У покупателей попросят сертификаты
Санкции против Сбербанка скажутся на онлайн-магазинах
Сбербанк намерен перевести сервис, использующийся для оплаты услуг и товаров в интернет-магазинах, на российские сертификаты шифрования. Сообщение о том, что покупателям скоро потребуется самостоятельно установить отечественный браузер или корневые сертификаты Минцифры, появляется при покупке в интернет-магазинах «Связного», «Детского мира» и других ритейлеров. Действие сертификата, выданного Сбербанку для его интернет-эквайринга, истечет 15 февраля. Эксперты полагают, что магазины могут отреагировать на проблемы банка сменой эквайера или продвижением оплаты по СБП.
“Ъ” обнаружил на странице Сбербанка, использующейся для ввода данных банковской карты, предупреждение о том, что «для стабильной работы скоро потребуются сертификаты Минцифры». Эта страница отображается при оплате заказа в интернет-магазинах и сервисах, использующих онлайн-эквайринг от банка. “Ъ” обнаружил их на сайтах «Детского мира», «Леруа Мерлен», «Связного», «Онлайн Трейд.ру» и «Делимобиля». Тем, кто намерен оплатить покупку в этим магазинах, Сбербанк предлагает или скачать российские браузеры («Яндекс Браузер» или Atom от VK), в которые уже встроены нужные сертификаты, или самостоятельно установить их на телефон или ПК с сервера «Госуслуг».
Речь идет о корневых сертификатах, которые вместе с сертификатами на стороне сайтов позволяют устанавливать защищенное соединение (HTTPS).
На странице Сбербанка не указано, когда планируется перевести онлайн-эквайринг на российские сертификаты. Текущий сертификат от бельгийского удостоверяющего центра GlobalSign истекает 15 февраля.
В Сбербанке сообщили “Ъ”, что «работа по переводу уже идет», но не уточнили, когда она завершится. В «Связном» отказались от комментариев “Ъ”. Другие упомянутые компании и Минцифры не ответили на запросы.
После начала военных действий РФ на Украине иностранные удостоверяющие центры прекратили сотрудничать с отечественными лицами, подпавшими под санкции, в том числе со Сбербанком. В марте сертификаты для защищенного соединения начал выдавать Национальный удостоверяющий центр (НУЦ) Минцифры. Но чтобы такое соединение работало, необходим также корневой сертификат, установленный в операционной системе или браузере. Продукты от Microsoft, Google и Apple поставляются с корневыми сертификатами разных удостоверяющих центров, но не НУЦ. Инструкции Сбербанка — самостоятельно установить или сертификаты, или содержащие их браузеры — аналогичны тем, что дает Минцифры.
По данным Nilson Report, Сбербанк в 2021 году обработал 3 млрд интернет-трансакций на $40 млрд. Второй по этому показателю — ВТБ (более 830 млн трансакций на $13,5 млрд) — также попал под санкции и рекомендует клиентам на своем сайте устанавливать российские браузеры или корневые сертификаты НУЦ. При этом в марте ВТБ вышел из капитала «Группы Т1», которой с октября 2021 года принадлежит процессинговая компания «Мультикарта». “Ъ” не обнаружил рекомендации устанавливать российские сертификаты на генерируемых «Мультикартой» страницах онлайн-оплаты. 22 ноября на этот адрес был оформлен новый сертификат от GlobalSign. Третий банк по количеству обработанных интернет-трансакций — Тинькофф-банк (367 млн трансакций, $12 млрд).
Пользователи «настороженно относятся к непривычным процедурам безопасности» и необходимость устанавливать сертификаты может отпугнуть часть из них, отметил глава Ассоциации участников рынка электронных денег и денежных переводов Виктор Достов.
Магазины, по его словам, могут перейти на другой эквайринг или же поощрять использование системы быстрых платежей (СБП): «Последний вариант перспективен, но ему часто не хватает бонусных сервисов, предлагаемых для платежей картами». Затраты на смену эквайера зависят от того, насколько интернет-магазин плотно работает с банком, уточнил глава правления ассоциации «Финансовые инновации» Роман Прохоров: «Если сотрудничество долгосрочное, то, как правило, действует низкая ставка комиссии по договору, получить которую сразу в другом банке будет непросто». Продвижение оплаты через СБП он считает более эффективным, но «хорошо бы простимулировать клиентов, которые при оплате картами получают кэшбэки, а по СБП, как правило, ничего».