Rapports GEPF Prévention de la fraude de paiement en Europe

Rapports GEPF
Prévention de la fraude de paiement en Europe
ATM ET POINTS DE VENTE DE SÉCURITÉ
Introduction
Un groupe d'experts prévention de la fraude (GEPF) a été établi en vertu de ces plans d'action.
Ce groupe d'experts au niveau de l'UE comprend des représentants des différentes parties
impliquées dans
prévention de la fraude (nationales et les systèmes de paiement européens, les banques, les pouvoirs
publics, les détaillants,
les groupes de consommateurs, opérateurs de réseaux, etc.)
Le FPEG a décidé de créer un sous-groupe sur les questions de sécurité liées au guichet
automatique
Machines (ATM) et Point-of-Sale terminaux (POS), le soi-disant sous-groupe sur l'ATM
POS et de sécurité. Les principaux objectifs de ce sous-groupe sont les suivants: (1) pour faire une
inventaire de la gouvernance de l'environnement actuel et les mesures de sécurité appliquées à l'
fonctionnement des guichets automatiques et points de vente, et d'indiquer quelles sont les
meilleures pratiques ont été prises pour
prévenir les crises; (2) de vérifier dans quelle mesure les caméras vidéo sont utilisés dans et autour
ATMS
et POS, et dans quelle mesure ces informations peuvent être mises à disposition pour l'exécution
faible
enquêtes plus efficacement, (3) faire des recommandations sur la façon d'atténuer ATM
et les attaques de point de vente, et (4) de formuler des recommandations de sécurité fonctionnelles
liées et
cahier des charges ainsi que les exigences pour les installations ATM, en tenant compte courant
attaques.
Le travail du sous-groupe est reflétée dans le rapport sur la sûreté de l'ATM suite à cette
introduction2. Ce rapport fournit une description de l'environnement ATM, de la principale
menaces pour la sécurité distributeurs automatiques de billets à ce moment-là, du point de vue de la
sécurité des
non monétaires moyens de paiement (par exemple, les attaques au réseau ATM, et en particulier la
carte
écrémage et de faux distributeurs automatiques de billets - souvent en combinaison avec capture
PIN), et des plus
mesures de sécurité communes et des meilleures pratiques. Il fournit également des informations sur
le rôle des
les autorités répressives.
1 Pour de plus amples informations, reportez-vous
http://europa.eu.int/comm/internal_market/payments/fraud/index_en.htm.
2 Le secrétariat du Sous-groupe sur l'ATM GEPF La sécurité est assurée par la DG Marché intérieur
et
Services au sein de la Commission européenne. Cependant, les opinions exprimées dans ce rapport
sont purement
celles des auteurs et ne peut en aucun cas être considéré comme une position officielle de l'
Commission européenne.
2
Sur la base de ce rapport, les experts GEPF, sont d'avis que, même si il existe d'importantes
mesures de sécurité et les meilleures pratiques nationales déjà en place, le système de prévention
peuvent
être améliorée. Leurs recommandations sont présentées dans la section suivante, que les points de
vue
des parties prenantes.
Recommandations: les points de vue des parties prenantes
Les parties prenantes représentées dans le FPEG sont d'avis que la prévention de la
les attaques contre le réseau ATM devrait être améliorée. Cependant, ils sont aussi de la
estime que les solutions ne devraient pas être imposées.
En ce qui concerne la technologie et le niveau des dispositifs de sécurité, il n'ya pas de solutions
magiques
qui garantira une protection à 100% contre les ATM (et terminaux POS) la fraude, mais il est
la technologie pour lutter contre la plupart des typologies de fraude ATM tant pour distributeurs
automatiques de billets installés
(Mise à niveau) et de nouveaux terminaux. Toutefois, la normalisation complète ne semble pas
appuyant sur: le niveau des dispositifs de sécurité installés est une question qui doit être décidée par
l'ATM déployeurs
et les réseaux ATM ainsi avec les fabricants, en prenant en considération les différents
typologies de fraude, le niveau de la fraude et de l'analyse coût-bénéfice pour la mise en œuvre
solutions. Dans tous les cas, en imposant des niveaux élevés de sécurité pour les GAB d'un système
centralisé
point de vue doit être évitée car cela ne ferait que fournir une sécurité apparente plus élevée dans les
à court terme. A moyen terme, il serait d'augmenter le niveau des attaques en réponse à
les niveaux de sécurité.
En ce qui concerne le comportement des acteurs, le groupe est d'avis que la sensibilisation des
le problème devrait être porté à tous les niveaux (c.-à-banque, les clients, la police), éventuellement
impliquant toutes les parties prenantes. À cet égard, l'éducation des consommateurs est d'une
importance particulière
dans le cadre de la sensibilisation. Les utilisateurs peuvent en particulier être éduqués à: (i)
identifier les
changements possibles dans les guichets automatiques qui peuvent être les symptômes d'une attaque
criminelle, (ii)
éviter d'exécuter une transaction ATM en cas de soupçons sur l'ATM, (iii) périodiquement et
vérifier fréquemment le relevé bancaire pour réagir rapidement en cas de fraudes, et (iv) l'utilisation
certaines dispositions de précaution avant de prendre une transaction ATM (ne pas saisir le code
PIN si
quelqu'un est debout, ou de protéger la PIN Pad avec l'autre main).
Mais les mesures éducatives ne doit pas être un fardeau pour les clients. C'est plutôt le rôle de la
les banques, les réseaux ATM et les systèmes de cartes à prendre des initiatives (beaucoup le font
déjà):
par exemple comment identifier un réel ATM; installer des pictogrammes ou des avertissements de
la demande, etc Dans
outre, on pourrait envisager le cas pour des campagnes de sensibilisation plus larges
spécialement mis l'accent sur ce problème.
En plus de la sensibilisation initiatives, le groupe est d'avis qu'il ya
d'autres domaines, notamment l'application des lois, qui peuvent aider à augmenter la prévention
de l'ATM fraude:
ı Il pourrait être tenté de déterminer si les forces de police spécialisés pourraient mieux contribuer à
la
lutter contre la fraude.
ı Il est nécessaire de criminalisation et des poursuites efficaces contre les attaques logiques
Distributeurs automatiques de billets (et les terminaux de point de vente). Il semble que les
sanctions en cas de fraude liée écrémage
(Et la fraude similaire) sont loin d'être dissuasives ou un effet dissuasif pour les fraudeurs.
Aucune poursuite efficace puisse avoir lieu dans ces conditions.
3
ı Il ya une nécessité d'une meilleure application des procédures sur la congélation et la récupération
des
produit de la fraude. Priver les fraudeurs du produit de leur crime est une clé
élément dans la lutte contre la fraude.
ı Il serait utile de prévoir une meilleure utilisation des images Circuit TV Fermer. En
notamment sur les périodes plus longues pour sauvegarder vos vidéos à partir de caméras de
vidéosurveillance dans et autour de distributeurs automatiques de billets
sont nécessaires si nous voulons que les autorités répressives pour être en mesure d'utiliser CCTV
métrage comme outil d'enquête et à titre de preuve dans les procédures judiciaires. Cela devrait être
possible tout en respectant les lois de protection des données.
***
4
GEPF RAPPORT SUR ATM ET
POINTS DE VENTE SECURITY3
L'environnement ATM: ATM sur le marché, les acteurs et les implications de sécurité.
1. Le marché de l'ATM.
1,1. Distributeurs automatiques de billets (DAB) sont largement utilisés en Europe pour de l'argent
retrait, et de temps en temps, pour d'autres services bancaires.
1,2. ATM deployment4: Le nombre d'ATM déployées en Europe est d'environ
315000, avec le Royaume-Uni, Espagne, Allemagne, France et Italie
représentant environ 3 sur 4 distributeurs automatiques de billets. Environ deux tiers de ces
distributeurs sont
estime se trouver dans les succursales bancaires, tandis que le tiers restant serait
sur des sites distants. Les guichets automatiques sont normalement installés soit par le mur (près de
les trois quarts de tous les guichets automatiques sont estimés à de ce type) ou debout comme libre
installations (le quart restant).
2. Les acteurs et les implications pour la sécurité.
2,1. Les fabricants de stations de travail: Fabricants financiers sont généralement
dans la production de matériel et de logiciel des services liés à l'
commerce de détail et les systèmes bancaires des marchés. Systèmes bancaires de détail
comprennent la vente au détail
entreprise postes de travail pour le secteur de la distribution (par exemple électronique Point-of-Sale
systèmes basés sur PC, les systèmes de vente au détail), tandis que les systèmes bancaires
comprennent l'
financière entreprise postes de travail pour le secteur bancaire (par exemple, les guichets
automatiques, automatiques
coffres-forts, guichet d'information / déclaration imprimantes, etc.) Ce marché est tout à fait
concurrentiel, avec le développement technologique rapide, et les clients ne sont pas
nécessairement à limiter leur choix aux fabricants nationaux. Pourtant, le principal
joueurs, qui représentent une part importante du marché mondial, se trouvent généralement
dans tous les marchés nationaux.
Les mesures de sécurité sont intégrés dans les distributeurs automatiques. Coffres-forts niveaux de
distributeurs automatiques de billets ont été
Traditionnellement, en fonction du pays dans le passé (c.-à ANIA en Italie, en INSTA
Suède) avant l'introduction de normalisation du CEN. Cependant, l'utilisation de
normes est volontaire, la normalisation CEN comprend différents grades et
il existe d'autres transnationaux normes concurrentes, telles que UL (également en usage dans
Le Canada et les États-Unis). En conséquence, le niveau des mesures de sécurité varie encore
beaucoup selon le marché géographique dans laquelle l'ATM sera
3 Le secrétariat du Sous-groupe sur l'ATM GEPF La sécurité est assurée par la DG Marché intérieur
et
Services au sein de la Commission européenne. Cependant, les opinions exprimées dans ce rapport
sont purement
celles des auteurs et ne peut en aucun cas être considéré comme une position officielle de l'
Commission européenne.
4 Est ATM Security Report, pages 4-5.
5
installé: au Royaume-Uni, les notes UL sont encore installés, de nombreux pays adoptent
CEN III, alors que certains clients (par exemple en Belgique) demandent au CEN V5. Sur
D'une part, la base installée de sécurité dans les guichets automatiques est toujours sûr, y compris
exigences de conformité avec les réglementations nationales. D'autre part,
clients (ATM déployeurs) peut demander à des exigences spécifiques, soit pour compte propre
initiative ou à la suite des exigences fixées par leurs compagnies d'assurance. Cette
est montré par quelques exemples: la pénétration antivol dispositifs utilisant
billets systèmes de dégradation (IBNS6) tels que les agents de fumée colorant ou une teinture
varie selon les pays (Italie a le plus fort taux de pénétration), capable EMV
lecteurs sont déployés sur une base nationale (voir ci-dessous), les systèmes de surveillance et de
système d'alarme (par exemple anti-gaz solutions7) sont principalement les décisions des banques
client;
PIN pad bouclier a été mis en place (spécifié) que par certains pays (en
notamment la Belgique, l'Allemagne et les Pays-Bas), l'utilisation de Triple DES est
également sur le plan local, même si mandaté par les systèmes internationaux de cartes (voir
ci-dessous).
Un group8 de travail a été constitué sur les «systèmes de dégradation de trésorerie» dans le
cadre de la technique du CEN Comité 263. Les fabricants de intelligente
les systèmes de protection de trésorerie (c.-à-utiliser IBNS) sont déjà actives dans ce travail
groupe et la livraison d'un standard9 commune est due par Novembre 2007.
2,2. ATM déployeurs (par exemple les banques, les systèmes de paiement, autres ATM deployers10)
et
ATM réseaux: ATM déployeurs sont généralement responsables de la plupart des
les mesures de sécurité dans les machines, sous réserve des exigences imposées par
Réseaux ATM (et par les compagnies d'assurance, voir ci-dessous). En effet, suite
à l'déployeurs ATM, les réseaux ATM généralement décider du niveau de
la sécurité de leurs entités affiliées distributeurs automatiques de billets. En particulier, les décisions
concernant la
de qualité en toute sécurité, le système de surveillance, système d'alarme, le colorant de l'encre et du
gaz
solutions de détection, le code PIN pad blindage, la mise en œuvre et l'utilisation EMV
de Triple DES sont prises à ce niveau. ATM déployeurs sont également responsables de
5 Pour un aperçu des types ATM sûrs à utiliser dans un échantillon de pays européens voient l'ATMORIENT
Rapport sur la sécurité, à la page 6.
6 IBNS: système intelligent de neutralisation Billets de banque. Encre à colorant est une solution de
protection qui une fois activé
libère l'encre sur les billets de banque contenus dans le distributeur ATM. Les billets maculés ne
peut guère être
recyclés par le criminel. La libération de l'encre est fonction de la surveillance des différents
capteurs
qui sont équiper le coffre-fort de l'ATM (généralement détecteurs sismiques, des détecteurs
thermiques, détecteurs d'inclinaison
sont utilisées, mais le mécanisme de coloration peut être activé par d'autres, au choix de la banque).
7 solutions anti gaz sont basés sur la détection de gaz qui peut être utilisé par les malfaiteurs pour la
explosion de la sécurité, et sur les actions conséquentes destinées à neutraliser ces effets explosion
de
ces gaz soit la libération de dioxyde de carbone (CO2).
8 TC 263 du Comité européen de normalisation (CEN) fait face à "un stockage sécurisé des
espèces,
objets de valeur et des supports de données ». Son GT4 est consacrée aux «systèmes de dégradation
de trésorerie». Cf.
http://www.cenorm.be
9 Réf. 00263019: "unités de stockage sécurisés - Exigences, classification et méthodes d'essai pour
la résistance
à l'effraction - systèmes dissuasifs de vols de billets de banque à l'aide de teinture ou de la fuméedye "
10 À ce stade, indépendante déployeurs ne sont pas sous le contrôle de la BCE (ce qui crée un
problème de
espèces de recyclage / la qualité de trésorerie). Cependant, cela va changer à la suite de la future
directive sur les paiements
(Si elle est adoptée), car ils seraient considérés comme un "établissement de paiement".
6
les mesures de sécurité autour de l'ATM, comme l'installation de systèmes de vidéosurveillance
(soit
dans le guichet ou autour de l'ATM), le contrôle de l'accès à l'ATM (ATM par exemple,
situé dans les halls, etc.)
2,3. Les compagnies d'assurance. Les compagnies d'assurance ont une forte influence sur
le niveau de sécurité doit être installé dans les guichets automatiques (également dans le niveau de
la trésorerie stockée)
dans la mesure où leur politique ne peut couvrir les risques si la sécurité est au-dessus d'un
certain niveau. En effet, les compagnies d'assurance ont été un moteur important pour
l'utilisation de normalisation CEN.
2,4. Les sociétés de transport de fonds. Les normes antivol / sécurité utilisé
par CIT entreprises pour le transport de fonds sont interdépendants avec ceux utilisés
ATM par les fournisseurs. Toutefois, en l'absence d'une harmonisation des pratiques
au niveau européen dans ce domaine, le transport transfrontalier d'espèces et de services
(Y compris l'entretien ATM) au sein de la zone euro n'est pas possible. La
développement des technologies IBNS pourrait largement faciliter une telle
harmonisation: il a en effet révélé être un entièrement sûre et moins coûteuse
alternative au transport de fonds blindé, tandis que le second se caractérise
par de larges divergences réglementaires à travers l'Europe.
2,5. Le secteur des paiements: les systèmes de cartes et les émetteurs de cartes. En plus
à l'ATM et les réseaux déployeurs, les systèmes de cartes et les émetteurs de cartes ont également
une influence sur la sécurité des distributeurs automatiques de billets. Par exemple, les cartes et les
schémas de cartes
émetteurs décider sur les éléments de sécurité dans-construit dans les cartes, ce qui peut avoir un
Portée européenne ou mondiale (par exemple EMV) ou une portée nationale (en DE, cartes de débit
un code à barres caché dans le plastique). En effet, les systèmes de cartes (nationale ou
internationale) sont également imposer des conditions, dans certains cas (par exemple DES triple).
EMV est un élément clé dans ce contexte. La migration vers EMV en Europe
progresse, et encore cela varie d'un pays à l'autre, et de l'acteur à l'acteur.
En effet, l'introduction de cartes EMV dépendent de l'émetteur ainsi que la
introduction de lecteurs capables EMV dans les guichets automatiques dépendra du déployeur
ATM.
À l'heure actuelle, la technologie nécessaire pour les guichets automatiques capables de lire les
cartes EMV
existe (par exemple un lecteur de carte niv. 1 certifié, l'application logicielle), mais son
déploiement est plutôt tirée par le montant des pertes en question: par exemple, dans certains
cas, le coût de la migration peut être plus élevé que le coût fraude.
2,6. Les utilisateurs. Utilisateurs des guichets automatiques pourraient jouer un rôle important dans
la détection de fraude ATM
et, plus important encore, dans la détection des tentatives de fraude.
2,7. Victimes. Il est important de souligner que, dans certains États membres, mais pas dans
tout, la responsabilité des victimes de fraude dans le cas de l'écrémage est levée.
2,8. Les fraudeurs. ATM fraude est généralement commis par des criminels transnationaux
organisations qui utilisent matériel sophistiqué à la fois physique mais surtout pour
pour des attaques logiques (écrémage, par exemple). Leurs activités criminelles sont généralement
d'une
caractère transnational: par exemple données de carte de compromis en Europe sont susceptibles
d'être
utilisé dans d'autres pays (et vice versa). Les recettes sont considérées comme
utilisé pour financer d'autres activités criminelles.
2,9. Les pouvoirs publics comme les organismes de normalisation pour les guichets automatiques
bancaires (par exemple,
les autorités, les autorités de normalisation): les autorités publiques imposent spécifique
les exigences relatives à la fabrication / vente de distributeurs automatiques de billets et par rapport
à
7
leur installation et leur fonctionnement (voir ci-dessus), qui varie d'un pays à l'
pays (par exemple en Allemagne les organes de contrôle ne permettent pas l'
déploiement des tiers / GAB indépendants).
2,10. Les services répressifs (police, par exemple). La mission de la police
forces face aux organisations criminelles est de centraliser, analyser et diffuser
l'information, tant au niveau national qu'au niveau international. International
la coopération, bilatérale ou multilatérale, est plus que jamais un besoin pressant.
Services centraux de police spécialisés permettent, suite à cette centralisation des
d'information, d'autres acteurs publics et privés d'avoir identifié et spécialisée
points de contact, mieux à même de saisir l'ensemble du phénomène.
2,11. Législation. Le droit pénal devrait avoir un effet dissuasif pour les attaques contre les logiques
Distributeurs automatiques de billets. Cependant, il semble que les sanctions pour les attaques
logiques sont pas aussi graves
que celles d'agressions physiques. En effet, le succès des activités d'écrémage peut
être (partiellement) s'explique par la légèreté des peines appliquées dans de nombreux pays,
certainement pas comparables à ceux des traditionnels attaques physiques. Anti-Money
Loi sur le blanchiment a également un rôle à jouer dans la mesure où elle interdit généralement
le blanchiment des produits du crime (y compris la fraude ATM). Lutte contre le blanchiment
législation a été harmonisée au niveau européen en ce qui concerne la
mesures à prendre pour empêcher l'utilisation du système financier aux
fins de blanchiment d'argent.
2,12. Les organisations anti-fraude. Dans certains pays, il ya sans but lucratif
particulièrement impliqué dans l'organisation anti-fraude questions qui fournissent des supports
pour
d'autres parties prenantes dans la prévention des fraudes, comme Cifas au Royaume-Uni.
Les menaces à la sécurité à l'ATM
3. Le Groupe EAST produit des rapports réguliers sur l'ATM en Europe Crime11. La SPTF
(Sécurité des paiements de travail Force) de la CBE (Conseil de paiements en euros) a également
a élaboré un document intitulé «Lignes directrices pour la sécurité ATM" pour ATM-protection12.
Une distinction est généralement faite entre les attaques contre le réseau ATM (par exemple carte
piégeage carte écrémage, etc fraude transaction d'annulation) et les attaques contre la
ATM propriétaire (par exemple ram raids, cambriolage ATM, le vol et d'autres types de physique
attaques). Il existe une troisième catégorie de menaces liées ATM: les attaques physiques contre les
le titulaire de la carte à proximité de distributeurs automatiques de billets (soit pour obtenir la carte
ou pour obtenir de l'argent
retirée)
11 Voir page 12 du Rapport ORIENT sécurité ATM pour un bref aperçu du rapport de 2005 du
crime
12 Ce document définit un ensemble de recommandations et de bonnes pratiques dans le but de
réduire la fraude
et les attaques physiques, en gardant à l'esprit les méthodes actuelles attaques contre les
distributeurs automatiques de billets. Les recommandations
et les bonnes pratiques présentées dans ce document s'adressent principalement aux fabricants,
installateurs ATM
et les banques acquéreuses, concernant les exigences de sécurité physiques, logiques et de
procédure. La nécessité d'
sensibiliser les détenteurs de carte des bonnes procédures qu'ils doivent suivre lors de l'utilisation
d'un guichet automatique est également couvert
dans le présent document.
8
4. Cet article se concentrera sur les attaques contre le réseau ATM, du point de
voir de la fraude liée à la non-moyens de paiement scripturaux. Les questions de la physique
attaques à guichets automatiques et des attaques au titulaire de carte dans le voisinage de l'ATM
sont
moins d'intérêt dans le contexte de la fraude liée à la non-cash moyens de paiement. Pourtant,
coffre-fort (r) les guichets automatiques et coffre-fort (r) l'environnement guichets automatiques
"sont une condition préalable pour que le système
travailler. Dans ce contexte, il est possible pour une plus grande harmonisation au niveau de l'UE en
ce qui concerne
coffres-forts et intelligents. Cela pourrait avoir un impact positif dans la logistique. En
outre, le problème des billets maculés la suite d'attaques reste. Bien teinté
notes ne doivent pas être utilisés, ils sont encore utilisés et acceptés, notamment transfrontalière.
Enfin, une réflexion doit probablement être entrepris en matière de mieux assurer la
environnement autour de distributeurs automatiques de billets en évitant les mauvais endroits pour
les guichets automatiques, par
l'établissement de lignes de courtoisie dans la rue, en augmentant l'utilisation de la surveillance
caméras, etc
5. Les menaces les plus importantes liées au réseau ATM, avec un impact financier élevé,
sont décrits dans les paragraphes suivants. Ces menaces sont de différents types. Certains
but d'obtenir des données de la carte ou la carte elle-même (numéros 1 à 5) dans une première étape
en vue
à commettre une fraude à l'utilisateur de la carte à une deuxième étape. D'autres visent à obtenir de
trésorerie
de l'ATM sans l'opération étant débité (numéros 6 et 7), d'où
la fraude directe soit à un guichet automatique ou au déployeur les utilisateurs de cartes.
5,1. L'écrémage. L'écrémage une carte de débit ou de crédit consiste en général à la copie
des données contenues dans la bande magnétique qui permet ou permet valide
autorisation de se produire. Puis les données sont codées sur la contrefaçon ou perdus et
cartes volées, et se traduit par des émetteurs d'approuver les transactions frauduleuses avec
reproduire les données de piste.
Les données des cartes pertinentes peuvent être copiés directement à partir de la carte. C'est
particulièrement le cas dans les guichets automatiques. Quand elle est réalisée aux guichets
automatiques, la lecture et
déchiffrer les informations sur les pistes magnétiques de la carte est
réalisé par l'application de lecteur de cartes de petite taille (appelée
skimmers) à proximité de la fente d'entrée Lecteur de carte de sorte qu'il est en mesure de
lire et enregistrer les informations stockées sur la piste magnétique de la carte. La
dispositif est ensuite retiré, permettant le téléchargement des données enregistrées. En outre,
dispositifs d'écrémage de petite taille (environ 1,5 cm de large, 3,5 cm de long) peut
être clairement fixé près d'une note demandant aux titulaires d'cartes magnétiques
par le biais du lecteur supplémentaire "pour des raisons de sécurité" avant d'effectuer une
transaction.
Dans certains cas, l'écrémage peut avoir lieu à un faux ATM (voir ci-dessous point 5.2)
ou terminaux de point de vente (voir la section sur les terminaux de point de vente).
L'écrémage se fait habituellement avec capture PIN (voir point 5.3).
Les données des cartes pertinentes peuvent également être copiés en obtenant un accès par voie
électronique
compte des données transmises ou stockées (voir ci-dessous point 5.4).
5,2. Faux distributeurs automatiques de billets. Au lieu de manipuler existant guichets
automatiques, dans certains cas criminels
organisations sont en mesure d'installer de faux distributeurs automatiques de billets dans le but
d'obtenir des données de la carte
utilisateurs potentiels. Ceux faux guichets automatiques peuvent être très similaire ou identique à la
vraie
ceux, et il est difficile pour le consommateur de les distinguer. La principale
problème concerne en particulier les terminaux en marque blanche et autonome petits,
9
car ils ne sont pas nécessairement à proximité d'un bureau de banque. Le risque est plus élevé
sur certains marchés, principalement au Royaume-Uni, où il ya un nombre important de
indépendante ATM déployeurs. Ceux déployeurs font également leur apparition dans le NL
(Où il ne fonctionne pas bien parce que les clients doivent payer pour la récupération),
BE et FR (hypermarchés). Cependant, dans certains pays, il n'est pas possible de
installer ce type de terminaux en marque blanche. Le risque d'avoir de faux distributeurs
automatiques de billets étant
installé n'est pas négligeable car il est relativement facile d'acheter de vieilles machines.
Bien que les fabricants recommandent ATM déployeurs de détruire vieille distributeurs
automatiques de billets, en
la plupart des cas distributeurs automatiques de billets sont revendus (par exemple pour les banques
en moins de développer les pays, etc)
résultant en une (non) marché de l'occasion. Elle est même devenue
possible d'acheter des distributeurs automatiques de billets par Internet (par exemple, e-bay).
5,3. Capture Pin. Copie de la bande magnétique des cartes est dans la plupart des cas non
suffisamment à des fins frauduleuses. Les criminels également tenter de saisir le code PIN lié à la
carte écrémé car cela leur permettrait d'avoir une plus grande utilisation de l'
cartes contrefaites. Cela se fait généralement à l'aide de plusieurs méthodes:
épaule surf, caméras PIN, PIN pads, ou même à l'intérieur des applications.
Écorniflage consiste en l'observation directe de l'utilisateur d'entrer son
Code PIN: par exemple le voleur PIN est secret "en regardant ce numéro de cette personne
robinets sur le clavier "Caméras PIN:. dans les mêmes cas, le voleur peut utiliser un code PIN
micro caméra installée quelque part près du clavier NIP pour regarder et
enregistrer le numéro tapé. PIN pads modifiés sont également une méthode pour capturer PIN
données en enregistrant les numéros utilisés dans un dispositif. Applications à l'intérieur (PIN
sniffing13) peuvent également être utilisés.
5,4. Données de la carte ATM piratage au cours de transaction14. Les données sur les cartes peuvent
également être
accessible en obtenant (illégal) d'accéder aux données transmises lors de l'ATM
transaction, en utilisant une grande variété de méthodes telles que l'ingénierie inverse, etc
5,5. Le piégeage carte. Vol de carte réelle peut être réalisée en utilisant le piégeage carte "
périphériques ". Ceux-ci sont réalisés par des sondes fines, le plus souvent en film de matière
plastique transparente,
inséré dans le lecteur de carte à gorge. Le «crochets» équipant ces sondes
éviter que la carte insérée dans la borne à renvoyer à l'utilisateur, et pour être
capturée par le terminal ATM. La nomenclature de ce type de fraude varie
par pays, à savoir "Loop libanaise" est la dénomination la plus courante. Quand
l'utilisateur du terminal se montre préoccupé par la carte capturé, le criminel,
habituellement dans les environs de l'ATM offrira un soutien, invitant l'utilisateur à
saisir le code PIN à nouveau, afin qu'il ou elle est capable de voir l'entrée et souvenez-vous
le code PIN. Le voleur va alors utiliser la sonde (dispositif de piégeage carte) pour extraire le
carte. Cette typologie piégeage carte présente un risque plus élevé pour les criminels car ils
doivent rester au voisinage de distributeurs automatiques de billets de récupérer les cartes piégés.
13 Une méthode utilisée lorsque le NIP a été générée par les applications logicielles en clair
(maintenant interdit par
règlement sur la sûreté). C'était une sorte de piège logique d'enregistrement chaque PIN clair
traitées par le
application logicielle. Le criminel était alors en mesure de prendre le record de tous les codes PIN
transformés, et
d'autres données (données de la carte i.e.).
14 Il existe d'autres méthodes pour obtenir des données sur les cartes, comme d'avoir (illégal)
d'accéder aux données stockées compte
ou l'achat de données de la carte (par exemple à travers l'Internet) à des organisations criminelles
qui ont déjà obtenus
ces données à l'aide d'autres moyens. L'examen de ces méthodes dépasse la portée du présent
document.
10
5,6. La fraude inversion transaction. C'est la situation dans laquelle un utilisateur peut ATM
demander de retirer un certain montant (par exemple 80 €), mais ne ferait que prendre une partie de
le montant demandé (par exemple, 60 €), en laissant une partie des notes (par exemple 20 €) dans le
ATM. Après un certain temps l'ATM vont arriver en fin, récupérer les billets à gauche (par exemple,
€ 20), et envoyer une commande de transaction nulle à la banque. Lorsque l'heure »sur
sur le retrait "se produit, l'ATM, en fonction de l'application logicielle,
retire les billets de banque laissés dans la fente de sortie, et les dépôts dans ces billets
rétracter le bac du distributeur. Le distributeur de billets de banque n'est pas en mesure de compter
le nombre de billets de banque sont rétractés, et le plus souvent (selon le logiciel
demande), le montant de la livraison n'est pas débité du compte du client. Cette
résultats en matière de fraude directement à la banque.
5.7. Piégeage de trésorerie. Cette fraude est réalisée par l'insertion de pièges devant
de ou à proximité immédiate du distributeur. Le dispositif ajouté au Terminal
peut autoriser le type suivant de tentatives de fraude:
- Saisir une partie des factures délivrées;
- Empêcher le retrait des billets faites par le distributeur lorsque le
"Time Out sur le retrait" apparaît.
- Masquer complètement la fente de sortie de terminal à l'utilisateur du terminal (et parfois
présenter une sortie faux), de sorte que l'utilisateur est amené à croire qu'une
dysfonctionnements dans la livraison a eu lieu.
Différents types de dispositifs sont connus. Les méthodes les plus simples sont constitués
par les pièges qui occupent le distributeur de billets, et de garder les billets délivrés
par ruban adhésif, ce qui empêche la rétraction note. La plupart des
sophistiqués sont motorisés appareils qui transportent les billets livrés en
bacs dédiés créés à l'intérieur du dispositif, simulant ainsi un retrait réel de
billets de banque.
6. Parmi ces menaces, les risques les plus élevés et les problèmes majeurs sont liés à aujourd'hui
écrémage. L'EST ATM Security Report fournit une indication de l'Union européenne
les pertes dues à l'écrémage fraud15.
Mesures de sécurité actuelles: Inventaire national des meilleures pratiques et
7. L'écrémage dans les distributeurs automatiques. Les mesures de sécurité les plus courants:
7,1. Anti-écrémage périphériques du GAB (une liste est jointe en annexe 2).
Selon le rapport16 EST, anti-écrémage appareils sont utilisés dans 13 des
pays couverts par l'enquête, alors que dans 6 pays, ils ne seraient pas en
utiliser. Parmi les 13 pays où l'anti-écrémage des dispositifs sont utilisés, l'utilisation
15 Voir page 16 du Rapport ORIENT sécurité ATM.
16 Voir page 9 du rapport ORIENT sécurité ATM.
11
varie de 100% de couverture à la couverture de 1%, avec une sorte de moyenne, 19%
si le taux de couverture semble s'améliorer.
7,2. Anti-écrémage dispositifs peuvent être classés en 2 grandes catégories: externes ou
interne (EAST ATM Security rapport, page 10). Les périphériques externes sont
généralement moins cher à acheter et à installer que les dispositifs internes, si ce n'est
une question de l'évolutivité des solutions (par exemple caméras sont généralement à l'extérieur,
mais
cher). Les périphériques externes visant à prévenir l'écrémage des cartes (aussi appelées
comme anti-fraude saillie) généralement s'ajuster sur le col du lecteur de carte
et visent à empêcher les fraudeurs de (facilement) la fixation dispositifs d'écrémage. Tel
appareils sont en service dans 8 pays couverts par l'enquête EST. Dans certains
cas, ils sont munis d'un dispositif qui met l'ATM hors service devrait
l'enlèvement non autorisé a lieu. Chacun des fabricants majeurs ATM
produit de tels dispositifs et il ya aussi des solutions préparées par des tiers
que font les entreprises mises à jour sur l'ATM principaux fournisseurs », et dans certains
cas développé par les banques. En ce qui concerne les périphériques internes, ils sont placés sur
de vue à l'intérieur de l'ATM et peut détecter ou de prévenir la fraude. La plupart des
couramment utilisés interne de l'appareil (9 des pays couverts par l'EST
enquête) est le soi-disant «jitter» (une caractéristique firmware17, intrinsèque dans le logiciel
résidant dans le lecteur de carte qui assure une modulation de la vitesse de l'
transit de carte afin de confondre l'écumoire) installé dans le lecteur de carte,
qui est conçu pour empêcher le succès de la majeure partie du clonage de carte
attaques. D'autres dispositifs sont mis à l'essai dans d'autres pays. Cependant, il est
important de souligner que pas de solution unique existe.
Il apparaît donc que les guichets automatiques n'ont pas le même anti-fraude
appareils / logiciels installés sur tous les marchés de l'UE que les guichets automatiques sont
généralement adaptés
aux besoins locaux. Par exemple, concernant l'installation de la «gigue»,
ce qui est très bien la décision du déployeur ATM. Il ya encore des vieux distributeurs automatiques
de billets
de lecteurs de cartes pas encore avec une gigue, même si les mises à niveau FW peut exister
selon le lecteur et le fabricant ATM, mais c'est la décision
du déployeur ATM pour mettre à niveau le lecteur de carte FW pour avoir cette disposition.
En ce qui concerne les lecteurs de cartes actuels de production, ils ont un interne SO
fournir la gigue, mais il est à nouveau jusqu'à la déployeur ATM pour décider de l'
activation de la gigue et son effet sur la durée de vie du lecteur de carte.
7,3. Suppression des lecteurs de cartes à d'autres autour de distributeurs automatiques de billets.
Dans de nombreux pays, les banques
permettent accès 24/7 (ou limité pendant les heures de travail) pour certaines (ou toutes en quelque
cas) guichets automatiques situés dans les halls des succursales bancaires. Dans de nombreux cas,
pour permettre une telle
l'accès aux lecteurs de pression porte cartes sont utilisées. Dans un seul pays, l'utilisation de ces
lecteurs de cartes a été totalement interdites dans le cadre d'une politique nationale de
empêcher l'écrémage de carte. Dans trois autres pays, ces lecteurs de cartes lobbying porte
sont supprimés ou remplacés par des poussoirs systèmes d'accès bouton.
7,4. Mise en œuvre EMV. L'utilisation de la technologie EMV est en augmentation en Europe. Il
est en cours de déploiement dans les cartes à puce EMV () et également aux distributeurs
automatiques. Selon l'
European Payments Council, environ 50% de l'UE-25 distributeurs automatiques de billets sont
EMV
conformes (à compter de fin 2005). Toutefois, ce pourcentage varie d'un pays à
pays (voir page 5 du rapport EST). Le déploiement de la norme EMV des cartes est
17 logiciels chargés dans un périphérique, par opposition à un logiciel chargé dans le processeur
principal.
12
progressent également, avec environ 42% de l'UE-25 de banque émis paiement
cartes EMV maintenant converti à la fin de 2005, mais aussi varie d'un pays à l'
pays: dans 4 pays de la migration des cartes de débit a été pleinement atteint
(100%), tandis que dans d'autres, il n'a pas encore commencé. Une question qui reste à la norme
EMV est
toutefois, le repli sur la piste magnétique lorsque le terminal ne parvient pas à
lire la puce, ce qui conduit à des abus potentiels que la piste magnétique est la plus faible carte
point (peut être écrémé et de contrefaçon). Bien que l'élimination de la solution de repli
sur bande magnétique possibilité serait, à ce stade, être une mesure très efficace
contre le clonage de carte et des cartes contrefaites, de l'acceptation piste magnétique peut encore
être nécessaire pour les personnes détenant non EMV cartes de pays tiers. Cependant,
ne doit également garder à l'esprit que beaucoup de cartes volées ou écrémé sont des cartes des
États-Unis.
7,5. Éléments de sécurité dans construits dans les cartes: les pratiques nationales - le MM-métrage
en
Allemagne. Le MM-Reportage-System est une méthode d'authentification pour carte
Cartes de débit allemands allemand distributeurs automatiques de billets. Il peut être utilisé pour
POS-terminaux aussi.
Le MM-Reportage-système se compose de trois parties: le MM-métrages (une machinereadable
substance dans le corps de carte), le MM-capteur (capteur dans un lecteur de cartes de l'
pour lire le MM-métrage) et le MM-module (situé dans le
zone sécurisée d'un guichet automatique, il calcule et vérifie la valeur de vérification MM). La
localisation de l'invisible MM-entité ainsi que la fonction de principe de l'
MM-Feature est connu pour le seul producteur. Avec l'aide de la fonction MMCartes de débit allemands sont protégés contre une utilisation de doublons sur l'allemand
Distributeurs automatiques de billets.
7,6. Une bande magnétique est également nécessaire pour ouvrir la porte d'entrée (obturateur) du
lecteur de carte. Lecteurs de cartes sont presque tous équipés d'une barrière de sécurité qui
empêcher l'introduction d'objets étrangers (c.-à-billets) pour le vandalisme. La
l'obturateur est actionné par une bande magnétique. Une carte à puce n'est pas seulement capable de
l'ouverture de la porte de lecteurs de cartes avec la technologie actuelle. Certaines cartes
Régimes envisagent d'introduire une carte à puce seule, mais avec un mannequin
bande magnétique à cet effet.
7,7. Outils de détection visuelle, comme l'inspection visuelle quotidienne de l'ATM par l'ATM
Deployer employés (qui est fortement recommandée comme la meilleure pratique) et
utilisateurs détection d'éléments suspects. Le problème est que les dispositifs d'écrémage
sont de plus en plus difficiles à identifier.
7.8. CCTV (en général pour toutes les attaques ATM - voir ci-dessous).
7,9. La notification des incidents. Bien que les rapports qui peut être fait pour prévenir la fraude
(par exemple,
dispositif d'écrémage détecté avant d'avoir été utilisé), dans la plupart des cas de rapports
qui se passe quand une action frauduleuse a déjà eu lieu, donc la fraude ne peut pas être
totalement évitée en utilisant cette méthode.
8. Faux distributeurs automatiques de billets. Il n'y a pas de mesures de sécurité particulières, à la
suite de la détection visuelle
(La plupart du temps par les utilisateurs) et les rapports d'incident. Par conséquent, des mesures
éducatives pour les utilisateurs
sont importants.
ı Le titulaire de la carte doit être suspect de distributeurs automatiques de billets qui ne sont pas de
remettre des liquidités après avoir demandé
la carte et le code PIN, comme sur un véritable service DAB ne demandent pas l'
l'authentification titulaire de la carte (carte et code PIN). Toutefois, dans certains cas, de faux
distributeurs automatiques de billets
peut remettre de la trésorerie pour éviter les soupçons soulevés.
13
ı Conseils pour les titulaires de carte peuvent être développés: par exemple chaque fois que
soupçonner un guichet automatique pour être
un faux, il serait opportun d'entrer un code PIN erroné: si l'ATM est en mesure de
réagir (par exemple en signalant que le code PIN est erroné), puis l'ATM est un vrai.
Il est également rappelé que la restriction de l'accès aux distributeurs automatiques de billets
d'occasion (par exemple, les procédures
pour ATM élimination) aiderait à prévenir le déploiement de faux distributeurs automatiques de
billets.
9. Capture Pin. Il existe des solutions technologiques pour faire face aux changements et ATM
manipulations, ce qui peut éviter la plupart des attaques. A titre d'exemple:
i pad boucliers. Il existe des appareils externes visant à prévenir compromis PIN
visent généralement à protéger le clavier NIP de la vue de tous ceux qui à l'exception du
client effectuant la transaction ATM. De tels dispositifs sont utilisés en 7 de l'
pays couverts par l'enquête EST.
Pin ı sniffing (périphériques internes) peuvent être évitées en utilisant le triple DES ou d'un logiciel
cryptage.
En ce qui concerne l'épaule du surf ou l'observation directe par les caméras, les plus courantes
mesure de sécurité consiste à alerter le client sur le risque d'être observé:
ı messages d'avertissement sur les écrans ATM;
Pictogrammes ı collée sur le DAB.
10. Piratage de données au cours de l'ATM transaction. Les mesures de sécurité les plus courants:
ı L'utilisation de PIN Pad certifié Encripted (PPE) (y compris la mise à niveau installée
de base). Courant PPE, s'il est certifié selon les règlements courants du marché (c.-à-VISA
PIN Entry Device, VISA PCI18, ZKA) assurent le code PIN est diffusé en clair
que dans le clavier NIP, et il n'y a aucune chance d'obtenir le code PIN en clair. Cette
type de fraude doit être mentionné pour ATM ancienne où le code PIN a été soit
diffusé en clair avec le terminal, ou il était inviolable possible avec le clavier NIP
d'exploiter le circuit où le code PIN était en clair.
I L'utilisation de (par exemple migration d') triple DES
11. Piégeage carte. Les mesures de sécurité les plus courantes sont les suivantes:
Les applications logicielles i. Les lecteurs de cartes ont des capteurs de confiture à être interprété
par le
logiciel du lecteur de carte (généralement fabriqués localement). Le lecteur de carte peut
verrouiller la carte en cas de bourrage est détecté.
12. La fraude inversion transaction. La prévention des retraits partiels peuvent être
accomplie par:
ı suivi de la "Time out sur le retrait» et par conséquent se rétracter: si cette erreur est
récurrentes sur une carte, il peut être une indication d'une tentative frauduleuse;
18 Industrie des cartes de paiement: l'effort conjoint de VISA et Mastercard pour faire une sécurité
commune
exigence.
14
J'ai toujours débiter la transaction et ainsi vérifier la cassette de retrait de comprendre
ce qui s'est passé;
ı ayant distributeurs automatiques avec rétraction et de rejeter les bacs avec des compartiments
séparés, chacun
dédié à un seul rétracter, permet à l'association des billets rétractés
avec la carte associée.
En outre, le logiciel peut être installé afin d'éviter crédit automatique de
compte.
13. Piégeage de trésorerie. Les mesures de sécurité les plus courants:
surveillance de timeout ı sur le retrait
Surveillance de l'ATM ı habitudes d'utilisation
ı Il existe des dispositifs de vidéo-surveillance pour contrôler la trésorerie des opérations.
14. La question des mesures éducatives à l'intention des utilisateurs est une coupe menace
mesurer. De nombreux systèmes de cartes des sites ou des sites de prévention sont déjà des conseils
pour
clients. Des exemples de ceux qui sont les suivants:
ı www.cardwatch.org.uk
ı www.kartensicherheit.de
ı www.cartes-bancaires.com
ı www.safecard.ie
ı www.banksys.be
ı www.sibs.pt
ı www.cifas.org.uk
ı www.visa.com
ı www.mastercard.com
15. En outre, dans certains cas, des campagnes de sensibilisation plus larges ont été menées, telles
comme en Belgique, où un système de cartes a montré quelques taches reliées à la fraude à la
télévision (spots
disponible à http://www.banksys.be), ou dans le cas d'une campagne d'Irlande en ce qui concerne
écrémage au guichet automatique a eu lieu récemment, à l'aide (entre autres), le poster19 suivante:
19 Avec l'aimable autorisation de l'IPSO, www.safecard.ie
15
Écrémage de carte de terminaux de point de vente
16. L'écrémage aux terminaux de point de vente. Sécurité au niveau ATM n'est pas suffisant. Carte
écrémage peut avoir lieu au TPV lecture trop de cartes, que ce soit en présence de
commerçants ou sans surveillance, tels que: automatiser les terminaux pétroliers, les distributeurs
automatiques
(Y compris les terminaux de stationnement) et les péages terminaux.
17. Acteurs. En ce qui concerne les acteurs et les implications pour la sécurité à ce niveau, la plupart
des
eux sont les mêmes (ou similaire) que pour les distributeurs automatiques de billets (par exemple,
les fabricants de terminaux, de la banque
16
secteur des paiements et - avec un rôle particulier pour les banques acquéreuses, les utilisateurs
publics
autorités etc.) En outre, il est un acteur principal supplémentaire: le marchand qui se déploie
les terminaux point de vente (qui peuvent être détenus par lui ou par la banque acquéreuse), et
le cas des terminaux présents, est présent au cours de la transaction.
18. Typologies d'écrémage. Dans la plupart des cas, les typologies d'écrémage sont ou peuvent être
similaires à celles de distributeurs automatiques de billets: par exemple l'installation de dispositifs
de tri dans les terminaux (par exemple,
terminaux modifiés), des terminaux de faux, l'accès illégal aux données pendant ou après la
transactions (par exemple l'accès illégal à des lignes téléphoniques ou à des cadres principaux) etc
Dans le cas de terminaux point de vente, toutefois, d'autres possibles (ou des variantes de
typologies)
semblent se produire plus souvent que dans le cas des distributeurs automatiques: les commerçants
collusoires (si
dans la plupart des cas, ce sont plutôt les employés, et non le commerçant lui-même ou le marchand
entreprise), l'intervention du personnel de maintenance faux de remplacer le terminal par un
un faux ou de modifier le terminal, la modification ou le remplacement des terminaux au cours
d'une
cambriolage (qui est utilisé comme rideau de fumée pour masquer la modification ou le
remplacement des
terminaux).
19. Les mesures de sécurité. Parmi les mesures de sécurité possibles sont semblables à ceux de
Distributeurs automatiques de billets, tels que:
ı outils de détection visuels (par exemple, inspection visuelle de terminaux point de vente pour
détecter
modifications);
ı utilisation de la vidéosurveillance, ou
déclaration des incidents ı, dans ce cas principalement liées à: (i) la déclaration de l'acquéreur
à la police après un incident a été signalé à l'acquéreur, (ii) la déclaration des
incident marchand acquéreur (par exemple, quand un marchand est victime d'un cambriolage,
le commerçant peut signaler l'incident à l'acquéreur que ses terminaux pourraient avoir
été modifié), (iii) le signalement de l'incident par le personnel de maintenance à l'acquéreur (par
exemple,
lorsque le personnel de maintenance identifie un terminal de point de vente altéré au cours d'une
routine
activité de maintenance).
Dans d'autres cas, des mesures de sécurité similaires (EMV mise en œuvre) conduire à une
meilleure
Résultat: la plupart des terminaux de paiement EMV qui sont capables ne sont pas conçus pour lire
l'
piste magnétique en entier, mais juste la puce, ce qui empêche l'écrémage piste magnétique. À
Actuellement, les puces EMV n'ont pas été compromise.
Il existe d'autres mesures de prévention et les meilleures pratiques pour lutter contre la
typologies identifiées ci-dessus, tels que: la sensibilisation générale des commerçants sur le
menaces, la sensibilisation des agents d'appel sur le site de l'acquéreur, pro-active et avant
l'information du marchand lors d'une visite sur place du personnel d'entretien est prévu, clair
l'identification du personnel d'entretien afin d'éviter les manipulations par le personnel de faux,
etc
20. Le rôle des marchands. Dans ce contexte, le rôle des marchands est important.
Cependant, il ya des limites aux mesures de prévention que les commerçants peuvent adopter en
tant que
En ce qui concerne l'écrémage des cartes.
Rôle des autorités répressives
17
21. Rôle application de la loi. Le rôle principal des autorités répressives est de faire
s'assurer que la loi soit respectée par la poursuite des activités criminelles. Pour cela, il est
important qu'ils disposent de moyens suffisants, qu'ils ont une connaissance suffisante
relativement à la fraude de paiement et que leur activité agit comme un moyen de dissuasion pour
les groupes criminels.
La crédibilité des autorités répressives est également essentielle pour assurer que la fraude
victimes de porter plainte. L'obtention de phrases est également important du
point de vue des victimes de la fraude car ils pourront tenter d'obtenir financière
compensation.
22. Rôle de la prévention. En plus de son rôle principal, les autorités répressives peuvent
ont un rôle important à jouer en ce qui concerne la prévention de la fraude aux guichets
automatiques (et
Terminaux de point de vente). Afin de renforcer ce rôle de prévention, amélioration de la
communication
avec les parties prenantes est nécessaire. À cet égard, certaines actions particulières ont-clés
été identifiés par le groupe en tant que meilleures pratiques:
Les parties prenantes je devrais communiquer aux autorités répressives du type de
mesures préventives qui sont installés dans les terminaux de point de vente et les guichets
automatiques, par exemple:
la police n'est pas (toujours) au courant des mesures de protection installé. Etre
connaissance des mesures anti-fraude installés permet aux autorités répressives
de prendre les mesures appropriées lors de la découverte du matériel potentiellement suspect.
ı Les autorités répressives devraient fournir une rétroaction aux intervenants sur
typologies et le modus operandi des fraudeurs. Cela permettra aux intervenants de
prendre les mesures préventives nécessaires.
23. Général de coopération entre les autorités répressives. Compte tenu de la transnationale
nature de l'activité criminelle liée à l'ATM (et terminaux POS) la fraude,
il ya une nécessité d'une coopération générale entre les différents services répressifs.
En outre, il existe des initiatives de coopération concrètes qui permettraient ajoutée
valeur dans ce champ, par exemple:
ı Alors que pour des raisons juridiques l'analyse des dispositifs d'écrémage devrait normalement être
réalisée à l'échelle nationale, les résultats de ces analyses pourraient être mieux exploitées.
Il s'agit d'un cas d'améliorer la coordination à un niveau pan-européen de l'
échange des résultats de l'analyse technique: la centralisation au niveau européen
des éléments techniques recueillis présente un intérêt opérationnel clair.
I Améliorer la transmission de l'information a besoin de l'adaptation de l'échange
procédures afin d'assurer une plus grande réactivité.
ı L'utilisation de la vidéosurveillance (CCTV) dans et autour de distributeurs automatiques de billets
est généralement une très
outil utile à des fins d'enquêtes, mais ne peuvent pas toujours être utilisés: voir l'affaire
étudier ci-dessous.
24. Étude de cas: l'utilisation de la vidéosurveillance dans et autour de guichets automatiques pour
application de la loi
fins.
Une étude de cas a été examiné par le groupe par rapport à la
l'utilisation de la télévision en circuit fermé (CCTV) dans et autour de distributeurs automatiques de
billets du droit
fins de l'exécution. Un questionnaire a été diffusé auprès d'Europol
experts fraude sur les paiements. L'objectif de ce questionnaire était de: (i) de vérifier à
Dans quelle mesure télévision en circuit fermé (CCTV) est utilisé dans les distributeurs
automatiques et pour
18
quelles fins, (ii) de déterminer si ces informations peuvent être mises à la disposition
pour les enquêtes de police plus efficace, et si oui de quelle manière.
Réponses provenant de 15 pays ont été reçues.
Il ressort de cette enquête que la vidéosurveillance est utilisé dans plus de pays que dans
autres (taux de couverture varie), mais que, dans tous les images de vidéosurveillance sont utilisés
à des fins répressives et se qualifier à titre de preuve devant les tribunaux. L'un des
principaux problèmes à cet égard a trait à la qualité insuffisante des images
dans de nombreux cas. Le deuxième problème principal concerne le temps que CCTV
images peuvent être conservées par le déployeur ATM avant d'être détruit.
La destruction de ces images est généralement exigée par la protection des données
législation. Il ya, cependant, des différences significatives d'un pays à
pays sur cette question. Alors que le temps pendant lequel images de vidéosurveillance sont
conservés
peut être suffisant pour obtenir des images sur les attaques physiques à un guichet automatique ou
en
de nombreuses attaques logiques, cette fois ne garantit pas que ces images seront
disponibles pour certains des cas. En particulier, dans la grande majorité des
pays, images de vidéosurveillance n'est pas conservé suffisamment longtemps pour être utile pour
transfrontalière
la coopération entre les services répressifs: par exemple, la fraude est
généralement découverts bien après les cartes (un mois est une période typique) ont été
écrémé, alors quand l'autorité requérante en fait la demande, des données a mis en
la majorité des cas, été détruits. Cela permet à des criminels de ne pas être
identifiés et crée des problèmes importants pour la coopération transfrontalière.
*
**
19
Liste des annexes
Annexe 1 EST ATM européen Rapport sur la sécurité. Non disponible pour le public
distribution.
Annexe 2 Liste des anti-écrémage périphériques (EST)