В России СМС-подтверждения при онлайн оплате уйдут в прошлое

С октября 2023 года Национальная система платежных карт (НСПК) введет для банков комиссию за отправку СМС-сообщений с кодами подтверждения онлайн-оплаты. Это сделано для того, чтобы стимулировать банки к переходу на новую технологию идентификации клиента по его устройству, которая, по мнению НСПК, повысит безопасность и скорость платежей. Однако банки не спешат отказываться от привычного метода с СМС, а потребители могут быть не готовы к изменениям.

Что такое идентификация по устройству

Идентификация по устройству (device recognition) — способ подтверждения личности клиента при онлайн-оплате по банковской карте без необходимости вводить дополнительный код из СМС-сообщения. Этот способ основан на том, что каждое устройство (смартфон, планшет, компьютер и т. д.), с которого происходит оплата, имеет свой набор уникальных признаков или отпечаток (fingerprint). Эти признаки могут включать в себя тип и модель устройства, операционную систему и ее версию, браузер, разрешение экрана, IP-адрес и другие параметры.

Банк, который выпустил карту клиента, может собирать эти данные при каждой онлайн-оплате и анализировать их на предмет риска мошенничества. Если банк распознает устройство клиента как основное или доверенное, то он может провести оплату без дополнительного подтверждения. Если же банк обнаружит какие-то подозрительные отклонения или несоответствия, то он может запросить дополнительную аутентификацию с помощью СМС-кода или другого способа.

Идентификация по устройству реализована в рамках новой версии протокола безопасности 3D Secure 2.0, который используется при онлайн-оплатах по картам международных платежных систем Visa, Mastercard, American Express и других, а также отечественной платежной системы «Мир». Протокол 3D Secure 2.0 предусматривает два сценария подтверждения оплаты: с СМС (challenge) и без СМС (frictionless). Первый сценарий применяется, когда банк не может распознать устройство клиента или считает операцию рискованной. Второй сценарий применяется, когда банк уверен в том, что операция совершается легитимным владельцем карты с его основного устройства.

Как перейти на новую технологию

Для того чтобы пользоваться новой технологией идентификации по устройству, клиенту не нужно ничего делать — все зависит от банка, который обслуживает его карту. Банк должен поддерживать протокол 3D Secure 2.0 и настроить систему риск-анализа для определения уровня доверия к устройству клиента. Банк может делать это самостоятельно или с помощью НСПК, которая предоставляет такую услугу как оператор платежной системы «Мир».

НСПК внедрила новую технологию идентификации по устройству еще в 2022 году и предлагает банкам перейти на нее как можно скорее. Для этого НСПК с октября 2023 года введет для банков комиссию за отправку СМС-сообщений с кодами подтверждения онлайн-оплаты. Комиссия составит 20 копеек за каждое сообщение для банка-эмитента (выпустившего карту) и для банка-эквайера (обслуживающего интернет-магазин), если оплата происходит через браузер. Если оплата происходит через мобильное приложение, то комиссия будет 10 копеек. Максимальный размер комиссии ограничен 2,5 миллиона рублей в месяц для каждого банка.

Таким образом, НСПК хочет стимулировать банки к отказу от СМС-кодов и переходу на frictionless-сценарий, который, по мнению НСПК, выгоднее для банков за счет отсутствия комиссий и удобнее для клиентов за счет упрощения и ускорения процесса оплаты. Кроме того, НСПК утверждает, что frictionless-сценарий повышает безопасность онлайн-платежей за счет комплексной оценки уровня рисков операции на основе данных, которые передаются торгово-сервисным предприятиям (интернет-магазинам).

Какие преимущества и недостатки имеет frictionless-сценарий

Технология идентификации по устройству имеет свои преимущества и недостатки как для банков, так и для клиентов. Для банков преимущества заключаются в том, что они смогут сэкономить на комиссиях за СМС-сообщения, которые введет НСПК, а также повысить лояльность клиентов за счет упрощения и ускорения процесса оплаты. Кроме того, банки смогут лучше защитить своих клиентов от мошенничества, используя более точные и надежные данные об устройствах клиентов.

Для клиентов преимущества новой технологии в том, что они не будут зависеть от наличия и качества связи при получении СМС-сообщений, а также не будут тратить время на ввод кодов подтверждения. Клиенты также смогут чувствовать себя более защищенными, зная, что их устройство уникально идентифицируется банком.

Недостатки новой технологии также можно найти для обеих сторон. Для банков они связаны с необходимостью внедрения и поддержки нового протокола 3D Secure 2.0, а также с риском потери доверия клиентов, которые могут не понимать или не доверять новому способу аутентификации. Банки также должны быть готовы к возможным ошибкам или сбоям в системе распознавания устройств, которые могут привести к невозможности провести оплату или к несанкционированному доступу к картам клиентов.

Для клиентов недостатки новой технологии заключаются в том, что они могут потерять контроль над своими платежами, если их устройство будет украдено или скомпрометировано. Клиенты также могут столкнуться с проблемами при смене или обновлении устройства, если банк не сможет его распознать или потребует дополнительной аутентификации. Клиенты также могут испытывать дискомфорт или недовольство от того, что банк собирает и анализирует данные об устройствах без их явного согласия.

Как отказ от СМС-подтверждения повлияет на наш опыт онлайн-платежей

Технология идентификации по устройству может значительно изменить наш опыт онлайн-платежей в ближайшем будущем. С одной стороны, она может сделать наши платежи более быстрыми, удобными и безопасными, освободив нас от необходимости получать и вводить СМС-коды. С другой стороны, она может вызвать непонимание, недоверие или негативную реакцию у некоторых клиентов, которые привыкли к старому способу аутентификации или беспокоятся о своей конфиденциальности.

В любом случае, новая технология не будет единственной или обязательной для всех банков и клиентов. Банки будут поддерживать оба сценария подтверждения оплаты – с СМС и без СМС, в зависимости от своей политики безопасности и предпочтений клиентов. Клиенты также получат выбор, какой способ аутентификации использовать, в зависимости от своего устройства, типа операции и уровня доверия к банку.

Таким образом, технология идентификации по устройству является перспективным и инновационным решением для онлайн-платежей, но ее внедрение и распространение будут зависеть от многих факторов, таких как техническая готовность банков, осведомленность и лояльность клиентов, а также законодательное регулирование и стандартизация в этой области.