ЦБ внедряет стандарты безопасности QR-платежей: что изменится?

Банк России разработал и утвердил стандарт, устанавливающий правила безопасного использования QR-кодов для платежей и переводов. Документ носит рекомендательный характер и вступает в силу 17 февраля. На его основе банки, платежные операторы и поставщики платежных решений смогут разработать собственные меры защиты.

В стандарте описаны виды платежных QR-кодов, механизмы их формирования и сценарии использования. Регулятор выделил четыре типа кодов. Первый содержит реквизиты плательщика, включая данные карты или счета. Второй формируется получателем и включает платежные реквизиты или информацию об операции. Третий и четвертый представляют собой платежные ссылки плательщика и получателя, которые перенаправляют пользователя на сайт с деталями платежа. QR-коды могут быть динамическими, создаваемыми для каждой отдельной транзакции, или статическими, используемыми многократно.

ЦБ систематизировал угрозы, возникающие при использовании QR-кодов, и предложил способы защиты. К основным рискам отнесены подмена кода, модификация платежных данных, фишинговые атаки, кража кода, дублирование платежей, передача избыточной информации и заражение устройств вредоносным ПО. Для их предотвращения рекомендовано контролировать целостность данных, проверять дублирование запросов, ограничивать использование конфиденциальной информации в открытом виде, применять защищенные каналы связи и идентифицировать устройства, с которых передаются платежные данные. Отдельные меры предусмотрены для внесения и снятия наличных по QR-коду в банкоматах.

В конце декабря 2024 года в Госдуму внесли законопроект о внедрении универсального платежного QR-кода и цифрового рубля. Рассмотрение планируется в весеннюю сессию. В случае принятия часть норм вступит в силу 1 июля 2025 года, остальные – в зависимости от поправок.

Документ наделяет АО «Национальная система платежных карт» (НСПК) исключительным правом определять правила использования универсального платежного QR-кода. НСПК будет предоставлять услуги банкам и платежным платформам, а также обеспечивать неизменность данных, чтобы переводы доходили без ошибок. Банки обяжут передавать клиентам информацию о реквизитах платежа через этот код, а платежные операторы должны будут интегрировать его в свои технические решения.

Для универсального платежного кода установлен срок ввода в эксплуатацию – 1 января 2026 года. С этого момента банки будут обязаны предоставлять клиентам информацию о реквизитах перевода через него. Операторы, принимающие электронные платежи, должны будут обеспечить его использование во всех своих программных и технических средствах, а также у клиентов, предоставляющих товары и услуги. Нововведения предусматривают возможность переводов цифровых рублей через универсальный QR-код – не только юридическим лицам и индивидуальным предпринимателям, но также нотариусам, адвокатам, медиаторам, самозанятым и другим категориям.

Некоторые банки выразили обеспокоенность монополизацией рынка. Представители Т-банка отмечали, что обязательный универсальный QR-код ограничит конкуренцию и приведет к прекращению работы существующих решений. В ответ на это Сбербанк, Альфа-банк и Т-банк создали консорциум для разработки альтернативного платежного QR-кода на базе MultiQR, принадлежащего Сбербанку. В конце января консорциум предложил ЦБ объединить технологические решения, но окончательного ответа регулятор пока не дал.

Комитет Госдумы по защите конкуренции также обратил внимание на возможную монополию. Депутаты в целом поддержали законопроект, но предложили исключить положения, закрепляющие за НСПК исключительные права.