Бесконтактные мобильные платежи
Сегодня в мире уже действует множество систем мобильных платежей: Apple Pay, Android Pay и Samsung Pay. Большинство систем оплаты через мобильные устройства подразумевают наличие в таком устройстве чипа NFC (Near field communication, «ближняя бесконтактная связь»). Его несложно встроить как в смартфон, так и в планшет, браслет или умные часы. В бесконтактную платежную карту встроена пара антенн, образующих магнитный контур, — так осуществляются связь с терминалом и передача данных. NFC — аналог такой магнитной рамки, так что для терминала нет разницы — подносят к нему бесконтактную карту или смартфон.
В результате технология NFC стала основным решением в области мобильных платежей. По оценкам TrendForce, более 60% смартфонов, проданных в 2017 году, поддерживают NFC. Сейчас идут работы по созданию NFC-чипов, в которых будут различные компоненты, связанные с безопасностью. Например, модули NFC могут добавить в сенсорные чипы для распознавания отпечатков пальцев, радужной оболочки глаза и рисунка вен. Объединение разных биометрических технологий обеспечит многофакторную аутентификацию для системы мобильных платежей на базе NFC.
Однако одного только NFC мало для построения полноценной системы мобильных платежей. Тем более что обычно такая система включает множество участников, в том числе банки, платежные системы, производителей телефонов, провайдеров платежей и т. д. Одной из первых найти выход смогла Google, реализовавшая в Android 4.4 технологию Host Card Emulation (HCE). Ее главное отличие от прежних решений — в хранении данных покупателя не на устройстве, а в облаке. По сути, создается цифровой дубликат банковской карты: реквизиты хранятся как удаленно в облаке, так и на смартфоне. В 2014 году о поддержке HCE заявили Visa и MasterCard, после чего бесконтактные мобильные платежи стали быстро распространяться в мире.
СПРАВКА OFFICE LIFEAndroid Pay —«классический» HCE-сервис, запущен в США в сентябре 2015 года. С 2011 года он был известен под названием Google Wallet, но большой популярностью не пользовался. В Беларуси Android Pay пока не работает, но к нему уже присматриваются белорусские банки.Samsung Pay —был запущен в мире даже чуть раньше, в августе 2015-го. В Беларуси появился 15 ноября 2017 года, первые банки, наладившие с ним работу, — МТБанк и Белгазпромбанк, позже к ним присоединится БПС-Сбербанк. К Samsung Pay можно подключить любую карту этих банков, но только системы MasterСard. В будущем планируется подключение и карт Visa. Беларусь стала 4-й страной Европы, где запустился Samsung Pay, — после Швеции, Швейцарии и Великобритании.Apple Pay —заработал в США еще осенью 2014 года. В конце января нынешнего года «яблочный платеж» появился и в Беларуси: платежную систему начал тестировать Альфа-Банк. Его клиент может просто приложить к платежному терминалу свой iPhone или Apple Watch, прикоснуться к сканеру отпечатков пальцев и провести оплату.
Подключиться к Apple Pay в Беларуси можно через виртуальную карточку Альфа-Банка «ёCard», которая может быть выпущена в российских рублях, евро или долларах. Оплачивая товары и услуги у себя на родине, белорусы могут не бояться двойной конверсии: сумма покупки списывается по курсу банка, прямиком конвертируясь из валюты счета в BYN. За пополнение «ёCard» предусмотрена комиссия: 1% от суммы плюс $1.
Поскольку технология HCE открыта для всех, многие банки начали внедрять собственные сервисы бесконтактных мобильных платежей. В Беларуси подобная практика есть у двух банков — Приорбанка и МТБанка.
Samsung и Google не берут денег: использование их систем бесплатно и для клиента, и для банка. Apple берет с банков комиссию 0,15% за каждую покупку через свой сервис. Samsung Pay позволяет расплачиваться смартфоном не только через бесконтактные терминалы, но и через устаревшие, которые принимают лишь карты с магнитной полосой.
Внутри платежной системы
Как это все работает с точки зрения технологии? Внешне все просто: кассир в магазине (кафе, киоске, на автозаправке и т. д.) называет сумму, клиент запускает на смартфоне программу, подносит его к терминалу — и платеж проведен. «Внутри» все сложно. Каждый мобильный платежный сервис использует т. н. токены — случайным образом сгенерированные одноразовые коды, которыми смартфон обменивается с платежным терминалом в момент оплаты покупки. (Здесь важно не перепутать с совсем другими токенами — понятием из мира криптовалют.)
Такой код — токен — содержит в зашифрованном виде данные о номере и сроке действия платежной карты, владельце и CVV, а также номер телефона владельца и данные о платежной сети — MasterCard или Visa. Хакерам перехватывать такой токен нет смысла: никакой полезной информации они не получат. После оплаты токен удаляется, а для следующего платежа формируется уже новый ключ шифрования.
Отличия систем — в том, где происходит формирование токенов. Android Pay формирует их в облаке Google, Samsung Pay и Apple Pay — на защищенном чипе в самом смартфоне, банки же предпочитают использовать собственные серверы + облачные технологии MasterCard или Visa. Отличия еще и в том, что Samsung и Apple обеспечивают, по сути, только платежи, тогда как банковские приложения дополнительно дают возможности блокировки счета, установки лимитов и прочие, связанные с управлением деньгами.
Для мобильной работы клиентам Приорбанка или МТБанка следует скачать на Android-смартфон банковское приложение, в которое ввести реквизиты карты. Далее данные карточки отобразятся в программе на смартфоне. Для бесконтактной оплаты через смартфон Приорбанк поддерживает только карты Visa, а МТБанк — MasterCard. Чтобы расплатиться, клиент банка должен запустить на смартфоне приложение, выбрать карту для расчета и приложить аппарат к терминалу. При этом для покупок дешевле 25 рублей не требуется вводить PIN-код.
Идем дальше: смартфон вместо карты
Следующий и вполне логичный этап развития мобильных платежей — перевод денег и совершение прочих финансовых операций без привязки к банковской карте, по одному только номеру мобильного телефона. Для этого номер будет привязываться к конкретному счету в банке, и в качестве платежных реквизитов отправителю достаточно будет указать только номер мобильного телефона. Предполагается, что в России такая платежная система заработает с 2018 года. Но ее уязвимые места очевидны — это большое количество ошибочных транзакций и атак хакеров.
Пока многие банки предлагают некий промежуточный вариант — услугу перевода между счетами клиентов по номеру телефона. Однако платежные системы Visa и MasterCard планируют сделать реальностью и межбанковские переводы по номеру телефона. По предварительной информации, система переводов денег по номеру мобильного телефона будет действовать в рамках любых каналов дистанционного обслуживания, в том числе интернет- и мобильного банка, банкоматов. Переводы фактически будут осуществляться по аналогии с современными мессенджерами, где не нужно знать какой-то специальный идентификатор, чтобы пообщаться с человеком. Использование номера мобильного телефона вместо реквизитов карт делает процесс денежных переводов столь же удобным.
