Национальная система платежных карт (НСПК) планирует сделать платной для банков двухфакторную аутентификацию клиента при оплате в интернете — когда необходимо подтвердить платеж кодом из СМС. Так НСПК надеется стимулировать банки перейти на более современную технологию определения устройства, с которого покупатель зашел на сайт, что упростит клиентский путь и увеличит скорость прохождения платежа. Но, по мнению экспертов, переход на новый сценарий оплаты может оказаться для банков более затратным, чем СМС.
Фото: Александр Казаков, Коммерсантъ
Как стало известно “Ъ”, НСПК в конце прошлой недели разослала по банкам проект новых тарифов. Одним из наиболее заметных изменений стало введение платы за аутентификацию с помощью СМС при платежах через интернет.
Комиссия для эмитента составит 20 коп. за операцию в любом случае, а для эквайера она будет такой же, если на сайт обслуживаемого им магазина зашли с интернет-браузера, и 10 коп. через мобильное приложение, но не более 2,5 млн руб. в месяц для всех.
Как пояснили “Ъ” эксперты, в новом 3D Secure 2.0 есть два сценария подтверждения оплаты: с СМС (challenge) и без СМС (frictionless), если банк распознал гаджет, с которого пришел запрос на оплату, как основное устройство клиента. Планируется, что эти комиссии начнут действовать с октября 2023 года.
Ольга Дайнеко, эксперт Центра финансовой грамотности НИФИ Минфина, 14 мая 2023 года:
«Мошенники в попытке обмануть россиян придумывают новые схемы и легенды, подстраиваясь под текущую ситуацию, однако методы развода все те же».
В НСПК сообщили “Ъ”, что преимущества frictionless-сценария не только в том, что он дешевле для банков за счет отсутствия СМС, а также проще и быстрее для держателя карты. Сценарий повышает уровень безопасности онлайн-платежей за счет комплексной оценки уровня рисков операции на основе передаваемых ТСП данных. При реализации frictionless-аутентификации используется набор уникальных признаков аппарата, так называемый фингерпринт устройства. НСПК предусмотрела несколько вариантов поддержки нового сценария — вся работа по проверке по frictionless выполняется платежной системой, или банк может делать все сам. В последнем случае, признают в НСПК, переход на frictionless может потребовать серьезных временных и финансовых ресурсов.
Как пояснили “Ъ” в НСПК, с момента появления сценария frictionless до введения комиссий, стимулирующих его внедрение, прошел год. Тем не менее банки не спешат переходить на него, что, возможно, объясняется сложностью настройки риск-анализа. Так, в ВТБ сообщили “Ъ”, что банк заинтересован в применении нового сценария, поскольку он позволяет существенно экономить на СМС-уведомлениях, но перевод клиентов рассчитывают начать только в 2024 году.
По данным ЦБ, в первом квартале у владельцев карт было похищено 1,4 млрд руб., более половины средств украдены с использованием методов социнженерии. В 2,5 раза по сравнению со средним показателем прошлого года выросло количество заблокированных фишинговых сайтов.
Эксперты отмечают, что подтверждение по СМС стало за многие годы для банков и держателей карт понятным и привычным сценарием, отчасти поэтому банки не спешат переходить на другие варианты обеспечения безопасности. В тоже время для банков расходы на СМС постоянно растут. Несколько игроков из числа системно значимых в очередной раз повысили стоимость СМС-рассылок в этом году. Сейчас у этих игроков она варьируется от 199 до 69 руб. в месяц.
По словам главы правления ассоциации «Финансовые инновации» Романа Прохорова, для внедрения frictionless банки должны уметь определять доверенное устройство клиента и встроить механизм в 3DS. «При этом им все равно придется поддерживать оба сценария — с СМС и без, то есть вместо одной базовой технологии появляются две, что не способствует высокой надежности»,— подчеркивает он.
«Новые тарифы не настолько критичны для банков, чтобы заставить их изменить поведение, тем более они всегда могут переложить повышение тарифа на держателя карт или интернет-магазин»,— уверен независимый эксперт на рынке платежных карт Дмитрий Вишняков. Эксперты оценивают траты на внедрение frictionless минимум в десятки миллионов руб. Окончательная сумма, по их словам, может измеряться миллиардами, в зависимости от масштаба и сложности технологии.