Изучение платежных систем хотелось бы начать с истории появления денежных переводов.
Несмотря на то, что первые системы денежных переводов появились в мире много столетий назад, в России, согласно Большой советской энциклопедии, пересылка денег по почте была впервые введена только в 1781 году. В XIX веке эта почтовая услуга получила дальнейшее развитие.
В августе 1869 года Рязанская земская управа открыла два земских почтовых пункта: один — в Рязани, другой — в селе Спас-Клепики Мещерского края. В этих пунктах принимали к пересылке денежные суммы до 300 рублей и документы (паспорта, доверенности и пр.). Система денежных переводов была организована следующим образом: из выделенной для переводных операций суммы в размере двух тысяч рублей одна тысяча была выдана земской управе в Рязани, вторая — мещерскому агенту управы в селе Спас-Клепики, земскому врачу Ф. П. Александровскому. При сдаче переводимой суммы агенту требовалось вырвать из учетной книги специальный талон (так называемую «переводную записку», предназначенную для пересылки по почте в адрес получателя перевода). Предъявив переводную записку, получателю выдавали обозначенную в ней сумму. В конце 1869 года, после повторного запрета со стороны Почтового департамента, пересылка денег была прекращена.
Государственная российская почта начала вести операции по переводу денежных средств в 1896 году.
История денежных переводов в их современной трактовке берет свое начало в США. Именно там 150 лет тому назад был изобретен телеграф, который впоследствии стал основой денежных переводов. Так, первый электронный денежный перевод в его современном понимании был совершен посредством телеграфа в США в октябре 1871 года. Эту дату можно по праву считать началом эры электронной коммерции. Интересно отметить, что деятельность платежных систем стала носить трансграничный характер лишь со второй половины XX века. А в Россию, если не принимать во внимание почтовые переводы, услуги по отправке денег пришли с Запада лишь в начале 90-х годов ХХ века.
Отрасль платежных карт зародилась также в США и началась именно с кредитных карт. Первая потребительская кредитная карта была выпущена в 1914 году компанией Western Union Telegraph Company для своих лучших клиентов. Она представляла собой металлическую пластинку. Карта требовала погашения трат с промежутком 1 раз в месяц.
В 1924 году сеть Калифорнийских заправочных станций выпустила первую в мире картонную кредитную карту. Это было серьезное и полезное изобретение. Растущая в те времена популярность автомобилей пробудила желание граждан активно путешествовать, а для этого требовалась возможность оплачивать бензин в любом месте по пути следования.
В 1950 году в Нью-Йорке родилась карта Diners Club. Оригинальность идеи заключалась в следующем: вместо того, чтобы по итогам месяца погашать свои счета в разных ресторанах Нью-Йорка, держатель карты получал сводный общий счет за все посещенные им рестораны и расплачивался по нему.
В то время в мире происходило зарождение отрасли кредитных карт и ее стремительное развитие. Многие банки испытывали свои пилотные проекты. Однако по-настоящему удачным считается запуск в 1958 году банком Bank of America карт BankAmericard, впоследствии переросших во всемирно известную систему Visa.
В нашей стране история платежных карт ведет свой отсчет из эпохи СССР, с 1969 года. На этом этапе в советских реалиях эта отрасль свелась к обслуживанию иностранных карт в нескольких магазинах и гостиницах.
Первым финансовым институтом Visa в СССР стало АО «Интурист». В марте 1988 года в рамках «Интуриста» специально для работы с программой Visa была организована компания «Интуркредиткард». Первые пластиковые карты Visa были выданы членам советской олимпийской сборной, отправившимся на Олимпийские игры в Сеул в сентябре 1988 года.
В 1989 году Сбербанк СССР стал первым участником Visa среди советских банков, а первые карты Visa были выпущены им в 1990 году.
Следует отметить, что большинство пластиковых карт в России являются дебетовыми. В 1998 году в Россию пришла международная платежная система WebMoney, в 2002-м появились Яндекс.Деньги, а в 2007-м — компания Qiwi. Все эти платежные системы являются системами электронных денег, а Qiwi при этом твердо держит звание самой большой сети платежных терминалов в России.
Под угрозой отключения от Международных Платежных Систем (МПС) 29 июля 2014 года Комиссия Центробанка приняла решение создать Национальную систему платежных карт (НСПК). Основная задача НСПК заключается в переносе центра обработки платежей (операционного и клирингового) в Россию с тем, чтобы платежи по Visa, MasterCard и другим МПС обрабатывались внутри страны. И уже с 1 апреля 2015 года платежи внутри России по всем пластиковым картам, включая Visa и MasterCard, проходят через НСПК.
15 декабря 2015 года Банком России и НСПК было объявлено о начале эмиссии платежных карт «Мир». Первыми банками-эмитентами стали Газпромбанк, МДМ Банк, Московский Индустриальный банк, РНКБ, Банк «РОССИЯ», Связь-Банк и СМП Банк. Первую кобейджинговую карту «Мир»-Maestro, которой можно расплачиваться на территории России и за границей, выпустил в декабре 2015 года Газпромбанк.
В конце 2000-х возникла децентрализованная система Битко́йн (англ. Bitcoin) — пиринговая сеть, использующая одноименную единицу для учета операций и одноименный протокол передачи данных. Для обеспечения функционирования и защиты системы используются криптографические методы. Вся информация о транзакциях между адресами системы доступна в открытом виде в интернете.
3 января 2009 года был сгенерирован первый блок и первые 50 биткойнов. Первая транзакция по переводу биткойнов произошла 12 января 2009 года, когда некто Сатоси Накамото (Satoshi Nakamoto) отправил американскому программисту Хэлу Финни (Hal Finney) 10 биткойнов. Первый обмен биткойнов на национальные деньги произошел в сентябре 2009 года — Марти Малми (Martti Malmi) отправил пользователю с псевдонимом NewLibertyStandard 5050 биткойнов, за которые получил на свой счет в PayPal 5,02 доллара. NewLibertyStandart предложил использовать для оценки биткойнов стоимость электроэнергии, затрачиваемой на генерацию.
Первый обмен биткойнов на реальный товар произошел в мае 2010 года: американец Ласло Ханеч (Laszlo Hanyecz) за 10 000 биткойнов получил две пиццы с доставкой.
Несмотря на то, что система Bitcoin, а также другие криптовалюты, базирующиеся на блокчейн-технологиях, в принципе могут использоваться для взаиморасчетов, существуют некоторые проблемы, по моему мнению, мешающие сейчас отнести их к полноценным платежным системам. Проблемы эти вполне реально решить — скорее всего, это и произойдет в ближайшее время, — после чего криптосистемы займут свое, и притом весьма значительное, место на рынке электронных платежей.
Несмотря на то, что во всем мире возникало довольно много платежных систем (таких как PayPal, China UnionPay, JCB и пр.), но революционными, с точки зрения автора, несмотря на приведенную выше оговорку, все-таки являются Visa и Bitcoin. С одной стороны, эти системы принципиально разные, но все же их объединяет общая черта — децентрализация.
Именно Visa создала такую структуру, которая предполагает, что ей владеют все банки-участники, а не некий конкретный банк, и решения принимаются совместно ее участниками. Создатель Visa Ди Хок (Dee Hock) назвал такую структуру хаордической (от англ. — организация, сочетающая в себе элементы и хаоса, и порядка). Любопытно, что именно эта особенность обеспечила столь высокую популярность системы во всем мире. Этот же аспект, по мнению автора, ограничивает развитие таких систем, как Мир, на 100 % принадлежащей Банку России.
Биткойн и последовавшие за ним криптовалюты, развивающие идеи блокчейн-технологии, также являются (в некоторых случаях с оговорками) децентрализованными. При этом, как правило, они оперируют расчетными единицами, не находящимися ни под чьим контролем (в отличие от традиционных платежных систем, работающих с фиатными валютами, эмитируемыми тем или иным государством). В этом присутствуют как несомненные плюсы, так и кроются источники проблем.
Эта книга посвящена платежным системам Visa и MasterCard.
С началом эры банковских карт чековые книжки окончательно остались в прошлом. Развитие компьютерных технологий позволило превратить платеж практически в моментальный. Для организации расчетов банковскими картами необходимо существование определенной инфраструктуры, объединяющей всех ее участников. К такой инфраструктуре относится как техническое оснащение участников, так и стандарты и правила их взаимодействия.
Универсальная карточная платежная система может состоять из следующих участников:
В процессе развития сети Интернет образовалось достаточно большое количество PSP. До недавних пор к ним применялся и другой термин — IPSP (Internet Payment Service Provider). PSP обычно предоставляет торговым точкам возможность принимать карты нескольких платежных систем, а также электронные деньги и другие варианты оплаты. Обычно PSP подключен сразу к нескольким банкам-эквайерам. PSP упрощает процесс регистрации для клиентов, принимая на себя значительную часть бумажной и технической работы, осуществляя техническую интеграцию с банками и предоставляя клиентам единый интерфейс для подключения.
В США изначально кредитные (подчеркиваем, именно кредитные) карты распространяли посредством обычной почты — другими словами, рассылали в конвертах в почтовые ящики адресатов. В погоне за распространением как можно большего количества карт банки отправляли их по адресам из телефонных книг, и иногда дело доходило до абсурда — кредитную карту мог получить малолетний ребенок или даже домашний питомец. Порой карты похищались из почтовых ящиков, причем зачастую этим занимались сами сотрудники почты. В результате банки несли серьезные убытки.
Так продолжалось до 1970 года, до тех пор, пока Конгресс США не издал закон, запрещающий рассылать по почте карты без предварительного разрешения держателя. Статистика отмечает, что в этот период большинство случаев мошенничества сводились к кражам карт из кошельков и карманов.
В 1970 году был издан закон «Title 15 U. S. Code 1644 — Fraudulent use of credit card («О мошенническом использовании кредитных карт»), регулировавший предъявление обвинений в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Однако и эта мера не уменьшила числа мошеннических операций с картами.
Наконец, в 1974 году Конгресс принял «Fair Credit Billing Act» (закон «О добросовестном предоставлении кредитной информации», или «О точной отчетности по кредитам»), который впервые узаконил следующие нюансы:
«Fair Credit Billing Act» считается прародителем chargeback’а . Впоследствии закон трансформировался в правила МПС, а правила обросли многочисленными поправками. Сам же законодатель поступил достаточно мудро, постановив: если банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать сами.
На сайте американской Visa вы можете встретить Visa Zero Liability (принцип «нулевой ответственности»), который гласит: «Вы не несете ответственность за неавторизованное использование Вашей карты. Вы защищены, если Ваша карта потеряна, украдена или используется мошенниками».
В России массовая эмиссия банковских карт началась в 1990-х годах. Забот у банков было предостаточно и без пластиковых карт: кредитные организации занимались торговлей ценными бумагами, затем грянул банковский кризис. Продвижением карт как «безопасного способа оплаты» по этим причинам никто всерьез не занимался.
27 июня 2011 г. вступил в силу закон № 161-ФЗ «О национальной платежной системе», который в 11 пункте статьи 9 «Порядок использования электронных средств платежа» дал клиенту один день на уведомление банка-эмитента о мошеннической операции.
В своей книге «One from Many: VISA and the Rise of Chaordic Organization» (в рус. переводе — «Философия твоей кредитки. История Visa») ее автор Ди Хок сожалеет, что так и не смог приравнять держателей карт к участникам организации Visa и поставить наравне с банками.
Проведем краткое сравнение выполнения правил платежных систем в России и за рубежом.
Patriotic Act («Патриотический акт») США (а точнее, его составляющая International Money Laundering Abatement and Financial Anti-Terrorism Act, «О борьбе с отмыванием денежных средств и финансированием терроризма») существенно изменил мировую финансовую систему, что наложило свой отпечаток на правила платежных систем Visa и MasterCard.
В частности, банк-эквайер должен идентифицировать каждую торговую точку и ее бенефициарных владельцев (процедура носит название KYC — Know Your Customer, «знай своего клиента»).
MasterCard вводит понятие «отмывание транзакций» (Transaction Laundering): те ситуации, в которых одна торговая точка принимает денежные средства в пользу другой. Так, за одним, с виду вполне легальным, сайтом могут быть спрятаны десятки других, торгующих, к примеру, контрафактными лекарственными препаратами.
Обе платежные системы запрещают такое агрегирование в чистом виде и вводят понятие Payment Faciliator (дословно с англ. «упрощение, облегчение платежей») для упрощения работы с небольшими и средними магазинами. Именно Payment Faciliator, по правилам, имеет возможность принимать платежи от имени своих торговых точек. При этом он берет на себя большую часть работы по идентификации и расчетам со своими клиентами, а также несет все риски за них.
Обе платежные системы также пользуются правилом «расположения торговой точки» (Merchant Location), согласно которому эквайер (так же, как и Payment Faciliator) может заключать соглашение на прием денежных средств с компаниями в юрисдикциях, в которых они имеют лицензию (обычно — в стране, где располагается эквайер).
В России все банки-эквайеры имеют лицензию на подключение торговых точек только из России. В Евросоюзе зачастую один и тот же эквайер может обсуживать торговые точки из других стран-участниц ЕС.
С 1988 по 1998 год Visa и MasterCard отчитались о потерях в 750 млн долларов из-за мошеннических операций с картами — эта сумма оказалась мизерной по сравнению с сотнями миллиардов долларов, обрабатываемых компаниями ежегодно. Но все кардинально поменялось с началом эры интернета. Чем больше магазинов подключали свои интернет-сайты к системам приема платежей, тем легче становилось мошенникам получать платежные данные с плохо защищенных систем, манипулируя картами быстрее и проще прежнего.
В октябре 1999 года Visa запустила Cardholder Information Security Program (CISP), систему информационной безопасности для держателей карт. Visa стала первой компанией, разработавшей единый стандарт для торговых точек, принимающих онлайн-транзакции. CISP — первый из числа родоначальников стандарта PCI DSS.
Наступил 2000-й год. По данным CyberSource, потери на онлайн-продажах от карточного мошенничества достигли 1,5 млрд долларов (иными словами, всего за одно десятилетие они утроились). В 2001 году, по данным Visa, уровень мошенничества в онлайне был в 4 раза выше, чем по обычным транзакциям.
Май 2001 года ознаменовался новым событием: Visa и другие карточные бренды приступили к борьбе за исполнение политики безопасности. Выяснилось, что всего лишь несколько компаний в состоянии соответствовать Visa CISP, принятому 1 мая 2001 года. Схожие с этой программой стандарты безопасности оказались менее успешными, в основном из-за отсутствия единого, унифицированного стандарта среди карточных брендов.
В июле 2004 года атаки на веб-инфраструктуру стали угрожающими. В частности, значительным образом распространились атаки против IIS и другого уязвимого программного обеспечения. Злоумышленники находили уязвимые компьютеры и внедряли на них вредоносное программное обеспечение (кейлоггеры и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным — был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей.
В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок.
6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы — совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем.
В 2008 году появился новый стандарт безопасности данных платежных приложений — Payment Application Data Security Standard PA-DSS. Совет PCI SSC анонсировал PA-DSS. Базируясь на лучших практиках Visa, новая дочка PCI DSS была создана в помощь разработчикам программного обеспечения для создания защищенных платежных приложений, которые не сохраняют критичные данные (данные с магнитной полосы, CVV2 и PIN-код).
1 октября 2008 года был выпущен PCI DSS версии 1.2. Основные его нововведения включили в себя обновленные требования для защиты беспроводных сетей Wi-Fi 802.1x и установку антивирусов для всех операционных систем. Стандарт PCI DSS2.0 увидел свет двумя годами позже, в октябре 2010 года. Версия 3.0 появилась в ноябре 2013 года.
Соответствие стандарту на рекордном уровне было зафиксировано в августе 2012 года. Visa сообщила, что соответствие стандарту PCI DSS среди мерчантов первого уровня (Level 1) достигло 97 % — рекордно высокого уровня. Это означало, что крупнейшие мерчанты сделали огромные успехи для увеличения безопасности использования платежных карт.
Для подключения интернет-магазина к платежному шлюзу PSP или банка-эквайера существует два вида взаимодействия:
Большинство интернет-магазинов выбирает первый вариант, оставляя «головную боль» с карточными данными на стороне платежных шлюзов, которые ежегодно проходят аудит PCI DSS.
Выбор второго варианта, более сложного, затратного и связанного с большим риском, может быть оправдан для крупных компаний. Им необходимо проводить значительную постплатежную обработку принятых данных: статистические исследования, анализ данных в целях принятия бизнес-решений и т. д. Для этого необходимо иметь такие данные в собственном распоряжении (в противном случае для каждой выборки компания будет вынуждена обращаться к процессингу), что и требует прохождения их через серверы торговой точки.
Какие риски возникают у пользователей и участников платежных систем Visa и MasterCard? Логично разделить риски на три подгруппы: риски держателей карт, риски банков-эквайеров и риски торговых точек. Я специально вынес в отдельную группу держателей карт, поскольку о них часто забывают, и, как мы уже увидели, в том числе это свойственно российским законодателям.
У держателей карт основной риск сводится к тому, что их денежные средства могут достаться злоумышленникам. Для этого достаточно перехватить данные карточки, поскольку при операциях во многих интернет-магазинах банк-эмитент принимает решение о возможности списать средства со счета клиента без участия последнего. Вероятно, сейчас читатель подумал: «Но ведь существует механизм 3-D Secure, когда плательщик подтверждает свои операции посредством одноразового пароля, полученного от банка через SMS!» Однако система 3-D Secure была разработана в первую очередь для защиты банков-эквайеров от Friendly Fraud (англ. дословно — «дружественное мошенничество»), хотя достаточно часто она преподносится держателю карты как выгодная и предусмотренная для плательщика. Коснемся этого вопроса чуть ниже.
Банк-эквайер несет всю ответственность за свои торговые точки в платежных системах. И если МПС штрафует за, к примеру, продажи запрещенного товара, то штраф списывается с банка-эквайера, а не с интернет-магазина. Разумеется, банк приложит все усилия, чтобы переложить штраф непосредственно на торговую точку, если к этому моменту та еще будет существовать и на ее счетах будут средства. К примеру, в России принято переводить возмещение торговой точке на второй день. Но при этом платежная система рассчитывается с участниками только на третий день. Ведь, по сути, банки-эквайеры кредитуют свои торговые точки. За chargeback’и в первую очередь платит банк-эквайер. Это происходит в случаях, если услуга не была оказана или транзакция прошла без подтверждения ввода держателем карты пароля (3-D Secure).
Как уже упоминалось выше, технология 3-D Secure была разработана для защиты банков-эквайеров (и торговых точек) от Friendly Fraud — для ситуаций, когда держатель карты сам опротестовывал свою же транзакцию. Поскольку законодатель переложил ответственность за мошенничество на банк, выпустивший карту, а платежные системы в конечном счете переадресовали ее банкам-эквайерам, проблема Friendly Fraud’а встала достаточно остро.
Возможно возникновение следующей ситуации: магазин продал товар покупателю, покупатель расплатился картой, а на следующий день банк-эмитент обанкротился. Такие риски в платежных системах компенсируются созданием страхового фонда, куда каждый участник вносит определенные суммы. Следует пояснить, что часть правил, касающаяся депозитов для участников Visa и MasterCard, закрыта для общего доступа. Тем не менее, она прекрасно скопирована системой МИР.
У торговой точки возникает риск неполучения возмещения. Этот риск компенсируется страховыми фондами в самой платежной системе, а дальнейшая судьба зависит непосредственно от «совести» банка или Payment Facilitator, с которым торговая точка подписала договор. При этом величина рисков прямо пропорциональна числу посредников в цепи прохождения денег. Больше посредников — выше риски.
Здесь следует отметить, что PSP в данном контексте обычно не является посредником, поскольку непосредственно в процедуре движения финансовых средств в процессе платежа от покупателя к продавцу, как правило, не участвует, а лишь является информационным шлюзом, обеспечивающим прохождение данных о движении средств между плательщиком, эквайером и торговой точкой. Проще говоря, не существует момента, когда средства, движущиеся от покупателя к продавцу, хотя бы на мгновение оказываются на расчетных счетах PSP. Задача PSP в общем случае заключается в том, чтобы сообщить эквайеру карточные данные покупателя, получить от него подтверждение об успешном списании средств, после чего сообщить торговой точке, что платеж произведен и можно отгружать покупателю товар или оказывать услугу, а покупателю сообщить, что платеж произведен и он может ожидать от торговой точки получения товара или оказания услуги.
Одним из рисков торговой точки является и то, что, как правило, банк-эквайер переадресовывает ей штрафы МПС за нарушение правил платежных систем и за превышение количества chargeback’ов.
Стоимость проведения операций определяет непосредственно платежная система. Эта стоимость может складываться из различных факторов. В начале развития карточной отрасли Visa и MasterCard избрали стратегию, при которой на картах мог заработать как сам эмитент (за то, что выпустил карту), так и банк, проводивший платеж. Стратегия оправдала себя на 100 %. Отчисления эмитенту с каждой транзакции способствовали увеличению объема выпуска карт (эмиссии), а отчисления эквайеру — развитию отрасли приема платежей (эквайринга).
Именно эти две составляющие и определяют стоимость платежей по картам Visa и MasterCard. При этом отчисления эмитенту обычно в разы превышают комиссию, которую зарабатывает банк-эквайер. Комиссия эмитента называется interchange (IF, Interchange Fees). В США Visa и MasterCard раскрыли данные по размерам interchange только в 2006 году после длительных сражений с ритейлерами. В России данные по IF опубликовал только MasterCard.
По всему миру не утихают баталии, которые ведут между собой карточные платежные системы и ритейлеры. Последние постоянно возмущаются непомерно высокими размерами IF. Банки же оправдывают свои решения тем, что им нужно поддерживать инфраструктуру: службу поддержки, офисы, банкоматы. Я никогда не старался подсчитать реальную себестоимость обслуживания карт, но твердо уверен, что от снижения IF выиграют только сами магазины, а не какие-либо другие участники платежной системы. Очевидно, что при снижении IF конечная цена товара для покупателя не изменится. Однако это позволит снизить себестоимость товаров, в которую также закладывается IF, поэтому при ее снижении прибыль магазина вырастет, мерчант останется в выигрыше. В свою очередь, эмитент карт окажется в проигрыше, что снизит его мотивацию на выпуск новых карт. Другими словами, борьба за снижение IF неизменно ведет к серьезным ухудшениям положения дел на рынке карточных платежей.
В 2016 году, после целого месяца переговоров с Visa о снижении IF, торговая сеть Wallmart на 6 месяцев отказалась принимать карты Visa в ряде своих канадских магазинов. По данным, предоставленным Wallmart, сеть выплачивала за Interchange более $100 млн ежегодно. Только в начале 2017 года этот крупнейший мировой ритейл-гигант и Visa пришли к взаимному соглашению.
В России пониженные ставки IF получила компания АШАН.
[1]
[2]
[3]
[4]
[5]