Журнал ПЛАС » Архив » 2002 » Журнал ПЛАС № 9 (79)2002 » 481 просмотр

Заметки на полях российской EMV-миграции

Введение
О целесообразности и актуальности перехода российских банков на использование EMV-совместимых микропроцессорных платежных карт сегодня ведется множество дискуссий. При этом мнения признанных специалистов рынка платежных технологий порой заметно расходятся с мнением руководителей международных платежных систем, которые пытаются убедить банки в необходимости безотлагательного внедрения EMV-решений. Напротив, многие эксперты отмечают, что позиция последних не отражает реальной ситуации на рынке платежных технологий, и говорить о конкретной пользе применения EMV-совместимых карт пока рано.

Вероятнее всего, массовая миграция на EMV-совместимые карты в будущем не обойдет стороной и российский рынок, но активизации этого процесса, учитывая сложившуюся ситуацию, следует ожидать не ранее чем через 4-5 лет

Среди основных стимулов для миграции банка на EMV представители международных платежных систем выделяют следующие: повышение безопасности транзакций, уменьшение коммуникационных расходов, использование новых приложений, реализуемых на базе микропроцессора (электронные кошельки, системы лояльности, идентификационные приложения и т. п.), а также изменение межбанковских комиссий в пользу банков, мигрирующих на чип. Итак, попытаемся рассмотреть перечисленные преимущества с учетом нынешних реалий российского карточного рынка.

Стоимость миграции
Учитывая необходимость адаптации банковских бизнес-процессов для обслуживания EMV-совместимых карт, среднему банку, имеющему порядка тысячи POS-терминалов, миграция на чип обойдется примерно в 0,5 млн. долларов США. При этом основными затратными статьями в данном случае станут модернизация процессингового центра (бэки фронт-офиса), обновление терминального оборудования, обучение персонала, сертификация в платежных системах и т. п.

Какие именно экономические стимулы для подобного шага может при этом найти для себя банк? Рассмотрим каждый из них в порядке убывания значимости, начав с комиссионных льгот

Действительно, международные платежные системы изменили межбанковские комиссионные выплаты для банков, переходящих на EMV-решения. Так, в рамках системы Visa International межбанковская комиссия уменьшается на 0,1% от размера покупки в случае, когда эквайер поддерживает, а эмитент не поддерживает EMV-транзакции, и увеличивается на 0,1% в прямо противоположном варианте (относительно ситуации, когда оба участника транзакции не поддерживают EMV).

В MasterCard International также предусмотрена подобная зависимость: если эквайер поддерживает EMV, то в зависимости от типа карточного продукта межбанковская комиссия уменьшается от 0,05% (Maestro) до 0,1% (Business) от размера транзакции.

Таким образом, при миграции банка на технологию EMV снижение межбанковской комиссии составляет не более 0,1% от размера транзакции. Много это или мало?

Как показывает практика российского рынка, среднемесячный оборот через один POS-терминал по not-on-us-транзакциям составляет примерно 5 тыс. долл. США. Поэтому ежемесячные доходы от измененных межбанковских плат для уже упоминавшегося нами “средневзвешенного” обслуживающего банка, поддерживающего 1000 POS-терминалов, составят 5000?1000?0,001= 5000 долл. США.

Как показывает практика российского рынка, среднемесячный оборот через один POS-терминал по not-on-usтранзакциям составляет примерно 5 тыс. долл. США

Для оценки экономии данного банка на коммуникационных расходах рассматривается следующая модель. POS-терминалы банка подключены к процессинговому центру через сеть передачи данных общего пользования. Коммуникационные расходы, связанные с одной транзакцией, составляют 5 центов. В этом случае сеть из 1000 POS-терминалов сгенерирует по “чужим” международным картам около 50 000 транзакций в месяц (средний размер операции “Покупка” равен 100 долл.), что обойдется банку в 2500 долл.

Таким образом, общая экономия для сети в 1000 терминальных устройств не превышает 7500 долл. в месяц, а окупаемость затрат с учетом только Merchant Acquiring при самом оптимистическом сценарии произойдет не ранее чем через пять с половиной лет.

Все приведенные рассуждения верны при условии самых благоприятных условий для обслуживающего банка. Например, ни для кого не секрет, что в России POS-терминалы в большинстве случаев подключаются к процессинговому центру по коммутируемым каналам городской телефонной сети общего пользования, при этом оплата трафика с обслуживающего банка не взимается. При расчетах не рассматривались ATM-эквайринг, а также эмиссия карт, учет которых существенно растянул бы срок окупаемости EMV-миграции.

Существует, однако, и другой, не менее веский аргумент, ставящий под сомнение экономическую актуальность внедрения EMV. Сегодня в международных платежных системах наметилась тенденция к значительному снижению межбанковских комиссий. В этом плане показательно решение Visa EU по доведению межбанковской комиссии за безналичные платежи до уровня 0,7% от суммы транзакции до 2007 г. Очевидно, со временем подобный подход будет реализован и на российском рынке. Таким образом, объем источников для окупаемости инвестиций банков в технологию EMV серьезно уменьшается.

Дополнительная функциональность
Итак, как показал проведенный нами анализ, в сегменте эквайринга микропроцессорных карт банкам сегодня весьма проблематично найти какой-либо экономический стимул для миграции на чип. В таком случае предположим, что сопряженные с ней выгоды связаны в большей степени с эмиссией микропроцессорных карт. Здесь, как правило, называются два фактора – возможность предложить клиенту дополнительные бизнес-приложения и повышение уровня безопасности операций.

Начнем с дополнительной функциональности, которую могут предоставить микропроцессорные карты. В первую очередь речь идет о таких приложениях, как электронный кошелек, лоялти- и идентификационные приложения, оплата проезда в общественном транспорте, различные социальные программы и т. п.

Говоря об актуальности каждого из них, можно констатировать следующее.

Рынок уже показал, что приложение “электронный кошелек” не является столь массово востребованным, как приложение “дебет/кредит”. Кроме того, международный стандарт на электронный кошелек CEPS (Common Electronic Purse Standard) подразумевает обязательное использование алгоритма асимметричного шифрования. Последнее влечет за собой необходимость размещения на чипе дополнительного криптопроцессора, увеличивающего стоимость карты.

Идентификационные приложения требуют реализации динамических процедур аутентификации на базе асимметричных алгоритмов шифрования (RSA) и наличия достаточно большой памяти EEPROM (от 8К до 32К). Таким образом, реализация таких приложений значительно увеличит общую стоимость смарткарты. Кроме того, массовый выпуск подобных чипов начнется не раньше 2004 г.

Социальные программы, в свою очередь, требуют долгой подготовки и реализуются на долгосрочной основе.

Транспортные приложения для надежной аутентификации владельца карты также требуют реализации RSA. Здесь возникает и дополнительная проблема: сегодня типовое время для реализации RSA составляет 600 мс, а комфортное время для реализации этих алгоритмов для транспортного приложения не должно превышать 150 мс (максимум 300 мс).

Подводя итог, можно утверждать, что сегодня наиболее интересным для банков является именно лоялтиприложение, что подтверждает и реакция рынка, демонстрирующего сегодня возрастающий интерес банков к этой функции.

Однако здесь возникает следующее препятствие. На сегодняшний день стандартизованными являются только приложения “дебет/кредит” и “электронный кошелек” (стандарты EMV и CEPS соответственно). Все остальные приложения не имеют единого стандарта. Из этого можно заключить, что, хотя опыт успешной реализации отдельных локальных лоялти-программ широко известен, время для начала массовой реализации проектов такого рода на основе микропроцессорных карт, по всей вероятности, еще не пришло.

Теперь имеет смысл вновь обратиться к стоимостным характеристикам EMV-продуктов. Когда речь заходит о многофункциональных картах, подавляющее большинство специалистов признает, что подобные решения должны реализовываться на основе многоприкладных операционных систем (multi-application operating system). Сегодня на рынке широко предлагаются две многоприкладные платформы – JavaCard/Open Platform (Visa) и MULTOS (MasterCard). Тем не менее стоимость многофункциональной карты, обусловленная необходимостью наличия 8 Кбайт памяти EEPROM и криптографического сопроцессора (в случае MULTOS), составляет сегодня около 5 долл. США на фоне достаточно большого объема предполагаемой эмиссии (здесь и ниже имеется в виду цена “белого пластика” без дополнительных затрат на персонализацию налогов, растаможивание и т. п.). Несомненно, что такая цена является достаточно высокой для банков.

Справедливости ради следует отметить, что недавно Visa International в рамках своей программы Visa Low Cost Smart Card Programme объявила о продвижении на рынок карт JavaCard/Open Platform стоимостью от 2,6 до 4,08 долл. Аналогичное предложение на карту MULTOS имеется и у MasterCard (3 долл. за карту). Следует, однако, учесть, что приведенные здесь цены при их “конверсии” с белого пластика на конечный продукт возрастают в несколько раз.

Другая серьезная проблема, связанная с многофункциональными картами, заключается в том, что многие популярные приложения по своей природе не являются банковскими. Сразу встает вопрос: кто же тогда должен выступать их эмитентом? Ведь учитывая, что многоприкладные микропроцессорные карты фактически являются отдельным устройством, поддерживающим несколько приложений, речь в этом случае начинает идти уже не об эмиссии карточек как таковых, а об эмиссии отдельных приложений на карточке. Тогда возникает еще один, не менее закономерный, вопрос: кому, собственно, должен принадлежать сам носитель приложений?

Однозначных ответов на эти вопросы сегодня нет. Оптимальной по многим соображениям является схема, в соответствии с которой должны появиться центры эмиссии, эмитирующие приложения от лица банков, правительственных учреждений, телекоммуникационных операторов и т. п. Но согласятся ли с подобной позицией заинтересованные стороны, и банки в частности? Пока на этот счет имеются большие сомнения. Их подтверждают дискуссии, ведущиеся сегодня между банками и сотовыми операторами, относительно того, как должны быть устроены мобильные платежи.

Банки тяготеют к концепции сотового телефона с двумя слотами (dual-slot handset), либо к многоприкладной банковской карте с приложением EMV для платежей и приложением SIM GSM для доступа в сотовую сеть (например, карта SIMphonic 3G, выпущенная компанией Oberthur Card Systems).

Со своей стороны, сотовые операторы активно выступают против телефонов с двумя слотами, предлагая реализовать на SIM-картах приложение EMV. В подобных спорах у банков может быть только один аргумент – количество эмитированных EMV-совместимых карт в будущем должно быть весьма значительным, порядка сотен миллионов. Видимо, это одна из причин, по которой сегодня платежные системы активно предлагают банкам мигрировать на чип.

Исходя из вышесказанного, можно сделать вывод о том, что многофункциональные карты являются крайне перспективным направлением развития рынка платежных технологий, но будут по-настоящему востребованы только по прошествии нескольких лет.

Вопросы безопасности
Рассмотрим еще один стимул перехода на EMV– повышение безопасности платежных операций. На сегодняшний день на рынке существует три основные угрозы безопасности карточных транзакций. Первая – это подделка карт, вторая – кража или потеря карты, и третья – случаи мошенничества при проведении транзакции, совершаемой без предъявления платежной карты (card-not-present). При этом первые две причины занимают сегодня в мире 73% всех случаев карточного мошенничества, поэтому многие банки ставят первоочередной задачей борьбу именно с этими категориями мошенничества.

В качестве примера рассмотрим проблему подделки микропроцессорной карты (Counterfeit). На сегодняшний день рынок EMV-карт преимущественно состоит из карт, использующих статическую аутентификацию карты (Static Data Authentication, или SDA). В отличие от карт с динамической аутентификацией (DDA-карт) их обозначают как SDA-карты. На SDA-карте хранятся подписанные эмитентом данные, целостность которых, с его точки зрения, является критичной (например, номер карточки, порядковый номер владельца карты, дата истечения срока действия, профиль использования карты и т.п.). Все эти данные, включая подпись эмитента, хранятся на карте в открытом виде. Смысл статической аутентификации состоит в том, чтобы сделать невозможной модификацию подписываемых данных (для чего необходимо знать специальный ключ, используемый при персонализации карты и известный только эмитенту) и иметь защиту от персонализации чипа без авторизации эмитента. Очевидно, что, несмотря на эти меры, SDA-карту сравнительно легко подделать. Имея на руках подобный продукт, его фальсификация обойдется мошеннику в сумму, равную примерно 30 долл. При этом вновь изготовленная карта при офлайновых транзакциях успешно пройдет процедуру статической аутентификации и, более того, даже подтвердит правильность любого введенного преступником PIN-кода. Таким образом, можно утверждать, что применение микропроцессорных SDA-карт не решает полностью проблему подделанных, а также украденных/потерянных карт. А ведь на базе именно этих карт сегодня эмитируется не менее 99% EMV-продуктов! Дело в том, что переход на DDA-карты, обеспечивающие действительно высокий уровень безопасности, сегодня достаточно дорог. Стоимость таких карт примерно в 2 раза выше стоимости SDA-карт и составляет около 2 долл., что объясняется необходимостью наличия дополнительного криптографического процессора и 4 Кбайт памяти EEPROM.

Кроме того, миграция на DDAкарты потребует от банка и существенных изменений в своем карточном бэк-офисе. В частности, ему придется менять ПО на машине персонализации. Последнее обусловлено не только изменением данных, записываемых на карту, но и тем, что при переходе на карту другого производителя придется менять набор административных команд, используемых для ее персонализации. В качестве пояснения здесь следует отметить, что стандарт EMV не формализует административные команды, в результате чего различные производители карт используют свои наборы таких команд.

Кроме того, сегодня в России значительная доля эмиссии приходится на зарплатные проекты, для которых подобное удорожание продукта является недопустимым.

Наконец, важно отметить, что на российском карточном рынке объем мошенничества, с точки зрения эмиссии, сегодня пока не так уж велик – подавляющее количество случаев фрода приходится на эквайринг. Очевидно, что при таком положении дел финансовые потери до последнего времени несли в основном зарубежные банки. Правда, при изменении ответственности (EMV liability shift), намеченной международными платежными системами на 2005 г., ответственность за весь этот фрод может перейти на российских эквайеров. Поэтому с этой точки зрения эквайринг микропроцессорных карт сулит нашим банкам гораздо больше потенциальных стимулов для скорейшей миграции на чип, нежели эмиссия EMV-продуктов.

Заключение
Принимая во внимание все вышесказанное, можно сделать вывод, что сегодня у российских банков пока еще нет серьезных стимулов к массовой миграции на чип.

Еще раз повторим основные причины для такого пессимистичного вывода:

• высокая стоимость продукта;
• на SDA-картах не обеспечивается заявленный уровень безопасности;
• не обеспечивается значимая дополнительная функциональность для владельца карты.

Сегодня, на наш взгляд, в России может быть реализован сценарий так называемой дозированной миграции. Прежде всего это выпуск карт для VIPклиентов, установка EMV-compliant терминалов в местах с наибольшей интенсивностью приема смарт-карт, эмитированных международными банками, у которых, бесспорно, уже существуют более весомые причины для масштабной миграции на EMV.

Вероятнее всего, массовая миграция на EMV-совместимые карты в будущем не обойдет стороной и российский рынок, но активизации этого процесса, учитывая сложившуюся ситуацию, следует ожидать не ранее чем через 4-5 лет.

Полный текст статьи читайте в журнале «ПЛАС» № 9 (79) ’2002 стр. 63

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных