Сказано – сделано.
С чего все началось
Мысли о том, что неплохо бы постепенно переводить процессы оплаты на бесконтакт, пришли к нам еще во время первого фестиваля Alfa Future People. Тогда эта затея хорошо укладывалась в концепцию о том, что на территории фестиваля не должно быть наличных денег. Расплачиваться предлагалось с помощью браслета.
Гость фестиваля на входе получал браслет и привязанную к нему карту (MasterCard). В браслет была встроена смарт-карта, которая и позволяла расплачиваться касанием на торговых точках фестиваля. Таким образом получался и пропуск на фестиваль, и кошелек.
Это был 2014-й, и затем возможность вносить или снимать наличные в банкомате была распространена с браслетов на наши карты MasterCard PayPass, после чего доработали и VISA.
Новый виток развития платежей касанием был задан, когда к делу активно подключились вендоры. Apple 9 сентября 2014-го представила Apple Pay, который не только доказал свою состоятельность, но и задал очередной тренд. Samsung решил не отставать, в результате чего мир увидел Samsung Pay, а сейчас в РФ работает и Android Pay.
Пользователи, оценившие удобство такой оплаты на кассах, не могли не начать задавать вопросы о возможности взаимодействия смартфона и банкомата.
Переговоры
Мы пообщались с ребятами из Apple и объяснили им, что и как хотим сделать. Идея была воспринята с энтузиазмом.
На Apple Pay обкатывались все доработки процессинга, поэтому после выхода Samsung Pay и Android Pay каких-то технических сложностей не возникало, и по сути все подключение новой системы к банкоматам зависело только от успешности переговоров с вендором.
Когда ты делаешь что-то с расчетом на то, чтобы запуститься первым в мире, скорость работы будет играть довольно важную роль. В представлении большинства все процессы, связанные с банковской деятельностью и внедрением чего-то нового, должны быть довольно неторопливыми – тут и сама специфика банковской сферы, и присущая ей бюрократия, и множество других факторов, каждый из которых так или иначе тормозит ход работы.
В нашем же случае все происходило так быстро, что мы сначала что-то делали, внедряли и тестировали, а уже потом писали всю необходимую документацию и вносили возможные корректировки от вендора.
Здесь надо отдать должное нашему подрядчику, БПЦ Банковские технологии, который делал свою часть работы с максимальной оперативностью.
В итоге на все про все в случае с подключением Apple Pay у нас ушел месяц. В апреле 2017-го мы едем в Apple, а уже в начале мая проводим первые живые тесты на банкоматах.
На каких смартфонах это работает и насколько это безопасно
Ответ на оба эти вопроса, по сути, прост – все зависит от самой платежной системы вендора.
То есть если ваш смартфон поддерживает Apple Pay, Samsung Pay или Android Pay, то вы можете снять или внести наличные в одном из наших новых банкоматов с помощью смартфона. Если оплата на пинпаде в магазине работает с помощью часов – то получится использовать их и с банкоматом.
То же касается и безопасности – все, что связано с безопасным хранением токена банковской карты на устройстве, обеспечивается силами самого вендора.
Дополнительная защита от несанкционированного доступа к вашему счету со стороны банкомата – это необходимость вводить пин-код от соответствующей карты при любой операции. К примеру, если в кафе вы можете расплатиться за чашку кофе простым касанием, без пин-кода, то взаимодействие с банкоматом потребует ввода кода даже в том случае, если вы хотите снять со счета 100 рублей.
Где можно попробовать в действии
На начало июля в Москве у нас пока установлено 20 таких терминалов, по России суммарно – 300. Приоритет в установке отдается отделениям Альфа-Банка, но банкоматы ставятся и в бизнес-центрах.
Для того чтобы найти такой банкомат на карте, мы сделали дополнительный фильтр на сайте. В скором времени он должен появиться и в мобильных приложениях.
Эти банкоматы будут выделяться визуально с помощью специальных наклеек, также будет заметно, что под прорезью для карты установлен ридер.
Здесь не обходится без курьезов, потому что люди привыкают ко внешнему виду банкоматов, и начинают что-то подозревать, если вдруг на их любимом аппарате вдруг появляется какая-то дополнительная деталь. Будь это ридер или антискиммер – для пользователя это все равно что-то новое, а значит – подозрительное. Нам уже звонили пару раз по поводу того, что «на банкомате кто-то установил какую-то странную фигню, которая сейчас точно снимет у деньги вообще со всех моих карт». На самом деле, это даже хорошо, что пользователи проявляют бдительность и звонят нам, потому что случаи бывают разные.
К концу 2017-го мы планируем довести число таких банкоматов до 700. Сама перестройка банкоматной сети проводится двумя способами – это и установка новейших моделей банкоматов, и апгрейд текущих (соответствующий софт + ридер). При этом в случае апгрейда стоимость такой доработки составляет примерно 5% от цены нового банкомата.
Сейчас с момента официального запуска прошла пара недель, поэтому показать какую-то подробную статистику использования данной функции будет затруднительно, но общие сведения дают понять, что этим начинают пользоваться все активнее. Причем не столько в тестовом режиме «Дай-ка попробую снять тысячу смартфоном», но и на довольно больших суммах – были снятия около 100 000 рублей с использованием Apple Pay. Пока мы склонны считать, что именно этот Pay станет самым популярным у пользователей, но время покажет.
Что дальше
В планах есть ввод в банкоматный парк так называемых топлесс-банкоматов. Вопреки ожиданиям, у такого банкомата рядом не будет симпатичной ассистентки, помогающей вам снять или внести наличные, это просто банкомат без верхней части (без экрана и без клавиатуры). Подобные банкоматы уже используются в ряде некоторых стран.
Как это работает – все операции (выбор нужного действия, конкретной суммы и прочего) осуществляются на экране смартфона через приложение банка. После уточнения всех деталей остается лишь поднести смартфон к ридеру банкомата и получить или внести наличные. Сам банкомат представляет собой прямоугольный ящик, у которого есть только ридер и отделение для приема и выдачи купюр.
Это, кстати, дает небольшой плюс в плане безопасности. Если раньше над клавиатурой под конкретным углом могли устанавливать камеры, записывающие для злоумышленника ваш пин-код (или вообще использовать подложную клавиатуру в тех же целях), то ввод пин-кода и других данных с экрана вашего смартфона такую уязвимость отсекает. Как и проблему скиммеров – нет прорези для карт = никто не клонирует магнитную полосу вашей карты.
Конечно, есть ненулевая вероятность, что со временем и ростом популярности бесконтакта появятся и миниатюрные NFC-скиммеры, это неизбежно, как вечное противостояние меча и щита. Но, прямо скажем, уровень защиты данных в токене и в магнитной полосе сильно отличается.
Само собой, ожидаем появление подобных банкоматов и у наших коллег по банковскому делу.
А вот насчет распространения подобного по миру пока наблюдается следующая тенденция. Сильнее всего банкоматы развиваются в Азии. Какие-то новые функции и эксперименты чаще всего появляются там (но в случае с пополнением и снятием через смартфон первыми в мире все же стали мы).
Запад же, несмотря на то, что банкоматы впервые появились именно там, прогрессирует в плане банкоматов не так активно. По большей части это связано с тем, что у них парк банкоматов прошел все ступени эволюции, от первых банкоматов, которые обрабатывали чеки (их именно для этого и придумали) до банкоматов, которые вы можете видеть в США сейчас.
Barclays Bank, 1967-й год, фото – AP.
Вот эта штуковина была первым в мире автоматом по выдаче наличных денег населению. Пользователь вставлял в прорезь чек и получал наличку. Наличка при этом была ограничена суммой в 10 фунтов, потому что в то время не было возможности проверить, сколько денег у клиента на счете в принципе. Зато уже в то время боролись с подделками, и эти чеки, которые выдавал банк, были помечены изотопом углерода-14. Для человека изотоп довольно безвреден, а банкомат мог понять, правильный чек в него вставили, или кто-то решил обогатиться за счет банка не самым законным способом.
Сейчас же в США ситуация сложилась так, что большая часть используемых карт – с магнитными полосами, а не с чипами, не говоря уже о бесконтакте. Кстати, именно по этой причине клонированные карты везут на обнал из РФ в США. Допустим, у вас есть карта с чипом. Каким-то образом в установленном не в самом надежном месте банкомате вы попали на скиммеры, которые считали магнитную полосу и пин-код, после чего злоумышленник с помощью болванки сделал клон вашей карты.
Так вот, использование этого клона в РФ будет бесполезным – у банков есть данные о том, что карта защищена еще и чипом, поэтому снять деньги с клона через банкомат не выйдет. Зато можно увезти клон в США и обналичить его там, без проверки на чип.
Сейчас банкоматная сеть в США настолько огромна, что на ее модернизацию уйдет колоссальное количество средств и времени. Вкупе с определенным консерватизмом имеем то, что имеем – заметное отставание от остального мира по работе с картами.
Почему нам повезло больше – потому что в нашей стране банкоматы начали активно появляться в 90-х годах прошлого века. Мы стартовали с довольно нормальных технологий, которые успевали развивать в соответствии с потребностями пользователей и своими идеями.
Поэтому сейчас нам гораздо проще внедрять что-то новое.
Чем мы и стараемся заниматься.
PS Кстати, если вам хочется принять участие в разработке подобных решений, мы недавно открыли несколько новых вакансий, возможно, нам нужны именно вы.
Комментарии (44)
reilag
07.07.2017 11:45+13ПриватБанк уже года 2 позволяет снимать деньги с банкомата без карты, лишь с помощью телефона.
Haborym
07.07.2017 14:51Есть даже видео 3-летней давности про topless :)
NLO
07.07.2017 11:45НЛО прилетело и опубликовало эту надпись здесь
Pytinni
07.07.2017 11:55Насколько нам известно, все, что делалось, было на картах банка-владельца АТМ.
Мы первые, кто сделал это для чужих карт.cyber_ua
07.07.2017 13:25+1В Польше есть BLIK, подходишь к банкомату вводишь код который генерируется приложением банка и можно снимать деньги.(причем работает почти во всех банкоматах в стране )
Gorodnya
07.07.2017 11:58+5Согласен, тот же Альфа-Банк Украина ровно год назад, в июне 2016-го, установил первый в Украине бесконтактный банкомат. Так что да, «Впервые в мире» лучше заменить на «Впервые в России».
Кстати, передайте, пожалуйста, коллегам, что на украинском сайте тоже хочется видеть аналогичный фильтр по расположению бесконтактных банкоматов.Pytinni
14.07.2017 09:55Ребят еще раз, Альфа-Банк Россия сделала бесконтакт в АТМ на Мастеркарде еще в 2015 году (если быть точнее на картах Припейд еще в 2014 на первом фестивале AFP). Сейчас мы сделали это на ApplePay/SamsungPay/AndroidPay. Были реализации на «домашних» картах, но, на сколько нам известно, ни разу в мире не было реализаций для карт выпущенных банком, отличным от владельца банкоматов. Мы ровно про это.
HEKOT
07.07.2017 12:05+2Даже в Австралии это уже есть пару лет. Хотя Австралия от континента отстаёт в среднем на 10 лет.
site6893
07.07.2017 12:09+2Ой, ну не надо так громко, в мире єто уже практикуется. Первый раз видел где-то года два… три назад.
Dimash2
07.07.2017 12:21+1Взглянув на браслет, о наболевшем: В Украине есть смешная сложность Pay Pass, продавцы не умеют им пользоваться:
— Не знают что он есть
— Пытаются взять карту и приложить самостоятельноGorodnya
07.07.2017 12:31Есть свежий обзор, частично подтверждающий, что с бесконтактными оплатами у нас есть некоторые нюансы: Как я месяц пытался оплачивать все только смартфоном.
Но, как пишет автор, «пройти тест можно было, но комфортно жить только со смартфоном в качестве кошелька сложно».
cyber_ua
07.07.2017 16:09На самом деле это еще цветочки, у моего банка (европейский банк), есть карта наклейка — это маленькая карта которая клеится на телефон и платишь Pay Pass. Ну так вот, был я в Украине и приложил телефон к терминалу и прошла оплата, и продавщица начала орать что я сделал… типо как телефоном… я снял чехол показал карту и объяснил ей, а она уперлась и позвала охрану и они уже готовы были звонить в милицию, типо мошенник ( я стоял угарал со всего этого действа ) и в принципе готов уже был что вызовут милицию и сейчас будет еще веселее, но повезло что был один молодой охранник который умеет пользоваться гуглом… В итоге я нормально пошел домой.
Но когда приезжаю домой стараюсь платить обычной картой.
П.с было это где-то 6-8 месяцев назадGorodnya
07.07.2017 18:00Я слышал такие истории) Кстати, такие карты-стикеры недавно ПУМБ раздавал в честь Евровидения: Без паспорта и ИНН: Сравнение стоимости, возможностей и недостатков prepaid-карт украинских банков.
Возможно, скоро кассиры не будут так бояться всех этих бесконтактов)
Dementor
08.07.2017 22:44Дикие какие-то люди у вас. У меня истории с точностью до наоборот — когда оплачиваю в магазинах или аптеках и вставляю карту на считывание чипа, то продавцы на меня смотрят обиженно — зачем вы так делаете? у нас же PayPass работает! Но возможно, что это только в Киеве так…
J_o_k_e_R
07.07.2017 12:27+1Яндекс деньги так умеют. Без привязки к левым вендорам. Только смартфон с NFC нужен. Именно поэтому их подобным сервисом пользоваться буду, а эпплами и гуглами, которые хранят логи моих платежных операций в маркетинговых целях, и, как слествие, вашим подобным сервисом — нет.
Caravus
07.07.2017 13:05+5Почему логи у эппла и гугла хуже чем логи у яндекса? :)
J_o_k_e_R
07.07.2017 14:29+1Очевидно тем, что яндекс.деньги в данном случае сам себе банк, который в любом случае имеет доступ к моим транзакциям, так сказать неизбежное зло. Но при этом подчиняется законам, регламентирующим действия фин.организаций. Тогда как эппл и гугл — нет.
Caravus
07.07.2017 15:11И в чём разница-то? Вам легче от того что ваши данные используют ровно в тех же самых целях, но в России?
J_o_k_e_R
07.07.2017 15:21+2Еще раз. На фин.организации (яндекс.деньги) и НЕ фин.организации(гугл, эппл, самсунг) возложенны совершенно разные обязательства по отношению к нашим финансовым данным. Речь не про географическую\политическую принадлежность (я использую финансовые организации РФ и зарубежные), а именно про возложенные на данные организации обязательства.
Caravus
07.07.2017 15:23-1Можете сколько хотите ставить минусы и повторять одно и тоже, сути это не поменяет. От того что на яндекс.деньги наложены какие-то доп. обязательства — вовсе не означает что сам яндекс не может пользоваться этими данными.
J_o_k_e_R
07.07.2017 15:29+1Вы действительно не понимаете разницу между финансовой организацией\банком и какой-то левой конторой? Тогда рекомендую поговорить с грамотным фин.юристом.
Если коротко, то как только яндекс.деньги запалят за передачей этих данных в яндекс и использование в коммерческих целях — яндекс.деньги перестанут существовать, да еще и штрафы получат. А если гугл\эппл запалят,… ничего не будет, они ничем не обязаны.
bondbig
08.07.2017 10:05Как только ты начинаешь хранить и обрабатывать карточные данные, то сразу попадаешь под действие PCI DSS. Так что тут примерно пофиг.
J_o_k_e_R
08.07.2017 19:36-1Известно (тут статья была, как минимум), что гугл использует данные Android Pay в маркетинговых целях. Подозреваю. что PCI DSS ему это позволяет (ну непосредственно данные карт он не использует, быть может). Яндекс.деньгам использовать данные платежей запрещает наш закон о ПД.
Merkat0r
07.07.2017 13:35Зато можно увезти клон в США и обналичить его там, без проверки на чип.
передать дамп за пару секунд, сообщнику прям у банкомата, ага.
А то прям так и вижу как везут чемодан болванок :)
что со временем и ростом популярности бесконтакта появятся и миниатюрные NFC-скиммеры
здрасьте… они давным давно есть
mike_y_k
07.07.2017 14:17С областью действия для впервые сильно поторопились конечно, но это похоже на национальную особенность.
Конечно интересно, но явно не для повседневного использования. Еще не везде и не 24/7 с картами работают, да и смысл в таком новшестве не сильно очевиден.
dmitry_ch
07.07.2017 20:14Зато уже в то время боролись с подделками, и эти чеки, которые выдавал банк, были помечены изотопом углерода-14
Тогда вообще не мелочились: то вот чеки изотопом пометят, то систему противоракетной обороны спроектируют со сдуванием боеголовок ядерным взрывом в атмосфере.
4c74356b41
08.07.2017 09:43+1осталось дождаться когда альфа банк перестанет подключать левые услуги на карты и красть деньги вкладчиков
mmMike
10.07.2017 10:19ввод пин-кода и других данных с экрана вашего смартфона такую уязвимость отсекает.
Спорное утверждение…
Особенно при работе с налом. Все же EPP клавиатура и приложение в телефоне дает разный уровень безопасности.
gusev
10.07.2017 15:45Когда уже можно будет заменить карту / телефон / браслет Альфа банка чипом с подобным решением https://dangerousthings.com/shop/xemi/
jusiter
12.07.2017 16:48А у Сбера тем временем появился первый банкомат который лица читать умеет — и не надо ни карты, ни телефона, ни чипа. Встал напротив банкомата — он тебя тут же признал и выдал денег
BasilioCat
17.07.2017 14:55Пин-код от карты, отжатой мускуклистыми молодцами, можно попытаться не сказать, а вот не показать лицо банкомату — несколько сложнее. Или Сбербанк будет распознавать эмоции?
Plesser
Классно сделали!
Единственный момент наверное лучше разместить устройство для телефона и часов слева а не справа :)
Все таки часы большинство носит на левой руке да и телефон как правило держат левой рукой и привязывают touch id к пальцу правой руки.