Источник: Коммерсантъ
Национальная карточная система трудно стыкуется с международными
НСПК опубликовала бюллетень по обеспечению перевода на НСПК сервиса аутентификации при интернет-платежах (3D) по картам Visa и MasterCard. Сейчас международные платежные системы (МПС) при таких платежах осуществляют ее сами, с ноября по закону вся аутентификация должна идти через НСПК. Но национальная система оказалась технически не готова к интеграции с МПС, и банкам придется использовать версию 3D устаревшего протокола со всеми вытекающими рисками.
"Ъ" удалось ознакомиться с бюллетенем НСПК, в нем отмечается, что участники МПС должны обеспечить проведение аутентификации по российскому трафику с использованием НСПК в срок до 1 ноября 2020 года. Сервис аутентификации должен предоставляться по протоколу 3D 1.0.2. Хотя на данный момент МПС работают преимущественно по протоколу 3D 2.0.
"В настоящее время НСПК предоставляет сервис 3D Secure 1.0 для аутентификации карт МПС, что создает все возможности для проведения переводов в интернете с высокой степенью надежности", - сообщили "Ъ" в НСПК. "Для того чтобы банки могли осуществлять аутентификацию по внутрироссийским операциям по картам международных платежных систем, МПС необходимо выработать технологическое решение по стандарту EMV 3D Secure 2.0 вместе с НСПК для внедрения его в инфраструктуре НСПК, - подчеркнули там. - Технологическая схема взаимодействия МПС и НСПК находится в стадии проработки с высоким приоритетом".
В Visa не ответили на запрос "Ъ", в MasterCard сообщили, что обнародованные НСПК нововведения "не повлияют на работу карт системы в России". Банки тоже готовы мириться со сложившейся ситуацией, хотя ряд из них уже применяют 3D Secure 2.0. Как эквайер мы готовы поддерживать и 3D Secure 2.0, и 1.0, - отметили в банке "Тинькофф". - Мы научились защищать клиентов банка другими методами от подмены наименования торговца". По словам директора департамента эквайринга банка "Русский стандарт" Инны Емельяновой, банк внедрил в своем эквайринге сервис аутентификации при интернет-платежах 3D 2.0. "Данный сервис более удобен для клиентов при оплате картой, так как при первой покупке клиент вводит все необходимые параметры для оплаты, а при дальнейших приобретениях на том же ресурсе проверка каждый раз проходит незаметно для клиента, что делает клиентский опыт безналичных платежей в интернете лучше", - поясняет она. ВТБ, как большинство банков, сертифицировался на стандарт 2.0 и обеспечил техническую возможность работы на нем, отметили там. "Полный переход на 2.0 будет осуществлен по мере готовности НСПК, - указывают в ВТБ. - Возвращение к работе по стандарту 3D 1.0 по картам МПС некритично, поддержка работы стандарта 1.0 продолжается".
Эксперты называют возврат к 3D 1.0 весьма опасным шагом назад. По словам технического директора CloudPayments Артема Санникова, при первой версии существует возможность подделать описание магазина, который отображается на странице эмитента при подтверждении операции через 3D, что упрощает мошенникам жизнь. Во второй версии этой уязвимости нет, указывает он. "Обновленный протокол 3D Secure 2.0, конечно, обладает более высокой степенью защиты по сравнению с версией 1.0, которая была создана почти 20 лет назад, - соглашается руководитель аналитического департамента AMarkets Артем Деев. - Переход на работу с предыдущей версией может привести к росту мошеннических действий со стороны третьих лиц, что вряд ли может устроить Visa и MasterCard. "Технология 3D 2.0 является современным стандартом в области онлайн-платежей и поддерживается всеми ведущими платежными системами, - указывает директор "Картстандарта" Майя Глотова. Основатель и генеральный директор BitRiver Игорь Рунец отмечает: если в протоколе 1.0 существовал риск перехвата СМС-сообщения, то в версии 2.0 теоретически возможен риск ошибки системы, но интеллектуальная система благодаря своей самообучаемости со временем, несомненно, станет более безопасной.