Почему платить через СБП безопаснее, чем вводить данные карты на непроверенных сайтах

Увеличение числа онлайн-расчетов сопровождается увеличением атак, направленных на платежную информацию. По данным за последние годы, кража реквизитов карты при онлайн-оплате остается одним из наиболее распространенных видов финансового мошенничества. Основной вектор угрозы — ввод реквизитов карты на сторонних ресурсах. Утечки происходят при компрометации страниц оплаты, подмене форм и перехвате данных в ходе передачи. В этих условиях безопасность оплаты через СБП определяется не дополнительными защитными надстройками, а архитектурой самой операции: карточные данные не передаются и не участвуют в расчете.

Система быстрых платежей реализует принципиально иную модель. Инициирование платежа происходит на сайте через кнопку или куар-код. Затем пользователь переходит в мобильное приложение своего банка. Ключевое отличие — оплата по СБП происходит без ввода данных карты: номер карты, срок действия и CVV не запрашиваются и не передаются третьим лицам.

Подтверждение транзакции выполняется внутри банковского приложения. До подтверждения отображаются параметры операции: сумма, назначение платежа и наименование получателя. Обработка проходит через инфраструктуру НСПК, при этом сайт продавца не участвует ни в хранении, ни в обработке реквизитов карты.

Такая архитектура исключает технический канал перехвата карточных данных как на стороне продавца, так и в процессе передачи между участниками платежной цепочки. Пользователь может проверить параметры операции в мобильном приложении до подтверждения — это дополнительный контрольный механизм, недоступный при стандартной карточной оплате.

Оплата через СБП на сайте и карточный платеж различаются по ключевым точкам уязвимости.

• Перехват данных. При карточной оплате реквизиты вводятся на внешних ресурсах, что создает технический канал для перехвата данных. При использовании системы быстрых платежей данные карты не передаются ни одному участнику за пределами банка — этот канал полностью отсутствует. Атаки типа «человек посередине», направленные на перехват реквизитов в процессе передачи, при оплате через СБП лишены объекта.

• Фишинговые сайты. Поддельная страница позволяет получить введенные реквизиты карты и CVV. При использовании СБП пользователь не вводит данных карты даже на скомпрометированной странице — риск мошенничества на этапе ввода устраняется.

• Информированность о получателе. При карточном платеже пользователь нередко не видит наименования получателя до момента списания. При использовании системы быстрых платежей наименование получателя и назначение платежа отображаются в банковском приложении до подтверждения транзакции.

Защита платежей СБП реализована через перенос контрольной точки в защищенную среду банка. Подтверждение операции выполняется в банковском приложении, доступ к которому обеспечивается механизмами аутентификации — паролем, биометрией или иным методом, реализованным банком.

Возможности приложения при подтверждении:

• отображение суммы и наименования торгово-сервисного предприятия до совершения операции;

• проверка назначения платежа;

• применение механизмов аутентификации банка перед исполнением транзакции;

• фиксация операции в банковской системе до отправки средств;

• исключение передачи данных карты сторонним участникам.

Такая модель переносит контроль на сторону регулируемого финансового института, а не на произвольный интернет-ресурс, уровень защиты которого пользователь не может оценить заранее. Банк как участник операции несет регуляторную ответственность за процедуры аутентификации и безопасность обрабатываемых данных.

Использование системы быстрых платежей не устраняет все категории риска. Социальная инженерия остается актуальной угрозой: подтверждение транзакции выполняется пользователем вручную, и ошибка в выборе получателя приводит к ошибочному переводу средств. Существует вариант, при котором пользователь добровольно совершает платеж. Здесь СБП бессилен — при таком типе мошенничества средства передаются фактически добровольно.

Безопасность зависит от состояния мобильного приложения и устройства. Компрометация телефона или утечка учетных данных снижает эффективность встроенных механизмов аутентификации банка. Необходимо разграничивать безопасность самого метода оплаты и общую защищенность мобильного банка: речь о разных уровнях.

СБП исключает передачу карточных реквизитов при онлайн-расчетах, устраняя основной канал перехвата данных. Контроль операции переносится в банковское приложение, где действуют механизмы аутентификации и отображаются параметры платежа до его подтверждения. Итоговая безопасность операции зависит от корректности действий при подтверждении и внимательности при выборе получателя.