Банковские карты
Как устроена банковская карта. Как банки зарабатывают на картах. Опасности при использовании карт. Виды дебетовых карт. Откуда берётся кэшбэк. Как правильно и выгодно пользоваться кредитными картами.
-
i Использование и расчёт банковских карт Выгоды и опасности банковских карт. Как правильно выбрать и использовать банковскую карту. Стратегия набора веера карт. Расчёт выгоды от использования дебетовых и кредитных карт.
В неустанной заботе об удобстве клиентов и своей выгоде, банки изобретают всё более совершенные способы оплаты покупок. Банковский пластик, на данный момент, — уже пройденная вершина, в связи с развитием технологий бесконтактной оплаты, однако организационно это всё ещё старые добрые карты. О них и поговорим.
Общие представления
Банковская карта — это, фактически, «бутерброд» из текущего банковского счёта и лицевого счёта карты в платёжной системе, с нетривиальными соотношениями остатков на них (немного об этом есть в статье о денежных переводах i Денежные переводы/Переводы по номеру карты ).
Для банков этот сервис достаточно выгоден. Вот как они зарабатывают на выпуске и обслуживании карт:
- Выдача в кредит хранящихся на них или рядом (для кредиток) денег (Сбербанк сообщает, что средняя ставка по кредитам для физлиц у него — примерно 14,5%г).
- Interchange fee. Комиссия за оплату картой в торговой точке — примерно 2%, из них платёжной системе достаётся что-то около 0,05%, остальные 1,95% распиливают между собой банк-эмитент, выпустивший карту, и банк-эквайрер, обслуживающий торговую точку (чуть подробнее).
- Бонусы от платёжных систем за выпуск карт.
- Прочие комиссии и платежи (за выпуск, перевыпуск, годовое обслуживание, снятие наличных, заспрос баланса, СМС).
- Проценты за пользование кредитом и овердрафтом (по соответствующим картам).
- Психологический эффект: рост расходов клиента на покупки, следовательно рост interchange.
Последние три пункта превращают любую карточку в циркулярную пилу без кожуха: чуть зазеваешься — отрежет. Не зевай!
Где можно «зевнуть»:
- При оформлении карты (или дополнительной к ней, или перевыпуске) невзначай согласиться на подключение всяческих страховок (самой карты, своей задолженности, себя. ), а некоторые банки и безо всякого согласия такие вещи включают. Обнаружить часто можно только в выписке по счёту, когда отказываться уже, формально, поздно. Потери — до нескольких тысяч рублей. Платные СМС об операциях — архаизм в эпоху смартфонов (да и грамотная работа с лимитами делает их излишними).
- Не зная особенностей прохождения денежных переводовi Денежные переводы/Переводы по номеру карты попасть на штраф за неразрешённый овердрафт или опоздать с погашением кредитки.
- Увлечься покупками т.к. все доступные финансы с собой, а то и заметно более того. Нет естественного ограничителя в виде оставшейся в кошельке налички. Рост мелких спонтанных трат «в никуда», пожалуй, — самый сильный и самый справедливый аргумент противников банковских карт.
Дебетовые карты
Самая простая, карта «никакая». Обычно выдаётся крупными банками по факту наличия у них счёта, чтобы вы по мелочам очередей в отделениях не создавали, а обходились банкоматами (в некоторых банках без карты даже в ЛК/МП не попасть). Но базовую функциональность может обеспечивать, а часто только это и необходимо.
Доходная карта или карта-копилка. Так называют карты, на остаток по которым начисляется процент. Нужно быть внимательным, иногда условия начисления этих процентов могут закручены ещё более лихо, чем на накопительных счетах i Размещение средств в банках/Накопительные счета . Но вообще, доходная карта — это способ заставить банк поделиться частью своих процентных доходов от тех денег, которые мы на этой карте храним. Ставки по ним обычно такие же как по накопительным счетам, хотя некоторые банки предлагают сильно больше (обуславливая повышенный процент необходимостью совершения покупок).
Карта-кошелёк. Карта, позволяющая снимать наличные в любых банкоматах без комиссии безотносительно каких-либо условий. Такие карты предлагают практически все банки «второго ряда», обычно они также являются и доходными. Безкомиссионное снятие наличных в любых банкоматах постепенно становится стандартом банковского обслуживания, хотя и бывает обставлено многими правилами и условиями.
Выгодная карта. Предмет страсти и обожания. Карточка с осязаемым кэшбэком за всё, или за определённые категории (тогда кэшбэк ещё осязаемее). Часто бывает доходной, почти никогда — кошельком. И вообще чаще всего кредитка. Самый психологически топкий вариант, но единственный способ заставить банк поделиться своими комиссионными доходами — теми 2%, которые заложены в цену товаров на банковские комиссии.
Кэшбэк
Берётся из следующих источников:
- Interchange fee: в среднем 1%.
- Выдача в кредит ваших свободных остатков: по ставке 14,5%г получается что-то около 0,6% к сумме ваших расходов.
- От партнёров банка по акциям.
- От прочих комиссий и процентов, собранных на данной карточке.
- Из маркетингового бюджета банка.
Как видим, базовым кэшбэком в 1,5% может поделиться каждый банк просто из своих комиссионных доходов от ваших же оборотов. Однако стандартный кэшбэк на дебетовых картах — 1%. Больше бывает редко, только если в бонусных категориях. Но бонусные категории предлагают многие банки, и весьма вкусные категории (5% за супермаркеты, например). Таким образом, пользуясь несколькими картами, можно получать на свои расходы эффективный кэшбэк около 2,5–3%.
Кэшбэк начисляется за покупки, иногда оплату услуг в ЛК/МП (по пониженной ставке), но категорически не за те деньги, которые можно обходным путём вернуть: чтобы не крутили одну и ту же сумму много раз (но хитрецы находятся, и круг небонусируемых операций банки всё время расширяют). К какой категории относится покупка (обычной, бонусной, или, наоборот, небонусируемой) банк определяет по mcc-коду (merchant category code, код категории торговой точки), который передаёт платёжная система. Он присваивается терминалу (или сервису электронной оплаты) в момент его настройки и может не совпадать с фактическим типом (покупка в продуктовом магазине может проходить как канцтовары, а самая обидная история — рестораны/фастфуд, которые различаются банками (фастфуд реже попадает в бонусные категории), но в реальности присваиваются заведениям практически случайным образом). Для определения фактического кода используются карты-флагомеры, сразу показывающие mcc-коды даже отбитых транзакций (из-за нулевого баланса или лимита). Коды визы и мастеркарда могут различаться, флагомерить желательно карточкой той же системы, которой и будете оплачивать.
Как правило, в месяц выплачивается кэшбэка не более чем на 3Кр (а кое-где и на 1Кр). Иногда просто на счёт карты, но чаще — баллами (фантиками) на бонусный счёт. В правилах начисления баллов и их превращения в деньги каждый банк изгаляется как только может; за роль первых на деревне затейников в этом деле состязаются Citi и Росбанк, но обычно баллами компенсируются покупки дороже определённой суммы, обычно только полностью, а иногда только определённых категорий. Внимательно смотрите не только на то, как будете «зарабатывать» кэшбэк, но и как будете получать его.
Конечно, банк в любой момент может отказать вам в выплате кэшбэка (и даже списать обратно уже начисленный), если сочтёт что вы злоупотребляете бонусной программой. Также, опоздание с платежом по кредитке обычно означает сгорание всех заработанных бонусных баллов.
На кредитных картах, за счёт «прочих комиссий и процентов», стандартный кэшбэк выходит на 2%, а по некоторым бонусным категориям до 10%, плюс появляются особые плюшки.
Кредитные карты
-
i Использование и расчёт банковских карт/Подбор и расчёт кредитных карт
«Тратить чужие деньги легко и приятно» — подумали банки и выпустили кредитные карты. А чтобы тратилось легче придумали для них льготный период. Он работает так. Вы в течение месяца (отчётный период, он не обязательно совпадает с календарным месяцем, но длится столько же) оплачиваете картой свои покупки, а затем вам даётся сколько-то дней после даты отчёта (обычно около 25, платёжный период), чтобы вернуть банку потраченные деньги. Если вы возвращаете всё в течение платёжного периода, то использование денег банка для вас бесплатно. Отчётный и платёжный период вместе и называются льготным периодом, а ещё грейс-периодом или просто грейсом.
Но чужие деньги надо возвращать. И если вы не успели погасить всю задолженность до конца платёжного периода, на всю её сумму (а не только на непогашенный остаток) банк начислит совершенно конский процент начиная с даты каждой покупки (а не с даты отчёта). Процент этот обычно в 3-4 раза больше, чем по потребительскому кредиту.
Обычная продолжительность грейс-периода — 50–60 дней (короткий грейс), но есть карточки и с длинными грейсами, вплоть до 200 дней. Также есть две разновидности грейс-периодов: честный и нечестный. По карточке с честным грейсом в нужно возвращать только те деньги, которые вы потратили в течение отчётного периода (точная сумма и крайняя дата платежа будут в выписке по карте). В случае нечестного грейса — всю задолженность на момент погашения (это называется «вывести карточку в ноль»). По кредитным картам также обязательно вносить ежемесячные платежи, обычно около 7% от суммы долга min 200р (это в счёт погашения) + проценты, штрафы, пени, просрочка и т.д.). Минимальную сумму и дату платежа сообщает банк, для карт с честным коротким грейсом она совпадает с датой окончания платёжного периода.
Платёж по кредитке лучше вносить переводом со своего счёта в том же банке. В противном случае, из-за задержки зачисления денег i Денежные переводы Как правильно переводить деньги. Какие здесь есть возможности, риски и подводные камни. Как избежать обвинений в обналичке, транзите и отмывании. , можно опоздать с её погашением, а в случае нечестного грейса — ещё и перечислить недостаточную сумму (т.к. за время прохождения платежа вы с карты ещё что-нибудь потратите, или автоплатёж пройдёт, или банк какие-то комиссии спишет, или сумма к списанию по покупке в другой валюте пересчитается из-за изменения курса).
Банк, и так давший вам попользоваться своими деньгами бесплатно, категорически не заинтересован доплачивать вам за использование его денег, поэтому любые расходы с кредитной карты, которые так или иначе могут быть положены вами обратно под проценты, облагаются штрафной комиссией (вплоть до 5% min 500р) и не попадают в льготный период (т.е. проценты по ним начисляются сразу же, причём часто по ещё более высокой ставке чем на обычную задолженность по карте). К таким расходам относится не только снятие наличных и отправка денег на свои счета (в т.ч. на электронные кошельки), но, часто, и любые межбанковские переводы (в том числе оплата услуг в интернет-банке), и даже оплата мобильного телефона и интернета (эти деньги сравнительно легко снять с лицевых счетов). Внимательно изучайте списки нельготных операций и условия по ним. Как для того, чтобы не попасть на штрафную комиссию, так и чтобы обнаружить интересные возможности: некоторые банки, например, при соблюдении определённых ограничений позволяют даже снимать с кредитных карт наличные (таки можно их превратить в кредит с неплохой отрицательной ставкой).
Ошибочно настроенный терминал в торговой точке (или сервис интернет-оплаты), выдав за покупку mcc-код денежного перевода (или пополнения мобильника, на что легко нарваться при покупках в салонах мобильных операторов или салоне-переростке Связном), также может подставить вас под проценты и комиссию. При предъявлении чека, подтвеждающего правильный тип операции, вменяемый банк их отменит (сохраняйте чеки при оплате кредитками!), но в противном случае начисление грабительских процентов надо немедленно остановить. В этом случае важен порядок погашения задолженности при пополнении кредитки. Если нельготная задолженность гасится первой — достаточно пополнить кредитку только на сумму операции, иначе (и это чаще всего) требуется выводить кредитку в ноль (т.е. гасить всю текущую задолженность, помня о задержках зачисления). В документах банка такие вещи найти сложно, так что внимательно читайте обзоры, или выводите карточку в ноль сразу.
Даже неиспользуемая кредитка болтается в вашей кредитной истории и смущает банки, от которых вам могут впоследствии понадобиться какие-то плюшки, бесплатные или хотя бы дешёвые деньги.
Набирающие популярность карты рассрочки — те же длинногрейсовые кредитки, только с увеличенными ежемесячными платежами (вместо 5% — треть-четверть суммы покупки).
Банки неохотно делятся информацией сколько клиентов использует кредитку правильно — не платя банку комиссий (кроме годового обслуживания, если есть) и процентов, — но проскакивает информация что не более 30%. Выгода банков, при таких процентах, колоссальная и на привлечение новых пользователей кредиток денег не жалеют. А свою выгоду посчитаем на практике i Использование и расчёт банковских карт Выгоды и опасности банковских карт. Как правильно выбрать и использовать банковскую карту. Стратегия набора веера карт. Расчёт выгоды от использования дебетовых и кредитных карт. .
Всё о платежных картах. Часть 2: что главное в карте; основные принципы работы и безопасности
В первой части нашего цикла мы кратко затронули историю платежных карт в нашей стране (и не только) и необходимые для работы подобной инфраструктуры условия. В какой-то степени это было разминкой, а теперь пора переходить к практически важным вопросам. И для понимания того, как всё это вообще работает, необходимо разобраться для начала с тем, что же собой представляет карта любой платежной системы. Как уже было упомянуто в первой части, принципиально все они одинаковы — и по механизму работы, и по внутренней организации. Но что же такое карта? Или, иными словами, что в карте самое главное?
Остальные статьи цикла:
Любые карты предназначены для безналичных расчетов в чистом виде — либо как своеобразный мостик между наличным и безналичным оборотом. Например, в любом банкомате можно получить наличные по карте, а во многих банкоматах, наоборот, внести наличные на счет карты.
Важен ли сам физический носитель? И да, и нет. Первое время все карточные операции работали исключительно при предъявлении карты живому сотруднику, который и проводил операцию — пользуясь иногда абсолютно примитивными техническими средствами. Однако сегодня большинство операций проводится автоматически — электронными средствами. На обычной кассе в магазине есть кассир, но его работа в смысле приема оплаты заключается лишь в том, чтобы перенаправить запрос на платежный терминал и (в случае необходимости) показать клиенту, куда вставлять/прикладывать карту. С банкоматом же или киоском самообслуживания каждый встречается вообще один на один, без участия других людей. А есть еще и операции в сети, когда физическую карту просто некуда приложить и вставить. Для таких целей даже придумали специальные виртуальные карты — которых не существует. У них есть только карточные реквизиты, которые и участвуют в операции — точнее, могут только инициировать операцию, потому что простая схема обработки требует сложных систем подтверждения, и наоборот.
А схема в первом приближении действительно простая, поскольку основным минимально необходимым и достаточным реквизитом карты является ее номер, состоящий, как и следовало ожидать, из последовательности обычных десятичных цифр. По стандарту он может иметь длину от 13 до 19 цифр, но на сегодня самое частое — 16 цифр. Встречаются и отступления от этого правила: например, такие древние системы, как Diners Club или American Express, обходятся 14 и 15 цифрами, а вот на картах China Union Pay всё чаще встречаются номера из 17 цифр. Впрочем, на многие карты, предназначенные исключительно для электронной обработки, номер и вовсе не наносится (полностью или частично) — клиент получает его на отдельной бумажке вместе с картой, и он может пригодиться для операций в сети, если такие предусмотрены. А терминалы в любом случае работают с магнитной полосой или чипом. На первой номер хранится в открытом виде, со вторым не все так просто, но об этом мы поговорим отдельно.
Также стоит учитывать, что последняя цифра номера обычно самостоятельной ценности не имеет: это всего лишь контрольный разряд, высчитываемый по первым значащим. Хотя и остальные цифры не всегда можно считать значимыми, поскольку в первых цифрах номера, как правило, зашифрована платежная система, конкретный банк и некоторая другая служебная информация. Это упрощает автоматическую обработку: например, «увидев», что первая цифра номера равна 4, эквайер (банк, обслуживающий продавца — который и инициирует платежную транзакцию) понимает, что дальше ему нужно работать с Visa, а вот 5 однозначно направляет его в Mastercard. Туда же следует посылать и карты с первыми цифрами 67 — это унаследовано от Maestro и в картах этого типа применяется до сих пор.
Исторические 18 цифр.
и более привычные 16. Но тоже 67*
У карт «Мир» номера начинаются с 22; 35 идентифицируют японскую JCB; 34 или 37 — American Express; 62, 63 или 68 — Union Pay, и т. д. и т. п. Во всех кодах разбираться не обязательно: банки обычно работают с ограниченным количеством платежных систем, так что, столкнувшись с чем-то незнакомым, терминал просто сообщит, что такая карта не обслуживается. И вся таблица прошита в ПО терминала, так что выбор занимает считанные микросекунды. Поэтому от ручной обработки карт давно ушли даже там, где люди остались: время — деньги. И перенастраивается всё легко. Заключила НСПК (оператор карт «Мир») соглашения о совместной работе с армянской ArCa и беларуской «Белкарт» — и сразу же (после первого же обновления ПО) все российские терминалы узнали, что́ нужно делать с их кодами, начинающимися с 9051 или 9112. А до этого — не знали. Зеркальным отражением этого стало то, что отечественные карты начали работать во всех терминалах, обслуживающих ArCa и «Белкарт», причем для этого не потребовались отдельные договоры на уровне банков-участников. В принципе, для того и нужны платежные системы — и тем удобна их интеграция на таком уровне. Хотя интеграция возможна и на более низком уровне: кобейджинговые карты «умеют» работать в двух системах, имея номер, относящийся к одной из них. Но это чуть более сложный случай, чреватый неожиданностями. Например, карты «Мир—JCB» и «Мир—Maestro», как правило, имели номера из диапазона JCB и Maestro соответственно, так что к бонусной программе «Привет, Мир!» не привязывались и в акциях не участвовали. А совместные «Мир—UnionPay» Россельхозбанка нельзя привязать, например, к Huawei Pay для бесконтактной оплаты смартфоном.
Впрочем, это уже начались те самые тонкости, от излишнего углубления в которые на первых этапах мы обещали воздержаться. Поэтому пока на этом остановимся. Главное, что следует понимать: номер карты — это практически основной и единственный ее атрибут, целиком и полностью определяющий ее возможности. При этом номер — слишком простой реквизит. Зачастую он еще и нанесен на саму карту, так что увидеть его может любой желающий. И воспользоваться в своих целях — тоже. Может быть, правы те, кто утверждает, что использование карт очень опасно? Не совсем. Для того чтобы проблемы не возникали, необходимы и используются комплексные системы безопасности. Как положено, они тем более сложные, чем больше рисков несет в себе операция. К примеру, пополнение карты по номеру абсолютно безопасно для ее держателя — ведь это приход денежных средств, а не расход. Поэтому тут вовсе никакие схемы не нужны, достаточно одного лишь номера.
С расходными же операциями все сложнее, так что для них используются те или иные способы подтверждения транзакции держателем. Эволюция карт и технологий оплаты тоже в основном происходила по пути повышения безопасности. А кроме всего этого, для сложных ситуаций у каждой платежной системы есть огромные талмуды по правилам переноса ответственности, которые объясняют, кто именно будет крайним в спорных случаях. Иногда им оказывается продавец и его банк (эквайер), а иногда покупатель и его банк (эмитент карты). Но главное в правилах переноса ответственности — они заставляют банки внедрять все технологические обновления безопасности, дабы постараться в максимальном количестве случаев снять ответственность с себя. Касается это обеих сторон, вступающих в итоге в своеобразную гонку. Поэтому и внедряется всё очень быстро.
В США полосатые карты жили немного дольше
В других регионах к тому моменту почти исчезли
Чтобы разобраться с этим вопросом предметно, но без излишнего количества подробностей, рассмотрим один из примеров эволюции: переход от «полосатых» карт (снабженных только магнитной полосой) к «чиповым» (с микропроцессором). Первые активно использовались в прошлом веке и первом десятилетии нынешнего, но, несмотря на длинную историю, некоторое время назад практически полностью ушли с рынка — в первую очередь из-за отсутствия защиты. Все платежные реквизиты (и номер, и дополнительные) хранились на магнитной полосе в открытом виде. Все их считывал любой терминал, в том числе и мошеннический — попадись такой на пути пользователя. А далее на базе сохраненной информации можно сделать полноценный клон карты, записав информацию в таком же открытом виде на новую болванку. Ответственность за операции по клону всегда нес эквайер, поэтому появлялись требования защищать сами карты (всевозможные голограммы, логотипы и прочие мелкие детали), а продавцов заставляли изучать эти защитные особенности, тратя на это время. Но время — деньги. Да и живой кассир — тоже они же. Поэтому всё большее распространение начали получать автоматические кассы и прочие терминалы самообслуживания. А в них дотошно проверять карту уже некому. В интернете — тем более.
Нужно было решать проблему радикальным путем. Благо к этому моменту сильно подешевели микропроцессоры — вот они на картах и появились. Чем обработка чиповой карты отличается от полосатой? Да всем! Информация хранится уже в зашифрованном виде, причем терминалу карты передают исключительно закодированные последовательности (токены), на основании которых восстановить полные реквизиты вообще невозможно. В итоге, кроме всего прочего, полный клон чиповой карты изготовить невозможно. По крайней мере, за пару десятилетий никому еще взломать систему защиты не удалось (а когда удастся — придумают новую).
Всё идеально. За исключением нескольких нюансов, часто тормозящих внедрение новых технологий. Во-первых, сами микропроцессорные карты стоят дороже. Во-вторых, терминалы для их обработки первое время стоили намного дороже. Последнее, в частности, приводило к необходимости обеспечить совместимость новых карт со старым оборудованием. Реализовать ее было просто: на всех чиповых картах основных платежных систем долгое время присутствовала и магнитная полоса. Одна проблема: режим совместимости полностью лишал защиты против действий злоумышленников.
Как все эти проблемы удалось решить за короткий срок? Очень просто: правилами переноса ответственности. Точнее, одним из правил: за проведение с чиповой картой операции по полосе ответственность всегда лежит на продавце. В итоге банкам стала выгодна эмиссия карт с микропроцессорами: хоть они и обходятся дороже, зато снимается немалое количество проблем с мошенническими транзакциями. Но как только таких карт на рынке стало много, за новым оборудованием побежали продавцы, которых начала не устраивать презумпция виновности. В итоге буквально за несколько лет произошел полный переход на изначально более дорогие технологии — которые еще и быстро подешевели за счет массовости. А не будь такого руководящего и направляющего «подталкивания» — так и продолжали бы использоваться полосатые карты, а основной работой банков стала бы возня с опротестованием мошеннических транзакций.
И совсем уж замечательно, что технологические инновации чаще всего имеют не только основной, но и массу побочных эффектов. Например, заодно удалось решить проблему с торговыми автоматами и прочим оборудованием. В них для подтверждения операций всегда использовался PIN-код — просто не было возможности организовать другие проверки. И он же применялся в банкоматах, что делало пользование автоматами очень рискованным: купил по дороге бутылку воды, а через пару дней кто-то обналичил все средства со счета по клону карты. Но микропроцессорные модели не клонируются, что сделало такие операции безопасными и очень популярными: немного вложившись на этапе внедрения чиповых карт, торговые сети в итоге получили возможность сэкономить на кассирах и т. п. Сейчас распространенность автоматических устройств с поддержкой карт никого не удивляет, хотя совсем недавно (по историческим меркам) их практически не было.
Можно ли считать проблему фрода (т. е. мошеннических транзакций) полностью решенной? Нет. Опасность по-прежнему есть, однако теперь это требует более сложной преступной деятельности. Например, карманнику в супермаркете надо подсмотреть PIN-код (при вводе его клиентом на кассе), затем аккуратно извлечь карту из кармана владельца и бежать к ближайшему банкомату. Но техника на месте не стоит, так что подобные сценарии становятся всё более экзотическими. Скажем, добавилось использование бесконтактных технологий в паре с разрешением проводить по таким картам мелкие транзакции (на которые, тем не менее, приходится огромная часть суммарного оборота) без дополнительного подтверждения. Вследствие этого в описанной выше ситуации уже нет риска, что с карты обналичат крупную сумму: весь потенциальный «улов» преступника — это возможность сделать одну или несколько мелких покупок. Последствия для владельца карты меняются с крайне опасных на максимум неприятные. Да и уважающий себя карманник рисковать ради подобных мелочей просто не станет, так что общий уровень безопасности пользователя радикально увеличивается.
Словом, из мира физического чисто карточный фрод практически исчез. На данный момент либо можно вовсе не принимать во внимание эти риски, либо уже существуют технологии, сводящие их до нуля. А вот в виртуальном мире доля мошеннических транзакций очень велика, и в абсолютном исчислении она даже растет. Но растет она во много раз медленнее объема карточных платежей. Проще говоря, работай все до сих пор с технологиями прошлого века, нынешние обороты интернет-торговли были бы в принципе невозможны. Причем реальный и виртуальный мир в этом плане постоянно бы пересекались. Например, мелкая покупка в интернет-магазине могла бы приводить к появлению клона карты где-то за тридевять земель — со всеми вытекающими. И наоборот: чиркнул картой по платежному терминалу, а потом кто-то по ее реквизитам что-то крупное оплатил в интернете. Сейчас такое невозможно, а «чистые» интернет-транзакции подтверждаются более серьезными методами, нежели «офлайновые». Впрочем, большинство мошеннических действий давно уже тоже комплексные, а не просто «увели номер и воспользовались им». Сейчас мошенникам приходится попотеть, чтобы пользователь лично подтвердил транзакцию, так что к чисто карточным технологиям эта угроза относится лишь отчасти. К сожалению, одной лишь техникой от методов социальной инженерии защититься невозможно (а от терморектального криптоанализа — тем более).
Что же касается технологий обработки карт, то с ними в первом приближении все достаточно просто. В общем случае в транзакции участвуют пятеро: продавец, банк-эквайер (тот, кто обслуживает продавца), платежная система, банк-эмитент (который выпустил карту) и держатель карты (условный покупатель — который своими деньгами и распоряжается). Задача продавца очень простая: обеспечить эквайеру техническую возможность обработать карту и сообщить ему нужную сумму операции. Задача эквайера — обратиться к соответствующей платежной системе (определить ее легко) с запросом на списание указанной суммы. Платежная система переадресует запрос к банку-эмитенту, который, исходя из платежного баланса конкретной карты, сообщает, возможна она или нет. Если нет — то на нет и суда нет. Если да, то происходит авторизация: эквайер запрашивает у держателя подтверждение и готовит необходимые документы, а эмитент снижает баланс на нужную сумму. В современных условиях все эти процедуры могут занять всего несколько секунд, но на деле это лишь первый этап. На втором этапе, который может занимать несколько дней, уже не участвуют ни продавец, ни держатель — просто подтверждающие документы проходят свой путь от эквайера до эмитента, а затем в обратный путь направляются деньги. На третьем же этапе продавец получает от «своего» банка нужную сумму на счет, а у держателя возникает задача расплатиться со «своим» банком. Последнее, если карта дебетовая, выполняется автоматически: нужная сумма физически списывается со счета. Считается, что она там гарантированно есть — ведь нужное количество денежных средств было заблокировано на первом этапе. Правда, в случае мультивалютных операций за время, прошедшее между авторизацией и списанием, могли измениться курсы валют, так что списать потребуется больше денег, чем заблокировано (если меньше, то проблем, естественно, не возникает). Однако дебетовые карты — лишь один из возможных вариантов, хотя и наиболее популярный в нашей стране несмотря на то, что дебетовые карты появились гораздо позже кредитных. С кредитными же — своя история, тоже важная для комфорта и отсутствия подводных камней.
Таким сложным и многоэтапным является общий случай. Есть и специальные виды транзакций. Например, при получении денег в банкомате выполнить полный цикл невозможно: деньги нужны сразу. В итоге банк (владелец банкомата) фактически кредитует держателя карты под гарантии платежной системы — которая, в свою очередь, «уверена» в получении нужной суммы от эмитента. Но иногда всё идет не так начиная с этапа авторизации — когда нет связи с эмитентом, а то и вообще с платежной системой. Для части карт это приводит к невозможности проведения операции. Другие же всё равно позволяют ее выполнить, если сумма ниже заданного лимита. Как эквайер должен разделять эти ситуации? По BIN карты — мы недаром выше упоминали, что в него заложена информация не только о платежной системе и банке-эмитенте, но и некоторые служебные данные. Для держателя же такие операции несут определенный риск: раз нет авторизации, значит нет и проверки платежного баланса (к эмитенту могут прийти уже готовые документы на списание), так что можно потратить больше доступного. И с этим позднее придется разбираться.
Есть и еще один частный (но тоже частый) случай редуцированного процесса: блокировка. Блокировка используется, например, когда клиент заселяется в гостиницу: при выезде он расплатится за номер и потребленные по факту дополнительные услуги, но подготовиться к этому процессу желательно заранее — чтоб потом не оказалось, что денег не хватает ни на оплату номера, ни на оплату мини-бара. Для этого выполняется авторизация на сумму с запасом, но документы никуда отправлять не нужно и физического списания не будет никогда. Правда, некоторые отели забывают перед оплатой отменить гарантийную авторизацию, если она и последующая оплата вписываются в платежный баланс вместе — а держатель карты потом с месяц лишен доступа к своим деньгам. Казалось бы, придумано для минимизации количества грабель. Но на деле проблемы минимизируются для гостиницы, а пользователю остается только учитывать этот нюанс — и быть готовым при необходимости напомнить о своих интересах.
Так что при всей кажущейся простоте деталей много. Обыденная операция «достал карту и приложил к терминалу» на деле запускает целую цепочку событий. Нужно ли знать все эти детали в совершенстве? Конечно нет! Будь это необходимо, карты ни за что не сумели бы занять свое сегодняшнее место в жизни, поскольку для их максимального распространения как раз и нужна та самая внешняя простота. Но немного разбираться в том, когда, что и как происходит, все-таки полезно. Это сделает процесс более комфортным и позволит избежать (в той степени, в которой это зависит от пользователя) ряда потенциальных проблем. Принцип «меньше знаешь — крепче спишь» работает далеко не всегда и чреват неприятным пробуждением. Поэтому спать мы не будем, а продолжим изучение затронутых вопросов в следующих частях — как обычно, от простого к сложному.
Что нужно знать про оплату банковскими картами через интернет
Прочитав вот этот топик, я увидел, что очень многие хабралюди (в том числе и автор топика) не представляют себе, как работает оплата банковскими картами в интернете. Руководствуясь домыслами и предположениями, а не фактами, автор делает вывод, будто бы карты Сбербанка наиболее уязвимы для мошенничества в интернете. Поэтому я решил рассказать о том, как на самом деле устроена оплата банковскими картами в интернете, чтобы хабралюди на основании фактов, а не домыслов, представляли себе, как это работает, и где их могут поджидать реальные, а не мнимые, опасности.
Disclaimer: Я работаю в Сбербанке России. Моя работа связана с помощью клиентам, а не с карточками, однако раньше я работал в области e-commerce, и очень хорошо знаю, как работает схема оплаты карточками в интернете.
1. Итак, автор вышеупомянутого топика упрекнул Сбербанк в том, будто бы он, показывая при переводе на карту через терминал или «Сбербанк Онлайн» имя клиента, облегчает таким образом работу карточным мошенникам. Это утверждение не соответствует действительности, и вот почему:
При оплате в интернете карточкой, выпущенной американским банком, банк-эквайер (так называется банк, который обслуживает платежи по карточкам интернет-магазина) способен проверить и имя владельца карты, и его billing address (это адрес, куда банк, выпустивший карточку, присылает ежемесячную выписку по этой карте). Это происходит, если банк-эквайер или платежный шлюз, через который проходит платеж, использует услугу под названием AVS (Address Verification System).
Эта услуга предоставляется, как правило, независимыми от банков компаниями, которые делают запрос в бюро кредитных историй, соответствует ли данному номеру карты введенное имя и биллинговый адрес, и получают оттуда ответ «да» или «нет». Помимо США такой услугой банки-эквайеры или сами интернет-магазины могут пользоваться в Канаде, Австралии, Великобритании и Новой Зеландии. В остальных странах, в том числе и в России, AVS не существует, поэтому ни российские, ни зарубежные интернет-магазины не могут проверить, действительно ли карта с таким-то номером принадлежит человеку с таким-то именем и фамилией.
Таким образом, вывод, будто бы показ имени держателя карты, создает угрозу мошенничества с картой, не соответствует действительности. Зная реквизиты карты (а это не только номер карты), мошенники могут использовать для покупок в интернет-магазинах любые имя и фамилию, и магазин, а также его банк-эквайер, никак не смогут это проверить. Это системный баг международных платежных систем, связанный с их принципиально устаревшей архитектурой, основы которой были заложены в начале второй половины прошлого века, и не были рассчитаны ни на появление интернета, ни на появление терминалов, позволяющих в режиме реального времени авторизовывать карту в оффлайне.
2. Автор рассматриваемого топика пеняет Сбербанку на то, будто бы тот придумал делать переводы между картами, тогда как можно было бы использовать для этих целей номер счета. Однако не Сбербанк придумал переводы между картами, а международные платежные системы. Вот описание такой услуги от международной платежной системы Visa. Светить реквизиты своей карты в интернете (даже пусть и не полные реквизиты) – не самая лучшая идея, однако это делает не банк, а сами люди.
3. Автор утверждает, будто бы в Амазоне возможно подобрать срок окончания действия карты, и, на основании этого делает вывод, что номера карты достаточно для совершения мошеннических операций по картам. Я не знаком с тем, как устроена борьба с мошенничеством конкретно в Амазоне, однако уверяю вас, что этот интернет-магазин уже давным давно бы загнулся, если бы не боролся с такими элементарными видами мошенничества, как подбор номера карты и срока окончания ее действия. Думаю, что их автоматическая система борьбы с мошенничеством увеличивает оценку риска для нее с каждым разом, когда неправильно вводится срок окончания действия карты. Поэтому утверждение, что для совершения платежа на Амазоне нужно «всего лишь» перебрать «не больше 36 вариантов», является не более, чем плодом разгулявшейся фантазии.
4. Всем, кто платит карточкой в интернете, следует твердо знать одно: во всех спорах между банком-эмитентом (так называется банк, который выдал карточку) и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента (а значит, в пользу держателя карточки). Исключение из этого правила одно – о нем пойдет речь в следующем пункте. Неважно – ввели ли мошенники правильное имя держателя карты, или даже правильный CVC/CVV – правила платежных систем при card not present транзакциях всегда стоят на стороне держателя карты. Убытки по спорным транзакциям ложатся на банк-эквайер, который перекладывает их на интернет-магазин. Более того – за каждую опротестованную операцию на интернет-магазин международными платежными системами накладывается штраф. Поэтому тому гораздо выгоднее самому побыстрее вернуть деньги держателю карты, если тот обратился в интернет-магазин с требованием вернуть деньги по транзакции, которую не совершал, чем в 100% случаев сделать это после официального опротестования транзакции, но уже с дополнительным штрафом в пользу платежной системы.
5. Единственное исключение – это транзакции с использованием 3D Secure (так эта технология называется у Visa) и MasterCard SecureCode (думаю, понятно, что это технология международной платежной системы MasterCard). На схеме работы этой технологии стоит остановиться подробнее.
Когда и банк-эмитент, и банк-эквайер (обязательно оба!) проводят интернет-транзакции с использованием одной из этих технологий, держатель карты, совершая покупку, после ввода реквизитов карты, видит окошко от своего банка, который выдал ему карточку, с просьбой ввести пароль, который знают только он и его банк. Ввод этого пароля является аналогом ввода ПИН-кода при оффлайновых транзакциях, и эти технологии были призваны дать дополнительную защиту интернет-магазинам.
Однако этот план международных платежных систем не сработал, и вот почему. Дело в том, что описанная выше схема работает только в том случае, если и банк-эквайер, и банк-эмитент сертифицированы по этим технологиям. В случае, если только один из них использует эти технологии, то тот банк, который их не использует, при спорных транзакциях оказывается в заведомо проигрышной ситуации. Из-за этого банки-эмитенты, когда видели, что им от банка-эквайера приходит запрос на авторизацию с применением Visa 3D Secure или MasterCard SecureCode, просто отказывали в авторизации, чтобы не «попадать» в случае спорных операций. А магазины, увидев, что из-за этого количество успешных авторизаций у них уменьшается, решили, что более выгодно будет «попадать» на часть оспариваемых транзакций, нежели недополучать прибыль из-за того, что банки-эмитенты дают «отлуп» (можете сами посмотреть, сколько банков в России сертифицировалось по MasterCard SecureCode).
Но это теория, а на практике вам следует знать следующее: если вы используете кредитку Сбербанка, который сертифицирован и по Visa 3D Secure, и по MasterCard SecureCode, то независимо от того, использует ли банк-эквайер, обслуживающий тот или иной интернет-магазин, эту технологию, ваши транзакции полностью защищены.
Надеюсь, что этот пост помог всем разобраться в том, чего нужно опасаться в сети, а что является домыслами и мифами.
Как работает бесконтактная оплата картой
Когда мы в магазине прикладываем карту к терминалу оплаты, терминал говорит «Успешно», пробивается чек, и мы уходим с покупками. Обычно от момента оплаты до подтверждения платежа проходит пара секунд, и за это время происходит много событий.
Сегодня расскажем про то, как это работает и почему оплата иногда может зависнуть в процессе.
Что такое NFC
Бесконтактная оплата — это когда нам не нужно вставлять карту в терминал оплаты или даже касаться его: достаточно поднести карту на расстояние 1–2 см, и всё сработает. Это возможно благодаря чипу NFC — именно он отвечает за бесконтактную магию.
NFC —это аббревиатура от Near Field Communication, что можно перевести как «взаимодействие близкого поля». Это похоже на то, как работает брелок от домофона:
- В карту встроен чип NFC и антенна — магнитная проволока, смотанная кольцами.
- Когда на терминале включается оплата, терминал начинает излучать слабое магнитное поле.
- Когда мы приближаем карту к терминалу, она попадает в поле, и благодаря антеннам на чипе появляется ток. Идея такая же, как в беспроводной зарядке.
- Чип начинает работать и посылает в ответ какой-то свой импульс, тоже в виде магнитного поля. Какой именно импульс и что в нём закодировано — зависит от алгоритмов.
- Терминал оплаты улавливает этот импульс, раскодирует его и начинает процесс оплаты.
Получается, что чипу NFC на карте не нужно внешнее питание — он получает его из магнитного поля терминала и сразу начинает работать. Если магнитного поля нет — карта ничего не делает. По этой причине если просто поднести карту к неактивному терминалу, то ничего не произойдёт — потому что нет магнитного поля.
Платёжная система
Чтобы проходили платежи по картам, нужна платёжная система: это посредник, который помогает обмениваться деньгами между банками. В России это система «Мир».
Платёжная система работает так:
- К ней подключены много банков.
- Платёжная система обеспечивает обмен сообщениями между ними.
- В конце рабочего дня платёжная система готовит документы, чтобы банки заплатили друг другу, сколько нужно.
Передача данных с карты
Когда мы подносим карту к терминалу и оплачиваем покупки, то с карты отправляются на терминал не деньги, а токен. Токен — это последовательность символов, которая что-то значит для отправителя и получателя. В нашем случае в токене содержится зашифрованная информация о платёжной системе и номере карты.
Современные NFC-чипы каждый раз генерируют новый токен — в нём содержится вся та же самая информация, но зашифрованная разными ключами. Это делается для того, чтобы злоумышленники не смогли перехватить один раз сигнал с карты и использовать его для постоянной оплаты в любых магазинах.
Проверка токена
Терминал, получив токен, сразу его проверяет — соответствует ли он стандартному банковскому токену или это что-то другое. Если соответствует — токен идёт дальше по процессу, а если нет — терминал даже не пытается связаться с банком и сразу выдаёт ошибку.
Самый наглядный пример проверки токена — если убрать карту слишком быстро или поднести её на пределе возможностей магнитного поля. В этих случаях терминал не сможет получить полный токен и покажет ошибку «Карта не читается».
Отправка токена в банк
Если с токеном всё в порядке, терминал через платёжную систему связывается с банком и отправляет токен ему. Это самая долгая часть оплаты — если всё работает через мобильный интернет, то это может занять до пары минут. Всё это время терминал старается установить безопасную связь с банком, который обслуживает этот терминал.
Если за три попытки связь установить не получается или в процессе что-то пошло не так, терминал покажет ошибку «Нет связи с банком». Как только терминал получил такую ошибку, он удаляет токен из памяти — даже если связь появится сразу после ошибки, старого токена уже не будет и надо заново прикладывать карту. Поэтому не нужно бояться, что пройдёт двойная оплата — в банк отправляется последний токен.
Токен пришёл в банк продавца
Когда банк получает токен, он его расшифровывает и узнаёт такое:
- действительна ли карта и не вышел ли срок действия;
- платёжная система этой карты;
- название банка, который выдал карту;
- реквизиты карты.
Как только банк получил из токена эти данные, он отправляет запрос в платёжную систему:
— Слушай, тут клиент банка такого-то хочет купить что-то за 5700 рублей. Вот реквизиты карты. Одобряешь операцию?
Платёжная система проверяет эти сведения и связывается с банком-эмитентом — тем, кто выдал карту. Тот может отправить несколько вариантов ответа. Например:
- Всё в порядке, транзакцию одобряю.
- Транзакцию не одобряю, причина — не хватает денег (но не уточняет сколько).
- Транзакцию не одобряю, причина — превышен какой-то из лимитов.
- Транзакцию не одобряю, причина — карта заблокирована.
- Просто не одобряю, без объяснения причин.
- Карта числится как украденная.
Обратите внимание, что среди ответов нет информации о номере счёта или балансе. Дело в том, что баланс клиента — это его личное дело с банком. Банк может давать кредит или подключать овердрафт, и об этом никто не обязан знать. Для внешнего мира банк говорит либо «Да, одобряю», либо «Нет, отклоняю».
И ещё интересное: деньги блокируются, но пока что не переводятся с вашего счёта.
Печать слипа
Ответ платёжной системы записывается в память платёжного терминала, а ещё из него вылезает маленький чек — слип. На слипе пишут информацию о транзакции: её дату, время, идентификационный номер. Это нужно на случай технического сбоя, чтобы потом можно было вернуть деньги.
Слип подтверждает, что совершилась такая-то транзакция с таким-то результатом. Это ещё не подтверждение покупки, это лишь факт обмена данными с платёжной системой.
Обмен деньгами
Ночью платёжная система сверяет все расчёты и составляет ведомость: кто кому сколько задолжал. Эта информация отправляется в банки, и уже они обмениваются деньгами. Платёжная система выставляет счёт на комиссию с каждого банка.
На этом этапе платёжная система заодно может посчитать какие-нибудь бонусы, промоакции, кешбэки и что там они ещё себе придумают. В мобильном приложении эти данные будут сразу, но фактически деньги и кешбэки придут только ночью.
В этот момент деньги фактически списываются с вашего счёта.
Такой порядок полезен, чтобы ловить мошенников, выявлять массовые списания, а также чтобы было легко отменять ошибочные операции. Например, если продавец ввёл неправильную сумму и провёл транзакцию, он может сразу же её отменить и провести новую, и к концу дня у вас фактически будет один платёж, а не три.
Могут ли списать деньги с карты в толпе, если у тебя есть NFC-считыватель?
Нет, это старая страшилка из интернета.
Для снятия денег нужен не NFC-считыватель, а банковский терминал. Даже если взять его и так списывать суммы меньше тысячи рублей (чтобы не вводить пин-код), то схема быстро перестанет работать, а все украденные деньги вернутся назад.
Дело в том, что сейчас при каждой такой оплате клиенту приходит СМС-уведомление или пуш в личном кабинете банка. Если человек не совершал эту операцию, он может её заблокировать и пожаловаться в банк.
Каждая такая жалоба разбирается службой безопасности банка: они связываются с банком, который выдал терминал, и узнают, в чём дело. Если владелец терминала не сможет предоставить в банк реальные доказательства продажи, все платежи отменятся, терминал заблокируют, владельца терминала внесут в чёрный список, а то и могут возбудить какое-нибудь дело.