ЦБ утвердил новый стандарт, который устанавливает правила безопасного использования QR-кодов для платежей и переводов. Документ носит рекомендательный характер и вступит в силу 17 февраля. Он предназначен для банков, платежных систем, финансовых организаций и разработчиков платежных приложений, которые смогут использовать его в качестве основы для собственных мер защиты.
В стандарте подробно описаны типы платежных QR-кодов, механизмы их создания и сценарии использования, пишут «Ведомости».
Выделяется четыре основных вида кодов: 1) платежный QR с реквизитами плательщика, формируемый им самим , содержит информацию для переводов, 2) код с реквизитами получателя, формируется получателем/поставщиком платежного QR-кода, содержит данные, необходимые для перевода денежных средств или платежные реквизиты получателя, 3) с платежной ссылкой плательщика, 4) с платежной ссылкой получателя (3 и 4 - ссылку формирует поставщик QR и перенаправляет на сайт с данными, необходимыми для платежа).
Также определены два режима применения кодов: динамический QR, который создается для разовой операции, и статический – используемый многократно для регулярных платежей.
Центробанк проанализировал возможные угрозы, возникающие при использовании QR-кодов, и предложил меры защиты. Среди рисков – изменение платежных данных, подмена кода, его несанкционированное дублирование, атаки фишинга, вредоносное ПО и утечка конфиденциальных сведений. Для предотвращения этих угроз регулятор рекомендует проводить проверку целостности данных, использовать зашищенные каналы связи, контролировать соответствие платежных реквизитов, а также ограничивать включение в QR-коды избыточных персональных данных.
Для операций в банкомате по QR-коду также рекомендованы отдельные меры защиты.
В Дом.РФ отметили, что такие платежи удобны и экономичны, а создание единого стандарта позволит повысить доверие к этому способу расчетов. Представитель ВТБ добавляет, что документ станет важным шагом в унификации QR-платежей и обеспечит их более безопасное и удобное использование.
QR-платежи без монополии: «Сбер», «Альфа» и Т-банк предлагают ЦБ сохранить конкуренцию
Напомним, в конце 2024 года в Госдуму был перевнесен законопроект о внедрении универсального платежного QR-кода, который закрепляет за Национальной системой платежных карт (НСПК) исключительное право регулировать его использование. С 1 января 2026 года банки и платежные системы будут обязаны работать только с универсальным кодом. Также предполагается, что через QR-коды можно будет проводить платежи в цифровых рублях для юрлиц, самозанятых, адвокатов и нотариусов.
В связи с чем банки обеспокоились вопросом конкуренции. Они полагают, что решение поспособствует созданию госмонополии на технологию и прекращению функционирования других способов оплаты по QR-коду.
Т-банк, Сбербанк и Альфа-банк ранее объединились в консорциум для разработки альтернативного QR-кода на базе MultiQR. В конце января консорциум предложил ЦБ объединить свои решения с платформой НСПК, однако решение регулятора пока неизвестно.
Опасения по поводу монополизации высказал и комитет Госдумы по защите конкуренции. Депутаты предложили пересмотреть законопроект и исключить из него положения, наделяющие НСПК исключительными правами.