами, чем низкомаржинальный. Возьмём для примера бизнесы, продающие интеллектуальную собственность, допустим, видеоигры, стриминговые сервисы или SaaS. Так как их маржа часто больше 90%, если дать им меню стратегий с балансом между уровнем конверсии и уровнем мошенничества, они предпочтут максимизировать конверсию так, что мошенничество достигнет уровней, невиданных даже в самых преступных сферах.

Бизнесы, продающие ценные товары с гораздо меньшей маржой, которые можно перепродать, например, устройства Apple или игровые консоли, должны быть гораздо аккуратнее с тем, с кем они выполняют транзакции. Им приходится идти на болезненные компромиссы: «Пусть отдел мошенничества проверяет каждый новый заказ и приостанавливает доставку каждого первого заказа, пока мы не поговорим с покупателем».

Между этими двумя крайностями есть целый спектр режимов борьбы с мошенничеством, и в целом это хорошо. Общество может выбирать, и в данном случае оно выбирает через действия частных агентов. Оно находит баланс между количеством ресурсов, утекающих к злоумышленникам, и простотой ведения бизнеса с добропорядочными пользователями. Этот аспект часто упускается в обсуждениях мошенничества; одна из причин его роста за последние несколько десятков лет стал взрывной рост торговли, потому что мир стал богаче, а препятствия в торговле снизились.

И это касается не только платежей

Надеюсь, теперь вы понимаете, почему Интернет-продавцов вполне устраивает ненулевой уровень мошенничества. Это утверждение можно обобщить, и оно имеет важные этические последствия. Мы, как общество, должны соглашаться с ненулевым количеством случаев мошенничества с выгодой. Мы должны принять ненулевую величину уклонения от налогов. Лично вы выиграли от того, что финансовый сектор решил не прикладывать максимально возможные усилия к защите от так называемой «кражи личности».

К таким компромиссам часто невероятно сложно стремиться в явном виде. Кому хочется быть известным, как политик, благосклонно относящийся к мошенничеству, или как финансовый CEO, считающий, что отмываются недостаточные суммы денег?

Один из интересных вопросов здесь заключается в том, кто должен устранять подобные трения. В общем случае это будут частные субъекты, применяющие собственные решения о балансе затрат и выгод. Существует достаточно большое пространство правовых норм, помогающих в случаях, например, кражи личности, когда субъекты могут выбрать тратить бюджеты рисков других людей, чтобы максимизировать собственную выгоду.