В медиапространстве вокруг цифрового рубля (ЦР) сформировалось два устойчивых мифа, которые буквально кочуют из статьи в статью. Первый: офлайн-режим без особых проблем сделает ЦР удобной заменой наличным. Второй: «холодные» кошельки (ХК) позволят хранить ЦР с той же степенью автономности, что и криптоактивы. Регулятор не торопится комментировать иллюзии, но дорожная карта и архитектура платформы говорят сами за себя, считает Тимур Аитов, член Совета ТПП РФ по финансовому рынку и инвестициям, председатель комиссии по вопросам безопасности финансового рынка, руководитель Центра компетенций «Цифровизация финансовых технологий».
«Двухступенчатый» офлайн
Офлайн-функционал ЦР в текущем виде возник, возможно, не сразу – он не прост. Предполагалось, что к 2025 году мы увидим работающий продукт с полным набором опций. Затем дедлайн сместился на сентябрь 2026-го. А прошлогоднее октябрьское выступление главы ЦБ Эльвиры Набиуллиной расставило точки над i: в приоритете оказались бюджетные выплаты, смарт-контракты и трансграничные расчеты. Офлайн-функционал, по уточнению Зульфии Кахрумановой, заместителя председателя Банка России, сдвинулся на «более поздний этап».
На какие именно сроки сдвинулся — вопрос остается открытым. Зато про офлайн ЦР уже известно: когда функция появится, она не будет соответствовать бытовым представлениям о переводе «с телефона на телефон». Механика будет иная: офлайн-перевод в концепции ЦБ – это не обычная P2P-транзакция («из кошелька в кошелек»), а транзакция с двумя этапами. Сначала оба устройства обмениваются данными – по NFC или Bluetooth (фиксируя платежное обязательство), а затем происходит фактическое списание – уже после выхода устройств в сеть.
Цифровые рубли находятся на платформе регулятора и перемещаются между кошельками – но исключительно в пределах платформы и только на втором этапе транзакции, когда устройства выходят в онлайн. По своей сути, офлайн-режим для ЦР — не передача актива, а всего лишь «бронь под обещание заплатить». Схема напоминает процедуру авторизации в процессинге карт —там требуемая сумма блокируется на счете клиента, гарантируя продавцу оплату, но реальное списание происходит позже.
Тем не менее, пусть в офлайн мгновенной завершенности транзакции нет, говорить, что расчеты с использованием офлайнового кошелька ЦР станут неокончательными, неверно. Они окончательны – в том смысле, что продавец после транзакции сразу получает сумму в ЦР на свой кошелек и сразу может использовать полученные цифровые рубли для своих целей – например, купить товары у другого продавца. Однако всегда при использовании офлайновых кошельков для ЦР требуется онлайн-синхронизация данных платформы и кошельков в сети – в целях корректировки текущих лимитов платежей и возможностей платить офлайн.
В сейф ЦР не спрячешь
Гораздо поучительнее ситуация с так называемым холодным хранением цифровых рублей. В криптоиндустрии под этим понимают устройство с ключами, которое может годами лежать в сейфе, при этом кошелек (например, Ledger или Trezor) хранит приватные ключи пользователя в изоляции от сети. Владелец полностью контролирует свои криптоактивы: никто не может заблокировать транзакцию или «заморозить» средства. Принцип «Not your keys, not your coins» работает безоговорочно.
В парадигме цифрового рубля такое невозможно в принципе. Ключевое ограничение — централизованный реестр оператора, в котором любая операция под контролем и требует валидации регулятора. ЦР вообще никогда не покидает периметра платформы
— все счета открываются не в банках (и уж точно не на устройствах пользователей!), а непосредственно на платформе Банка России, сами же клиенты получают доступ к своим кошелькам через интерфейсы банков. При этом:
-
доступ осуществляется дистанционными методами (свое волеизъявление клиент подписывает усиленной неквалифицированной ЭП);
-
контроль доступа – полностью на стороне регулятора; никаких «приватных» ключей, которые можно «положить в холодильник», у владельца нет;
-
ЦБ не только отслеживает транзакции, но имеет возможности их блокировать, если что-то ему не нравится (по линии антифрод и т. п.), при этом средства не будут перемещены, даже если транзакция подписана клиентом;
-
с 23 февраля 2025 года действуют правила «периода охлаждения» для переводов в ЦР, и это все также контролируется ЦБ.
Безопасность кошелька – наше все
Технологические идеи и разговоры об аппаратных кошельках для цифрового рубля теоретически возможны, но дело это тонкое и непростое, особенно, в части проблемы появления «неразменного пятака» – double spending – в случае взлома кошелька: в руках злоумышленников такое устройство может превратиться в инструмент неконтролируемой эмиссии ЦР. Поэтому ИБ-задача предотвращения компрометации офлайн-кошелька является ключевой.
Все офлайн-кошельки требуют применения усиленных мер безопасности — обязательного наличия элемента безопасности типа SIM-карты. Однако SIM-карта не относится к embedded Secure Element (eSE) просто потому, что ее в таком качестве никто не сертифицировал. Чтобы стороннее приложение (например, банковское) могло использовать SIM-карту как защищенное хранилище, банку пришлось бы договариваться с каждым мобильным оператором (MNO). Нужен eSE, сертифицированный по требованиям платежных систем (EMVCo) именно для смартфона. Но и этого недостаточно: необходима доверенная среда на самом смартфоне.
Короче говоря, для Р2Р-переводов в цифровых рублях клиенту потребуется мобильная платформа, обеспечивающая как защищенное хранение кошелька, так и предоставляющая API для переводов класса платформа–платформа. Все это делает решение для офлайн-кошелька дорогостоящим, да и не всякий смартфон сможет хотя бы просто аппаратно «потянуть» такую доверенную среду.
Возможно, в будущем в ЦБ придется даже подумать о разработке специализированного аппаратного модуля для встраивания в мобильное устройство – его создание выглядит логично с учетом того, что в цифровой экономике все больше операций будут проводится в цифровом виде.
Дальние дали
Не следует ожидать, что офлайновый кошелек появится в ближайшие несколько лет, особенно с учетом скорректированных планов ЦБ по сферам применения ЦР. Появления же холодного кошелька с контролем со стороны клиента и изоляцией от ЦБ даже теоретически ждать не следует – это противоречит самой природе как государственной валюты. «Полноценный» ХК имеет смысл только в децентрализованных системах. При всех трансформациях ЦР останется фиатным активом на платформе, а не «криптой от государства». И чем раньше сообщество это осознает, тем меньше будет разочарований.
Комментирует Алексей Войлуков, программный директор ПЛАС-Форума, редактор – члену экспертного совета журнала «ПЛАС», МВА-профессору бизнес-практики по цифровым финансам РАНХиГС.
«Автор ставит правильные акценты, но по отдельным утверждениям есть вопросы, так как нет пока какой-либо плановой реализации данного функционала. И будет ли он в нынешнем виде, – совсем не факт...
Например, автор статьи отмечает: «Тем не менее, пусть в офлайн мгновенной завершенности транзакции нет, говорить, что расчеты с использованием офлайнового кошелька ЦР станут неокончательными, неверно. Они окончательны – в том смысле, что продавец после транзакции сразу получает сумму в ЦР на свой кошелек и сразу может использовать полученные цифровые рубли для своих целей – например, купить товары у другого продавца».
Не уверен, что без синхронизации устройства плательщика какая-то сумма вообще «сразу может» зачислиться получателю – даже когда он выйдет на связь. В противном случае возникает очень много рисков и спорных ситуаций. Например, заход с другого устройства и через другой банк без включения первого устройства и его синхронизации. И потом –претензия по уменьшенной сумме. А самое главное, у ЦБ не останется никаких логов, записей, обращений от пользователей ЦР на списание их денег. В случае чего они даже не смогут оспорить транзакцию. Ну, или как минимум, для этого им потребуется предварительно поменять ГК РФ.
А самое главное – каким образом технически осуществлять офлайн-платеж, даже если для этого ранее была зарезервирована сумма в цифровых рублях? Ее ведь нужно будет резервировать в приложении некого банка? Но каким образом без связи (и, соответственно, без аутентификации) можно зайти в это самое приложение? Рассуждая логически, если пользователю удалось зайти в банковское приложение, это уже не офлайн, поскольку связь присутствует. А если нет связи, нет и доступа в приложение, т. е. нет никакого офлайна…
Пока ЦБ не реализует выгрузку токенов цифровых рублей на другие устройства, ничего не получится. А как раз этой задачи этого в концепции централизованной и единой платформы ЦБ нет!
Заслуживает внимания и такой тезис: «Гораздо поучительнее ситуация с так называемым холодным хранением цифровых рублей. В криптоиндустрии под этим понимают устройство с ключами, которое может годами лежать в сейфе, при этом кошелек (например, Ledger или Trezor) хранит приватные ключи пользователя в изоляции от сети. Владелец полностью контролирует свои криптоактивы: никто не может заблокировать транзакцию или «заморозить» средства».
В рамках возможных изменений в законодательстве, которые пока обсуждаются Банком России и Минфином, предполагается, что доступ к кошелькам в ЦР будет осуществляться через цифровые депозитарии, а у этих структур будет соответствующий ключ доступа, что позволит им при необходимости блокировать и замораживать средства на кошелках в соответствии с требованиями закона, в т. ч. 115-ФЗ».
Комментирует независимый эксперт с масштабным опытом работы в платежной индустрии, включая реализацию нацпроектов:
На мой взгляд, в дискуссии Тимура Аитова и Алексея Войлукова прав именно автор публикации – т. е. Тимур. Главное заблуждение оппонента в том, что офлайн и отсутствие интернета – никак не связанные вещи. Офлайновый кошелек – это удобный способ совершения операции. Прикоснулись смартфоном покупателя к смартфону/терминалу продавца – и все! Деньги на сумму операции перетекли с баланса покупателя на баланс продавца в устройстве последнего. Вместо сканирования QR-кода и целого ряда «приседаний» по штатной процедуре.
Во-вторых, аккаунт офлайнового кошелька – это такой же аккаунт, просто не на платформе цифрового рубля для онлайновых цифровых рублей. Есть самые разные подходы в реализации офлайнового кошелька – вы можете перевести средства в той или иной ЦВЦБ (исключая пока, в том числе, цифровой рубль) со счета на платформе на офлайновый счет в устройстве пользователя, и наоборот. При этом никакого резервирования этих самых средств на счете в банке (причем здесь счет в банке?) не требуется.
Другой вариант реализации – ведение на платформе специальных офлайновых счетов, которые служат для отражения балансов в кошельках и меняются при пополнении баланса кошелька или разгрузке этого баланса. Важно, что офлайновый кошелек должен быть безопасным. Компрометации кошелька в широкой сети его приема лучше не допускать. Лучше всего кошелек делать «железным», аналогом устройств Nano Ledger или Trezor.
В заключение стоит отметить – самое неприятное в том, что все мы комментируем шкуру неубитого медведя. У ЦБ на сегодня нет реализации офлайнового кошелька для цифровых рублей, и даже непонятно, появится ли она в будущем. И уж тем более непонятно, как именно она будет реализована. А офлайновый кошелек – вишенка на торте во всех проектах ЦВЦБ!
Фото: Предоставлено автором
