Удар токеном: усилена защита нового способа оплаты «Миром» через iPhone
В Национальной системе платежных карт готовятся к внедрению нового способа расчетов картой «Мир» с помощью смартфона — он предполагает формирование QR-кода на устройстве клиента, который продавец считает на кассе и «вытянет» оттуда деньги. НСПК направила в банки бюллетень с требованиями к защите такого QR (есть у «Известий»), которые нужно реализовать к 25 апреля 2023-го. В кредитных организациях уже тестируют технологию, внедрить ее для клиентов хотят до конца года. Этот способ позволит оплачивать покупки владельцам iPhone, при этом, в отличие от расчета через СБП, сохранятся банковские кешбэки.
Деньги любят считывание
Национальная система платежных карт (НСПК) проработала защиту нового способа платежа картой «Мир» (с использованием QR-кода, который формируется на смартфоне клиента). Такие трансакции должны быть токенизированными, то есть содержать не данные карты, а ссылку на них. Об этом говорится в техническом бюллетене НСПК, направленном в кредитные организации (есть у «Известий»). Требования к защите станут обязательными для банков с 25 апреля 2023 года.
Речь идет о внедрении нового способа платежа картами «Мир» с использованием смартфона. Предполагается, что QR будет формироваться в мобильном приложении банка, выпустившего карту, на основе реквизитов пластика. Продавец на кассе считывает код и списывает оттуда нужную сумму — по аналогии с тем, как если эти сведения передавали бы «по воздуху» (через NFC).
Проблема в том, что изображение на экране смартфона видно окружающим, оно может попасть на камеры, пояснил «Известиям» источник на банковском рынке. QR вполне реально распознать, достать оттуда настоящий номер карты и затем использовать, например, для покупок в интернете. Это небезопасно. Поэтому финансовые данные, «зашитые» в код, нужно будет токенизировать — заменять другим значением, которое будет только содержать зашифрованную ссылку на настоящие платежные сведения.
— При использовании этой технологии QR-код выступает еще одним форм-фактором карты «Мир» и позволит сохранить все привычные клиенту возможности — делать покупки с помощью смартфона, получение кешбэка и других предоставляемых банком-эмитентом и платежной системой преимуществ, — напомнили «Известиям» в НСПК.
Там подчеркнули: совершение таких трансакций будет доступно только по токенизированным данным карты. Это обеспечит высокий уровень безопасности. Сформировать QR-код и совершить оплату можно будет из мобильных приложений банков, выпускающих карты «Мир», на основе реквизитов токена, но не фактического «пластика».
В крупнейших кредитных организациях подтвердили «Известиям», что получили бюллетень платежной системы. В банке «Синара» заявили, что прошли необходимые тестовые испытания и готовы предоставить новый способ клиентам. Однако пока обсуждаются технические вопросы по обеспечению приема таких QR в торговых точках. В «Русском стандарте» также сообщили, что участвуют в пилотном проекте НСПК и планируют предоставить такую возможность клиентам в числе первых. Технология находится в процессе реализации и в Газпромбанке.
Запустить функционал в 2023 году также собираются в ПСБ и «Открытии». В МКБ рассказали о подобных планах, но не уточнили сроки. Такую возможность рассматривают в УБРиР, «Зените», ВТБ и крымском РНКБ, сообщили «Известиям» их представители.
Большие доработки
Российские банки стали активно искать новые способы платежей с помощью смартфонов после ухода из страны сервисов Apple Pay и Google Pay. Если владельцы смартфонов на базе Android могут использовать приложение Mir Pay (в него можно подвязать нацкарты), то пользователи iOS полностью лишились возможности делать покупки телефоном.
— Такой функционал мог бы быть востребован. Особенно если речь идет о мобильных устройствах, где оплата бесконтактно возможна только через единственное приложение, в котором карты российских банков не могут больше обслуживаться, — отметил главный архитектор департамента технологического развития банка «Синара» Александр Вдовин.
По его словам, реализовать такой способ несложно, поскольку торговые сети активно используют сканирование, например, карт лояльности. Кроме того, новый способ платежа будет востребован владельцами смартфонов без чипа NFC, которые тоже массово продаются на российском рынке, добавили в банке «Открытие».
Для того чтобы сервис генерации QR-кода на смартфоне клиента пошел в тираж, необходимо будет доработать все мобильные приложения банков, отметил генеральный директор «Мультикарты» Дмитрий Подольский. Он добавил, что также надо будет заинтересовать пользователя в новом способе и объяснить, как он работает.
Предъявлять QR-код проще, чем его считывать, однако сложнее, чем приложить к терминалу, например, платежный стикер (такие сейчас тестируют «Сбер», «Альфа», «Тинькофф»). С другой стороны, для совершения крупных покупок по стикерам придется вводить PIN-код на терминале. Тогда как новый способ с QR-кодом этого не требует, потому что человек уже подтвердит личность, авторизуясь в смартфоне.
— На стороне эквайера (банка, который обслуживает торговую точку) потребуются масштабные доработки. Считать QR-код терминал может двумя способами: с помощью камеры или NFC. Однако доля устройств, оснащенных камерами, очень невелика. То есть понадобится глобальная замена терминалов или закупка дополнительных ридеров, а также интеграция с ними. Кроме того, потребуется соответствующая доработка ПО, — рассказал Дмитрий Подольский.
Если такой способ платежа будет нетокенизированным, то, безусловно, для пользователя есть риски компрометации данных карты, отметила директор по консалтингу ГК InfoWatch Ирина Зиновкина. Она продолжила: сфотографировать QR-код на экране устройства потенциальной жертвы не составит большого труда. При этом токен позволит минимизировать риски.