Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
В России наконец заработали мобильные платежные приложения Apple Pay и Samsung Pay на основе NFC и токенов. О том, в чем отличие Pay от традиционного дистанционного банковского обслуживания, об их безопасности и бизнес-перспективах рассказывает глава департамента по инновациям и развитию новых продуктов компании Visa в России Михаил Батуев
— Михаил, в чем основа концепции токенов, когда она появилась?
— Токены на самом деле — достаточно простая технологическая концепция, и ей уже несколько лет. Но начать разговор об успехах ее распространения необходимо с обзора того, как выглядит классическая платежная инфраструктура с точки зрения международной платежной системы Visa.
Когда мы говорим о платежах, в классическом варианте банки выступают в двух ролях. Первая — это эмитент карт, вторая роль — эквайер. Эмитенты — это те банки, которые выпускают и обслуживают платежные карты физических лиц. Карты им нужны для осуществления расчетов в безналичной форме. Эквайеры — это те банки, которые взаимодействуют с торгово-сервисными предприятиями, что позволяет потребителям, совершая покупку, использовать карты. Взаимодействие эквайеров и эмитентов в рамках платежной системы обеспечивает осуществление транзакций, в том числе электронных транзакций. Ролью платежной системы является организация такого взаимодействия между эквайерами и эмитентами при осуществлении ими транзакций в соответствии с правилами платежной системы и действующим законодательством.
Для начала кратко расскажу, как выглядит транзакционный цикл. Банк-эмитент выпускает для физического лица пластиковую карту. Человек приходит в торговую точку и расплачивается картой на POS-терминале. В момент платежа терминал направляет запрос банку-эквайеру на проведение транзакции. Банк-эквайер связывается с банком-эмитентом через платежную систему Visa с просьбой подтвердить транзакцию. Если эмитент дает согласие, то Visa передает эту информацию в банк-эквайер, после этого на POS-терминале печатается чек, а владелец торговой точки отпускает покупателю товар. Эта схема отлично функционирует на протяжении десятилетий.
Но если говорить о картах как о форм-факторах, то у них есть несколько объективных недостатков. Во-первых, карты имеют ограниченный срок действия. Во-вторых, для того чтобы карту получить, необходимо, как правило, посетить отделение банка, написать заявление на выдачу карты, пройти идентификацию. Затем нужно снова явиться в банк и забрать карту. В наш век полностью дистанционного банкинга это выглядит уже архаично.
— А откуда берутся данные «ограничения»?
— Ограничения по сроку действия или необходимость, например, использовать различные механизмы верификации, CVV2 со стандартами платежных систем, которые исполняются и банками для обеспечения безопасности. Например, такие стандарты определяет верхний предел срока действия карты. Банк по своему усмотрению может снизить этот срок с трех или пяти лет до одного года. Кроме того, выпуск банковских карт сопряжен с расходами на производство пластика, микросхем (чипа), что влияет на масштаб эмиссии.
— Что же изменилось в классической инфраструктуре?
— Если оглянуться назад, на последние лет десять, то многое. Например, появилось огромное количество мобильных устройств. На сегодняшний день по данным аналитиков Johnson and Partners1 около 67% россиян владеют смартфонами. Как ожидается, к 2020 году эта доля значительно увеличится. Получили распространение и другие подключенные устройства (часы, очки, брелки, кольца и т.д.), которые могут быть использованы как средство платежа.
В результате конфигурация платежной экосистемы претерпела заметные изменения. Появились новые крупные мировые игроки из числа производителей мобильных устройств, сотовых операторов. В последнее время они активно ищут модель, в рамках которой все участники индустрии могут взаимодействовать друг с другом, чтобы реализовывать возможности для осуществления платежей.
— Какие факторы тормозили эту интеграцию?
— Во-первых, ограничения сети приема электронных платежей, поскольку не везде можно было расплачиваться новым способом. Необходимо было модернизировать имевшиеся POS-терминалы, чтобы они могли принимать бесконтактные платежи. Вторая сложность заключалась в том, чтобы реализовать NFC-технологию на самих картах. Компания Visa разработала с этой целью технологию бесконтактной оплаты Visa payWave. Наконец, мобильные устройства тоже должны поддерживать технологию NFC и иметь для этого встроенную специальную антенну, микрочип и необходимое программное обеспечение.
Решение всех этих задач требовало значительных инвестиций. Но результат стоит того. На сегодняшний день по оценке экспертов2 около 10–15% POS-терминалов в России принимают бесконтактные платежи. Однако все вышеперечисленное, по сути, является лишь частью усилий, которые необходимо предпринять для развития новых форм оплаты.
— Что еще же необходимо?
— Как только первые три условия стало можно считать выполненными и появилась возможность создавать новые форм-факторы, выявились другие недостатки. Например, выяснилось, что всегда носить с собой множество различных карт — платежных, дисконтных, программ лояльности, транспортных — не очень удобно. Даже если есть возможность загрузить их в мобильное устройство, то как добиться того, чтобы для каждой карты не приобретать, образно говоря, отдельное устройство?
Как интегрировать новых игроков — производителей смартфонов и, например, смарт-часов — в платежную экосистему таким образом, чтобы обеспечить прежний или даже более высокий уровень информационной безопасности? Ведь использование смартфона помимо новых возможностей создает и новые риски. Если говорить о возможностях, то поддержка биометрических технологий смартфонами может использоваться для верификации платежей. Кроме того, возможность проводить геолокацию устройства, создавать фото и видеоконтент позволит создать весьма эффективную систему борьбы с мошенничеством.
— Так почему же не складывалась общая бизнес-модель?
— Тестировались самые разные бизнес-модели. Один из подходов предполагал выпуск предоплаченных карт, которые были привязаны к виртуальному кошельку и могли быть использованы для совершения платежей в POS-терминалах. Но этот путь оказался непродуктивным.
В свою очередь, производители телефонов работают иначе и больше заинтересованы в реализации дополнительных сервисов, которые можно установить на телефон для скачивания музыки, видео либо для получения каких-либо других дополнительных услуг, что совершенно не типично для банковского бизнеса.
В итоге эти эксперименты привели к тому, что требовался универсальный механизм взаимодействия с новыми участниками платежной экосистемы. Сервис токенизации Visa (Visa Token Service) позволил использовать традиционные платежные инструменты, такие как банковские карты, в инфраструктуре, созданной производителями смартфонов. При этом не требуется менять что-либо на уровне сети приема, поскольку применяется уже существующая технология бесконтактной оплаты Visa payWave.
— А зачем в таком случае нужны банкиры? Ведь можно напрямую работать с клиентурой мобильных операторов?
— Хороший вопрос. Дело в том, что Visa не работает с потребителями напрямую. Нашими клиентами являются в первую очередь банки, которые предлагают рынку свои решения. Новым игрокам, таким как производители мобильных устройств, было сложно стать частью платежной экосистемы, хотя, казалось бы, все шансы у них для этого есть. Платежная индустрия основана на доверии со стороны всех ее участников, которое создается кропотливой работой долгие годы. Поэтому все игроки могут работать в рамках глобальной платежной инфраструктуры на основе кооперации.
— Давайте подробнее поговорим о токенах.
— Токенизация — это новая технология безопасности, которая позволяет заменить конфиденциальные платежные данные, такие как 16-значный номер карты, уникальным цифровым идентификатором, или токеном. Таким образом, при совершении транзакции не используются реальные платежные реквизиты. Новую технологию можно успешно реализовать не только в физической среде, но и в платежах с помощью мобильных устройств, а также в Интернете.
— Но токены это — же не достояние одной только Visa?
— Для карт, которые обслуживаются платежной системой Visa, используется сервис токенизации Visa (Visa Token Service), другие платежные системы используют свои сервисы. Но правовое и техническое регулирование осуществляется по единым международным стандартам.
—Чем отличаются смартфоны, поддерживающие сервис Pay, от других?
—Во-первых, смартфоны, поддерживающие технологию NFC, оснащены встроенной антенной, которая позволяет бесконтактным способом обмениваться информацией с POS-терминалом. Во-вторых, на таком телефоне установлено платежное приложение либо внутри имеется специальная микросхема, которая используется в карточных чипах для хранения платежных данных. В случае с Visa — это токен.
Производители смартфонов предусмотрели два варианта использования токенов. Так, компания Apple встраивает в свои смартфоны дополнительный чип, на котором хранится информация, необходимая для совершения платежей. Такой подход позволяет использовать существующую инфраструктуру, построенную на основе открытых стандартов.
Другой вариант предполагает не интегрировать в устройство специальный чип, а реализовать новую функцию на уровне операционной системы или приложения. В этом случае необходимо, чтобы в момент платежа программа могла передать с помощью антенны в телефоне на POS-терминал необходимую для транзакции информацию.
— Влияет ли на цену устройства приверженность тому или иному подходу?
— Это вопрос скорее к производителям смартфонов. По сути, оба подхода решают одну и ту же задачу, одновременно обеспечивая надежный уровень безопасности.
— А можно ли проводить транзакции на недорогом смартфоне?
— Это одно из заблуждений, что только дорогие модели смартфонов можно использовать для оплаты. Технологии стремительно развиваются, их стоимость снижается. Можно провести аналогию с Bluetooth, который прежде был доступен только в дорогих моделях телефонов, а сейчас функция Wi-Fi реализована практически на всех устройствах. Аналогично и парк смартфонов, поддерживающих платежную функцию, будет расширяться.
— Почему, когда говорят о кошельке, имеют в виду прежде всего смартфон, а не десктоп?
— Потребителей не устраивает ситуация, когда они приобретают устройство с предзагруженной в него картой. Наоборот, пользователь хочет самостоятельно привязывать к смартфону карту, которую выберет. Десктопы чаще всего используются для покупок в Интернете, поэтому и потребности в этом случае другие.
— Если срок действия физической карты подошел к концу, что происходит с ее виртуальным аналогом?
— Срок действия токена обычно на три года превышает срок действия карты. Этого времени должно быть достаточно для потребителя, чтобы перевыпустить карту.
— Как стыкуются токены и программы лояльности?
— Последние четыре цифры номера карты не участвуют в процессе транзакции. Они используются скорее для идентификации клиента и взаимодействия с системой ДБО банка, которая имеет свои каналы взаимодействия с операторами программ лояльности. Узнать о накопленных баллах и потратить их теперь можно непосредственно в электронном кошельке, если он подключен к такой программе лояльности. В будущем держатель карты сможет работать исключительно в интерфейсе кошелька, что приведет к изменению платежного клиентского опыта. Это позволит еще больше повысить уровень проникновения безналичных платежей и отказаться в итоге от оплаты наличными.
Кошелек фактически становится агрегатором, объединяя множество разнородных сервисов, а токены при этом используются как связующее звено. Наша цель как платежной системы заключается в том, чтобы банки-эквайеры и банки-эмитенты сохранили свою бизнес-модель взаимодействия с клиентом. Появление новых игроков в платежной экосистеме не должно нарушать устоявшиеся связи между традиционными ее участниками.
— В чем заключается вторая ипостась токена?
— Большой потенциал использования токенизации связан с электронной коммерцией. Каждый интернет-магазин работает с конкретным банком-эквайером. В рамках стандарта EMV (Europay + MasterCard + Visa. — Ред.) Visa предлагает торговому предприятию частично или полностью заменить номера карт своих клиентов токенами и хранить их у себя. В момент оплаты токены будут использоваться для проведения транзакции вместо реальных платежных реквизитов. Это поможет решить множество проблем, связанных с мошенническими действиями. Например, даже если злоумышленнику удастся получить доступ к токенам в интернет-магазине, то воспользоваться ими он не сможет, потому что такая транзакция будет отклонена платежной системой еще до того, как сработает система по борьбе с мошенничеством банка-эмитента. Только торгово-сервисное предприятие, которое имеет право передавать в платежную сеть токены, сможет это делать.
1. http://json.tv/ict_telecom_analytics_view/rossiyskiy-rynok-smartfonov-itogi-2015-goda-20160215051506
P.S. Актуальные вопросы работы токен-технологий и новых платежных сервисов будут обсуждаться на конференции «Банковского обозрения» 14 декабря. Подробнее>>
В 2015 году, когда законодатель предпринимал попытки по ужесточению наказания за неправомерный оборот средств платежей, мало кто предполагал, что подобная инициатива станет очередной лазейкой для недобросовестных предпринимателей и правоохранителей. Прошло больше пяти лет с последней редакции, поэтому можно подвести промежуточные итоги: чем обернулись «благие намерения» законодателя и как ст. 187 УК РФ стала дополнительным инструментом давления на бизнес
Регулирование финансового сектора стремительно развивается на протяжении последних 20 лет. Особое внимание стоит уделить подходам, которые регулятор использует для обеспечения прозрачности структуры собственности финансовых организаций: с развитием законодательства методы регулирования сначала распространялись на кредитные организации, а затем охватили и весь финансовый сектор. Проанализируем законодательное регулирование в динамике, противоречия, кот проявляются в результате различий в регулировании деятельности разного рода организаций и финансовых рынков