Подпись на карте, конечно, атавизм. Она и в лучшие годы мало спасала от мошенничества: подделать подпись довольно легко (при условии что ее вообще кто-то сравнивал). А поскольку в России выпуск карт без чипа запрещен, то сейчас надежнее проверить ПИН-код. Решение НСПК, хоть и весьма точечное, конечно, можно назвать смелым. Непросто расстаться с чем-то, к чему уже привыкли тысячи участников платежной отрасли.

Нам привычны выпуклые буквы и цифры, но большинство клиентов вообще никогда не видели вживую импринтер, для которого они делались

Но еще более интересно вот что: не откроет ли это ящик Пандоры? Ведь если присмотреться повнимательнее, таких привычных, но устаревших решений на рынке довольно много.

Не нужно ходить далеко, достаточно внимательно посмотреть на ту же банковскую карту. Как платежный инструмент она стала заложником обратной совместимости. Карточка должна работать везде: и с бесконтактным терминалом, и с самым старым импринтером. Поэтому на 46,5 кв. см уместилась вся история развития карточных технологий. Нам привычны выпуклые буквы и цифры, но большинство клиентов вообще никогда не видели вживую импринтер, для которого они делались.

Похожая ситуация со сроком действия, но его хотя бы проверяют при совершении онлайн-транзакций. Хотя большого смысла здесь нет: данные воруются все вместе, а с точки зрения криптографии было бы лучше сделать более длинный случайный CVC/CVV2. Я вообще недоумевал, зачем карте конечный срок действия (кроме желания различных игроков заработать на эмиссии). Профессионалы обратили мое внимание на то, что при бесконечном сроке действия получатся бесконечные стоп-листы для номеров скомпрометированных карт, но, на мой взгляд, нынешний уровень развития технологий позволяет решить эту сверхзадачу.

Само по себе CVC/CVV2-код, или «онлайн-ПИН-код», тоже по нынешним временам решение неординарное. Назвать его секретным, в общем-то, нельзя, потому что этот пароль написан на самой карте. Зачем — непонятно, видимо, чтобы облегчить онлайн-платежи жуликам, утащившим вашу карту. Некоторую степень защиты он, конечно, дает. Но куда эффективнее одноразовые пароли, которые в России стали практически повсеместным стандартом.

Visa или MasterCard были бы и рады все сильно упростить, но вынуждены нести плату за глобальную совместимость

Все эти атавизмы мы тащим за собой в силу исторических причин. То, насколько они неактуальны и устарели, прекрасно видно по Apple Pay или Samsung Pay — там нет ни номера карты, ни сроков действия, ни имен. Да, собственно, и карты нет. Но все прекрасно работает.

В карточных платежах эта проблема связана не просто с инерцией платежных систем. Вероятно, в Visa или MasterCard были бы и рады все сильно упростить, но вынуждены нести плату за глобальную совместимость. Все национальные рынки развиваются в своем темпе, и пока мы пользуемся одноразовыми паролями и вводим на кассе ПИН-коды, в других странах продолжают совершать операции по магнитной полосе и подтверждать платеж подписью. У НСПК (к счастью или к сожалению, это как посмотреть) такой проблемы нет. Поскольку карты «Мир» ориентированы на российский рынок, они могут эволюционировать в темпе нашего рынка.

Устаревших, неактуальных практик за пределами карточного бизнеса еще больше. Например, обязательным реквизитом паспорта является то, кем и когда он выдан. Но разве банку не все равно? Фиксировать эти данные имело бы смысл, если бы банк доверял одним эмитентам документов и не доверял другим. Но ведь он доверяет по умолчанию всем, так какая разница? Дата выдачи паспорта тоже никакой функциональной нагрузки не несет — его действительность зависит от возраста владельца.

Устоявшиеся решения несут с собой некоторую ностальгию. Приятно осознавать, что можно расплатиться современной бесконтактной картой на стареньком импринтере

Что-то похожее происходит и в реквизитах банковского счета. Например, Положение Банка России №383-П требует, чтобы в реквизитах получателя платежа указывалось наименование банка, банковский идентификационный код, хотя, по существу, это одно и то же. Неотъемлемым элементом реквизитов является номер корреспондентского счета банка-получателя в Банке России (!). Стоит ли удивляться, что розничные клиенты предпочитают не заполнять платежные поручения самостоятельно?

Думаю, все эти практики давным-давно устарели и их пора пересматривать.

Устоявшиеся решения несут с собой некоторую ностальгию. Приятно осознавать, что можно расплатиться современной бесконтактной картой на стареньком импринтере. Предсказуемость успокаивает: не нужно переучиваться или привыкать к изменениям. Но в широком масштабе консервативные решения замедляют развитие рынка в целом. Зачастую они уже не выполняют своей функции и даже, напротив, становятся источником дополнительных рисков (как, например, CVV). Возможно, решение НСПК, каким бы небольшим оно ни было, придаст смелости другим игрокам, и не только на карточном рынке.