Сбербанк намерен перевести сервис, использующийся для оплаты услуг и товаров в интернет-магазинах, на российские сертификаты шифрования. Сообщение о том, что покупателям скоро потребуется самостоятельно установить отечественный браузер или корневые сертификаты Минцифры, появляется при покупке в интернет-магазинах «Связного», «Детского мира» и других ритейлеров. Действие сертификата, выданного Сбербанку для его интернет-эквайринга, истечет 15 февраля. Эксперты полагают, что магазины могут отреагировать на проблемы банка сменой эквайера или продвижением оплаты по СБП.
Фото: Дмитрий Духанин, Коммерсантъ
“Ъ” обнаружил на странице Сбербанка, использующейся для ввода данных банковской карты, предупреждение о том, что «для стабильной работы скоро потребуются сертификаты Минцифры». Эта страница отображается при оплате заказа в интернет-магазинах и сервисах, использующих онлайн-эквайринг от банка. “Ъ” обнаружил их на сайтах «Детского мира», «Леруа Мерлен», «Связного», «Онлайн Трейд.ру» и «Делимобиля». Тем, кто намерен оплатить покупку в этим магазинах, Сбербанк предлагает или скачать российские браузеры («Яндекс Браузер» или Atom от VK), в которые уже встроены нужные сертификаты, или самостоятельно установить их на телефон или ПК с сервера «Госуслуг».
Речь идет о корневых сертификатах, которые вместе с сертификатами на стороне сайтов позволяют устанавливать защищенное соединение (HTTPS).
На странице Сбербанка не указано, когда планируется перевести онлайн-эквайринг на российские сертификаты. Текущий сертификат от бельгийского удостоверяющего центра GlobalSign истекает 15 февраля.
В Сбербанке сообщили “Ъ”, что «работа по переводу уже идет», но не уточнили, когда она завершится. В «Связном» отказались от комментариев “Ъ”. Другие упомянутые компании и Минцифры не ответили на запросы.
После начала военных действий РФ на Украине иностранные удостоверяющие центры прекратили сотрудничать с отечественными лицами, подпавшими под санкции, в том числе со Сбербанком. В марте сертификаты для защищенного соединения начал выдавать Национальный удостоверяющий центр (НУЦ) Минцифры. Но чтобы такое соединение работало, необходим также корневой сертификат, установленный в операционной системе или браузере. Продукты от Microsoft, Google и Apple поставляются с корневыми сертификатами разных удостоверяющих центров, но не НУЦ. Инструкции Сбербанка — самостоятельно установить или сертификаты, или содержащие их браузеры — аналогичны тем, что дает Минцифры.
По данным Nilson Report, Сбербанк в 2021 году обработал 3 млрд интернет-трансакций на $40 млрд. Второй по этому показателю — ВТБ (более 830 млн трансакций на $13,5 млрд) — также попал под санкции и рекомендует клиентам на своем сайте устанавливать российские браузеры или корневые сертификаты НУЦ. При этом в марте ВТБ вышел из капитала «Группы Т1», которой с октября 2021 года принадлежит процессинговая компания «Мультикарта». “Ъ” не обнаружил рекомендации устанавливать российские сертификаты на генерируемых «Мультикартой» страницах онлайн-оплаты. 22 ноября на этот адрес был оформлен новый сертификат от GlobalSign. Третий банк по количеству обработанных интернет-трансакций — Тинькофф-банк (367 млн трансакций, $12 млрд).
Пользователи «настороженно относятся к непривычным процедурам безопасности» и необходимость устанавливать сертификаты может отпугнуть часть из них, отметил глава Ассоциации участников рынка электронных денег и денежных переводов Виктор Достов.
Магазины, по его словам, могут перейти на другой эквайринг или же поощрять использование системы быстрых платежей (СБП): «Последний вариант перспективен, но ему часто не хватает бонусных сервисов, предлагаемых для платежей картами». Затраты на смену эквайера зависят от того, насколько интернет-магазин плотно работает с банком, уточнил глава правления ассоциации «Финансовые инновации» Роман Прохоров: «Если сотрудничество долгосрочное, то, как правило, действует низкая ставка комиссии по договору, получить которую сразу в другом банке будет непросто». Продвижение оплаты через СБП он считает более эффективным, но «хорошо бы простимулировать клиентов, которые при оплате картами получают кэшбэки, а по СБП, как правило, ничего».