Всё о платежных картах. Часть 3: продолжаем разговор о карточных реквизитах и их исторической миссии

В прошлом материале мы разобрались с номерами карт, а также с основными этапами карточных транзакций. Прочих карточных реквизитов мы при этом подробно не касались, лишь упомянув их опциональную природу. Действительно, все они нужны не для инициации, а для подтверждения транзакции. Более того, на современных картах невозможно найти ни одного не устаревшего на деле реквизита, так что нужны они в основной своей массе лишь для обеспечения совместимости. Это обычное дело в современном мире, где не только нельзя что-то быстро внедрить, но и чревато последствиями убирать что-то давно реализованное. Впрочем, с определенного момента груз унаследованных решений начинает всем мешать. Так уже произошло с магнитной полосой: когда-то она позволила автоматизировать обработку карт в относительно простых тогдашних условиях, не требуя использования дорогостоящих технических средств, но позднее (по мере нарастания массовости) открыла огромное поле для мошенничества. А сейчас она уже, скорее, способна навредить, поскольку обязана хранить все карточные реквизиты, причем в открытом виде, позволяя легко клонировать карты. Чтобы это не создавало реальных проблем, приходится маневрировать правилами переноса ответственности, но платежные системы все никак не найдут в себе сил и решимости полностью отказаться от совместимости со старыми терминалами (хотя и собираются сделать это более десяти лет). Доходит до смешного: стандартизация физических носителей привела к тому, что полоса обычно есть даже на картах «Мир», хотя они в принципе не поддерживают работу с ней. Единственное, что может сделать терминал, «прочитав» полосу на такой карте — попросить вставить ее «чипом вперед». Тем не менее, полоса есть. И полоса для образца подписи тоже есть, хотя подпись не может использоваться для подтверждения операции по этим картам никогда. И эмбоссирование нередко тоже встречается, хотя конкретно для «Мира» оно ничуть не менее бесполезно, чем магнитная полоса или образец подписи.

Чтобы разобраться, как все дошли до жизни такой и почему кроме простого (и действительно нужного) номера у карт есть масса других унаследованных (но уже зачастую ненужных) атрибутов, нам сегодня придется углубиться в историю. Для понимания процессов это необходимо — и не только процесса обработки карт.

Всё о платежных картах. Часть 1: как они появились в мире и в СССР

Например, после публикации первой части в комментариях возник справедливый вопрос: а можно ли было действительно массово внедрить «карточную» систему в СССР времен застоя, учитывая, что страна всё больше и больше отставала в технологическом плане от капиталистического лагеря? На самом деле, одно другому не мешало: первое время никакие сложные технические решения в принципе не использовались нигде, да и развитой по меркам сегодняшнего дня инфраструктуры тоже не было еще нигде. Разве что точечно: например, первый банкомат был торжественно установлен в Великобритании еще в конце 60-х, но на 1975 год в мире таких машин было лишь порядка 5000, из которых 3000 находились в США. Сейчас в США порядка полумиллиона банкоматов, в России — 200 тысяч, во всем мире — 3,5 миллиона. Что называется, почувствуйте разницу.

Что действительно требовалось уже тогда, так это определенная автоматизация банковской деятельности — но и то, скорее, полуавтоматизация, поскольку без живых сотрудников все равно невозможно было обойтись. Торговым точкам при этом хватало и таких допотопных каналов связи со «своим» банком, как телефон, а в качестве подтверждающего операцию документа использовались чеки (слипы), печатаемые механическим импринтером. Реквизиты получателя на слипе пропечатывались заранее, далее прокатывалась карта, что позволяло на ту же бумагу перенести карточные реквизиты, наконец продавец вписывал сумму операции, а покупатель подтверждал ее своей личной подписью.

Чем это лучше простого выписывания чека, известного с древнейших времен и ставшего одной из самых популярных форм безналичной оплаты в середине прошлого века? Лучшей стандартизацией и хоть какой-то, но автоматизацией процесса, в том числе позволяющей сделать его глобальным. В рамках одного населенного пункта, где продавец и покупатель, скорее всего, пользуются услугами одного банка (и вообще могут знать друг друга лично), чеки очень удобны. Но если нам надо подключить к системе неограниченное число участников в разных географических точках, начинаются сложности. Эти сложности в какой-то степени решались и в чековой системе — например, начиная с 60-х годов прошлого века на чеках начали печатать магнитными чернилами специальные коды, которые позволяли обработать чек любому банку страны (как минимум).

В СССР чеки были в ходу с 30-х годов, причем их оборот сильно упрощало то, что банк в стране все равно… был один. Да, филиалы в разных регионах были очень плохо связаны, но внедрить единые стандарты работы с чеками это не мешало. Что делало их достаточно важным инструментом для работы предприятий, которые могли, например, рассчитываться друг с другом в безналичной форме при помощи расчетных чеков. Еще можно было заслать группу работников в другой регион для какой-то хозяйственной деятельности (закупки сырья у кооперативов и артелей, а то и у частников, например) налегке с денежным чеком — чтоб необходимые средства получили уже в местном отделении Госбанка и не рисковали с перевозкой больших сумм наличными. Начиная с 60-х годов, впрочем, деятельность артелей, кооперативов и других условно негосударственных предприятий сильно сократилась вместе с их количеством, что уменьшило и востребованность чеков. А для физических лиц в стране предпочитали сохранять наличный оборот (во всех формах — вплоть до оплаты проезда в метро непосредственно «пятачком» без каких-либо дополнительных билетов), так что они с этой системой не взаимодействовали. Но она была и в СССР, не говоря уже о прочих странах.

И там чековая система активно развивалась, в том числе в сторону глобализации и автоматизации расчетов. В итоге одно время чековые и карточные системы местами были очень похожи, и в этих местах карточные расчеты начали активно вытеснять чеки лишь в конце прошлого века. А вытеснили они чеки во многом потому, что платежные системы как раз и реализовали схожие схемы, но без уже известных их недостатков — с претензией на максимальную глобализацию. Собственно, как уже было сказано, платежная система — это и есть в первую очередь универсальный посредник между банками и другими кредитными организациями, позволяющий им ничего не знать друг о друге, находиться в разных странах и руководствоваться даже разными законодательствами — всё это не имеет принципиального значения. В чековых расчетах критичной является стандартизация, которую для карточных операций платежные системы обеспечили немного на другом уровне: чуть выше непосредственной коммутации отдельных банков.

И одной из ключевых особенностей первого этапа внедрения платежных карт была их ориентация на кредитование населения. Дебетовые карты появились существенно позже, когда собственно «карточная» инфраструктура стала заметной, так что появилась возможность окучить и те области, которые ранее занимали чеки. В частности, когда количество банкоматов в мире начало исчисляться уже сотнями тысяч, они превратились в самые удобные «стандартные» места для получения наличных. Что может быть проще: в любой точке мира и, возможно, даже в любое время суток вставил карту в банкомат и получил нужную сумму в местной валюте. В отделение местного банка нужно было все-таки приходить в рабочие часы, да еще и этот самый «местный» банк должен был вообще уметь принимать чеки из книжки «своего» банка. В пределах страны это более-менее решалось, но трансграничные операции очень усложняло. А карточная инфраструктура изначально была ориентирована на такое применение, только карты нужно было придумать новые — дебетовые, связанные именно с банковскими счетами. «Изначальные» кредитные карты для получения наличных подходили не лучшим образом, хотя с оговорками тоже подходили — без чего те же банкоматы не появились бы по мановению волшебной палочки повсеместно и в нужных количествах. Однако произошло это по историческим меркам не так уж давно: к вытеснению чеков из всех сфер деятельности платежные карты приступили в последнее десятилетие предыдущего века. Мы же этот момент фактически пропустили (поскольку не до того было) и еще в 90-е, можно сказать, пришли на готовое: к чекам физлица привыкнуть не успели, так что дебетовые карты сразу же заняли свободную нишу. В США же, например, по количеству операций чеки обходили дебетовые карты до 2004 года, а кредитные (которые появились раньше) сумели переплюнуть чековые транзакции по количеству буквально на днях — в 2013 году.

Самым первым картам приходилось сосуществовать с чеками, так что их разработчики постарались сохранить некоторые основы работы с последними. Тем более, что при ручной обработке они были необходимы в любом случае, а «переучивать» всех работников на что-то принципиально иное было бы сложно и дорого. Например, чековые книжки выдавались конкретному клиенту банка, и на каждом чеке обязательно присутствовало его имя (либо название компании в случае операций юридических лиц). Этот же подход был сохранен и для карт: все они оформлялись на конкретного человека, имя которого указывалось и на карте.

Обойтись без этого при ручной обработке невозможно: конкретный продавец должен убедиться хотя бы в том, что покупатель, предъявляющий карту на имя Джона Сноу или там Васи Тапочкина, действительно является тем самым Джоном или Васей. Поскольку если Вася приносит карту на имя Джона (или наоборот), то тут наверняка кроется что-то нехорошее. И лучше операцию не проводить — во избежание проблем, из-за которых продавец останется и без денег, и без товара. А как это проверить? Попросить личный документ, например. Но чтобы было что сверять, имя держателя карты должно быть и указано на ней, и пропечатываться на слипе импринтера. Именно для этого использовалось эмбоссирование (то есть выдавливание) всех реквизитов вместо простой печати. Работающий импринтер давно уже сложно найти, а местами они почти и не встречались, поскольку массовые карточные расчеты внедрялись на базе уже других технологий. Но эмбоссирование их пережило — до сих пор многие считают, что так красивее. То же самое касается и имени пользователя, которое при автоматической обработке в принципе не нужно, да и документы проверять уже некому. Но до сих пор иногда считается, что «неименная» карта хуже «именной».

На деле большинство карт именные вне зависимости от того, что́ на них написано или не написано: банк своего клиента всегда «знает». Но отказаться от печати имени на карте смысл есть — для упрощения и удешевления ее выдачи. Заготовленные «лысые» карты можно выдавать где угодно сразу после подписания договора, а вот персонализация карты требует специального оборудования, времени и денег. Однако не так давно персонализация требовалась в обязательном порядке: сомнительного клиента с картой без полного набора реквизитов, скорее всего, просто никто не стал бы обслуживать. А полный набор реквизитов в некоторых странах включал (и формально даже сейчас включает) не только имя с фамилией, но и почтовый адрес, который зарегистрирован в банке для получения от него клиентом счетов и прочей корреспонденции (billing address). Правда, адрес на картах давно не пишут, но это как раз обеспечивает дополнительную степень безопасности при расчетах в интернете (полвека назад и слова-то такого никто не знал). Поскольку если человек, например, покупает что-то на известный банку «свой» адрес, такая транзакция всегда вызывает большее доверие. А если ему почему-то потребовалась доставка в другой город, то, может быть, стоит операцию отклонить и с клиентом связаться: а точно ли это он и всё ли у него в порядке? Если же человек не знает свой адрес, да еще и имя свое правильно ввести не может, то это наверняка мошенник.

Всем хороша система — только плохо ложится на глобальные условия. Да и на новые возможности, открывшиеся в процессе развития карт, тоже. Например, нормальным явлением во многих странах стали подарочные безымянные препейдки, которые просто приобретаются в любом магазине, да и эмитируются нередко ими же, а не банками. Естественно, ни имени, ни адреса в этом случае нет: карта является полной заменой обезличенных наличных (и приобретена может быть за них же в магазине, так что и концов не сыщешь в случае чего). Поэтому в качестве глобальных механизмов ни AVS (Address Verification System), ни NVS (Name Verification System) не закрепились и вообще поддерживаются только считанными банками нескольких стран, откуда родом МПС: США, Канада, Великобритания. Такой дуализм иногда приводил к проблемам при попытке расплатиться в американском интернет-магазине российской или, скажем, немецкой картой, но это издержки глобализации, в основном давно уже пережитые: магазины, в принципе работающие с глобальной доставкой, научились обрабатывать «правильно» иностранные карты, а для ориентированных только на внутренний рынок это стало дополнительной защитой от ошибок. Но сами технологии остались, хоть и вышли из обихода во многих местах, а в некоторых и вовсе не применялись. Наследием этого является возможность и сейчас нанести имя владельца на карту (но это давно перестало быть обязательным), а еще иногда имя приходится вводить при оплате в сети. Где-то последнее не лишено смысла, но не в российских условиях: писать можно что угодно — наши банки это все равно не проверяют.

А вот такой реквизит, как срок действия карты, в принципе сохранился. Более того, важным он стал в основном как раз благодаря интернету. Ведь номер карты подчиняется строгим правилам, так что может быть просто сгенерирован (много в свое время таких программ было — и даже работали), а серьезных систем обеспечения безопасности интернет-транзакций еще не было. В таких условиях дополнительные четыре цифры, не подчинявшиеся никаким строгим правилам, были хоть какой-то защитой от генераторов, так что применялись повсеместно. Нередко это единственное, что менялось при перевыпуске карты в крупных банках: номер трогать большой необходимости нет, адрес и имя (если они имеют значение) тоже старые, а вот дата актуализируется.

Формально считается, что карты должны выпускаться на три-пять лет, но в данном случае всё остается на усмотрение банков. А такие сроки были рекомендованы во времена смены стандартов, когда постоянно внедрялись новые системы безопасности. Расчет был на то, чтобы они действительно внедрялись: пришел человек в банк карту поменять, а заодно получил обновленную «болванку» с новыми системами защиты. Сейчас же основные методы защиты сместились на уровень чипов, так что достаточно иногда менять им прошивку — в теории. На практике же полагаться на ответственность клиента в таких вопросах опасно, поэтому сроки действия карт несколько увеличились, но никуда не исчезли. Правда, необычные обстоятельства требуют нестандартных подходов: с весны этого года российские карты Visa и Mastercard получили продленные сроки действия (вплоть до «бессрочных»), поскольку не слишком понятно, насколько легко их будет регулярно менять, да и вообще пока не до этого. Предыдущий раз сроки действия карт продлевались в 2020 году на фоне пандемийных ограничений — тогда-то вся схема и была отработана. В основном нужны простые программные настройки торговых терминалов или систем интернет-эквайринга, дабы они не пытались сравнивать дату с текущей. И сами банки должны, разумеется, подправить свои базы — иначе кроме продления сроков действия активных карт можно получить восстание мертвецов, когда вдруг заработают давно перевыпущенные. Это тоже решается настройками.

Когда-то указание срока действия давало возможность «живым» сотрудникам магазинов забить тревогу, получив в руки карту с истекшим или, напротив, со слишком длинным сроком, вызывающим подозрения. Иногда это приводило к ложным тревогам: например, некоторые европейские банки выпускали карты Maestro с «открытым» сроком действия. И поскольку по стандартам его все равно нужно указывать, на всех таких картах написано «12/49». Многие из них действительны и сейчас. Однако есть подозрение, что даже в тех странах, где такие эксперименты проводились, хоть кто-то из кассиров не испугается.

Сейчас задачу определения корректности карт с кассиров в любом случае сняли. Это ранее им приходилось изучать отличительные особенности карт разных систем. Причем не только то, какая информация должна наноситься, но и как она вообще должна выглядеть. И в каких местах что должно быть расположено — от нужных реквизитов до разных логотипов и подписей. И как на каких картах нанесены реквизиты. Скажем, долгое время для некоторых типов карт эмбоссирование оставалось обязательным (хотя к тому моменту не только вымерли импринтеры, но уже и магнитная полоса начала отмирать) — это было верно для «настоящих» Mastercard и Visa (начиная с уровней Standard/Classic и выше) и позволяло, в частности, отличать их от «дешевых» электронных версий. Однако сейчас банки имеют возможность не только обойтись без эмбоссирования, но и перенести все данные на обратную сторону карты. Каких-то пять-семь лет назад это могло бы вызвать массовый испуг кассиров, поскольку является серьезным отступлением от стандартов. Но сегодня с них, к обоюдному удовольствию, эту ответственность сняли, а держателям карт теперь не требуется передавать карту в чужие руки и опасаться, что с ней сделают что-нибудь нехорошее — например, скопируют полосу или просто сфотографируют (сделать потом «полосатый» клон на базе реквизитов особого труда не составляет).

Нестандарт
Но проблем уже не доставляет

Вина за прогресс целиком и полностью лежит на современных технических средствах, которых 50 лет назад еще не было вообще, а лет 30 назад попытка реализовать такое обошлась бы слишком дорого. Сейчас микроэлектроника подешевела, так что есть возможность обойтись и вовсе без «физических» карт. Но это уже совсем другая история. Применительно же к сегодняшнему материалу она важна тем, что на современной карте может не быть вообще никаких реквизитов в понятной человеку форме, тогда как 50 лет назад только такие и могли использоваться. Кроме всего прочего, это позволяет в немалой степени изолировать друг от друга операции в «офлайновых» торговых точках и в интернете. Первые организованы на базе обмена зашифрованной информацией (токенами) между терминалом и условной картой (в роли которой может выступать и мобильный телефон, и разная бижутерия, типа колец и браслетов), и именно на этом уровне обеспечивается безопасность транзакции. В интернете же вместо физических карт используются только их реквизиты, так что заранее ничего не проверишь, а все технологии безопасности применяются уже к подтверждению транзакции. Никакие из унаследованных методов работы сейчас не используются ни там, ни там, а вот совместимость с ними отмирает довольно медленно, поскольку успела «прописаться» в стандартах. Но пугаться этой совместимости не стоит: на практике она не мешает и никаких «дырок» в безопасности, как правило, уже не создает.

Хоть сейчас даже и в импринтер — если его удастся найти

Как правило, не стоит бояться и отсутствия совместимости. Даже виртуальными картами давно можно пользоваться не только в интернете, но и просто привязывать их к мобильнику (спасибо разнообразным Pay-сервисам) и ходить в обычные магазины. Вот с «ездить» уже могли возникнуть проблемы. Например, для многих любителей современных технологий неприятным открытием оказывалась неработоспособность Google Pay в большинстве стран мира, причем зачастую не таких уж удаленных и не слишком экзотических: система и сейчас не работает ни в Армении, ни в Турции, ни на Кипре. Еще одним сюрпризом могло стать то, что списки совместимых стран для телефонов с Android и часов с Wear OS всегда были разными. Сейчас их более-менее синхронизировали, но, например, в Индии до сих пор Google Pay на часах не работает, а на телефоне — без проблем. А буквально пару-тройку лет назад список для часов был очень куцым, причем из крупных стран туда попадали и вовсе только США и Россия. Но это как раз издержки технологической новизны — которая внедряется в разных местах разными темпами. И именно поэтому на карточном рынке всегда предпочитали сохранять совместимость, плавно переходя со стандарта на стандарт, что делает физические карты универсальным средством платежа: если терминал не обучен бесконтактному обмену данными с микропроцессором карты, то есть большая вероятность справиться при помощи «устаревшего» контактного метода, а то и просто ограничиться работой с полосой (несмотря на все издержки этого способа). Иногда держатель карты даже встречу с импринтером всё еще выдержит. Так что груз совместимости стараются тянуть до тех пор, пока он не начнет слишком уж сильно мешать.

4 августа 2022 Г.