Введение

После совещания по экономическим вопросам под председательством Президента РФ 10 марта 2010 г., посвященного созданию национальной платежной системы (НПС), эта тема стала одной из активно обсуждаемых в СМИ. Причем самым примечательным моментом дискуссии выглядит тот факт, что многие ее участники смешивают понятие НПС с понятием национальной системы платежных карт (НСПК).

В связи с трудной судьбой законопроекта “О национальной платежной системе” пока не до конца ясно, следует ли официально считать НСПК частью НПС. Можно лишь утверждать, что главной практической целью данного документа (помимо укрепления платежной системы и повышения в итоге всеобщего благосостояния) является установление Цетробанком контроля за деятельностью операторов электронных денег. Понять ЦБ можно — каждое ведомство стремится расширить сферу своего влияния. Хотя лимиты денежных сумм на счетах и величины переводов в этой области жестко ограничены и не идут ни в какое сравнение с банковскими транзакциями, число (и суммарный денежный объем) транзакций по системам электронных денег неуклонно растет. Пусть операторы электронных денег — это “мелкие” игроки финансового процесса и даже, вообще говоря, не кредитные организации, но ведь ненормально, когда кто-то чувствует себя слишком свободно. Даже удивительно, что ЦБ так долго примеривался, чтобы наложить на них свою отеческую руку.

Другие государственные ведомства в аналогичной ситуации проявили гораздо больше юридической гибкости и фантазии. Например, еще несколько лет назад водоохранные инстанции разъяснили, что маломерным судном следует считать любую плавающую посудину грузоподъемностью свыше 150 кг. И теперь их представители успешно внедряют на реках и озерах тактику ГИБДД, штрафуя на произвольные суммы ошалевших туристов за отсутствие у байдарок и катамаранов регистрации в Государственной инспекции по маломерным судам. Вот это действительно творческий подход к делу и внимание к мелочам!

Имеющиеся второстепенные разногласия между ЦБ и Минфином по поводу того, работать ли операторам электронных денег в качестве небанковских кредитных организаций (НКО) или под любой юридической формой (но все равно под контролем ЦБ), относятся к сфере права и так или иначе разрешатся. А вот разные мнения упомянутых организаций по поводу включения в законопроект о НПС главы о НСПК — существенно интереснее и важнее. Ведь здесь уже пахнет глобальными технологическими проблемами. При этом более логичной выглядит позиция Минфина, которая сводится к разделению этих понятий и переносу описания правил функционирования НСПК в другие законодательные акты. Однако в любом случае положение, когда судьбоносное решение в сфере ИТ находится в руках политиков, чиновников и финансистов, смутно различающих технические особенности процессинга и эквайринга и не имеющих никакого представления об эмбоссинге, чревато еще одной провальной национальной программой. Разумеется, если считать критерием успеха технологически работающую и финансово рентабельную систему, а не успешное освоение выделенных бюджетных средств. Приходится в очередной раз пожалеть, что российское общество не является технократическим, так как технические специалисты наверняка справлялись бы с административными проблемами лучше, чем чиновники и менеджеры — с техническими.

НСПК — государственный подход

С этой точки зрения НСПК по идее должна была бы решить следующие задачи:

1. Обеспечить широкомасштабное функционирование на национальном уровне независимой от диктата международных платежных систем (МПС) структуры расчетов по карточкам. Это позволило бы избежать ситуации, когда VISA и MasterCard, занимающие более 85% карточного рынка России, по собственному усмотрению могут в любой момент блокировать значительную часть карточных расчетов (как это случалось в кризис 1998г.).

2. Реализовать социальную функцию, то есть использовать карточки НСПК в качестве основы для предоставления различных госуслуг в электронном виде.

3. За счет широкого охвата населения обеспечить кардинальный переход от использования наличных денег к полнофункциональным безналичным расчетам за товары, услуги и сделки. То есть изменить ситуацию, когда общее количество выпущенных карточек не слишком значительно, а большая их часть применяется лишь для снятия зарплаты.

Государственная мудрость здесь заключается в том, чтобы обеспечить развитие социальной составляющей (уменьшив заодно влияние МПС на внутренний карточный рынок) за счет максимально возможного финансирования проекта со стороны российских банков, которые будут надеяться на получение дополнительных прибылей за счет комиссионных процентов с оборота выпущенных ими карточек. В результате все, включая население, будут счастливы (каждый по-своему).

Картина красивая, но настолько непродуманная, что напоминает известное описание страны Утопии (не по красоте, а по степени реальности). Если вникнуть, то становится ясно, что по отдельности компоненты задачи претворить в жизнь можно (пусть и с трудом). Но рассчитывать реализовать “три в одном” могут только законченные ... идеалисты.

Рассмотрим хотя бы некоторые важные моменты.

Для государства, разумеется, ключевым является обеспечение электронных госуслуг, а платежная функция находится на втором плане. Но основными элементами структуры обслуживания карт служат вовсе не банкоматы и POS-терминалы и даже не процессинговые центры, а центральные серверы системы, выполняющие функции связующего и организующего звена. Именно поэтому нежелательно использовать карточки МПС, поскольку не хочется допускать, чтобы рубильники отключения общенациональной платежной карточной системы, которая к тому же обеспечивает государственные услуги, находились за рубежом. Точнее говоря, теоретически можно представить, что все операции по картам НСПК, выпущенным от имени VISA и MasterCard, предварительно будут отправляться в некий единый национальный процессинговый центр — ЕНПЦ (хотя его создание и обеспечение защищенными каналами связи со всеми остальными российскими процессинговыми центрами и представляет собой крайне трудоемкую задачу). Но в таком случае внутрироссийские транзакции действительно будут замыкаться на ЕНПЦ, а вот международные — проходить не сразу в VISA или MasterCard (как сейчас), а сначала через ЕНПЦ и лишь затем — на серверы МПС, т. е. с них будет взиматься двойная плата за обслуживание. Выгодно ли это потребителю? Разве он не предпочтет для повседневных расчетов стандартную карту МПС без логотипа НСПК?

Приведенные выше доводы — это только часть причин, почему рассуждения по поводу успешного опыта внедрения региональных проектов социальных карт и необходимости брать их за образец стоит воспринимать критически, так как все это функционирует, как правило, на картах МПС (в Москве, например, на VISA ELECTRON). Что подходит для решения ограниченных локальных задач на местном уровне, то не всегда годится на федеральном.

Теперь предположим, что создана новая, не включающая карты МПС, структура национальных карточек (или расширена какая-нибудь ранее влачившая скромное существование российская система — скажем, ЗАО “Сберкарта”). Кто сказал, что граждане будут активно использовать эти карточки для безналичных расчетов? Для получения госуслуг — да, для снятия зарплаты — может быть (если госорганизации обяжут перечислять на них зарплату). Но для повседневных нужд пользователи всегда предпочтут международную карту. И прежде всего потому, что она действует по всему миру, а национальная — нет (и не будет — VISA с MasterCard об этом позаботятся). Кроме того, каждый разумный человек понимает, что безопаснее держать деньги и какое-то подобие (пока что, увы, жалкое) “электронного паспорта” на разных носителях (по принципу: “кошелек и паспорт — отдельно”), т. е. социальная нагрузка подрывает платежную функцию.

Надо заметить, что для обеспечения действительно широкой технологической поддержки карт независимой НСПК в рамках страны понадобятся не просто большие, а огромные финансовые вложения. Следует помнить и о том, что МПС имеют отлаженную структуру контроля и проверок (хотя тактика внедрения хорошего стандарта PCI DSS и оставляет желать лучшего), а здесь ее придется формировать заново. И если сюда еще в качестве регуляторов подключатся ФСБ с ФСТЭК (с тем же рвением, которые они проявили при защите персональных данных), то слово “рентабельность” при описании функционирования системы будет явно лишним. Таким образом, в финансовом смысле проект становится не просто рискованным, а, можно сказать, потенциально обреченным.

Что же получается? НСПК, независимая от МПС, выглядит финансово бесперспективной затеей. Хотя бы потому, что в таком варианте платежная составляющая этих карт теряет привлекательность и коммерческие структуры не внесут в проект ни цента (вернее, ни копейки). А НСПК, организационно включающая в себя карты МПС (но не имеющая ЕНПЦ), теряет и свою независимость, и право называться национальной.

Выходит, что государству гораздо разумнее поступиться национальной гордостью ради народа и броситься в ласковые объятия VISA или MasterCard, т. е. прекратить бесполезные разговоры о НСПК и попытаться организовать федеральные госуслуги на базе карт одной из МПС. Вот тут можно будет с удовольствием понаблюдать за конкурентной борьбой между VISA и MasterCard. Все остальные участники системы становятся лишними и только усложняют технологическую реализацию, т. е. НСПК в итоге оказывается фикцией.

НСПК — предпринимательский подход

Надо отдать должное Российскому союзу промышленников и предпринимателей (РСПП) — там было предпринято гораздо больше практических шагов в плане разработки темы, нежели на государственном уровне. Идея НСПК породила в среде РСПП надежды (на прибыли) и здоровый капиталистический энтузиазм. Созданная в конце 2009 г. рабочая группа РСПП по НСПК успела разработать “Концептуальные основы НСПК”, которые за подписью А. Шохина в феврале 2010 г. были отправлены в правительство и далее — в ЦБ и Минфин.

Интересно, что в состав упомянутой группы вошли представители VISA с MasterCard, объяснить участие которых на первый взгляд было не легче, чем смысл лозунга “пчелы против меда”. Но если придерживаться принципа “Раз технологический мятеж нельзя предотвратить, то его надо возглавить и направить в нужное русло” — все становится на свои места.

В итоге “Концептуальные основы НСПК” представляют из себя на редкость эклектичный документ, предвидеть эффект от которого труднее, чем предсказать, что произойдет, когда “всесокрушающее ядро налетит на несокрушимый столб”.

Из текста совершенно ясно, что никто уже не пытается ущемить интересы МПС, скорее, их заманивают принять участие в проекте и играть по российским правилам:

“п.3. .... Участником НСПК может быть любая российская, зарубежная или международная организация, удовлетворяющая в полном объеме требованиям нормативно-правовой базы НСПК и функционирующая на общем для всех участников НСПК платежном пространстве в масштабах страны и за рубежом”;

“п.8. Нормативно-правовая база и инфраструктура НСПК должны строиться с учетом необходимости обеспечения взаимодействия с основными зарубежными карточными платежными системами на основе применения и эффективного сочетания международных и российских стандартов”.

Тут же делается реверанс в сторону российских регуляторов и проводится трогательная в своей наивности мысль о возможности полного согласия международных и российских стандартов:

“п.6. Для обеспечения реализации требований нормативно-правовой базы НСПК к участникам и партнерам должна быть создана система сертификации и лицензирования НСПК, которая должна взаимодействовать с иными профильными государственными системами сертификации и лицензирования (Банка России, ФСБ России, ФСТЭК России, Минкомсвязи России и др.)”.

Но еще А. С. Пушкин справедливо утверждал, что “в одну телегу впрячь не можно” ... персонажей с разными менталитетами. А тонкий знаток психологии И. А. Крылов давно исследовал эту ситуацию и спрогнозировал ее результат в лаконичном труде “Лебедь, рак и щука”. То есть, если все перечисленные российские ведомства полагают, что они в состоянии заставить МПС и других загадочных зарубежных участников НСПК придерживаться отечественных стандартов информационной безопасности — то это даже не смешно. Все понимают, что отказаться от использования карт VISA и MasterCard Россия не сможет, так что рычагов давления, по сути, нет. А вот для VISA и MasterCard совсем не обязательно верить, что завтра ФСБ с ФСТЭК объявят PCI DSS российским национальным стандартом. Их вполне устроит и ничья, т. е. пассивное блокирование развития НСПК и конкурирующих российских карточных систем, а еще лучше — их поглощение или вытеснение.

Социальная карта или электронный паспорт?

Беда в том, что нынешняя интерпретация понятия “социальная карта” и ее реализации на региональных уровнях, которыми восхищаются как шагом вперед по пути информационных технологий, — это путь в технологический тупик. По сути, просто предполагается держать в памяти карточного носителя некоторый набор данных (фактически — идентификаторов), который позволит получать льготы или услуги в сфере здравоохранения, лекарственного обеспечения, на общественном транспорте, а в дальнейшем и где-то еще. Функционал данной информации позволяет использовать для этой цели дешевую карту с магнитной полосой. Но этот подход совершенно непригоден для строгой аутентификации (т. е. подтверждения подлинности) владельца в серверно-ориентированных базах данных и подписи юридически значимых электронных документов. Называть эти карты “электронным ключом” терминологически ошибочно. Определенная их полезность не вызывает сомнений, но избавить граждан от посещения государственных и муниципальных учреждений и стояния в очередях они не могут.

Для того, чтобы кардинально решить проблему предоставления госуслуг в электронном виде (и одновременно проблему буксующего “электронного правительства”), граждане должны иметь персональный носитель с функциями “электронного паспорта”. А уж заодно в память этого носителя можно добавить и любой набор данных для простейших функций (типа проезда на транспорте).

Наиболее логично в качестве “электронного паспорта” использовать чиповую (при этом — не платежную) карту с защищенной памятью и независимым микропроцессором. Чип должен содержать секретный ключ ЭЦП, а также цифровой сертификат с соответствующим открытым ключом и набором паспортных данных, заверенный ЭЦП эмиссионного центра. Потребуется один удостоверяющий центр (УЦ) федерального уровня, который будет выдавать сертификаты центрам эмиссии. А производители карт, т. е. эмитенты, будут играть роль подчиненных УЦ. В итоге в виде карты получится инструмент, который будет существенно лучше выдаваемого в настоящее время так называемого “биометрического электронного заграничного паспорта”, поскольку он будет не только содержать паспортную информацию (надежно зафиксированную и проверяемую), но и дополнительно предоставит возможность подписывать любые HTML-формы и файлы юридически значимой ЭЦП. А это как раз и решит проблему подачи подписанных документов в госинстанции.

Фактически такой “электронный паспорт” мог бы приниматься как полный аналог общероссийского бумажного. А деньги за него, между прочим, можно было бы брать с граждан именно как за оформление паспорта, точно так же, как это делается сейчас.

Здесь есть только одно “но”. Для того, чтобы произвести через любой компьютер с помощью карточки “электронного паспорта” аутентификацию на государственном интернет-ресурсе или в локальной базе данных, а также процедуру ЭЦП, надо использовать в качестве алгоритма цифрового сертификата тот, который воспринимается любой операционной системой. То есть международный коммерческий криптоалгоритм RSA. А следовательно, и упомянутый федеральный УЦ должен функционировать на RSA. В дальнейшем это дало бы потенциальную возможность использовать “электронный паспорт” также в качестве заграничного.

К сожалению, такой подход наверняка встретит сопротивление Лицензионного центра ФСБ, вся предыдущая политика которого ориентировалась на использование в госструктурах только сертифицированных средств и ГОСТовских криптоалгоритмов. Однако, поскольку совершенно невозможно представить, что государство оплатит установку на каждом российском компьютере дополнительного ПО типа “КриптоПро”, то выбор прост. Либо немного поступиться принципами ради светлого электронного будущего, либо по-прежнему мучиться в очередях.

Выводы

1. НСПК — это технологическая сказка, и можно только восхищаться инстинктивной осторожностью Минфина, который оттягивал ее юридическое оформление.

2. Формировать следует не систему “социальных карт” в нынешнем понимании, а систему “электронных паспортов”, которым ничто не мешает включать в себя и функции “социальных карт”.

3. Увеличение доли национальных карточных систем на российском рынке было бы положительным явлением. К тому же вероятность потеснить VISA и MasterCard, очевидно, раз в 10 выше, чем вероятность создать национальную операционную систему и ограничить засилье Windows, что обнадеживает. Разумеется, если последняя упомянутая вероятность отлична от нуля.

С автором статьи, кандидатом технических наук, можно связаться по адресу:  vlad7pnv@mail.ru.

Версия для печати