76
5700В России растёт популярность QR-кодов для оплаты. Немолодая технология оказалась на пике популярности спустя четверть века с момента появления: вошла с ноги в российский финтех и позволяет совершать платежи при помощи камеры смартфона. Давайте поговорим о том, почему и как это происходит.
Не могли бы вы оплатить по QR-коду?
Такой вопрос в последнее время часто слышат покупатели во многих магазинах и кафе. Если поинтересоваться у продавца, чем особенно хорош такой способ оплаты — он вряд ли объяснит доступно. Можно было бы заподозрить подвох, однако никакого подвоха нет. Дело в том, что оплата по QR-коду идёт через Систему быстрых платежей (СБП), в которой комиссия ниже — 0,4–0,7% против обычных 1–3% за эквайринг.
Впрочем, оплата по QR-коду — это не всегда СБП. Многим уже хорошо знакомы QR-коды на платёжках за коммунальные услуги. Можно перечислить ещё несколько случаев, где QR и финансы идут рука об руку, но закономерность и так ясна. Чёрно-белые квадратики, которые когда-то были нишевой технологией, сегодня всё шире входят в жизнь простого россиянина. Как так получилось?
Игра в го
Два малоизвестных факта о широко известной технологии. Во-первых, QR — аббревиатура от quick response. Во-вторых, этой аббревиатуре уже вот-вот 30 лет.
Изначально это была внутрячковая система визуального кодирования на японском автомобильном заводе Denso. Появилась она аж в 1994 году как замена штрихкодам, ёмкость которых перестала удовлетворять нуждам производства.
QR-коды оказались удобной штукой и быстро вышли за пределы автопрома. Пика популярности они достигли на своей родине, в Японии, а также в некоторых других азиатских странах. Там они используются буквально для всего, в том числе и для платежей. В других местах QR-коды остались нишевой технологией. Скажем, в России до определённого времени самым частым случаем использования QR-кода была ссылка на музейном экспонате или туристической достопримечательности. Но недавно (в историческом масштабе) это изменилось. Вспомнив бессмертное блоковское «да, скифы мы, да, азиаты мы», российские компании, частные и государственные, стали жадно перенимать опыт восточных коллег.
В 2020 году QR-коды широко проникли в жизнь россиян в виде сертификатов о вакцинации. Учитывая масштаб и интенсивность их внедрения, после 20-го года в России не осталось практически никого, кого можно было бы удивить чёрно-белыми квадратиками.
Бесконтактное карате
Для инноваций требуется почва. И помимо того, чтобы она была плодородной, особенно хорошо, когда на ней не произрастают всякие другие корнеплоды.
В России бесконтактные платежи более развиты, чем в большинстве западных стран. Дело в том, что Россия вступила в эпоху безнала позже и развивалась в ней ускоренными темпами. Где-нибудь в США, чтобы перейти на бесконтакт, нужно было списать большое количество уже имеющихся (и работающих) контактных терминалов — понятно, такая инновация по вкусу не всем. В России же многие перешли на бесконтактные платежи напрямую от наличных, избежав технологической инерции.
В Японии и странах Юго-Восточной Азии развитие платёжных технологий пошло по другому пути. Как и в России, там не было развитой и закосневшей «контактной» инфраструктуры, что способствовало распространению бесконтактных технологий. Однако широкое внедрение бесконтакта там пошло раньше, чем стала общедоступной технология NFC (near-field communication — то, через что смартфон обычно общается с терминалом). Поэтому в качестве средства передачи данных были выбраны QR-коды.
В 2022 году в России перестали работать Google Pay и Apple Pay. Владельцы телефонов на Android смогли продолжить пользоваться отечественной Mir Pay, а вот у «яблочников» ситуация оказалась хуже. Полноценный доступ к NFC-модулю в iOS имеет только Apple Pay, использовать сторонние приложения аналогичным образом невозможно.
К хорошему быстро привыкаешь. Россияне с 2016 года совершали платежи с помощью NFC, и, разумеется, им не хотелось снова, как в каменном веке, каждый раз доставать банковскую карту из портмоне. К счастью, отечественный финтех не лыком шит и на момент отключения Google/Apple Pay уже существовали технологичные альтернативы для платежей с помощью смартфона, в том числе и без использования NFC-модуля. В конце концов, на смартфоне есть много других устройств ввода-вывода, которые даже более распространены. Например, камера и дисплей.
Как это работает
Есть три вида QR-кодов для безналичной оплаты. Точнее, четыре.
Самый простой тип — так называемый статический QR-код. В нём кодируются платёжные реквизиты получателя. Считав его, покупатель вбивает в своём привычном банковском приложении нужную сумму и авторизует платёж. Чтобы начать использовать статический QR-код, продавцу нужен минимум телодвижений. Однако необходимость ручного ввода суммы — это не только замедление процесса оплаты, но и пространство для ошибок.
Второй тип — динамический QR-код. Как нетрудно догадаться по названию, он генерируется динамически, под каждую новую покупку, на дисплее какого-нибудь кассового устройства. И включает в себя, помимо реквизитов торгово-сервисного предприятия, сразу данные о платеже — сколько и за что. Покупатель избавлен от необходимости вручную набирать сумму платежа. Кроме того, перед нажатием кнопки «оплатить» он может перепроверить, на ту ли сумму и в том ли магазине он покупает.
Казалось бы, динамический QR-код делает всё, что от него требуется. Возникает вопрос — зачем ещё какие-то другие типы? Дело в том, что «динамизм» помимо возможностей имеет и особенности. Во-первых, у продавца должно быть устройство, которое умеет выводить этот самый динамический QR. Во-вторых, к этому устройству предъявляются достаточно высокие требования. Чтобы QR-код хорошо считывался камерой смартфона, он должен быть крупным, контрастным, на дисплее не должно быть бликов и т. д. и т. п. Если же требования не соблюдаются, у покупателя могут возникнуть проблемы с оплатой. Придётся долго елозить камерой, пытаясь поймать нужный ракурс. На UX это сказывается не лучшим образом.
Третий тип — гениальная попытка взять лучшее от обоих миров. Это так называемый кассовый QR-код. Он статический, но при этом динамический. Как так получается? Очень просто. Кассовый QR-код хранит статическую ссылку на динамическую страницу. Когда покупатель пробивает покупки, кассовый аппарат отправляет данные на сервер. Потом покупатель считывает QR-код и по ссылке получает с сервера эти же самые данные, а также платёжные реквизиты продавца. Таким образом, кассовый QR — это статичное изображение, которое можно нанести на любую удобную поверхность в любом подходящем размере. При этом он обладает всеми преимуществами динамического QR-кода.
Если смотреть с точки зрения банковского приложения на смартфоне, оплата по платёжному QR-коду мало чем отличается от обычного денежного перевода. С помощью кода приложение получает информацию, кому и сколько перевести, затем просто проводит транзакцию. А разница есть — не на уровне технологии, а на уровне метаданных. На платёж по QR-коду вешается особая метка, позволяющая понять, что это была оплата товара в магазине. Благодаря этому можно потом оформить возврат.
Внимательный читатель наверняка задался вопросом: что значит «три, точнее, четыре» типа платёжных QR-кодов? Три типа — это Merchant presented QR, которые генерируются на стороне продавца и используются СБП. Но код ведь можно генерировать и на стороне покупателя! QR-код как носитель информации был выбран для платежей, в частности, потому что почти у каждого смартфона есть камера. Однако дисплей есть совсем у каждого смартфона. Четвёртый тип платёжного QR-кода формируется клиентским приложением и выводится на экран. Такой способ оплаты не поддерживается СБП, но в природе существует и называется Customer presented. В клиентском QR-коде содержатся платёжные реквизиты покупателя, а также токен, авторизующий платёж. Продавец считывает эти данные и инициирует транзакцию. Сумму продавец указывает сам. Теоретически ничто не мешает ему списать 100500 рублей за киндер-сюрприз, но практически кое-что мешает (об этом ниже).
Какой вид платёжного QR-кода выбрать — зависит от. Например, если у продавца есть хорошее оборудование для показа динамического QR-кода — ему нет смысла заморачиваться с кассовым. Если с оборудованием напряжёнка — можно налепить на витрину статический и не париться. Клиентский QR-код — это удобно, но от продавца требуется хороший считыватель, а также интеграция кассового решения с банковским. В общем, серебряной пули пока нет.
У него деньжонок много, а я денежки люблю
Как и с любой другой технологией, связанной с финансами, появляется вопрос: не создаёт ли платёжный QR-код новые векторы атаки, позволяющие злоумышленнику обогатиться за счёт честного пользователя? Изобретательный читатель наверняка уже придумал сценарии, как это могло бы произойти. Например, можно ходить по магазинам и поверх статических QR-кодов наклеивать свои собственные, вместо кошелька продавца пополняющие кошелёк «хакера». Или, допустим, при оплате клиентским QR-кодом сфотографировать его и оплатить с его помощью что-то совсем другое.
Не самая интересная, но очень важная линия защиты — бюрократическая. Защита предусмотрена на разных уровнях. Принимать оплату по СБП не может человек с улицы. Нужно зарегистрировать торгово-сервисное предприятие (ТСП), завести счёт в банке — участнике СБП. Все выданные QR-коды фиксируются за конкретными банками и ТСП. В случае подозрения в мошенничестве всегда понятно, кого брать за жабры. Так что у коварного хацкера не получится так просто расклеить свои QR-коды на чужих кассах.
Что касается клиентского QR-кода, по которому теоретически можно снять произвольную сумму, — самому продавцу невыгодно обманывать покупателя. Это репутационные издержки, перекрывающие возможную прибыль, и большая вероятность вылететь из элитарного клуба пользователей QR-кодов. А что насчёт злоумышленника? Злоумышленнику понадобится быть суперзлодейской версией Флэша, то есть, попросту говоря, быть невероятно быстрым. Клиентский QR-код «живёт» меньше минуты, за это время никакую последовательность мошеннических действий не провернуть.
Наконец, если говорить о векторах атаки, необходимо понимать одну важную вещь. QR-код — это просто способ представления информации. Он кодирует либо ссылку, либо токен — в общем, какую-то из сущностей, которые уже давно используются в онлайн-платежах. И такой метод защиты, как короткоживущий QR-код, не придуман с нуля — точно так же защищаются токены в других формах их представления.
Чёрно-белые перспективы
Является ли кассовый или клиентский QR-код вершиной платёжной эволюции? Свободен ли он от всех недостатков? Разумеется, нет. Однако следующий виток эволюции, скорее всего, будет связан уже не с QR-кодами.
Один из очевидных недостатков — необходимость подключения к интернету у всех участников процесса. В случае платёжного QR-кода, сгенерированного продавцом, это неустранимая проблема. Для клиентского кода решение возможно, однако это ослабляет безопасность.
Ещё одна проблема — оплата по QR-коду требует больше мелкой моторики. Ловить чёрно-белые квадратики в объектив камеры сложнее, чем просто поднести смартфон к терминалу. Возможно, в прекрасном будущем вместо камеры будет использоваться другое устройство ввода. Bluetooth? Микрофон? А может, вообще гироскоп? Кодирование платёжной информации с помощью небольших землетрясений — вот это был бы киберпанк что надо! Так или иначе, даже если на место QR-кодов придёт что-то другое, сами принципы информационного взаимодействия, выработанные при их использовании, будут актуальны ещё долгое время.
Для оплаты через СБП уже есть гибридное решение. Смартфон с NFC-модулем можно просто поднести к терминалу, как в старые добрые времена. Затем покупатель автоматически перенаправляется в СБПэй для подтверждения платежа. Это не классическая NFC-оплата: обмен информацией между терминалом и смартфоном происходит по тем же принципам, что и в случае QR-кодов. А QR-коды остаются в качестве фоллбэка — если NFC-модуль недоступен, всегда можно воспользоваться камерой. Впрочем, этот способ по-прежнему требует подключения всех участников к интернету.
Чтобы платить офлайн, нужны какие-то совсем новые технологии, существенные криптографические гарантии и тому подобное. Сейчас таких решений нет, но поиски ведутся. Впрочем, какой бы ни была будущая технология офлайн-оплаты, QR-коды наверняка смогут вписаться в неё как составная часть.
В заключение
В программировании есть такая техника, как реификация, она же овеществление. Суть её в том, что любой процесс или явление можно представить как сущность. И это даёт дополнительные возможности — например, сущность можно сериализовать.
Платёжные QR-коды — это если и не реификация платежа, то, по крайней мере, шаг в этом направлении. Российский финтех осознаёт, что платёж — это данные, а данные можно использовать разными способами, передавать через разные медиумы.
QR-код — не окончательный ответ на все платёжные вопросы. Однако во многих случаях это чертовски удобный ответ. И, возможно, именно вам именно сейчас следует задуматься — а не использовать ли QR-коды в своём следующем проекте...
Если хотите узнать больше — возможно, вам стоит посетить вебкаст Habr.Pro в феврале. Там мы расскажем больше пикантных подробностей о QR-технологиях, NFC, СБПэй и не только. Но, как писал Пьер Ферма, «поля этой рукописи слишком узки», и текущая статья на этом завершается. Надеемся, вам было интересно.
А так же микрофон и динамик
Вот нигде не видел внятного объяснения, почему звуковой канал так игнорируется. Хотя, например, в сценариях того же общественного транспорта или какого-нибудь массового мероприятия звуковой код можно было бы просто вещать по местной громкой связи.
Или, наоборот, можно проигрывать достаточно тихо, чтобы можно было инициировать оплату тем, что поднес/прижал микрофон смартфона к динамику платежного терминала. Тут вроде бы легче достичь нормальной работы, чем иметь:
Мне кажется, проблема связана с отношением сигнал/шум. Увы, общественный транспорт не обладает шумоподавителями как внешних, так и внутренних. Хоть тихо будет играть, хоть громко. Громкая связь тоже обладает своими потерями.
Так разных методов кодирования/модуляции тоже придумали порядком.
Я тут уже где-то писал, что если взять радилюбительский софт, что умеет с Olivia MFSK работать, и пускать сигнал просто через акустику -- то можно н-ное количество времени поразвлекаться. С одной стороны комнаты что-то пиликает, ты это через разговоры и музыку слышишь только если очень сильно прислушиваться и знаешь, что нужно слышать -- а смарт у тебя в руке вполне успешно сообщение принимает.
Колонки Яндекс так передают настройки из приложения на саму колонку. Что-то типа диал-апного протокола (у кого олскулы свело? :)
Я думаю - это потому, что раньше не было тонкого управления доступами - если давал какому-то приложению доступ к микрофону, то значит оно могло тебя слушать хоть круглосуточно.
Это сейчас есть опция "только сейчас", которая гарантирует что приложение будет вас слушать только тогда когда вам надо.
Правильно понимаю, что код проигрывается циклически? Телефон его слышит циклически? Ладно, если подтверждение вручную на устройстве плательщика - уже хорошо. Но всё равно много вопросов. А если каждый раз телефон будет реагировать на звук? А контроль оплаты со стороны организатора конкретным участником?
Подтверждение и контроль - приблизительно так же как с QR кодами, напечатанными на бумажке. Там тоже не автоматом ловится, а когда пользователь какие-то действия вида 'вот сейчас я хочу заплатить' делает.
Так и не понял: есть ли возможность продавцу, который торгует только лаптями по 300 и по 500, заранее распечатать на бумаге 2 QR кода и весь день показывать их всем покупателям?
Конечно можно. Но оплата будет по банковским реквизитам, а не через СБП.
Там довольно все просто. Текстовые данные.
Вот к примеру генератор
https://mcc-codes.ru/tools/qr-generator
а текст в QR коде будет что-то типа
ST00012|Name=назначени_платежа|PersonalAcc=41654156351351|BankName=123132132|BIC=12131231|CorrespAcc=5454|TechCode=01|Sum=5000
Да, именно так. Сгенерировать две «статических» многоразовых ссылки, распечатать QRы на листке и показывать их покупателям, пока цена не изменится. Ларёк с шаурмой около моего дома так и поступил
Подскажите пожалуйста, у вас есть публичный трекер, чтобы отправлять предложения по спбпей и мирпей? Некоторые вещи очень достали.
Меня несколько месяцев мучает вопрос, почему на некоторые QR-коды (в частности, появляющиеся на терминалах для смарт-карт) банковское приложение говорит "QR-код не содержит данных для платежа".
Потому что есть еще ГОСТ Р 56042-2014, который тоже про создание платежа и тоже QR-код использует. Если банковское приложение ищет его, но не понимет код от СПБ (или наоборот) - то так и будет.
То есть "Магнит" работает по одному стандарту, а "Пятёрочка" по другому? Вроде и там и там было что-то про "систему быстрых платежей", хотя я не уверен
Если у Магнита читает а у Пятерочки -- нет, то нет предположений.
А вот если QR код с платежка за коммунальные услуги читается (его очень долго Сбербанк продавливал для этих целей, генератор тут), а с терминалов нет (там, как я понимаю код от СПБ), то это, скорее всего оно и есть.
попробую зачитать с платёжки ))
Насколько я понял из введения - QR лучше NFC только тем, что NFC перестал нормально работать на части устройств, и ещё некоторая часть его не поддерживает в принципе. В то время как камера и экран есть везде. Короче, кроме цены и доступности, других преимуществ нет.
То что перестал работать у яблочников NFC не самое главное, просто еще один довод (повод). А основное поменялась основная технология вокруг все накручено.
Ранее фундаментом была банковская карта (международная система расчета виза/мастеркард) . Через NFC эмулировалась виртуальная банковская карта. Сделали аналог "Карта Мир" . Уже несколько лет существует ГОСТ на кодирование информации платежного поручения в виде QR. (Его использует сбер и печатают на квитанциях. Фактически он содержит поля для обычной платежки для систем клиент-банк. Лет 15 уже юрики этим пользуются. Но там регламент прохождения платежей не менее 4х часов, а то и до нескольких банковских дней) А вот СБП еще один шаг. ПЕРЕВОДЫ со счета на счет моментально (быстрее 10-15 секунд) . Тоесть сама банковская карта уже как бы и не нужна. Кстати ссылка для оплаты может быть тоже прочитана через NFC
А что у оплаты по QR с привязкой к МСС? Кэшбек там всякий, и т.д.?
Кэшбеки при оплате через СБП не работают, это во всех доступных банках уточнял.
Аналогично с оплатой по банковским реквизитам.
Если магазин понимает, что при СБП-оплате он меньше заплатит банку (сэкономит = заработает), то появляется кешбек «а если Вы заплатите по куаркоду, а не по карте, мы вас кофе угостим»
Например, Сбер свои ебонусы не начисляет за оплату через СБП (так же, как и при оплате виртуальной картой). У них сохранился принцип «где открывали туда и идите». Перевод - значит перевод, а не покупка.
Верно, кешбек может дать тот, кто на транзакции зарабатывает. При оплате картой на транзакции зарабатывает банк-эмитент (кто выпустил карту), он и платит традиционный кешбек. На покупке по СБП, переводе СБП, межбанковском переводе и т.п. банк берет себе так мало, что не из чего платить. Но зато экономит (зарабатывает) кто-то другой, он и может, при желании, устроить кешбек
Оплата, которая требует сразу двух дополнительных вещей по сравнению со старыми добрыми картами — наличия интернета на телефоне и ненулевого процента заряда на этом телефоне — это отвратительное решение. Жаль, что подобное решение многие воспринимают как прогресс. Интернет много где просто не ловит (в подвалах, в поезде и так далее), бывают сбои у оператора, может закончиться баланс на телефоне и т. д. Ну и банально телефон может разрядиться.
Да, каждая из этих ситуаций бывает не так часто, но платежи — это очень критичная вещь и даже 1% риска неуспешного платежа по хотя бы одной из причин — это уже плохо.
В этом плане оплата через NFC лучше тем, что хотя бы интернет на телефоне в текущий момент не требуется.
Мобильник может тупо сломаться. Толкнули тебя, ты его выронил «удачно» — и остался без средств
Выронить можно всё, и кошелёк с наличкой.
Но у особо "продвинутых" бывает только qr/сбп и нал, так что даже карточка в бумажнике уже не спасёт, если не можешь использовать сбп.
Благо я такое видел только в совсем уж шарашкиных конторах, типа шаурмы и мелкого хозяйственного, на такие вещи можно и пару банкнот носить, не тяжёлые и почти 100% сработает. Да и вообще в такие места второй раз не пойду, голосую рублём.
Кошелек с наличкой не сломается от падения, даже если по нему грузовик проедет
Видел в пару шаурмячечных такие же варианты, я просто разворачивался и уходил в другую — голосование ногами и рублем универсально ))
А мелкие купюры я держу на чай курьерам, потому за пирожок их не отдам
В первом комментарии, на который вы ответили, было сравнение nfc в телефоне и qr/сбп, они оба предполагают работающий телефон, так что не понятна суть ваших ответов.
Кроме того, nfc есть на картах, которые можно спокойно ронять, а qr/сбп есть только в работающем телефоне с интернетом.
Я просто дополнил чужое возмущение тем, что оплата телефоном не самое удобное и практичное, что есть среди всех способов
Тут уж каждому решать в меру его сосредоточенности на окружающей обстановке и риске разбить смартфон. Если меня так расколошматит, что разобью смартфон - это будет последнее, что меня побеспокоит.
Давайте по порядку, какие есть сценарии:
оплата картой — не нужен ни телефон, ни интернет, но нужна карта
оплата через NFC — нужен только телефон (не обязательно с интернетом), не нужна карта
оплата через QR — нужен телефон с интернетом, не нужна карта
Первый и второй случай можно сравнивать между собой, у каждого есть преимущества и недостатки. А третий — это просто как NFC, только хуже (нужен интернет на телефоне).
Банковское приложение может еще и затупить
Телефон надо не просто достать и разблокировать, но запустить прогу, открыть в ней камеру и все такое
Такое впечатление, что какой-то чиновник увидел как китайцы платят и очень загорелся этой идеей, не разобравшись, как оно у них работает
Приложение Apple wallet не тупило, что мешает другим сделать нетупящее приложение?
Оно умело читать qr-коды?
У эпла фотокамера читает коды, и не тупит
У всех смартов камеры читают эти коды и не тупят, но надо то читать их в банковском приложении. А они оставляют желать лучшего
А многие вапще Эпл выкинула из стора
У нексусов тупило
Эпл за доли секунды формирует ссылку для перехода. Банковским приложениям стоит поучиться. Вызвать вебсервис по ссылке, что тут сложного?
У меня были Сяоми и Самсунги — все на лету распощнавалось
А про Эпл — вопросы не ко мне, а к разработчикам банковских приложений
Так в первом комментарии как раз и говорится, что qr/сбп - худший вариант, а его начали повсеместно внедрять под видом развития технологий и "как всё просто и удобно".
Все, кому нужно просто и удобно, пользуются nfc; если нет возможности, то чехол с картой.
А эти коды просят продавцы в некоторых магазинах, так как за них меньше комиссия магазина и, видимо, им поставили какой-то kpi за такие платежи, что тормозит очередь и я редко туда хожу. Ну и шарашкины конторы / продавцы у дороги, у которых терминал не предусмотрен по разным причинам.
Комиссия за эквайринг там меньше, а не kpi
Комиссия за эквайринг меньше за счёт продавца, который выпросил оплату по коду.
В нашем городе один из магазинов одежды в ТЦ удивил, что с марта или апреля будет оплаты только через СБП принимать. Ну меж собой посмеялись и решили голосовать рублем за других.
И кстати, наличку всегда ношу с собой. Не раз было так что у магазина не работает/не ловит интернет. Да и почему-то все чаше стали просить нал.
Инкассация может оказаться дороже. Нал для отмывания средств, и чтобы налоги не платить
Тоже верно
Это не отвратительное решение, а дополнительное. И если, с точки зрения продавца, это решение позволяет снизить коммисию, то почему бы не воспользоваться. А при отсутствии интернета или заряда на смартфоне используется старая добрая карта.
Я понимаю, что продавцу выгоднее, но это не отменяет того факта, что это тупо неудобно.
Если интернета на телефоне нет или он тупит — обычно вы это понимаете уже после того, как полминуты приложение безуспешно пыталось прогрузиться. И это все — задержки не только для вас, но и для всех, кто стоит за вами в очереди. И еще вы предлагаете лезть за картой, которая при повсеместном проникновении QR-кодов используется довольно редко и ее еще найти надо.
В плане технологий это все существенный шаг назад по сравнению с NFC.
"Впрочем, этот способ по‑прежнему требует подключения всех участников к интернету."
Зато этот способ не требует наличия NFC чипа. Можно выходить из дома только с телефоном в кармане, в котором NFC нет или он не работает. И платить спокойно.
Никогда не понимал этого аргумента. Берем банковскую карту, вставляем ее в чехол телефона, и больше не вынимаем (т.к. что с картой дома делать-то?).
И точно так же будет 'можно выходить из дома только с телефоном.
Дома с неё реквизиты надо вводить при оплате в екоме
Для этого не нужна карта. Для этого нужны реквизиты в блокноте/менджере паролей/хранилище браузера. Потому что интерфейсов, что могут карту прочитать, да еще доступных сайту -- можно считать, что не бывает.
А в приложениях? На мобиле
'Приложите карту, чтобы оплатить покупку' (а дальше куда положено уходит транзакция, подписанная чипом карты) -- это, конечно, хорошо, правильно и хорошо бы, чтобы так и было. Но где такое есть?
Максимум, что дают - это прочитать не сильно больше номера.
Считал данные покупки, ключи, хэши и т.п. из куара, завернул в газетку и отправил в банк. Банк всплыл на экран форму подтверждения
Не пойдет (или я не понял). Карта должна участвовать. Со своими ключами, что из нее вытащить нельзя. Нет карты -> нет покупки. А смарт со своим софтом предоставляет UI и является посредником для общения магазина в сети и картой.
Что мешает залить ключи в приложение?
Паранойя. Карточка - аппаратный токен для доступа к деньгам. Вот пускай там и только там внутри ключи живут и используются.
Но добавляя карту в кошелек NFC вы именно это и делаете
Не делаю. Это глупость, потому что можно прямо картой платить.
А дальше в этой ветке обсуждения, начавшейся тут речь как раз идет о (несуществующим) варианте, когда и для оплаты онлайн используется именно карта, а не ее копия/замена внутри телефона.
Это утверждение было актуально лет 5 назад. Сейчас практически у всех смартфонов есть NFC, даже у недорогих. А если вы бабушка и у вас кнопочный телефон, то и QR-кодом вы оплатить не сможете.
У всех есть NFC, но Эпл пей тут больше не работает
У эппла NFC вообще в РФ не работает. На Андроиде можно поставить, например, Мирпэй, но что если у меня нет карты мир?
Если нет карты Мир - можно выпустить виртуальную в вашем любимом банке, и завести её в тот же Мирпэй
Оплата по куарходу это перевод. Соответственно, нет кэшбэка. И в случае чего, могут возникнуть проблемы с правами покупателя
Куарькод в епд приложение банка из топ-10 не читает
Куарьеоды сбера на кассах тоже не читает. Как вообще это г. пролезло в платёжные терминалы, учитывая, что у основных пользователей сбера нет привычки платить телефоном?
Как выглядит оплата здорового человека: в чехле телефона нфс-чип. Приложили к кассе - всплыл запрос на экране смартфона. Посмотрели в камеру/приложили палец - оплата подтвердилась
Так есть же блокчейн. Вполне может работать во варианте, когда покупатель - не имеет доступа в инет, а продавец - имеет.
Например: Покупатель сканирует QR-код, формирует и подписывает транзакцию, которую в свою очередь кодирует в QR, который уже считывает камера продавца. Ну или NFC/Bluetooth обмен на любом из этапов. Затем продавец публикует полученную от покупателя подписанную им транзакцию и ожидает её включения в блок + несколько подтверждений.
Блокчейн лишний. Потому что 'затем отправляет подписанную от покупателя транзакцию в банк покупателя', например. Даже можно, что печатает на бумаге в виде того же кода и отправляет.
Собственно, кредитные карты/чеки были придуманы и вроде бы вполне успешно работали весьма давно. Так что авторы статьи в цитате сильно преувеличили насчет 'решений нет'.
Тогда уж "затем отправляет подписанную покупателем транзакцию в СБП".
Но вы правы, можно и без блокчейна.
СБП, по хорошему, - тоже лишняя. Можно и без нее, если бы банки, наконец, договорились о стандартных API вот для всего этого и подняли публичные узлы с гарантированными характеристиками для обмена платежками. Но поскольку они не так могут - то имеем платежные системы.
Чтобы платить оффлайн пора доставать с дальних полок импринтеры — 1000% чистейший оффлайн. А если в Сколково подсуетятся, то даже могут выбить грант на инновацию.
А что с приватностью в QR-платежах через СБП? Каждый магазин будет знать мой номер телефона (раз в СБП он главный ID плательщика, куда нужно возврат делать)? Это же не просто "номер виртуальной карты" - номер телефона по-разному можно использовать..
Магазин не знает про номер телефона покупателя ни при покупке, ни даже при возврате, хотя возврат будет маршрутизироваться на счет и банк, к которому привязан номер.
Лол, Япония как раз была пионером бесконтактных платежей при помощи NFC. Suica появилась в 2001 году, NFC мобильные платежи(Osaifu Keitai) в 2004 году, Quicpay от JCB и iD от NTT Docomo (аналоги Paypass и Paywave) в 2005 и т.д. Всё это прервалось победным шествием Андроида и Айфона, которые начали внедрять весь этот зоопарк технологий только в 2016 году. Но это всё шло как-то со скрипом и без энтузиазма, ибо банки в Японии это прям грусть, печаль, тоска и 19 век.
QR платежи в Японии это уже тема 2018-2019 года, когда Softbank Group в алибабашными деньгами начал продвигать Paypay из всех щелей. Кешбек в 20% на любые покупки, розыгрыши 100% кешбеков, и насколько понимаю и для магазинов были очень хорошие условия. Благодаря Paypay QR платежи нашли место под японским солнцем и банки зашевелились с продвижением NFC платежей, в том числе Paypay и Paywave.
Внезапно всякие старые старые ПРО100 и прочие золотые короны, с чипами. Недостаток да — клиринг… долгий.
Да даже текущие карты умеют в полный оффлайн просто лимиты минимальные.
Смартфон довольно точно способен отличать цвета и оттенки. Если использовать не только бинарную систему, а с градациями, можно впихнуть ещё больше информации. 50 оттенков серого или вообще любого основного цвета смартфон разберёт запросто - лучше чем сам человек, на восприятие цветов которого влияют всякие зрительные иллюзии. Надо чтобы на коде были заданы эталонные цвета - самый светлый и самый тёмный, - и тогда спектр между ними будет хорошо различим.
Уже пытались. Получилось, похоже, плохо.