Партнером мероприятия выступил известный бизнес-интегратор Advapay. Модератором конференции стал Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям ТПП РФ. Первым же своим вопросом к собравшимся: «Экосистема Pay — что это: революция или эволюция в мире платежей?» он предложил дискуссионный характер встречи. Раз так, то в повестку дня были включены и другие острейшие вопросы: «Кто будет оплачивать все эти новшества?», «Не умалчивают ли игроки рынка о специфических рисках, которые присущи любым новинкам?».

Надо отметить, что сугубо технические вопросы, касающиеся механизмов функционирования экосистемы Pay, базирующихся на технологии токенизации, практически не поднимались. В преддверии конференции на эту тему для «Б.О» дали исчерпывающие интервью Михаил Федосеев, директор по развитию бизнеса и цифровых технологий Masterсard в России, а также глава департамента по инновациям и развитию новых продуктов компании Visa в России Михаил Батуев. В этом списке следует отметить и материал Тимура Аитова «Мобильная ласточка» в облике «черного лебедя», где он пишет, что «по ситуации в России за три прошедшие месяца данных нет — это говорит о том, что хвастаться пока нечем».

Кошельки Pay, платежные экосистемы и директива PSD2

Именно с этого грустного и печального посыла модератор, вспомнив и о том, что в лондонском метрополитене только 35 тыс. человек из 13 млн ежедневно оплачивают поездки с использованием Apple Pay, пригласил к участию в первой панельной дискуссии и к докладам признанных экспертов отрасли. Ими стали Павел Тамаров, президент Союза участников платежного рынка; Роман Прохоров, председатель правления Ассоциации «Финансовые Инновации» (АФИ); Дмитрий Тартышев, вице-президент по развитию мобильного бизнеса Mastercard в России; Алексей Маслов, председатель Группы пользователей SWIFT в России, заместитель генерального директора JCB International Eurasia LLC; Павел Рево, вице-президент, начальник управления электронной коммерции Банка «Открытие»; Татьяна Ярмола, директор по продуктам и проектам Альфа-Банка, и Александр Титов, руководитель направления мобильных B2B-продуктов Samsung Electronics Russia.

Как выяснилось в ходе дискуссии, большинство спикеров считают, что состоявшееся появление Apple Pay и Samsung Pay, а также планируемый старт Google Pay считать революцией не стоит. Это — эволюция, связанная с развитием платежного опыта клиентов банков. Электронные кошельки прежде всего призваны вытеснить наличные в расчетах за мелкие покупки: чашку кофе, парковку, оплату бензина на заправках и т.д., то есть там, где людям нужно быстро совершить платеж, не разыскивая в бумажниках и сумочках пластиковые карты с соответствующими бонусными, скидочными и подарочными картами. По сути — это некий агрегатор (кошелек) внутри смартфона, который сейчас практически всегда находится под рукой.

О каких суммах идет речь, рассказал Павел Рево. Так, по статистике ЦБ средний чек по эквайрингу в РФ составляет около 900 рублей, ежегодно снижаясь на 5%. Средний чек клиентов Банка «Открытие» составляет около 1,5 тыс. рублей и демонстрирует ту же тенденцию к снижению. Поэтому средний платеж по бесконтактным платежам менее тысячи рублей через смартфон вполне укладывается в эту статистику. В Альфа-Банке средний чек пользователей Samsung Pay и Apple Pay немного превышает тысячу рублей. Хотя самая дорогая покупка, оплаченная клиентом Альфа-Банка через смартфон, была совершена на автомобильные расходы на сумму 5 млн рублей. Что касается динамики прироста клиентской базы и ее платежной активности, то цифры говорят, что скептицизм Тимура Аитова пока не находит подтверждения у нас в стране — скорее наоборот.

Павел Тамаров все-таки был не до конца уверен в эволюционном характере экосистемы Pay. Ведь речь в конечном счете идет именно об экосистеме, а не только о платежном функционале этих мобильных кошельков. Сейчас во многом отношения выстраиваются на доверии в рамках четырехсторонней модели ведения бизнеса. В свете европейской Директивы PSD2 ключевая революционная конструкция заключается в том, что посредством специализированных новых провайдеров (которые обеспечивают инициацию платежа) и аккумулирования информации по всем банковским счетам клиенту обеспечивается возможность обратиться к плательщику не через свой банк, а напрямую, инициируя перевод со стороны банка плательщика. Это можно в определенной степени назвать революцией. Поэтому отрасль требует дополнительного рассмотрения всех рисков, разработки регуляторных требований, «песочниц» для отработки инноваций всякого рода и т.д. Об этом подробно рассказали Роман Прохоров и Алексей Маслов.

А о практическом опыте, который можно почерпнуть в странах Евросоюза, поведал Андрей Борисенков, директор по развитию Advapay. Эксперт напомнил о том, что стратегия развития каждого банка включает в себя использование неких новых технологий, отвечающих движению рынка и его развитию. Вариантом безболезненного тестирования новых проектов для банка может стать платформа Payment Service Provider (PSP), имеющая ряд преимуществ:

• меньшее регулирование — более низкие требования регулятора к платежным институтам;
• гибкость и технологичность — простая имплементация новых сервисов, не затрагивающая банковскую АБС;
• снижение рисков и издержек — каждый финансовый стартап, в котором участвует банк, является определенным риском для него не только в финансовом, но и в репутационном смысле.

Поскольку Advapay ориентируется в своей работе на Западную Европу, Андрей Борисенков рассказал о том, как достичь указанных преимуществ в свете грядущего вступления в силу директивы PSD2. Advapay предлагает создание «под ключ» платежного бизнеса в Европе, включая первичное консультирование, выбор оптимальной инфраструктуры, юрисдикции, вида лицензии, бизнес-модели и т.д.

Но опыт накопился не только в Европе, но уже и у нас. О нем на второй секции в блистательном докладе рассказал Дамьен Леклер, руководитель управления развития отношений с обеспеченными клиентами и некредитных продуктов Райффайзенбанка. Суть выступления заключалась в том, как бизнесу и IT найти общий язык и за четыре месяца в стиле Agile осуществить проект по внедрению кошельков Pay, который обычно длится не менее полутора лет. Поделился эксперт с собравшимися и итогами опроса клиентов Банка по поводу удовлетворенности новыми сервисами.

После этого в почти часовом выступлении Александр Титов рассказал о том, как именно устроен Samsung Pay, в чем его отличия и преимущества перед другими кошельками, почему технология эмуляции магнитной полосы соседствует с NFC, как KNOX, специализированная надстройка над Android, значительно повышает уровень защиты информации на мобильном устройстве. Кроме того, докрадчик заверил, что Samsung не берет никаких комиссий с владельцев смартфонов за использование мобильных кошельков. У компании другая модель монетизации.

Безопасность — обратная сторона удобства

Что касается ИБ, то ей была посвящена заключительная секция. На ней основными источниками актуальнейшей информации стали Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, и Александр Савинов, руководитель направления «Цифровой и карточный бизнес» департамента безопасности Сбербанка. Да, риски есть. Но современный кибер-криминал пока не сильно обозначил свой интерес к рассматриваемой теме. Но это пока.

На этой, казалось бы, убаюкивающей ноте, сессия могла и закрыться. Однако потому Сбербанк и называют самым инновационным банком, что там прекрасно осведомлены о том, что обратная сторона любой инновации — это новые риски сервисов на ее основе. Пока нет реальных атак по классическим направлениям, можно глубже разобраться в том, что может случиться из-за безоговорочного доверия тем или иным догмам. Поэтому выступление Александра Савинова в ходе панельной дискуссии хотелось бы привести почти дословно, оно того заслуживает:

«Когда-то мир еще четко не делился на купцов, крестьян и другие касты. Но уже тогда он делился на “плохих” и “хороших”. На каждое платежное средство был свой хак и свой способ кражи. Банки до сих пор борются с мошенниками, и на каждый способ кражи придумывают новый способ защиты… или, наоборот, на каждый способ защиты придумывается способ взлома.

Хотя пока нет! До сих пор, мы считаем, что EMV [(Europay + MasterCard + VISA) — международный стандарт для операций по банковским картам с чипом. — «Б.О»] стоек. Во всех релизах кошельков Pay красной нитью проходит тезис об использовании стандартного протокола EMV в своих платежных решениях, а токенизация преподносится как панацея от всех человеческих бед! Давайте посмотрим внимательнее, а действительно ли модель угроз не меняется?

Меняется! И именно разница в носителе чипа (на пластике или в смартфоне) сыграет существенную роль в изменении модели угроз карточного бизнеса с точки зрения информационной безопасности. Можно долго спорить о том, насколько защищен Wallet от взлома... К сожалению, данные Сбербанка свидетельствуют о том, что нет ни одной операционной системы, для которой не существовало бы возможности вирусного заражения.

А что же токенизация? Токенизация — способ международных платежных систем выполнить свои же требования по сохранности номера карты. Структура реквизитов токена абсолютно ничем не отличается от структуры реквизитов карты, поэтому замена номера карты на номер токена, на наш взгляд, никак не влияет на безопасность. Многие банки имеют свою токенизацию… В итоге получается, что сервисы типа MDES (MasterCard Digital Enablement Service) и VTS (Visa Token Service) — простые фасилитаторы трафика, которые всего лишь облегчают Pay-системам интеграцию с эмитентами карт.

Все усугубляется тем, что схема реализации Apple Pay и Samsung Pay такова, что банки-эмитенты — те участники, которые несут ответственность перед клиентом за эту технологию и сохранность клиентских средств, вынуждены безоговорочно верить «на слово» вендорам железа, внутреннему решению Pay, да и сервисам токенизации…

Есть реальный разрыв в верификации держателя эмитентом. Как проходит цепочка по стандартному EMV: ARQC — на ключе карты + пин (который хоть и перешифровывается, но его знают только держатель и эмитент) передаются в первозданном виде. А в Pay-платежах эквайер “верит” смартфону, что тот проверил TouchID. Сервис токенизации “верит” сервису Pay, что все криптограммы “срослись”. А Эмитенту приходится “верить” им всем, что все хорошо!

Но глупо было бы выйти на трибуну и заявить, что все плохо, и не предложить никаких способов поправит ситуацию. Можно на сотню слайдов “размазать” тему защиты от вирусов. Антивирус — и всё? Конечно, нет! Антивирус — это та часть, которая видна над водой. Под водой такие вещи, как многофазный фрод-мониторинг, лимиты, независимость карточных и Pay-операций и, наконец, еще раз фрод-мониторинг!

Модель поведения клиентов с пластиковыми и смартфонными картами существенно различается. Антифрод-система должна отрабатывать три глобальных типа операций с токенами: во-первых, собственно процесс привязки/токенизации карты. Во-вторых, транзакции, проведенные как по карте, так и по токену. Наконец, сервисные операции типа входа в системы ДБО или перевыпуск карты и перепривязка токена».

Нельзя сказать, что другие участники панельной дискуссии поддержали все выводы представителя Сбербанка, но побочным явлением этого выступления стало абсолютное понимание того, что вскользь говорили ранее в своем выступлении представители Райффазенбанка о том, что использование кошельков Pay приводит к «потере связи» с клиентом. Обилие посредников в цепочке платежа способствует тому, что банкиры добровольно попадают в ловушку «уберизации», где к клиенту гораздо ближе другие сервис-провайдеры, нежели банк-эмитент. Да и систему ДБО банка клиент теперь тоже не видит, она «растворилась» в интерфейсе кошелька. Это же касается и операторов программ лояльности и т.д., они становятся лишь поставщиками данных в кошелек. Какие еще здесь кроются риски?

К сожалению, времени на обсуждение всего это не осталось. Но зато собравшиеся смогли услышать краткое, но интересное замечание Александра Левашева, Deputy CEO Group Infosecurity. Ни для кого не секрет, что для интернет-магазинов технология токенизации открывает дорогу к возможности отказаться от дорогостоящего аудита на соответствие стандарту PCI DSS. Но этот факт оставляет отечественных ретейлеров довольно равнодушными. Наверное, прохождение аудита, как и всякие процедуры контроля, привносит в ведение бизнеса некий элемент порядка. Так зачем отказываться от этого порядка? Неужели в случае с технологией токенизации вопросы обеспечения должного уровня безопасности превысят преимущества от удобства? Или все это мелочи, и кошельки Pay займут ту нишу, на которую рассчитывают их операторы?