17 августа 2012, 16:17
Количество просмотров 175

2010-й: без революций

Игорь Голдовский, член Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России, генеральный директор компании "Платёжные...
2010-й: без революций


Игорь Голдовский, член Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России, генеральный директор компании "Платёжные Технологии"

Уходящий 2010 год не стал годом выдающихся событий в индустрии платежных карт ни у нас в стране, ни за рубежом. Все случившееся было вполне предсказуемым и, на мой взгляд, не имеет какой-либо революционной перспективы. Если говорить о событиях уходящего года с точки зрения тех основных процессов развития карточных технологий, которые наблюдаются как минимум в течение последнего десятилетия, то, на мой взгляд, они выглядят следующим образом.


EMV

В 2010 году мир перешагнул рубеж в 1 млрд эмитированных EMV-карт. Сегодня около 35% карт, 65% установленных POS-терминалов и 33% банкоматов поддерживают технологию EMV. Успешнее других осваивает новую технологию Европа, где в середине 2010 г. 63% карт, 83% POS-терминалов и 80% банкоматов «умели» работать по технологии EMV. Сегодня такому развитию событий в Европе способствует главным образом вступление в силу с 1 января 2011 г. для стран SEPA требования, в соответствии с которым все платежные операции по картам в этих странах должны выполняться по технологии Chip&PIN.

В то же время никак не поменялась ситуация с миграцией на микропроцессорные карты в США. Здесь практически отсутствует эмиссия контактных карт стандарта EMV (лишь несколько банков ограниченно эмитируют микропроцессорные карты для своих клиентов, выезжающих в Европу). Зато в США было эмитировано около 100 млн бесконтактных микропроцессорных карт (примерно 10% всей карточной эмиссии страны). Внедрение технологии бесконтактных карт относительно дешево и не требует значительных усилий от эквайреров и эмитентов: магазин/эквайрер должен приобрести бесконтактный ридер, а эмитент – выполнить небольшое изменение на стороне своего хоста, главным образом связанное с проверкой значения динамического варианта величины CVV/CVC (dCVV/CVC3). Правда, необходимо откровенно признать, что, по муссирующимся в кругах экспертов слухам и публикациям в СМИ, динамичный рост эмиссии бесконтактных карт в США на протяжении 2010 г. сошел на нет.

В 2010 г. расширился круг стран/регионов, участвующих в глобальной программе переноса ответственности (liability shift). Например, в Global Chip Liability Shift Program компании MasterCard в начале 2010 г. принимали участие все страны MasterCard Europe по всем карточным операциям и брендам (MasterCard и Maestro) и 16 стран из регионов AsiaPacific/SouthAsia/MiddleEast/Africa (APMEA) – только по операциям MasterCardPOS (операции по картам MasterCard в POS-терминалах).

С 1 июня 2010 г. к данной программе в рамках банкоматных транзакций присоединилась ЮАР, а с 15 октября 2010 г. – 2 страны региона APMEA по операциям MasterCard POS и 8 стран региона APMEA по операциям в банкоматах.

2010-й: без революций - рис.1
Что касается бесконтактных карт, то здесь также не видно заметного прогресса. Возникла классическая проблема «курицы и яйца»: обслуживающие банки не очень понимают, зачем им оборудовать терминалы бесконтактными ридерами, если бесконтактных карт на рынке практически нет. В свою очередь, эмитенты не хотят нести дополнительные издержки на эмиссию бесконтактных карт в то время, как они почти нигде не обслуживаются. Очевидно, что требуется некоторая прорывная идея. Например, возможность использования банковских бесконтактных карт в масштабных транспортных проектах или для выполнения интернет-покупок из дома, для получения доступа к услугам интернет-банка и т.д. В качестве наиболее забавного события уходящего года, касающегося EMV, можно упомянуть ажиотаж, вызванный в начале 2010г. обсуждением публикации сотрудников Кембриджского университета. В статье была установлена возможность воспользоваться украденной/потерянной картой без знания ПИН-кода ее держателя.

Атака была основана на применении устройства wedge-device, контролирующего диалог карты и терминала. В наше время атака является экзотической – никто не станет прибегать к столь дорогостоящим и хитроумным средствам, как создание устройства wedge-device, когда существуют несравненно более дешевые, широко доступные и апробированные способы мошенничества по украденной карте.

В то же время описанная атака действительно специфична: чтобы с ней справиться, поддержки метода динамической аутентификации CDA на стороне карты и терминала не хватает! Дополнительно необходимы специальные механизмы и параметры управления рисками на стороне карты. И такие механизмы/параметры были предусмотрены в рамках спецификаций M/Chip4, но отсутствуют в спецификациях на приложение VSDC. В результате описанная атака невозможна при использовании CDA-карт M/Chip 4 Select в CDA-терминалах. Однако технология CDA пока не получила широкого распространения. В этом случае для исправления ситуации хотя бы для онлайновых операций с 1 апреля 2017г. в рамках MasterCard становится обязательным требование по включению в авторизационный запрос к эмитенту объекта CVM Results.

Возможность для эквайреров начинать сертификацию на соответствие этому требованию открывается в апреле 2012г.

Электронная коммерция

Обороты по интернет-покупкам постоянно растут. В течение вот уже пяти лет динамика роста составляет примерно 15% в год. На этот рост не повлиял даже последний экономический кризис. По данным MasterCard, в 2009г. объем онлайновых покупок составил 806 млрд долларов.

Главным бичом этого направления торгового эквайринга остается высокий уровень фрода, составляющий сегодня в Европе 40 базисных пунктов, что примерно в 4 раза выше, чем по операциям оплаты покупки, выполняемым в традиционных, физических магазинах.

Растет и проникновение протокола 3D Secure. На март 2010г. в Европе 48% всех операций ЭК выполнялись в интернет-магазинах, поддерживающих 3D Secure.

Из них 70% операций (т.е. 35% от всего количества операций ЭК) являлись fully authenticated, т.е. выполнялись с аутентификацией держателя карты.

При этом распределение мошенничества по транзакциям выглядело следующим образом:

• Merchant Only Transactions – 60 базисных пунктов (рассчитывалось от объема операций ЭК);

• Fully Authenticated – 20 базисных пунктов;

• Non 3D Secure – 40 базисных пунктов.

Таким образом, уровень мошенничества по операциям 3D Secure fully authenticated всего в 2 раза ниже, чем в среднем в электронной коммерции, и ровно такой же, что и в случае, когда ничего не предпринимается для аутентификации держателя карты. Последнее ничего не означает, так как не используется протокол 3D Secure, как правило, в магазинах с приемлемым уровнем мошенничества.

Ранее ожидалось, что внедрение 3D Secure позволит уменьшить фрод на 80%, т.е. в 5 раз. Провал объясняется плохо организованными некоторыми банками процедурами регистрации клиента в рамках той или иной программы, использующей протокол 3D Secure, что позволяет мошенникам получать статические пароли вместо реального держателя карты. Кроме того, ненадежны сами используемые статические пароли.

Платежные системы начинают всерьез задумываться о том, чтобы ввести обязательное использование динамических методов аутентификации держателей карт в рамках протокола 3D Secure. Сегодня основным способом генерации одноразовых паролей являются ридеры PCR. В качестве альтернативы может использоваться банковское приложение на мобильном телефоне, генерирующее одноразовые пароли. В этом году MasterCard вслед за Visa представил миру карту с 6-цифровым дисплеем, 12 кнопками и выключателем, способную генерировать динамические пароли и отображать их на экране дисплея.

В Великобритании, где методы динамической аутентификации (MasterCard CAP и Visa DPA) широко применяются (для генерации одноразовых паролей там используются ридеры PCR), объем CNPфрода в первом полугодии 2010г. уменьшился на 12% по сравнению с аналогичным периодом 2009г. Уменьшение CNPфрода произошло впервые за все время ведения статистики по карточному мошенничеству в Великобритании! Самым серьезным шагом в области ЭК последнего времени стало решение MasterCard открыть карты Maestro для операций ЭК. С апреля 2011г. эмитенты карт Maestro теряют право отклонять операции ЭК на основании того, что операция совершалась по карте Maestro. MasterCard будет производить мониторинг операций ЭК по картам Maestro и наказывать эмитентов, у которых доля одобренных транзакций составит ниже 25%.

2010-й: без революций - рис.2

Чтобы по картам Maestro можно было выполнять операции ЭК, с апреля 2010г.

на всех новых картах Maestro должен наноситься полный номер карты.

С одной стороны, открытие Maestro для операций ЭК увеличит обороты по картам. С другой – кредитные карты теряют последние элементы своей привлекательности для клиентов. Ранее многие банки в Западной Европе позиционировали свои кредитные продукты, в том числе, как инструмент для интернет-покупок. Теперь продавать кредитные карты банкам в ряде стран станет сложнее.

Российские новости

На российском рынке платежных карт особых сенсаций не наблюдалось. Начавшиеся в конце 2009г. долгие и многообещающие разговоры о создании НСПК (Национальной платежной системы платежных карт), как у нас принято, закончились ничем. Видимо, государство так и не решило, зачем ему нужна национальная платежная система. Зато, судя по сведениям, просочившимся через WikiLeaks, угрозу своим интересам от создания НСПК отчетливо увидели международные платежные системы, пытавшиеся или планировавшие оказывать давление на российское правительство через Госдепартамент США.

На обломках ОАО «Сберкарта» была создана компания Универсальная Электронная Карта, в учредители которой вошли банки Сбербанк, УРАЛСИБ и «АК БАРС» Банк. Главная цель основания компании – создание Универсальной электронной карты, являющейся, в том числе, основным инструментом доступа к госуслугам, и реализация проекта российского Электронного правительства.

Каким образом создание инструмента доступа к госуслугам связано с банками, можно только догадываться. То ли сработал принцип «кто первый встал, того и тапки», то ли в головах наших чиновников карты ассоциируются исключительно с банками (у нас ведь и практически все проекты социальных карт реализованы банками). А может быть, гремучая смесь понятий «национальная платежная система», «социальные приложения», «государственные услуги», озвученных в свое время президентом РФ, таким образом трансформировалась в головах чиновников. Хотя, думаю, в данном случае все происходило ровно в обратной последовательности.

Хитом уходящего года стали NFC-платежи. Приезжающие к нам иностранные специалисты удивляются такому повышенному интересу к этой технологии в России. Действительно, складывается впечатление, что Россия вот-вот внедрит технологию NFC и сразу станет в глазах всего прогрессивного человечества инновационной державой. Однако нынешние результаты реализации первых NFCпроектов МТС и МегаФоном не вызывают ничего, кроме улыбки. В этих проектах отсутствует самое главное – удаленное управление контентом элемента безопасности телефона. Именно ради отработки этого центрального элемента любой экосистемы NFC-платежей в мире было запущено более 200 пилотных проектов. Создается впечатление, что участники российских проектов просто хотели в очередной раз проверить, будут ли по стандартизованному радиоинтерфейсу передаваться данные. Это ничего, что в мире давно знают, что будут.

Но надо же проверить и громко объявить: вишь ты, передаются! К сожалению, иначе оценить результаты реализованных проектов не получается.

Из приятного я бы отметил значительное повышение уровня информационных технологий в Сбербанке России, произошедшее за последние несколько лет.

На мой взгляд, Сбербанк действительно стал одним из самых технологичных банков РФ. Сегодня через терминалы Сбербанка в Москве можно даже оплатить любую государственную пошлину в пользу основных существующих на настоящий момент администраторов бюджетных платежей: Федеральной миграционной службы, Федеральной регистрационной службы, ГИБДД, судов, Федеральной налоговой службы.

Среди позитивных итогов минувшего года можно также отметить два инновационных проекта, выполненных под эгидой MasterCard. Первый связан с Московским индустриальным банком, приступившим к эмиссии и эквайрингу бесконтактных карт PayPass. Второй – с запуском совместно с Банком Русский Стандарт системы перевода денег с карты на карту MasterCard MoneySend. В этом проекте деньги можно переводить сразу через три канала (через банкоматы банка, интернет-банкинг и мобильный банк).

2010г. также охарактеризовался появлением на российском рынке безналичных платежей новых игроков из числа небанковских организаций: операторы мобильной связи, системы моментальных платежей и другие. Этот тренд будет влиять на российский рынок в ближайшие годы и формировать его. В частности, именно в 2010 г. стало возможным получить виртуальную карту Visa, которая предназначена для оплаты покупок в Интернете, не в банке, а в платежном киоске.

В последнее время начала реанимироваться идея создания российского Платежного совета, впервые озвученная в начале прошлого года. Очевидно, что если бы такой Совет был в свое время создан, многие вопросы, связанные с обсуждением проекта Закона «О национальной платежной системе», решались бы гораздо профессиональнее. Из-за отсутствия подобного Совета некоторые его функции выполняются на уровне АРЧЕ и ЦБ РФ. Например, представители АРЧЕ работают в комитете PCI SSC (PCI Security Standards Council), а также в ассоциации EAST (European ATM Security Team). Создание Совета необходимо для решения следующих вопросов:

1. Разработка требований к обслуживанию российских держателей карт (как с точки зрения эмиссии, так и с точки зрения эквайринга) и обеспечение контроля их исполнения.

2. Борьба с карточным мошенничеством.

3. Разработка качественных инструктивных материалов и рекомендаций для банков по самым разным направлениям карточного бизнеса.

4. Разработка внутрирыночных российских индустриальных стандартов в области платежных карт.

5. Курирование общего руководства проектами, затрагивающими интересы многих участников рынка.

6. Анализ рынка и его тенденций: сбор статистики, ее анализ и разработка экспертных рекомендаций для банков в части перспективного технологического развития.

7. Представительство российской карточной индустрии для общественности, СМИ, на различных технических и технологических комитетах отдельных платежных систем и иных международных структур, включая PCI Security Council, и т. п.

В будущем году влияние кризиса еще больше ослабнет. Можно ожидать расширения программ эмиссии кредитных карт российскими банками (уровень эмиссии кредитных карт так и не вышел на докризисный уровень), роста инновационных проектов. Кроме того, в наступившем году должна в основном завершиться работа над созданием Универсальной электронной карты.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube