В профессиональном сообществе и в медиа вокруг цифрового рубля прочно обосновались два манящих представления.
Тимур Аитов, член Совета ТПП РФ по финансовому рынку и инвестициям, председатель комиссии по безопасности финансовых рынков
Первое: офлайн-режим сделает ЦР удобной заменой наличным – чиркнул телефоном, и деньги ушли, а внешняя сеть при этом не нужна. Второе: появятся «холодные» кошельки, позволяющие хранить цифровые рубли с той же степенью автономности, что и криптовалюту в Ledger или Trezor. Регулятор эти перспективы комментировать не торопится, но дорожная карта и архитектура платформы говорят сами за себя.
Почему эти два сценария – или не слишком близкая перспектива, или вообще концептуальный нонсенс.
Когда подключат офлайн: как это будет работать?
Цифровой рубль в офлайн режиме – не просто платежи «когда нет интернета», функционал их гораздо шире . Представьте – когда вы касаетесь смартфоном смартфона продавца, то деньги переходят к нему мгновенно. Никакого процессинга, ожидания подтверждения от банка или ЦБ, никакой связи с центром. Это выглядит как передать купюру, только безналично. Для транспорта, платных дорог, очередей в кафе – это революция. Однако реализация офлайн-функционала остается технически сложной задачей, сроки ее внедрения неоднократно корректировались. Изначально предполагалось, что к 2025 году мы получим работающий продукт с полным набором опций. Затем дедлайн сместили на сентябрь 2026-го. А в октябре прошлого года Эльвира Набиуллина расставила новые приоритеты: сначала бюджетные выплаты, смарт-контракты и трансграничные расчеты. Офлайн, как уточнила зампред ЦБ Зульфия Кахруманова, уходит на «более поздний этап». Насколько поздний – пока вопрос риторический. Но с учетом этих корректировок ждать офлайн в ближайшие несколько лет точно не стоит. Но и когда функция появится, она не будет соответствовать бытовому представлению о переводе «с телефона на телефон».
Двухступенчатая механика
Офлайн-перевод в концепции регулятора – не классическая P2P-транзакция («из кошелька в кошелек»), а транзакция с двумя этапами:
- сначала устройства обмениваются данными (по NFC или Bluetooth), фиксируя платежное обязательство.
- затем идет фактическое списание – уже после выхода устройств (или хотя бы устройства плательщика) в сеть.
Цифровые рубли физически находятся на платформе регулятора и перемещаются между кошельками исключительно в ее периметре. В офлайн актив не передается – происходит лишь резервирование суммы под обещание заплатить. Вся схема напоминает авторизацию в карточном процессинге: сумма первоначально блокируется на счете, гарантируя продавцу оплату, но реальное списание происходит позже. Тем не менее, говорить, что расчеты оказываются неокончательными, неверно. Продавец, получив рубли, может тут же их потратить (например, купить товар у другого продавца), и тоже офлайн. По сути, продавец получает увеличение лимита офлайновых платежей – поэтому может что-то купить. Но ЦР в свой кошелек он уже получит только после подключения к сети и передачи в платформу запроса на получение цифровых рублей с покупателя.
Безопасность и цена кошелька
Почему ЦБ не форсирует офлайн? Потому, что офлайн-платеж нетривиальная задача в плане ИБ. По сути, в момент транзакции офлайн-кошелек работает как изолированная система, «доверяющая» самой себе: все ограничения сумм платежей у нее четко обозначены. А теперь представьте, если этот умный кошелек «поломали»? Что мешает хакеру заставить кошелек считать, что на счету миллион, хотя в кошельке всего 100 рублей? Такая подмена позволит хакеру расплачиваться несуществующими деньгами. Эмиссии новых денег как таковой не будет, но при взломе вместо новых рублей будут эмитироваться необеспеченные обязательства плательщика – этого хакеру вполне достаточно. Ясно, что сумма выполненных платежей (обязательств) у взломанного кошелька всегда будет больше реальных средств на платформе: но это обнаружится позже, когда телефон выйдет в онлайн и попытается синхронизироваться. Для регулятора это кошмарный сценарий и действенный способ помешать этому – отозвать ключи (внести их в специальный стоп-лист CRL), но и это срабатывает не всегда и не очень быстро.
Как надежно предотвратить такие сценарии? Просто хранить ключи в памяти смартфона, очевидно, нельзя – память читается. Использовать SIM-карту как защищенный элемент технически можно, но это путь к последующим хлопотам: чтобы банковское приложение получило доступ к SIM как к хранилищу, банку придется договариваться с каждым мобильным оператором (MNO) отдельно.
В идеале лучше всего встроенный защищенный элемент (eSE), сертифицированный по требованиям EMVCo. И обязательно – доверенная среда исполнения (TEE) на самом смартфоне, изолированная от его мобильной ОС: iOS или Android.
Все указанные доработки в плане ИБ и делают защиту дорогой. Не всякий смартфон среднего сегмента даже аппаратно ее «потянет» , а до массового и дешевого решения пока далеко.
Если же гипотетически представить, что такой аппаратный модуль будет создан, то он обеспечит революционные возможности. Он позволит разделить функции эмиссии и хостинга цифровых рублей, перейдя от полностью централизованного хостинга на платформе ЦБ к распределенному хостингу на множестве этих независимых устройств – включая и мобильные, и персональные. Станет технически возможным выполнять переводы в режиме подлинно «цифровых наличных», используя прямые P2P-транзакции между кошельками на разных устройствах. Такие транзакции будут иметь не «двухфазную», а моментальную завершенность и не потребуют участия эмитента в лице ЦБ – ни в момент перевода, ни впоследствии. Подчеркнем, что цифровые кошельки и сами токены владельца должны хостится именно на этом устройстве владельца в защищенном модуле.
«Холодный кошелек»: невозможность по определению
Если с офлайн-платежами вопрос хотя бы в сроках и сложности, то с «холодным хранением» все конкретнее. Здесь ждать просто нечего – концепция противоречит природе цифрового рубля. Напомним, в криптоиндустрии холодный кошелек (Ledger, Trezor) – это устройство с приватными ключами, которое может годами лежать в сейфе в изоляции от сети. Владелец полностью контролирует активы: никто не заблокирует транзакцию, не заморозит средства, не наложит ограничения. Правило «Not your keys, not your coins» работает безоговорочно.
Цифровой рубль построен на прямо противоположных принципах – у него торжество централизации:
- кошельки находятся на платформе ЦБ, пользователь получает доступ через интерфейсы банков, и сам кошелек с платформы не извлечь.
- у пользователя нет приватных ключей, а вместо них привычные стандартные методы аутентификации и все под контролем регулятора: никаких приватных ключей, которые можно было бы «положить в холодильник», у владельца просто нет.
- Банк России не только отслеживает транзакции, но и может их блокировать, так с 23 февраля 2025 года действуют правила «периода охлаждения» для переводов в цифровых рублях. Контроль средств (охлаждение, антифрод, и т.П.) находится в руках ЦБ и если что не так, то средства не будут перемещены, даже если транзакция подписана клиентом.
Максимум, на что могут рассчитывать энтузиасты крипты в реальности, – это специализированные защищенные устройства: смарт-карты, токены, возможно, отдельные гаджеты с NFC. Но их функция будет принципиально иной, нежели у крипто-кошельков:
- это будет либо усиленный фактор доступа, аппаратный ключ для входа на платформу ЦБ (аналог 2FA).
- либо лимитированный носитель для офлайна: цифровая «заначка» с заранее загруженным балансом, которую можно потратить без связи. Как карта с хранимым балансом, которую нужно «перезаряжать» через интернет.
Все это не холодное хранение. Это платежный инструмент, работающий строго в парадигме централизованной системы. Он не дает суверенитета над активами – только удобство доступа.
Вместо резюме
Крипто-энтузиасты ждут от цифрового рубля ярких и привлекательных сценариев: заплатил в метро без связи, спрятал рубли на флешку от налоговой и т.п.. Регулятор пока предлагает иное: полностью контролируемую среду с централизованным учетом, где офлайн – лишь временная отсрочка расчетов, а холодное хранение исключено технически.
По срокам офлайн-кошелек появится вероятно не раньше чем через 3–5 лет, и работать будет по двухфазной схеме. В всех трансформациях цифровой рубль останется фиатным активом на платформе, а не «криптой от государства». И чем раньше профессиональное сообщество это осознает, тем меньше будет разочарований.
.
👉 Подписывайтесь на канал Finversia на платформах YouTube, Telegram, Rutube и ВКонтакте.