Чем угрожают QR-коды от Сбербанка и ВТБ? Плюсы и минусы нового вида платежей

У Сбербанка уже 5 августа стартовал "мягкий" запуск нового платёжного инструмента. Первыми регионами стали Краснодарский край и Санкт-Петербург. В них предприниматели получили возможность принимать платежи через QR-коды. К концу лета ноу-хау должно распространиться по всей России. Совсем недавно же, 19 августа, ВТБ заявил о начале использования аналогичной системы с 1 сентября. В случае с ВТБ QR-коды будут работать в тестовом режиме: только в одном магазине "Эльдорадо" и "М.Видео" и только в Москве.

Внедрение QR-кодов Сбербанком и ВТБ является второй волной реализации Системы быстрых платежей (СБП) — государственного проекта, предложенного Центробанком. Первой волной был запуск мгновенных платежей по номеру телефона в феврале. СБП развивается при участии следующих банков: ВТБ, "Тинькофф", "Альфа", "Райффайзен", "Газпромбанк", Промсвязьбанк, "Росбанк", "Ак Барс", СКБ, QIWI, "Совкомбанк", РНКО, "Юникредит", "Газэнерго", "Открытие" и "Русский стандарт". Можно предположить, что в будущем к ВТБ и Сбербанку присоединятся остальные компании.

Тремя способами. Первый — статический QR-код. В матричный штрихкод, который, как правило, размещается на кассе, "зашивается" информация о лицевом счёте продавца. Отсканировав его с помощью приложения для смартфона, покупатель вводит сумму покупки и жмёт ОК, подтверждая транзакцию.

Второй способ — динамический QR-код. Представляет собой продвинутую версию первого. Помимо информации о счёте предпринимателя в нём шифруется ещё и информация о конкретной покупке — её стоимость. Сканируя свеженапечатанный код с бумажки или же экрана POS-терминала, пользователю не придётся дополнительно вводить что-либо в приложении — сумма будет указана сразу. Требуется лишь подтверждение платежа.

Третий — пользовательский QR-код. Всё то же самое, что и в первых двух случаях, только теперь не продавец генерирует код, а покупатель. С помощью приложения для смартфона. Соответственно, сканирует изображение уже кассир. Посетителю магазина остаётся только подтвердить транзакцию.

Затем, что от появления нового платёжного инструмента выиграют все: и предприниматели, и покупатели. Но сначала поговорим о первых. Ведь в их случае речь идёт не столько об удобстве, сколько об экономии.

Приём к оплате "пластика" для предпринимателей стоит денег. Причём иногда немалых. Само по себе оборудование, тот же POS-терминал, стоит недорого. Однако, чтобы он работал с картами, продавцам приходится платить кредитным организациям за ПО, обслуживание и саму возможность принимать карты. Эта банковская услуга называется эквайринг.

Разные организации получают с торговцев разные суммы. Причём не фиксированные, а процент от всех денег, которые предприятие получило с продаж через "пластик". Разброс большой: от 0,5% до 2,5%. Ещё большим процентом кредитные организаторы "придушивают" мелких предпринимателей.

Сетевикам тоже наверняка от эквайринга больно. Если верить Росстату, по итогу 2018 года доля платежей картами в России достигла 48%. То есть, как в том анекдоте, руки в жирку у банкиров остаются примерно после каждой второй транзакции.

QR-коды, как ожидается, эквайринг сделают дешевле. Центробанк планирует, что он будет стоить 0,4% от платежа. Однако реальность пока что далека от фантазий ЦБ. Тот же Сбербанк берёт за платежи по QR-кодам 0,6–1,5%. Карточные платежи обходятся в 1,5–2,5%.

В первую очередь улучшенный сервис. Жители провинциальных районов или ходоки по рынкам знают, что у частника днём с огнём не сыщешь терминала. То же касается и мелких городских предпринимателей: ателье, мастерских и не только. Если же стоимость эквайринга по QR-кодам действительно приблизится к обещанным 0,4%, то наверняка все ипэшники обзаведутся своими счетами, зашифрованными в пиксельную картинку. Ведь она сама по себе не будет стоить ни копейки. В случае со статичным QR-кодом торговцу только и потребуется, что распечатать на принтере штрихкод да приклеить его у кассы.

Упростится и онлайн-шопинг. В идеале вместо формы для банковской карты, заполнение которой всегда утомляет, каждый онлайн-магазин начнёт предлагать QR-код. Отсканировал, заплатил, ждёшь посылку.

Закончатся мытарства некоторых фантов Xiaomi. Напомним, что очень много смартфонов этой компании (да и недорогие модели других вендоров) не оборудованы NFC. С QR-кодами достаточно иметь любой Android-смартфон. Лишь бы камера была. Впрочем, для пользовательских QR-кодов не нужна и она.

Может быть и лучше. В Китае, где банковские QR-коды появились ещё в 2013 году, нередко для покупки чего-либо и вовсе не нужен продавец. Например, проезд в китайском общественном транспорте давно оплачивается с помощью QR-кодов. Без контролёров или аналогов "Тройки". Аренда велосипедов и самокатов работает по той же схеме. Вендинговые аппараты — тоже.

Но есть у такой массовости и недостатки. Первая и самая большая проблема QR-кодов в том, что человек никогда наперёд не знает, что в них зашифровано. Поэтому считывание случайного кода может обернуться проблемой. "Сканируя QR-код, вы даже не догадываетесь, с каким сервером вы свяжетесь. Вы легко можете попасть на сайт, который попытается установить зловредное ПО на ваш смартфон", — считает Мэтью Грин, учёный-информатик из американского Университета Джона Хопкинса. В 2017 году на Национальном народном конгрессе в Пекине компания iFlytek выступила с заявлением о том, что более 23% вирусов и троянов в Китае распространяются именно через коды.

Из этого вытекает вторая уязвимость системы: непроверенный QR-код может подсунуть ложный банковский счёт. В Китае такое случается сплошь и рядом. Те же велосипедисты нередко сканируют код злоумышленника на привычном месте и переводят привычные 43 доллара (столько стоит залог и аренда) аферистам. В 2017 году подменой кодов злоумышленники украли более 90 миллионов юаней (14,5 миллиона долларов). Не сообщается, за какой период было награблено состояние, но известно, что статистика касается только города Гуанчжоу.