Chirkov.net: блог

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин “платежная система”, но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

• в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
• боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
• кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало – на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались – видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет – ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Недавний случай, когда суд первой инстанции встал на сторону НКО ОРС в иске против процессинговой компании UCS и присудил возместить платежной системе ОРС 470 млн. рублей потерь, стал первым на моей памяти судебным разбирательством относительно возмещения убытков между процессором и финансовой организацией. Традиционно процессинговые компании ограничивают в договорах с клиентами размер своей ответственности за возможные убытки некоторой фиксированной суммой или связывают её с доходами, полученными от данного клиента, а также исключают ответственность за некоторые убытки, в первую очередь за упущенную выгоду. С точки зрения пользователей процессинговых услуг это может выглядеть “несправедливо”, но на практике в силу несоразмерности доходов процессинговой компании и оборотов банка-клиента (или платежной системы, как в данном случае) совсем не исключена ситуация, когда возможные убытки финансовой организации, в принципе приемлемые для её масштабов бизнеса, приведут к неминуемому банкротству процессинговой компании и тогда проблемы возникнут не только у клиента, понёсшего убытки, но и у всех остальных клиентов этой компании, вынужденно прекращающей операции. С точки зрения здравого смысла плохой сервис лучше его полного и внезапного отсутствия, поэтому хоть случаи виновного причинения процессорами различных убытков своим клиентам и имеют место сплошь и рядом, но до этого дня все они разрешались “полюбовно” и не выходили в публичную и, тем более судебную плоскость.
Читать полностью »

Первые две недели мая я провел в автопробеге по Крыму, объехав ЮБК от Керчи на востоке до Оленевки на западе с остановками на ночевки в Феодосии, Коктебеле, Новом Свете, Любимовке, Евпатории, Ялте. Помимо экскурсий я развлекал себя тем, что изучал какими темпами идет восстановление эквайринговой инфраструктуры и готов ли Крым в 2016 году встретить туристов не только с наличными, но и с банковскими картами и учитывая географию моего путешествия, полагаю, могу сделать обобщенные выводы и ответить на вопрос “можно ли ехать в Крым с картой” с оговоркой, что все они действительны по состоянию на первую половину мая 2016 года.

Банкоматная сеть пока не такая большая как была, и банкоматов явно меньше, чем мы привыкли видеть на улицах российских городов, но стараниями РНКБ, Генбанка, России и Крайинвестбанка банкоматы стали встречаться довольно часто (в холлах крупных гостиниц, торговых центрах, на набережных и в отделениях банков), хотя в Оленевке я не видел ни одного банкомата и полагаю ближайший, как и заправка, находится в 20 км. в Черноморском, поэтому забираясь в такие небольшие курортные поселки запаситесь предварительно наличными. После локализации траффика VISA в НСПК банкоматы всех перечисленных банков принимают без проблем и Visa и MasterCard любых российских банков, хотя некоторые из банков и не размещают логотипы этих платежных систем на своих устройствах. Поэтом увидев банкомат любого из этих банков не отвлекайтесь на наклейки платежных систем и смело вставляйте в него любую российскую международную карту, но имейте в виду, что Генбанк ограничивает выдачу наличных суммой всего в 3000 рублей (при том, что счет в кафешке без алкоголя от 1000 рублей на человека), а у банкоматов РНКБ, установленных не в туристических местах, а там где концентрируются местные жители возможны очереди в 5-10 человек. Кроме этих банков, устройства которых встречаются довольно часто, я видел отдельные банкоматы банков Верхневолжский, ЧБРР, Северный Кредит, Рублев, Байкалбанк – большинство из них не принимают никакие карты и занимаются тем, что осваивают мощности энергомоста.

Таким образом, приехав с картой в Крым, вы не останетесь без наличных и не будете, как год назад, платить драконовские комиссии по объявлению “обналичу Visa, MasterCard” – смело тыкайте карту в первый встречный банкомат, не взирая на наклейки с логотипами платежных систем и в 99% случаев вам улыбнется удача, даже если у вас карта “сакнционированного” банка.

Читать полностью »

В пятницу Ъ написал статью о том, что 51 значимый на рынке платежных услуг банк, получил от ЦБ письмо счастья с требованием отчитаться о планах эмиссии карт МИР и обеспечить их прием к 1 июля. То есть ЦБ начинает принуждать к переходу на карты МИР и надо понимать, что законодательная база под это есть:

1. Статья 30.5 пункт 3 закона об НПС обязывает все банки-участники обеспечить прием карт МИР всеми организациями, с которыми у них есть эквайринговый договор
2. Статья 30.5 пункт 2 закона об НПС обязывает все банки, доля которых на карточном рынке превышает 2%, вступить в МИР
3. Статья 30.5 пункт 5 закона об НПС обязывает все банки, осуществляющие выплату бюджетных и внебюджетных средств выдавать клиенту карты МИР. (Если внимательно читать этот пункт, то можно избежать выдачи карты МИР зачисляя средства на “не карточный” счет, а потом уже давая клиенту возможность перевести деньги на карту, кроме того это обязаны делать только банки-участники МИР, но участие для мелких банков не является обязательным и значит они могут и дальше выдавать только карты МПС своим бюджетникам).

Читать полностью »

На минувшей неделе в сначала в соцсетях, а потом и в прессе, активно дебатировалась тема списания с бесконтактных карт посредством мобильных POS-терминалов. Публиковалась даже фотография подозрительного парня с POS-терминалом в вагоне метро, который вполне мог быть курьером. Мнения банкиров полярно разделились: одни смеются, другие проводят на рабочем месте эксперимент с кошельком в дамской сумке. Погрузился в тематику и попытаюсь обобщить:
Читать полностью »

Друг написал в FB, что ему удалось в реальной жизни использовать на пиво, когда-то полученные, 500 проморублей с помощью платежного приложения PayQR. Сейчас в России (и не только) множество стартапов предлагают без всяких новомодных ApplePay зарегистрировать в их приложении карту и использовать её реквизиты, оплачивая покупки в смартфоне. Идея очень интересная, хотя и не бесспорна с точки зрения безопасности и во многих  случаях удобства/простоты совершения операции, по сравнению с использованием самой карты. Друг сказал, что в приложении карта привязывается путём авторизации на случайную сумму и потом покупка проходит уже просто через ввод пароля в приложение – никаких CVV2 и новомодных 3DSecure! Мне стало интересно, как они предполагают разбираться с массовым фордом, который в этом случае неизбежен при масштабном использовании сервиса и я решил скачать приложение и посмотреть оферту, ссылок на которую на самом сайте не найти.

Надо сказать, что заметить оферту в приложении без специальной подготовки очень не просто, но меня на мякине не проведёшь и я погрузился в увлекательное с первых же пунктов чтиво, осилить которое в силу объёма сможет не каждый:). Признаюсь, что дочитав до пункта 5.1.3, в котором я заверяю компанию ФИТ, что не страдаю заболеваниями, которые мешают мне правильно понять всю суть  соглашения, с которым соглашаюсь путём регистрации, я регистрироваться передумал и приложение PayQR удалил, но записи, демонстрирующие безграничный юридический цинизм компании, ФИТ сделал:
Читать полностью »

Дошёл и мой ход попробовать популярное приложение для заказа такси Uber. Критиковать юзабилити самого приложения не стану, меня заинтересовала некорректная работа с карточными авторизациями приложения, которое заточено на оплату поездки только с привязанной в приложение картой. Итак, что не так:

1. Приложение требует зарегистрировать как минимум одну карту с вводом cvv2. При регистрации делается проверка карты. Если вы уже зарегистрировали карту, то удалить её не получится – приложение требует, чтобы оставалась как минимум одна зарегистрированная карта, а после новостей о “фродовых поездках” (аналогичные случаи уже были и в России) как-то страшно оставлять там карты.
2. А карты оставлять страшно,  потому что при авторизации Uber использует обычную MO/TO транзакцию без признака recurrent и без cvv2, которую присылает от имени британского эквайера, с терминала, зарегистрированного в Нидерландах, и вменяемые эмитенты, заботящиеся о своих клиентах такие транзакции отбивают. Соответственно воспользоваться картой эмитента с развитым риск-контролем в Uber вы не сможете и регистрировать придётся методом перебора карту банка, который авторизует MO/TO покупки без cvv2.

Клиринг, как ни странно, приходит честный – в рублях, хотя нарушение в виде cross-boarding эквайринга на лицо

Став клиентом еще нескольких банков обратил внимание, что они производят подтверждение операций в приложении мобильного банка путем доставки SMS и даже push-сообщений непосредственно телефон, в котором и запускается это мобильное приложение. Клиентам таких банков стоит много раз подумать стоит ли им использовать такие мобильные банки, а банкирам подумать зачем они бессмысленно тратят деньги на рассылку OTP (one time password) в мобильном банке. По хорошему, банк должен уведомлять клиента о том, что мобильное устройство, с которого он осуществляет операции и на которое получает одноразовые пароли, должны быть разными или придумывать для мобильного банка другой способ аутентификации (таблица кодиков, например или аутентификация по DPA/CAP ридеру) и устанавливать более жесткие лимиты на операции, совершаемые в мобильном банке.

Зарубежные авиакомпании, летающие в Россию, предлагают пассажиру оплатить билету в рублях, однако в реальности зачастую производят списание в долларах. Большинство клиентов этого не замечает потому что авторизационный запрос прилетает в рублях и лишь с клирингом эмитент получает валютную транзакцию и сконвертировав ее в рубли отражает по счету не ту сумму, которую оплачивал клиент в момент покупки.

Разобрался как это происходит. Оказывается у МПСов есть специальная программа обслуживания международных авиакомпаний (а под это определение попадает любая авиакомпания, которая осуществляет полеты или продает билеты более чем в одной стране), которая позволяет осуществлять кросс-бординг эквайринг авиакомпании (и в интернете и в офисах продаж). При этом данная программа оговаривает право, но не обязанность эквайера подключаться к системам клиринга в национальной валюте стран присутствия продаж. Поэтому эквайер авторизует операцию в рублях, но в виду отсутствия у него рублевых расчетов представляет эмитенту клиринг в долларах или евро. Конечно, по дефолту, эмитент списывает с клиента сумму с конвертацией, что нарушает российское законодательство:

• инструкция Банка России 266-П п.31.:При совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения.
• инструкция Банка России 266-П п.33.: Документ по операциям с использованием платежной карты должен содержать следующие обязательные реквизиты:
  — идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт;
  — вид операции;
  — дата совершения операции;
  — сумма операции;
  — валюта операции;
  — сумма комиссии (если имеет место);
  — код авторизации;
  — реквизиты платежной карты.
• статья 854 ГК РФ: Основания списания денежных средств со счета
  1. Списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
  2. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.
• статья 5 пункт 12 подпункт 2 Закона о Национальной Платежной Системе: Оператор по переводу денежных средств до осуществления перевода денежных средств обязан предоставлять клиентам возможность ознакомления в доступной для них форме с условиями осуществления перевода денежных средств в рамках применяемой формы безналичных расчетов, в том числе:… со способом определения обменного курса, применяемого при осуществлении перевода денежных средств в иностранной валюте (при различии валюты денежных средств, предоставленных плательщиком, и валюты переводимых денежных средств)

При желании, клиент со ссылкой на эти пункты может довольно легко оспорить списание “неправильной” суммы и курсовая разница ляжет на банк. Обжегшись на этом, некоторые не особо клиентоориентированные банки вставили в свои договора специальную оговорку, допускающую конвертацию и по рублевым транзакциям, в т.ч. совершенным на территории РФ. Тем не менее, я почти уверен, что грамотный клиент выиграет суд со ссылкой на Статья 16 Закона о Защите Прав Потребителей: 1. Условия договора, ущемляющие права потребителя по сравнению с правилами, установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей, признаются недействительными. Если в результате исполнения договора, ущемляющего права потребителя, у него возникли убытки, они подлежат возмещению изготовителем (исполнителем, продавцом) в полном объеме.

Имейте это в виду и проверяйте суммы списания при покупке дорогостоящих билетов