Банк России утвердил новый стандарт, определяющий принципы безопасного использования QR-кодов для проведения платежей и денежных переводов. Документ имеет пока рекомендательный характер, начнёт действовать с 17 февраля. На его основе финансовые учреждения, операторы платёжных систем и разработчики платёжных решений смогут создать собственные механизмы защиты.
В стандарте подробно описаны разновидности QR-кодов, принципы их генерации и возможные сценарии применения. Регулятор определил четыре вида кодов:
- Первый содержит сведения о плательщике, в том числе информацию о банковской карте или счёте.
- Второй создаётся получателем и фиксирует реквизиты для перевода или данные о транзакции.
- Третий и четвёртый — платёжные ссылки отправителя и получателя, ведущие на сайт с детальной информацией о переводе.
QR-коды могут быть статическими, подходящими для многократного использования, или динамическими, генерируемыми для каждой отдельной операции.
Регулятор систематизировал возможные риски при использовании этой технологии и предложил механизмы защиты. В числе угроз отмечены:
- подмена кода;
- изменение реквизитов платежа;
- фишинговые атаки;
- несанкционированное копирование;
- повторное проведение одной и той же операции;
- передача избыточных данных;
- заражение устройств вредоносными программами.
Для минимизации рисков рекомендовано отслеживать целостность информации, предотвращать дублирование запросов, ограничивать открытый доступ к конфиденциальным сведениям, использовать безопасные каналы передачи данных и идентифицировать устройства, с которых осуществляется платёж. Для банкоматов, позволяющих пополнять или снимать деньги через QR-коды, предусмотрены дополнительные меры безопасности.
В конце 2024 года в Государственную Думу поступил законопроект, предусматривающий внедрение универсального платёжного QR-кода и цифрового рубля. Документ будет рассмотрен в ходе весенней сессии. В случае принятия часть его положений начнёт действовать с 1 июля 2025 года, а оставшиеся вступят в силу по мере утверждения поправок.
В соответствии с документом, АО «Национальная система платёжных карт» (НСПК) получает исключительное право на регулирование правил использования универсального платёжного QR-кода. Эта организация будет предоставлять услуги банкам и платёжным платформам, а также контролировать неизменность данных, чтобы транзакции проходили без сбоев. Финансовые учреждения обяжут передавать клиентам сведения о реквизитах перевода через данный код, а операторы платёжных сервисов должны будут встроить его в свои системы.
Срок внедрения универсального QR-кода установлен на 1 января 2026 года. С этого момента банки должны будут использовать его для передачи информации о переводах, а операторы, работающие с электронными платежами, обязаны внедрить его в свои технические и программные решения. Также предполагается его интеграция в системы клиентов, предлагающих товары и услуги. Новый механизм позволит проводить операции с цифровыми рублями не только организациям и индивидуальным предпринимателям, но и нотариусам, адвокатам, медиаторам, самозанятым и другим категориям пользователей.
Российские финучреждения уже успели выразить обеспокоенность возможными ограничениями на рынке. В Т-банке указывали, что обязательное использование единого QR-кода способно снизить уровень конкуренции и привести к отказу от существующих решений.
В ответ на это Сбербанк, Альфа-Банк и Т-банк объединились для создания альтернативной системы на базе MultiQR, разработанной Сбербанком. В конце января 2025 года участники консорциума предложили Центробанку объединить технологии, но регулятор пока не озвучил окончательную позицию.
Вопрос возможной монополии также привлёк внимание думского комитета по защите конкуренции. Законопроект в целом получил поддержку депутатов, но они рекомендовали пересмотреть положения, закрепляющие за НСПК исключительный статус.
Ещё по теме:
- Россия исчезает из интернета: маскировка цифрового присутствия или цифровой суверенитет?
- iOS под угрозой: Apple спешно устраняет опасную уязвимость
- Мужчина, потерявший $780 млн в биткоинах на свалке, теперь хочет купить весь полигон перед его закрытием
