Чиповая карта как устроена. Зачем вам чип?: Чиповые карты

Не верьте, когда вам будут рассказывать, что уже через пару-тройку лет все расчетные (пластиковые) карты в мире будут нести в себе электронный чип. Дай бог уложиться лет в десять. И если для банковской системы это революционная смена технологий: они смогут наконец надежно защититься от мошенничества, – то что это даст нам, рядовым потребителям? Похоже, что на первых порах ничего. Впрочем, чтобы разобраться во всем, придется заглянуть далеко назад, в историю вопроса. Зачем вообще появились платежные системы, как они работают сегодня и что изменится с появлением чиповых смарт-карт?

Корень зла

Наличные деньги – это зло. Не в метафизическом, но вполне в реальном смысле. Это зло для торговцев – магазинов и ресторанов, потому что обработка денег стоит… денег! Нужны кассы и кассиры, требуется содержать охрану, не обойтись без технологий перемещения наличности из касс в особые хранилища, обязательна инкассация, которая требует страховать перевозимую наличность, в банке придется заплатить процент за пересчет купюр. К тому же наличные деньги подделывают, что тоже нужно учитывать как возможный убыток. Все это обходится торговцам ни много ни мало от 6 до 10% от суммы выручки. Не говоря уже о таких «прелестях», как проблема мелочи на сдачу.

Наличные – не меньшее зло и для покупателя. Его могут ограбить и даже убить просто потому, что преступник заметит в его кошельке крупную сумму денег. Вдобавок деньги занимают много места, пачкаются, несут на себе вредных микробов (или что похуже), рвутся и вообще совершенно непрактичны.

Тут-то и возникают пластиковые расчетные карты. И хоть появились на свет они как «кредитные» (об этом – в другой раз), основная функция таких карт на сегодня – именно расчетная.

Как же это работает

Немногие задумываются, что же происходит между моментом, когда покупатель протягивает кассиру свою пластиковую карту, и моментом, когда он покидает магазин. А происходит довольно масштабная и любопытная финансовая операция. Рассмотрим ее подробнее, но сразу заметим: это не учебник, задача описать все детали нами не ставилась.

Прежде всего, нужно усвоить, что карту выдает банк, банку она и принадлежит. Банк, который выдал вашу карту, называют банком-эмитентом (issuer). Логотип VISA/ MasterCard на пластике – всего лишь признак принадлежности карты к той или иной платежной системе. А она, платежная система, даже не знает, кто вы такой и какое имя записано на карте. Для нее покупатель – всего лишь номер, который она доносит от торговца до банка-эмитента.

Кассир смотрит на карту и пытается установить, принадлежит ли она покупателю. Для этого есть разные способы. Но главное – это подпись. Без подписи карта вообще недействительна. Помимо подписи, некоторые банки печатают на карте фотографию владельца. Игорь Голдовский, генеральный директор «СТБ КАРД», рассказал нам, что эта мера в основном психологическая: злоумышленнику психологически сложно пойти в магазин с картой, где не его фото. В реальности на фото почти никогда не смотрят. Еще вас могут попросить предъявить какой-нибудь документ. Здесь очень важно помнить, что попросить-то могут, но вот отказать в обработке карты, даже если документа при себе нет, не имеют права (подробнее – см. врезку).

Затем кассир считывает информацию с карты. Обычно это делается при помощи магнитного считывателя (ридера), но большая часть «читалок» в мире (почти 20 из 28 млн) – механические ручные машинки, которые называются «импринтеры» (это такие платформы, размером примерно 10 на 20 см, с большой ручкой-рычажком).

Считав информацию, кассир пытается получить авторизацию. Результат авторизации (это просто число, специальный код, который означает, что сделка одобрена) и является гарантией того, что торговец получит свои деньги. Выдает это число банк, который обслуживает торговца. Такой банк называют «банкэквайер» (acquirer).

Авторизация

Авторизация бывает двух типов: немедленная (online; к ней относится и голосовая авторизация) и отложенная (это когда сумма транзакции не превышает оговоренный между магазином и банком порог). Если касса оборудована магнитной «читалкой», авторизация происходит немедленно, в реальном времени (то есть online). В крупных магазинах касса всегда подключена к банку и ответ на свой запрос получает немедленно. Однако в мелких магазинчиках связь обычно происходит по модему. Этим и объясняется задержка в пару минут: кассир проводит картой по магнитной «читалке», набирает сумму платежа и ждет, пока модем дозвонится до банка, произойдет авторизация кассового аппарата, обмен данными и ответ. Ну а если телефон занят, приходится ждать, пока он освободится. Во время операции, если присмотреться, на зеленом экране прибора видны все стадии.

В случае ручной машинки с рычажком, авторизацию получают голосом, по телефону. Продавец звонит в свой банкэквайер и называет номер карты, срок ее действия, имя и т. д. Разумеется, это очень плохой с точки зрения безопасности способ: информацию могут подслушать злоумышленники и воспользоваться ею в своих грязных целях.

В ответ на запрос может прийти только «разрешение» или «отказ» (ну и еще некоторые другие команды, которые мы обсуждать не будем). Важно понимать, что ни торговец, ни его банк понятия не имеют, сколько денег на счету у покупателя. Они только знают, достаточно ли их для совершения данной сделки.

Когда информация попала в банкэквайер, в игру вступает платежная система. Здесь VISA и MasterCard ведут себя немного по-разному. У VISA все транзакции идут через систему под названием BASE-1, европейский центр которой расположен в Лондоне. Это группа компьютеров, которая принимает запросы, определяет, куда их требуется направить, и доставляет их, как и ответы.

Преимущество такой системы в том, что существует центр, который «знает» обо всем, что происходит внутри платежной системы.

У MasterCard несколько иначе. Там центр отвечает только за клиринг (взаимозачет), а запрос на авторизацию попадает в IP-сеть BANKnet (наподобие интернета), которая и решает, куда его отправить. Преимущество такого подхода в том, что если и банк-эмитент, и банк-эквайер находятся в одной стране, то запрос идет между ними напрямую, то есть очень быстро. А динамическая маршрутизация в такой сети гарантирует, что запрос все равно дойдет, даже если самый короткий путь между банками недоступен.

Итак, запрос на авторизацию попал в банк-эмитент, то есть в банк, который выдал вашу карту. Там сначала проверяют, достаточен ли ваш open-to-buy-limit (размер кредита, доступного в данный момент владельцу карточного счета). Если денег достаточно, в ответ на запрос отправляется подтверждение, а на вашем счету эту сумму «замораживают» (точнее, уменьшают ваш open-to-buy-limit). Платежная система буднично передает подтверждение в банк-эквайер, который и сообщает торговцу, что все хорошо и сделка состоялась. Затем, в конце расчетного периода (обычно в конце дня), каждый банк-эквайер сдает отчет в платежную систему, которая по результатам всех отчетов производит взаимозачет. Это осуществляется другой частью платежной системы: у VISA – это BASE-2, у MasterCard – это EСCSS (European Common Clearing and Settlement System).

Другой путь

В описанной схеме проходят два сообщения – запрос на авторизацию и взаимозачет. Но в последние годы у компании VISA появился новый способ авторизации и обработки транзакций – VISA SMS (Single Message System). При такой схеме посылается только одно сообщение, и если ответ на него положительный, транзакция считается совершенной. Так работают все банкоматы и некоторые торговцы. У MasterCard подобной системы нет.

Польза от платежных систем

Зачем же нужны платежные системы? Ведь банки могли бы договориться между собой и делать все операции сами. На самом деле, так и происходит. Фактически, и VISA, и MasterCard – это всего лишь координаторы и инструмент передачи доверия. Ведь никакие деньги через них не проходят. Просто все знают, что есть две глобальные организации, которым можно доверять финансовые дела. Они гарантируют как торговцам, так и покупателям, с одной стороны, что магазин – именно тот, за кого себя выдает, а с другой – что торговец получит деньги в любом случае, даже если банк-эмитент (то есть банк, выдавший карту) разорится.

Имея такой почти что вселенский охват, платежные системы могли бы сделать и многое другое (цифровые деньги, к примеру), но они осторожны и неторопливы: в любом случае их основной бизнес не должен страдать.

Где же бизнес?

Действительно, на чем же зарабатывают платежные системы? Покупателю совершенно все равно, чем платить – «наличкой» или картой. Категорически запрещено устанавливать разные цены в зависимости от способа оплаты; это называется «дискриминация платежной системы», и банк запросто может лишиться лицензии на операции с «пластиком» за такие фокусы (подробнее – см. врезку).

VISA и MasterCard зарабатывают на гигантском объеме транзакций. Для начала, каждый запрос на авторизацию стоит очень маленькую, но все же денежку (в MasterCard мне назвали цифру «сотые доли цента за 1000 запросов», VISA отказалась от комментариев). Затем платежная система берет от 0,9 до 1,7% от суммы каждой состоявшейся операции. Процент зависит от типа транзакции (отложенные транзакции более рискованные) и ряда других моментов. Например, в случае покупки на сумму $1000 банкэквайер получит от $991 до $983. Но и у банка есть свой интерес, и он накручивает на это 11,2%. Таким образом, комиссия для торговца составит уже 1,9-2,9%, то есть он получит не $1000, а от $981 до $971. Большая комиссия? А теперь вспомните, сколько стоит обработка наличных денег. Это уже 6-10%. Так что работать с картами, безусловно, выгоднее для всех. Как утверждают специалисты, средняя комиссия за транзакцию для банка составляет не более 10 центов.

Особенности

Существует два типа карт. Их называют paynow и pay-later. К первой группе относятся карты типа Maestro и Visa Electron. Эти карты хороши тем, что они работают только с электронной авторизацией и потратить по ним больше, чем у вас есть, невозможно. К тому же даже в случае кражи вы просто звоните в банк и блокируете такую карту. Такие карты, по идее, непригодны для CNP-транзакций (Car Not Present – когда карты физически нет), поэтому по ним невозможно ничего купить в интернете и по телефону (тут бывают исключения – скажем, VISA вообще не умеет различать карты paynow и pay-later).

Ко второй группе относятся все остальные карты – это MasterCard Mass/Gold, Visa Classic/Gold и т. п. Эти карты позволяют делать небольшие покупки, даже если связи с банком нет.

«Умные» карты

«Не так страшен черт, как его малюют», – говорят специалисты о масштабах мошенничества с пластиковыми картами в мире. Он не превышает 0,08% от оборота и не представляет проблемы с финансовой точки зрения (банки дежурно теряют 35% при кредитовании). Проблема с доверием к платежной системе как таковой. Поэтому VISA и MC переводят всех на чиповые (смарт) карты. Назначен даже срок – с 1 января 2005 года в системе MasterCard и с 1 января 2006 года в системе VISA произойдет так называемый «liability shift». Что это такое, нам подробно рассказал Игорь Голдовский. Допустим, банк-эмитент выпустил чиповую карту. Ее украли и совершили покупку в магазине, где терминал был нечиповым. В этом случае убытки несет не банк-эмитент (как произошло бы сегодня), а банк-эквайер, потому что он не обеспечил установку оборудования для приема смарт-карт. Так что, вероятно, почти все терминалы станут-таки чиповыми, а вот карты – не обязательно.

Но дело это отнюдь не дешевое, так что платежным системам нужен был стимул, чтобы заинтересовать банки в таком переходе. Все началось в 1970 году, когда японец – доктор Кунитака получил первый и единственный патент на концепцию смарт-карт. Потом, в 1974 году, Роланд Морено получил патент на собственно смарт-карту. Затем, в конце 1994 года, был придуман стандарт EMV (расшифровывается как EuroPay, MasterCard, VISA). Была создана компания EMV-co (www.emvco.com), которая сертифицирует терминалы для приема чиповых карт на соответствие стандарту. С тех пор EuroPay слился с MasterCard, но название не изменили. EMV – стандарт, который определил «железные» (аппаратные) спецификации на чиповые карты. Помимо информации, которая записана на магнитном слое обычных карт, туда попала, например, и сумма на счету клиента. Это полезно для мелких offline-транзакций (например, на парковке, в автомате «Кока-колы», в фастфуде и т. п.), которые, тем не менее, стали теперь защищенными. Но это детали. Главное – был разработан стандарт, что обеспечило аппаратную совместимость чиповых карт MC и VISA. Это необходимо для того, чтобы торговцу не приходилось покупать два разных устройства для работы с обеими платежными системами. Но вот дальше аппаратной совместимости дело не пошло. То есть, сегодня смарт-карту от VISA и смарт-карту от MasterCard можно вставить в одно и то же устройство, и оно сможет с ними «общаться», но только на аппаратном уровне. На сегодня у VISA свои «приложения» (VSDC), а у MC – свои (M/chip). Почему это неудобно, мы расскажем чуть позже.

Какая нам польза

Что же нам, конечным потребителям, дают чиповые карты? В стандарте расписано все так, что хочется сразу позвонить в банк и потребовать себе смарт-карту. Но торопиться не стоит: большая часть из этого – маркетинговые сказки.

В смарт-карте банк может определить степень доверия к данному клиенту. Скажем, до суммы $50 можно авторизовать offline, до $150 можно не спрашивать PIN, до $300 можно не спрашивать удостоверение личности. Но это пока не сделано.

Можно занести в смарт-карту данные о программах «постоянный клиент». Например, у автора 26 разных пластиковых карт, которые выдали ему магазины, рестораны, клубы проката DVD, авиалинии, аптеки и другие организации. И это не считая банковских карт. Вместо всех 26 карт у него могла бы быть одна банковская карточка, в которой были бы «приложения» с информацией о членстве в той или иной системе скидок и бонусов. Но тут мы возвращаемся к уже описанной проблеме – «приложения» VISA и MC несовместимы. При этом сеть магазинов обычно договаривается с одной из платежных систем, но не с обеими. Так что придется таскать уж как минимум две карты (VISA и MC).

На сегодня крупнейшая такая программа реализована компанией MasterCard в Турции. Там несколько крупных сетей магазинов объединили свои бонусные программы и договорились с MC. В результате у 7 млн турок сегодня в кармане карта MC, которая в то же время является бонусной картой. В VISA нам не смогли рассказать ни о чем подобном.

Конкуренция

Андрей Тарусов, вице-президент MasterCard по новым технологиям, ответил на вопросы «ПМ». Интересовало нас, в частности, следующее. MC есть практически везде. Почему компания не вышла со своим предложением на рынок цифровых денег, ведь таким образом они могли бы сильно ускорить отмирание бумажных денег как таковых? Андрей подчеркнул, что бизнес компании MasterCard – в обработке запросов на авторизацию и транзакций и компания не заинтересована в несвойственных основному бизнесу проектах. Поэтому приобретенная в середине 1990-х система электронных денег MONDEX (www.mondex.com) не получила развития. Еще он подчеркнул, что цифровые деньги, одноразовые номера карт для работы и интернете, проведение микроплатежей при помощи сотового телефона – все это полумеры и только повсеместное введение смарт-карт будет универсальным решением большинства сегодняшних проблем в этой области.

А вот VISA активно развивает направление цифровой наличности. У нее есть проект VISA CASH, представляющий собой электронный кошелек, в котором хранятся настоящие цифровые деньги. К сожалению, получить развернутые комментарии от технических специалистов представительства компании VISA нам не удалось. Нам сказали только, что в регионе Восточной Европы карты VISA CASH не эмитируются ввиду низкой распространенности соответствующего оборудования.



Июнь 2003
Автор: Евгений Богорад