Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
29 мая 2024 года в Москве прошла 11-я Технологическая конференция НСПК, на которой. были озвучены новые инициативы, серьезно изменяющие как бизнес-компоненты, так и стандарты безопасности платежной сферы
В числе приоритетов развития НСПК оказалось несколько сервисов, среди них — «Запрос о платеже» по передаче электронных платежных счетов, способных доставить информацию о необходимости оплаты товаров, работ и услуг (инвойсов) до плательщика. Кроме того, планируется к запуску сервис «Получение PAR по PAN». Он предназначен для единой связки всех платежных инструментов, привязанных к одной карте.
Особенностью сервиса «Запрос о платеже» является комбинация сразу трех возможностей. Во-первых, это единый канал для доставки счетов до плательщиков в безбумажном виде, во-вторых — гарантия их доставки, в третьих — оплата разными способами, в том числе посредством сервиса В2В СБП.
Получателю средств как клиенту одной из платформ сервис-провайдеров, подключенных к сервису, при выставлении счета на оплату достаточно указать, что оплата может быть выполнена по платежной ссылке В2В через СБП. В этом случае сервис-провайдер, регистрируя этот счет, запросит у сервиса «Запрос о платеже» регистрацию платежной ссылки, что происходит без участия банка-получателя. Таким образом, счет, обогащенный платежной ссылкой СБП, будет доставлен до плательщика, который в рамках обычного сценария В2В СБП сможет произвести оплату.
Банку получателя иногда может потребоваться заранее предоставленное получателем поручение на запрос платежной ссылки СБП сервис-провайдером с использованием сервиса «Запрос о платеже».
На текущий момент клиенты могут выставлять счета B2B для оплаты на платформах трех провайдеров: АО РЭЦ («Российский экспортный центр»), «АБР Регион», являющейся федеральной системой сбора платежей за ЖКУ и прочие услуги от населения, а также в ПСБ. Этот список будет расширяться по мере интеграции сервис-провайдеров с сервисом «Запрос о платеже».
Для обеспечения проведения платежа по ссылкам, полученным через сервис «Запрос о платеже», у банков появляются новые требования со стороны Операционно-процессингового и клирингового центра (ОПКЦ) СБП. Например, банки до 1 октября 2024 года обязаны предоставить своим клиентам возможность совершения операций B2B по платежным ссылкам, зарегистрированным сервисом «Запрос о платеже», по запросу пользователей платформы РЭЦ. В НСПК полагают, что при реализации этого требования имеет смысл сразу обеспечить возможность оплаты по платежным ссылкам, зарегистрированными через сервис по запросу любого иного подключенного сервис-провайдера. Для этого банку плательщика каких-либо доработок в системе делать не потребуется, данная возможность доступна по умолчанию. А вот банку получателя необходимо будет осуществлять проверку предоставления получателем поручения на запрос платежной ссылки В2В сервис-провайдером с использованием сервиса. Кроме того, необходимо обеспечить обработку двух новых параметров в рамках сценария совершения операции B2B СБП.
Что касается ПСБ, то он уже предоставляет своим клиентам возможность перевода средств по сценарию B2B СБП и подключен к сервису «Запрос о платеже», о чем рассказал Наран Церенов, руководитель проекта «СБП-платежи» в ПСБ. По его словам, пилотный проект подключения сценария В2В стартовал в сентябре 2021 года, а в январе 2023-го сценарий стал доступен клиентам из сегмента МСБ.
Исследование клиентского опыта в ПСБ показало, что все операции в В2В СБП выполняются буквально в два клика, а с помощью сервиса «Запрос о платеже» клиенты могут безопасно оплачивать полученные счета с дополнительной защитой от мошенников. Выставлением же счетов и регистрацией платежных ссылок просто управлять в едином пространстве. Удобно и то, что эти ссылки направляются сразу в банковские приложения клиентов.
Проблематика повышения уровня ИБ нашла свое отражение и в докладе Сергея Панина, лидера направления по разработке технологических стандартов ОПКЦ НСПК. Речь шла о 3DS-аутентификации в операциях по сохраненным реквизитам, отложенных авторизациях по неактивным токенам, а также о запуске осенью 2024 года нового сервиса «Получение PAR по PAN», цель которого — безопасно связать воедино все токены, привязанные к конкретной карте.
Сергей Панин (ОПКЦ НСПК). Фото: НСПК
Что касается 3DS, то проблема возникла в целесообразности информирования эмитента и оператора ПС «МИР» в аутентификационных запросах о том, что вместо ввода клиентом платежных реквизитов использовались ранее сохраненные реквизиты. Этот процесс является источником особых рисков: например, после аутентификации легитимного пользователя в каком-либо сервисе к его устройству получило доступ постороннее лицо, которое отвлекло внимание пользователя и может совершить операцию оплаты по сохраненным реквизитам, даже не зная их.
Эта операция может пройти в том числе и с 3DS-аутентификацией, а ответственность за нее будет возложена на эмитента и добросовестного клиента.
Поэтому с весеннего релиза 2025 года НСПК будут введены изменения по «подсветке» операций с сохраненными реквизитами даже аутентифицированных пользователей. Спикер не исключил того, что вход в сервисы может быть осуществлен при использовании биометрии. Однако при совершении покупки пользователь все равно сможет дополнительно пройти 3DS-аутентификацию. Второй канал защиты, который ждут изменения в этой связи, это 3RI, в котором операции инициируются ТСП, например оплата сервисов подписок.
Процесс доставки до эмитентов отложенных авторизаций по неактивным токенам также требует внимания участников ПС «МИР». Уже имеется масса кейсов на транспорте, когда, успешно оплатив телефоном проезд и пройдя турникет, пассажир удаляет из мобильного приложения использованный токен. Эквайер после этого отправляет отложенную авторизацию в НСПК, которая до весны этого года такие авторизации отклоняла. Сейчас такие авторизации передаются эмитентам, которые сами решают, одобрять их или отклонять в подобной ситуации, что, в свою очередь, дает возможность эквайрерам предпринимать шаги по возмещению задолженности пассажира, например воспользоваться программой переноса риска первой поездки с эквайера на эмитента. НСПК в связи с этим рекомендует эмитентам пересмотреть свои рисковые модели в отношении токенизации, особенно по отношению к тем клиентам, которые часто перетокенизируют свои карты. Тем не менее по таким клиентам проходят транзакции (например, на транспорте), по которым не может пройти оплата. Особое внимание следует обратить на транзакции по предоплаченным картам, по которым у эмитента нет достоверной информации о фактическом держателе карты.
Еще один сервис НСПК, запускаемый осенью 2025 года, — «Получение PAR по PAN». Он будет реализован в виде web-API. С его помощью эквайер или ТСП сможет связать воедино все платежные инструменты, привязанные к одной карте. Причем это касается не только текущих платежных инструментов, но и тех, которые были деактивированы, и тех, которые появятся в дальнейшем. Сервис будет работать даже с теми картами, которые еще ни разу не токенизировались. Если в будущем по этой карте будет выпущен токен, то он будет иметь тот же самый PAR, что и сама карта.
Сервис с осени 2024 года обязателен для поддержки эквайерами, выполняющими операции с электронными сертификатами.
Почему так? Со следующего года вступает в силу обновленная версия стандарта PCI DSS, которая запрещает использование в открытом виде хэшированных номеров карт без дополнительного «секрета» в силу их небезопасности. Поэтому НСПК отказывается от хэшированных номеров карт в операциях по электронным сертификатам. Вместо этого предлагается использовать PAR (Payment Account Reference) — инструмент, разработанный EMVco для решения проблемы распознавания пользователя различных платежных инструментов, привязанных к одной карте.
По темпам цифровизации и внедрения инноваций банковский сектор России давно занимает лидирующие позиции. Еще в 2020 году, согласно исследованию компании Deloitte, Россия вошла в топ-10 стран по цифровизации банков. Куда направлен вектор инноваций четыре года спустя? Какие подходы к автоматизации финансовых процессов находятся на гребне технологической волны?
Когда наступает банкротство организации или гражданина, это событие, как правило, затрагивает интересы очень и очень многих: самого должника, его контролирующих и аффилированных лиц, реальных и потенциальных контрагентов должника, иных субъектов — в том числе и государства. Поэтому информация о факте возбуждения и ходе дела о банкротстве должна быть публичной, чтобы широкий круг лиц мог соответствующие сведения получить, проанализировать и оценить, например, в контексте собственных рисков продолжения взаимоотношений с должником