Найти в Дзене
Финансы. Достоверно о важном
1593 подписчика

Говорит Банк России: определены правила безопасного использования QR-кодов

54
5 мин
QR-коды для оплаты товаров и услуг стали использовать в начале 2000-х годов. Родившаяся в Японии технология сначала завоевала Китай, потом пересекла океан и стала популярна в Америке. В 2019 году возможность оплачивать QR-кодом появилась в нашей стране. После введения санкций куаринг стал активно распространяться. По сути, это была единственная альтернатива банковским картам. Оплата по QR вошла в повседневную жизнь. Пионером куаринга в России была Система быстрых платежей – сервис Банка России и Национальной системы платёжных карт. Оплата по QR-коду привлекла бизнес низкими тарифами, удобством и простотой решений. QR-коды заняли свою нишу, появившись в кассах, терминалах и приложениях. В будущем доля платежей по QR-коду будет только расти, предрекают эксперты, поскольку система имеет ряд преимуществ перед банковскими картами. QR-код – формат, позволяющий платить в один клик только с помощью смартфона. До недавнего времени СБП была единственным ресурсом, с помощью которого можно было оп
Оглавление
Фото от Freepik
Фото от Freepik

QR-коды для оплаты товаров и услуг стали использовать в начале 2000-х годов. Родившаяся в Японии технология сначала завоевала Китай, потом пересекла океан и стала популярна в Америке. В 2019 году возможность оплачивать QR-кодом появилась в нашей стране. После введения санкций куаринг стал активно распространяться. По сути, это была единственная альтернатива банковским картам. Оплата по QR вошла в повседневную жизнь.

Пионером куаринга в России была Система быстрых платежей – сервис Банка России и Национальной системы платёжных карт. Оплата по QR-коду привлекла бизнес низкими тарифами, удобством и простотой решений. QR-коды заняли свою нишу, появившись в кассах, терминалах и приложениях. В будущем доля платежей по QR-коду будет только расти, предрекают эксперты, поскольку система имеет ряд преимуществ перед банковскими картами.

Взгляд в будущее

QR-код – формат, позволяющий платить в один клик только с помощью смартфона. До недавнего времени СБП была единственным ресурсом, с помощью которого можно было оплачивать по QR-коду. На долю СБП по-прежнему приходится самый большой объём платежей. Сейчас в России с QR-кодами работают несколько платёжных систем: «Мир», «Плати QR» (детище Сбербанка). Постепенно присоединяются и другие банки.

В октябре 2024 года Банк России сообщил о намерении внедрить универсальный QR-код, который позволит принимать все виды платежей, включая платёжные решения банков (pay-сервисы), СБП, а в перспективе и цифровой рубль.

Новые игроки – новые технологические регламенты. А каждый регламент должен быть безопасным, считает финансовый регулятор. Именно поэтому возникла необходимость систематизировать угрозы и разобрать платёжный механизм «до винтиков», чтобы минимизировать риски на каждом этапе.

Оплата по QR-коду: в чём суть

Существуют четыре вида QR-кодов, но разделяются они на два главных подвида в зависимости от того, с чьей стороны сформирован код – продавца или покупателя. Со стороны плательщика можно создать либо код с реквизитами, либо со ссылкой на ресурс для совершения перевода денежных средств. Со стороны получателя это может быть код с платёжными реквизитами или код с платёжной ссылкой. Процесс оплаты – сценарий, по которому действуют обе стороны, и их всего два: статический и динамический.

Как проходит покупка при использовании статического сценария

Продавец называет стоимость покупки. Покупатель с помощью приложения мобильного банка должен считать QR-код на кассе или со стикера, а после ввести необходимую сумму и подтвердить платёж. Когда продавец получит подтверждение об оплате через уведомление от банка или специальную программу, установленную на кассовом аппарате, должен распечатать чек.

При статическом сценарии код формируется единожды и содержит реквизиты продавца – информацию о банке и счёте получателя средств.

Как проходит покупка при использовании динамического сценария

Продавец, отсканировав товар, выбирает безналичный вариант оплаты, и кассовая программа формирует QR-код с нужной суммой. Покупатель видит этот код на экране кассы или дисплее терминала. Затем подтверждает оплату с помощью мобильного приложения банка. После этого продавец распечатывает чек.

При динамическом сценарии код формируется для каждой покупки и содержит информацию не только о счёте продавца, но и о стоимости товара или услуги.

Каждый сценарий оплаты имеет преимущества и недостатки. Для статического, к примеру, не требуется дополнительное оборудование – код можно даже распечатать. Но покупателю придётся вводить сумму самостоятельно, что может затянуть процесс и не исключает ошибок. Динамический сценарий проще для покупателя: всё уже сделано за него, но требуются дополнительные технические возможности, а также бесперебойный Интернет.

Как не потерять деньги

В существующих сценариях регулятор отметил ряд угроз. Основные из них:

  • подмена;
  • неконтролируемая передача запросов;
  • включение в код избыточных данных, в том числе конфиденциальных;
  • повторное проведение перевода;
  • внедрение вредоносного кода;
  • фишинг (перенаправление на сторонний сервис).

Таким образом, ошибки, взломы, атаки могут менять процесс – от этапа генерации кода до проведения платежа, а значит, и его результат. Банк России предлагает усилить меры безопасности.

На этапе формирования и генерации кода требуется контроль – начиная с заполнения всех полей запроса и использования защищённых каналов до проверки полномочий и определения лимита запросов на формирование кодов.

При предоставлении QR-кода важно применять механизмы, обеспечивающие защиту алгоритмов преобразования кода в графический вид. Также необходимы:

– идентификация и аутентификация устройств;

– установка запрета на снимок экрана, где размещено изображение QR-кода;

– контроль на предмет дублирования запросов;

– ограничение возможности передачи запросов на активацию ресурса, куда ведёт код или платёжная ссылка.

При сканировании важно избегать подмены кодов другими. Плательщик должен понимать, сколько и за что он платит, поэтому важно отражение всех необходимых реквизитов для этого. А ещё на всех этапах следует придерживаться простого правила – использовать средства защиты устройств.

Человеческий фактор

Риски при оплате QR-кодом появились практически сразу с зарождения технологии. Эксперты выделяют два основных типа:

  • заражение устройства вредоносной программой (если код сгенерировали мошенники);
  • использование фальшивого кода для оплаты (актуален при статическом сценарии).

Чтобы не стать жертвой злоумышленников, необходимо придерживаться простых правил при оплате:

  • не сканировать QR-коды, полученные из подозрительных источников;
  • проверять статический код перед сканированием (не наклеен ли один поверх другого);
  • регулярно обновлять антивирусную защиту.

Максимально обезопасить оплату QR-кодом на всех этапах в интересах всего финансового рынка, ведь доля таких платежей будет расти, особенно в секторе товаров и услуг. Некоторые банки предлагают кешбэк за оплату кодом, а для предпринимателей эквайринг при куаринге в разы ниже.

QR – быстрая, перспективная, развивающаяся технология, но она не идеальна. Довести её до совершенства поможет постоянное обновление рекомендаций, предупреждающих возможное возникновение угроз, цифровая грамотность пользователей и чёткое понимание того, что в мире финансов не бывает мелочей.

Тоже может быть полезно:

Говорит Банк России: как продавать финансовые продукты в дистанционных каналах

Говорит Банк России: введён в действие стандарт защиты прав и законных интересов ипотечных заёмщиков

Говорит Банк России: граждане должны знать об особенностях и рисках ПДС и ДСЖ

Говорит Банк России: утвержден перечень системно значимых кредитных организаций

Говорит Банк России: вышло новое издание о системе кредитной информации

Говорит Банк России: какую информацию компании вправе закрывать?

Потребительские права
163,8 тыс интересуются