Chirkov.net: блог

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

• в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
• боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
• кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало – на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались – видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет – ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Как говорится “седина в бороду – бес в ребро” и я решил грядущее сорокалетие встретить в экстремальном забеге, когда бегут не по украшенным городским улицам в сопровождении патрулей, а по пересечённой местности, да ещё преодолевая специально созданные препятствия. Приятель несколько раз участвовал в таких забегах в Европах и был очень доволен. В России такие мероприятия также проводятся в Москве и некоторых других городах:

• Гонка Гладиаторов (в которой мы и поучаствовали, потому что мне в неё ткнули пальцем)
• Гонка Героев
• …может есть ещё какие-то – я специально не искал

Естественно, сам себе я обещал, чуть ли не за три месяца начать серьёзную подготовку, но одно дело желания, а другое возможности. По факту все подготовка свелась к тому, что я вместо 3-5 километров, которые я довольно регулярно пробегал на дорожке 2-3 раза в неделю, несколько раз пробежал 10 км, укладываясь в 65-70 минут, несколько раз пробегал (скорее проходил) 3 км с максимальным уклоном в 20 градусов и почти ежедневно висел на турнике так, что смог подтягиваться 6-7 раз. За 3 дня до гонки исключил любые нагрузки, чтобы исключить возможные повреждения.
Читать полностью »

Недавний случай, когда суд первой инстанции встал на сторону НКО ОРС в иске против процессинговой компании UCS и присудил возместить платежной системе ОРС 470 млн. рублей потерь, стал первым на моей памяти судебным разбирательством относительно возмещения убытков между процессором и финансовой организацией. Традиционно процессинговые компании ограничивают в договорах с клиентами размер своей ответственности за возможные убытки некоторой фиксированной суммой или связывают её с доходами, полученными от данного клиента, а также исключают ответственность за некоторые убытки, в первую очередь за упущенную выгоду. С точки зрения пользователей процессинговых услуг это может выглядеть “несправедливо”, но на практике в силу несоразмерности доходов процессинговой компании и оборотов банка-клиента (или платежной системы, как в данном случае) совсем не исключена ситуация, когда возможные убытки финансовой организации, в принципе приемлемые для её масштабов бизнеса, приведут к неминуемому банкротству процессинговой компании и тогда проблемы возникнут не только у клиента, понёсшего убытки, но и у всех остальных клиентов этой компании, вынужденно прекращающей операции. С точки зрения здравого смысла плохой сервис лучше его полного и внезапного отсутствия, поэтому хоть случаи виновного причинения процессорами различных убытков своим клиентам и имеют место сплошь и рядом, но до этого дня все они разрешались “полюбовно” и не выходили в публичную и, тем более судебную плоскость.
Читать полностью »

Первые две недели мая я провел в автопробеге по Крыму, объехав ЮБК от Керчи на востоке до Оленевки на западе с остановками на ночевки в Феодосии, Коктебеле, Новом Свете, Любимовке, Евпатории, Ялте. Помимо экскурсий я развлекал себя тем, что изучал какими темпами идет восстановление эквайринговой инфраструктуры и готов ли Крым в 2016 году встретить туристов не только с наличными, но и с банковскими картами и учитывая географию моего путешествия, полагаю, могу сделать обобщенные выводы и ответить на вопрос “можно ли ехать в Крым с картой” с оговоркой, что все они действительны по состоянию на первую половину мая 2016 года.

Банкоматная сеть пока не такая большая как была, и банкоматов явно меньше, чем мы привыкли видеть на улицах российских городов, но стараниями РНКБ, Генбанка, России и Крайинвестбанка банкоматы стали встречаться довольно часто (в холлах крупных гостиниц, торговых центрах, на набережных и в отделениях банков), хотя в Оленевке я не видел ни одного банкомата и полагаю ближайший, как и заправка, находится в 20 км. в Черноморском, поэтому забираясь в такие небольшие курортные поселки запаситесь предварительно наличными. После локализации траффика VISA в НСПК банкоматы всех перечисленных банков принимают без проблем и Visa и MasterCard любых российских банков, хотя некоторые из банков и не размещают логотипы этих платежных систем на своих устройствах. Поэтом увидев банкомат любого из этих банков не отвлекайтесь на наклейки платежных систем и смело вставляйте в него любую российскую международную карту, но имейте в виду, что Генбанк ограничивает выдачу наличных суммой всего в 3000 рублей (при том, что счет в кафешке без алкоголя от 1000 рублей на человека), а у банкоматов РНКБ, установленных не в туристических местах, а там где концентрируются местные жители возможны очереди в 5-10 человек. Кроме этих банков, устройства которых встречаются довольно часто, я видел отдельные банкоматы банков Верхневолжский, ЧБРР, Северный Кредит, Рублев, Байкалбанк – большинство из них не принимают никакие карты и занимаются тем, что осваивают мощности энергомоста.

Таким образом, приехав с картой в Крым, вы не останетесь без наличных и не будете, как год назад, платить драконовские комиссии по объявлению “обналичу Visa, MasterCard” – смело тыкайте карту в первый встречный банкомат, не взирая на наклейки с логотипами платежных систем и в 99% случаев вам улыбнется удача, даже если у вас карта “сакнционированного” банка.

Читать полностью »

В пятницу Ъ написал статью о том, что 51 значимый на рынке платежных услуг банк, получил от ЦБ письмо счастья с требованием отчитаться о планах эмиссии карт МИР и обеспечить их прием к 1 июля. То есть ЦБ начинает принуждать к переходу на карты МИР и надо понимать, что законодательная база под это есть:

1. Статья 30.5 пункт 3 закона об НПС обязывает все банки-участники обеспечить прием карт МИР всеми организациями, с которыми у них есть эквайринговый договор
2. Статья 30.5 пункт 2 закона об НПС обязывает все банки, доля которых на карточном рынке превышает 2%, вступить в МИР
3. Статья 30.5 пункт 5 закона об НПС обязывает все банки, осуществляющие выплату бюджетных и внебюджетных средств выдавать клиенту карты МИР. (Если внимательно читать этот пункт, то можно избежать выдачи карты МИР зачисляя средства на “не карточный” счет, а потом уже давая клиенту возможность перевести деньги на карту, кроме того это обязаны делать только банки-участники МИР, но участие для мелких банков не является обязательным и значит они могут и дальше выдавать только карты МПС своим бюджетникам).

Читать полностью »

На минувшей неделе в сначала в соцсетях, а потом и в прессе, активно дебатировалась тема списания с бесконтактных карт посредством мобильных POS-терминалов. Публиковалась даже фотография подозрительного парня с POS-терминалом в вагоне метро, который вполне мог быть курьером. Мнения банкиров полярно разделились: одни смеются, другие проводят на рабочем месте эксперимент с кошельком в дамской сумке. Погрузился в тематику и попытаюсь обобщить:
Читать полностью »

Больше года назад озадачился покупкой беговой дорожке. Началось с того, что пару недель побегал вечерами на улице и заметил, что это не так уж трудно, а главное – после пробежки отбивается традиционный вечерний жор:) Я живу в деревне, поэтому воздух вокруг относительно чистый, движение пробежкам не мешает – только лай собак, но вот климат у нас к ежедневным пробежкам не располагает – то дождь, то снег, то ветер и мороз и, почти всегда, грязно. Поэтому решил купить дорожку. Приобретение недешевое и массивное, поэтому к выбору нужно подходить осознанно, чтобы она не превратилась в сушилку для белья стоит сначала побегать на улице или в спортзале и понять, что бегать будете хотя бы время от времени. Дорожек разных производителей с разными прибамбасами как грязи и выбрать не просто. Я не возьмусь выдавать какие-то умные советы, но по опыту эксплуатации своего девайса могу акцентировать внимание на некоторых аспектах, заслуживающих внимания при сравнении различных агрегатов:
Читать полностью »

Друг написал в FB, что ему удалось в реальной жизни использовать на пиво, когда-то полученные, 500 проморублей с помощью платежного приложения PayQR. Сейчас в России (и не только) множество стартапов предлагают без всяких новомодных ApplePay зарегистрировать в их приложении карту и использовать её реквизиты, оплачивая покупки в смартфоне. Идея очень интересная, хотя и не бесспорна с точки зрения безопасности и во многих  случаях удобства/простоты совершения операции, по сравнению с использованием самой карты. Друг сказал, что в приложении карта привязывается путём авторизации на случайную сумму и потом покупка проходит уже просто через ввод пароля в приложение – никаких CVV2 и новомодных 3DSecure! Мне стало интересно, как они предполагают разбираться с массовым фордом, который в этом случае неизбежен при масштабном использовании сервиса и я решил скачать приложение и посмотреть оферту, ссылок на которую на самом сайте не найти.

Надо сказать, что заметить оферту в приложении без специальной подготовки очень не просто, но меня на мякине не проведёшь и я погрузился в увлекательное с первых же пунктов чтиво, осилить которое в силу объёма сможет не каждый:). Признаюсь, что дочитав до пункта 5.1.3, в котором я заверяю компанию ФИТ, что не страдаю заболеваниями, которые мешают мне правильно понять всю суть  соглашения, с которым соглашаюсь путём регистрации, я регистрироваться передумал и приложение PayQR удалил, но записи, демонстрирующие безграничный юридический цинизм компании, ФИТ сделал:
Читать полностью »

Дошёл и мой ход попробовать популярное приложение для заказа такси Uber. Критиковать юзабилити самого приложения не стану, меня заинтересовала некорректная работа с карточными авторизациями приложения, которое заточено на оплату поездки только с привязанной в приложение картой. Итак, что не так:

1. Приложение требует зарегистрировать как минимум одну карту с вводом cvv2. При регистрации делается проверка карты. Если вы уже зарегистрировали карту, то удалить её не получится – приложение требует, чтобы оставалась как минимум одна зарегистрированная карта, а после новостей о “фродовых поездках” (аналогичные случаи уже были и в России) как-то страшно оставлять там карты.
2. А карты оставлять страшно,  потому что при авторизации Uber использует обычную MO/TO транзакцию без признака recurrent и без cvv2, которую присылает от имени британского эквайера, с терминала, зарегистрированного в Нидерландах, и вменяемые эмитенты, заботящиеся о своих клиентах такие транзакции отбивают. Соответственно воспользоваться картой эмитента с развитым риск-контролем в Uber вы не сможете и регистрировать придётся методом перебора карту банка, который авторизует MO/TO покупки без cvv2.

Клиринг, как ни странно, приходит честный – в рублях, хотя нарушение в виде cross-boarding эквайринга на лицо

Став клиентом еще нескольких банков обратил внимание, что они производят подтверждение операций в приложении мобильного банка путем доставки SMS и даже push-сообщений непосредственно телефон, в котором и запускается это мобильное приложение. Клиентам таких банков стоит много раз подумать стоит ли им использовать такие мобильные банки, а банкирам подумать зачем они бессмысленно тратят деньги на рассылку OTP (one time password) в мобильном банке. По хорошему, банк должен уведомлять клиента о том, что мобильное устройство, с которого он осуществляет операции и на которое получает одноразовые пароли, должны быть разными или придумывать для мобильного банка другой способ аутентификации (таблица кодиков, например или аутентификация по DPA/CAP ридеру) и устанавливать более жесткие лимиты на операции, совершаемые в мобильном банке.