Контакты
Подписка
МЕНЮ
Контакты
Подписка

Платежная индустрия: куда двигаться дальше?

Платежная индустрия: куда двигаться дальше?

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Платежная индустрия: куда двигаться дальше?

Аналитики регулярно сообщают о приближающейся революции в платежах, например, благодаря как бесконтактным картам, так и мобильным переводам. Однако на практике отрасль меняется очень медленно, и в некоторых аспектах ее можно назвать даже архаичной. Возьмем пластиковую карту – она пришла к нам из середины XX в. и за это время сильно устарела. На ней зачем-то указан “секретный" онлайн-PIN, имя держателя (которое никто не проверяет) и до сих пор – небезопасная магнитная полоса.
Виктор
Достов
Председатель Ассоциации “Электронные деньги"
Павел
Шуст
Аналитик Ассоциации “Электронные деньги"

Так происходит потому, что безналичный платеж состоит из трех следующих элементов, и не все из них развиваются с одинаковой скоростью.

Перевод денежных средств от плательщика к получателю

Было бы неверно думать, что платеж за сотовую связь мгновенно попадает на банковский счет мобильного оператора. Обычно деньги поступают единым переводом в конце отчетного периода. За последнее время эта часть платежа нисколько не изменилась: межбанковский платеж сегодня совершается примерно так же, как десять лет назад, и, откровенно говоря, радикально улучшать здесь нечего.

Передача информации о платеже

В магазине отдают товар покупателю сразу же после списания денег с его карты, потому что информация о платеже, в отличие от денежных средств, поступает на кассу мгновенно. По той же причине абонент получает SMS о пополнении баланса почти сразу после внесения купюры в платежный терминал. Платежная отрасль сильно зависит от информационной инфраструктуры. Доступность безналичного платежа, как правило, прямо пропорциональна доступности средств связи. Это хорошо видно на примере таких стран, как Кения: там, по существу, нет никакой инфраструктуры, кроме мобильной связи, но при этом объем мобильных платежей составляет 43% ВВП. От банков здесь почти ничего не зависит: как и интернет-мессенджеры, они лишь ждут, когда сотовые операторы доберутся до отдаленных регионов.

Связка аутентификации и авторизации*

Банк просит подтвердить свою личность и убеждается, что у плательщика есть право распоряжаться деньгами. Аутентификация – уникальная характеристика безналичного платежа. В расчете наличными такой проблемы нет: купюра в руках безусловно подтверждает право заплатить.

В некоторых странах пилотируются проекты распознавания лица покупателя. Когда клиент заходит в магазин, система видеонаблюдения на входе автоматически его узнает. На кассе не требуется предъявлять карты или что-то еще – достаточно посмотреть в камеру.

Если понимать под инновациями изменение пользовательского опыта, то основные инновации будут происходить именно на стадии аутентификации. Здесь в платежах действительно есть огромное поле для улучшений.

Процедура платежа – это всегда компромисс между удобством и безопасностью. Наличные выбора не оставляют: они очень удобны, но чрезвычайно небезопасны. Безналичные расчеты более вариативны. Например, в США операции по картам до сих пор подтверждаются подписью, которую, конечно, никто не проверяет. В России некоторые банки требуют вводить PIN-код по всем операциям, вне зависимости от суммы.

В большинстве случаев мы заставляем клиента постоянно что-то доказывать и делать: хранить в тайне PIN-коды, обновлять антивирусы и т.д. В наличных, напротив, работает презумпция невиновности плательщика: никто никогда не спрашивает, откуда у вас деньги и заработали ли вы их честно.

Перспективы аутентификации

Перекладывание бремени аутентификации на клиента – проблема довольно универсальная. Возьмем программы лояльности. Чтобы получить скидку, необходимо показать продавцу свою карту постоянного покупателя. Если карта осталась дома, потребитель в глазах магазина перестает быть постоянным и лояльным, что довольно нелогично. Постоянного покупателя следует узнавать в лицо, но этого не делает почти никто. В центр ставится физический объект, а не сам клиент. Без паспорта, карты или токена он не может платить, получать скидки и т.д. Как решить эту проблему?

Один из вариантов – чтобы сам потребитель стал аутентификационным механизмом. Последние десятилетия футуристы обсуждали перспективы вживления каждому человеку идентификационного чипа. Надо сказать, что решение не очень революционно. Чип ничем не отличается от карты или паспорта – возможно, даже удобнее, ведь его не забудешь дома. Но на практике более перспективной кажется пассивная аутентификация – когда человека узнают без дополнительных или специальных идентификаторов.

В некоторых странах пилотируются проекты распознавания лица покупателя. Когда клиент заходит в магазин, система видеонаблюдения автоматически узнает его на входе. На кассе не требуется предъявлять карты или что-то еще – достаточно посмотреть в камеру. В базе данных магазина уже хранятся сведения о платежном инструменте, который вы предпочитаете использовать, а также данные скидочной карты. Поэтому для оплаты товара достаточно нажать кнопку "Заплатить". При этом в качестве источника фондирования теоретически можно установить все, что угодно: банковский счет, электронный кошелек или карту. В идеале процессинговый центр должен сам принимать решение, откуда списывать деньги, например, если на электронный кошелек начисляется больший кеш-бек, чем на карту. В отличие от наличных, безналичные деньги хранятся на стороне банка. Поэтому узнать вас – это проблема банка, а не клиента.

Проблемы перехода

Существует две основных проблемы, которые обычно упоминают при анализе таких моделей пассивной аутентификации.

Во-первых, это соображения защиты ПДн. Одно дело, когда магазин видит только карту, и совсем другое – когда речь идет о внешности владельца. Поскольку системы видеонаблюдения, в том числе в магазинах, стали почти повсеместными, эти опасения во многом запоздали. С другой стороны, биометрические данные можно (и нужно) хранить не в открытом виде, а в виде хешей, чтобы из них нельзя было реконструировать исходные сведения. Несмотря на очевидную актуальность проблемы, стоит помнить, что общество и экономика удивительно адаптивны: еще 20 лет назад мы не могли представить себе такой уровень публичности, как в Facebook, "Одноклассниках" и "ВКонтакте", но справились и с ним.

Вторая проблема – вероятность ошибки. Что произойдет, если камера неверно распознала клиента? По существу, ситуация ничем не отличается от обычной карточной транзакции. Если произошла ошибка, ее кто-то должен компенсировать. И в пассивной модели эти риски переносятся на магазин. Готов ли он эти риски нести? Если они помогают повысить скорость обслуживания и снизить издержки на зарплату кассиров – вероятно, да. Особенно если учесть, что потери от порчи товара или краж несопоставимо выше. Для потребителя риски еще меньше, потому что потеря карты больше не грозит серьезными убытками.

Схема с распознаванием лиц довольно показательная, но не единственная. Аналогично работает распознавание отпечатков пальца или радужной оболочки глаза. Именно на таком принципе построена индийская национальная система идентификации. Во время выдачи ID-карты операторы снимают отпечатки пальцев и фотографируют радужку глаза. Эта биометрическая информация вместе с личными данными попадает в единую базу. В дальнейшем – например, при открытии банковского счета – клиенту не нужно предъявлять пакет бумажных документов. Достаточно получить биометрию, и личные данные будут подгружены из единого хранилища. Хотя индийская система идентификации считается одной из наиболее современных, там, как видно, обошлись без вживления чипов.

Как преодолять инерцию?

Почему в мире можно посчитать по пальцам проекты, в которых клиентам не нужно показывать паспорт, предъявлять карты или вводить PIN-коды? Проблема в том, что технические инновации, как ни странно, внедряются в основном только на стороне потребителя. Сначала потребители подписывали чеки, потом предъявляли картонные, позже – пластиковые карты с магнитной полосой, контактным и бесконтактным чипом, в конце концов – мобильный телефон. Что изменилось за это время на стороне магазина? Практически ничего. В магазинах происходит очень медленная смена POS-терминалов, что хорошо видно на примере бесконтактных платежей: бесконтактных карт у потребителей довольно много, но заплатить ими можно в считанном числе торговых точек.

На рынке часто говорят о том, что нужно сделать платеж минимально заметным для потребителя. Частично это достигается путем внедрения запрограммированных, или рекуррентных, переводов. Но по-настоящему невидимыми они станут только, когда клиенту не потребуется предъявлять пластик на кассе. Для программ лояльности этот вопрос назрел еще больше: пожалуй, эту сферу инновации вовсе обошли стороной. Еще несколько лет назад на рынке существовало много стартапов, обещавших перевести карты лояльности в электронный вид. То, почему у них это не получилось, требует пристального изучения.

Это тем более удивительно, учитывая, что число магазинов явно уступает числу потребителей. Тем временем большинство банков по-прежнему сводит отношения с торговыми точками к обсуждению эквайринговых комиссий. Вероятно, именно здесь возникает основное препятствие для перехода к качественно новым платежным инструментам.

Участники рынка часто говорят о том, что в центре любой бизнес-модели должен быть клиент. Однако не всем удается реализовать это на практике. Большинство платежных моделей до сих пор остаются инструментцентричными. Отчасти это закономерное следствие того направления развития платежных технологий, которое мы наблюдали в последние десятилетия. Продолжающийся и во многом бесплодный поиск принципиально новых платежных решений подтверждает, что мы столкнулись со "стеклянным потолком". Потребители продолжают предъявлять на кассе карты, вводить PIN-коды, а любое упрощение процедур аутентификации оборачивается снижением безопасности (а на практике – переносом бремени ответственности за несанкционированные операции). Наибольший потенциал для модернизации лежит именно в подтверждении личности клиента. В первую очередь, в переходе от активной аутентификации к пассивной – узнаванию потребителя. Постепенно этот процесс уже происходит на практике: например, платежный шлюз Сбербанка при онлайн-платеже узнает вас по аккаунту "Одноклассников" и предложит привязанную карту. Однако прорыв в этом направлении приведет к довольно необычным последствиям: если сегодня у банков еще есть возможность демонстрировать свой логотип хотя бы на карте, то со временем они потеряют и ее. То, насколько они к этому готовы, – вопрос скорее маркетинговый, нежели технологический.

___________________________________________
* Для простоты мы будем называть ее просто аутентификацией.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2016

Приобрести этот номер или подписаться

Статьи про теме