Национальная система платежных карт (НСПК) планирует сделать платной для банков двухфакторную аутентификацию клиента при оплате в интернете — когда необходимо подтвердить платеж кодом из СМС. Так НСПК надеется стимулировать банки перейти на более современную технологию определения устройства, с которого покупатель зашел на сайт, что упростит клиентский путь и увеличит скорость прохождения платежа. Но, по мнению экспертов, переход на новый сценарий оплаты может оказаться для банков более затратным, чем СМС.

Как стало известно “Ъ”, НСПК в конце прошлой недели разослала по банкам проект новых тарифов. Одним из наиболее заметных изменений стало введение платы за аутентификацию с помощью СМС при платежах через интернет.

Комиссия для эмитента составит 20 коп. за операцию в любом случае, а для эквайера она будет такой же, если на сайт обслуживаемого им магазина зашли с интернет-браузера, и 10 коп. через мобильное приложение, но не более 2,5 млн руб. в месяц для всех.

Как пояснили “Ъ” эксперты, в новом 3D Secure 2.0 есть два сценария подтверждения оплаты: с СМС (challenge) и без СМС (frictionless), если банк распознал гаджет, с которого пришел запрос на оплату, как основное устройство клиента. Планируется, что эти комиссии начнут действовать с октября 2023 года.

Ольга Дайнеко, эксперт Центра финансовой грамотности НИФИ Минфина, 14 мая 2023 года:

«Мошенники в попытке обмануть россиян придумывают новые схемы и легенды, подстраиваясь под текущую ситуацию, однако методы развода все те же».

В НСПК сообщили “Ъ”, что преимущества frictionless-сценария не только в том, что он дешевле для банков за счет отсутствия СМС, а также проще и быстрее для держателя карты. Сценарий повышает уровень безопасности онлайн-платежей за счет комплексной оценки уровня рисков операции на основе передаваемых ТСП данных. При реализации frictionless-аутентификации используется набор уникальных признаков аппарата, так называемый фингерпринт устройства. НСПК предусмотрела несколько вариантов поддержки нового сценария — вся работа по проверке по frictionless выполняется платежной системой, или банк может делать все сам. В последнем случае, признают в НСПК, переход на frictionless может потребовать серьезных временных и финансовых ресурсов.

Как пояснили “Ъ” в НСПК, с момента появления сценария frictionless до введения комиссий, стимулирующих его внедрение, прошел год. Тем не менее банки не спешат переходить на него, что, возможно, объясняется сложностью настройки риск-анализа. Так, в ВТБ сообщили “Ъ”, что банк заинтересован в применении нового сценария, поскольку он позволяет существенно экономить на СМС-уведомлениях, но перевод клиентов рассчитывают начать только в 2024 году.

По данным ЦБ, в первом квартале у владельцев карт было похищено 1,4 млрд руб., более половины средств украдены с использованием методов социнженерии. В 2,5 раза по сравнению со средним показателем прошлого года выросло количество заблокированных фишинговых сайтов.

Эксперты отмечают, что подтверждение по СМС стало за многие годы для банков и держателей карт понятным и привычным сценарием, отчасти поэтому банки не спешат переходить на другие варианты обеспечения безопасности. В тоже время для банков расходы на СМС постоянно растут. Несколько игроков из числа системно значимых в очередной раз повысили стоимость СМС-рассылок в этом году. Сейчас у этих игроков она варьируется от 199 до 69 руб. в месяц.

По словам главы правления ассоциации «Финансовые инновации» Романа Прохорова, для внедрения frictionless банки должны уметь определять доверенное устройство клиента и встроить механизм в 3DS. «При этом им все равно придется поддерживать оба сценария — с СМС и без, то есть вместо одной базовой технологии появляются две, что не способствует высокой надежности», — подчеркивает он.

«Новые тарифы не настолько критичны для банков, чтобы заставить их изменить поведение, тем более они всегда могут переложить повышение тарифа на держателя карт или интернет-магазин», — уверен независимый эксперт на рынке платежных карт Дмитрий Вишняков. Эксперты оценивают траты на внедрение frictionless минимум в десятки миллионов руб. Окончательная сумма, по их словам, может измеряться миллиардами, в зависимости от масштаба и сложности технологии.

Источник: Коммерсантъ