Статья опубликована в № 3698 от 17.10.2014 под заголовком: Интернет-платежи временно беззащитны

После запуска Национальной системы платежных карт интернет-платежи могут остаться без защиты

При запуске Национальной системы платежных карт (НСПК) безопасностью платежей в сети решено пренебречь, выяснили «Ведомости»
  • Анна Еремина,
  • Татьяна Воронова,
  • Павел Кантышев,
  • Дарья Борисяк
Национальная система платежных карт на первых порах будет сильно похожа на наличные деньги
Е. Разумный / Ведомости

В случае перевода внутрироссийских транзакций международных платежных систем (МПС) на обслуживание в НСПК под угрозой может оказаться работа системы 3D Secure, которая сейчас обеспечивает безопасность оплаты товаров и услуг в интернете, рассказал «Ведомостям» один из сотрудников МПС. По его словам, представители НСПК предложили «запускаться без нее», если будут поджимать сроки. Согласно закону, одобренному на этой неделе Советом Федерации, МПС должны перевести внутрироссийский трафик в НСПК не позднее 31 марта 2015 г. или внести депозит.

На сегодняшний день планируется использовать технологию аутентификации платежей в интернете с начала работы НСПК, пояснил представитель ЦБ, добавив, что конкретные способы реализации находятся в стадии согласования с МПС.

«На встрече с платежными системами Владимир Комлев (руководитель НСПК. - «Ведомости»), отвечая на вопрос представителя Visa, действительно говорил о том, что НСПК может быть запущена без 3D Secure», - рассказывает один из участников собрания, посвященного НСПК. Это может произойти в том случае, указывает он, если к I кварталу 2015 г. не будет создана аналогичная технология защиты. По его словам, Комлев предложил перекладывать риски с платежной системы на банки - либо они их принимают, либо, например, уведомляют клиентов, что по картам НСПК они проводить платежи в интернете не смогут.

В НСПК признают, что запускать систему будут с очень ограниченным функционалом - по сути, это будут только авторизация и клиринг, знает один из участников рабочей группы при ЦБ. Систем защиты, таких как 3D Secure у Visa и Secure Code у MasterCard, на первых этапах у национальной платежной системы не будет, рассуждает он, при этом уверяет, что платежи в интернете будут возможны, просто граждане станут совершать их на свой страх и риск.

Существует масса иных возможностей обезопасить проведение платежа, кроме 3D Secure, рассказывает вице-президент «СМП банка» Елена Дворовых: это служба онлайн-мониторинга, которая круглосуточно отслеживает транзакции, это ограничения по платежам, выпуск виртуальных карт для покупок в интернете с ограниченным лимитом. Есть также и CVV-код, который использовался до появления 3D Secure. Но его недостаток в том, что он не меняется, тогда как 3D Secure - это динамический код. Никому не выгодно отказываться от операций в интернете - ни банкам, ни клиентам, поэтому вряд ли отсутствие 3D Secure будет серьезным препятствием, считает она.

Отсутствие 3D Secure сразу снизит привлекательность использования карт для многих категорий товаров и услуг, не согласен директор по развитию WebMoney Петр Дарахвелидзе, потому что только эта технология реально страхует продавца от мошенничества с картами. Кроме того, отмечает он, 3D Secure переносит ответственность за безопасность платежа с банка-эквайера на банк-эмитент, поскольку в данном случае последний решает, авторизовать транзакцию или нет. Для систем электронных денег, популярных в России (WebMoney, «Яндекс.Деньги», Qiwi), эта проблема не стоит, делится опытом Дарахвелидзе: они уже много лет используют дополнительное подтверждение (например, СМС-код) для защиты всех транзакций.

По оценкам компании Group-IB, в 2013 г. на мошенничестве в системах интернет-банкинга России и СНГ, обналичивании денежных средств, банковском фишинге и мошенничестве с электронными деньгами преступники «заработали» $426 млн, на операциях по «кардингу» - $620 млн.

Основной вопрос - сколько времени потребуется на решение технологических и юридических вопросов, говорит управляющий партнер компании «Кардсервис» Игорь Гайдаржи. Трехдоменная технология (3D) предполагает, что система аутентификации клиента происходит в два этапа. Первый аналогичен верификации владельца карты по паспорту в обычном магазине: при обращении к серверу банка происходит идентификация владельца карты по ее номеру и номеру мобильного. На втором этапе проверяется достаточность средств на счете или наличие кредитного лимита. НСПК необходимо организовать отдельный собственный директорий, который будет обеспечивать процедуры аутентификации по технологии 3D. Юридический вопрос заключается в том, что лицензией на трехдоменную технологию владеет иностранная компания и НСПК должна получить права на ее использование. При запуске НСПК без этой технологии конечные потребители получают неполноценный продукт, кроме того, есть компании, которые продают только через интернет, и у них могут возникнуть трудности. На долю e-commerce приходится 5-10% всего трафика, говорит один из участников рабочей группы при ЦБ.

Далеко не все банки даже сейчас работают с 3D Secure, поэтому если его внедрение не растянется на десятилетия, то никаких серьезных последствий не будет, считает исполнительный директор Group-IB Владимир Загрибелин. Если на решение этой проблемы уйдет от трех до шести месяцев, то это будет не так критично для рынка, заключает Гайдаржи.

Visa и Mastercard комментарии не предоставили.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать