Электронный занавес

Эта тема номера возникла спонтанно. Интерес в России к платежам через Интернет был всегда высок. Человека, который всю жизнь прожил за железным занавесом, очень согревает мысль, что можно вот так, запросто, не сходя с места взять и прикупить что-то нужное в настоящем американском виртуальном супермаркете. С появлением у нас доступных международных пластиковых карт этот процесс стал совершаться легко и приятно (я, например, хоть раз в месяц за что-нибудь да плачу именно через Интернет).

А российский бизнесмен, в свою очередь, спит и видит, как организует электронный шоп и, не тратя деньги ни на зарплату продавцов, ни на аренду торгового зала, сидит и снимает денежки с пластиковых карт покупателей.

Увы, если первая картинка - реальность, то вторая - пока мечта. Заплатить через Интернет - уже не проблема. Получить через Интернет деньги по карточке для российской фирмы или физического лица - задача нереальная. И дело тут вовсе не в том, что это технически невыполнимо. Просто ни один российский банк не берет на себя операции по обслуживанию карточных платежей через Интернет. Те немногие виртуальные магазины, что существовали в российской части Интернета, принимали деньги в традиционной форме - в виде банковских и почтовых переводов, наличными.

Но некоторое время назад стало казаться, что дело сдвинулось с мертвой точки. Российские фирмы, одна за другой, стали объявлять, что начали принимать платежи по карточкам. 29 января прошел семинар РОЦИТ "Платежные средства в Интернете. Динамика и перспективы развития", на котором, опять-таки, сразу несколько фирм объявили, что имеют готовые решения по осуществлению карточных Интернет-платежей. Фирма TOPs сообщила о заключении соглашения с германской фирмой InterShop и начала поставку на российский рынок программных продуктов для осуществления Интернет-торговли.

Вроде бы, дело пошло. Однако внешнее впечатление обманчиво. Слова о том, что в российском Интернете начались платежи по картам, увы, остаются всего лишь словами. Да, карты начали использоваться, но весьма своеобразно. Вот, например, как осуществляется электронный расчет в Интернет-магазине фирмы "Формоза" ("Компьютерра" упоминала об этом магазине в позапрошлом номере. А. Узуев, "РОЦИТ против закона"). Сначала вы, вроде бы, оплачиваете товар через Интернет, как это принято во всем мире, указывая свое имя и номер карты, но после этого выполняете следующие действия (далее цитирую с формозовского сайта): "Для получения и оплаты товара в отделении фирмы Формоза Вы приезжаете в отделение фирмы с Вашей кредитной картой в течение 48 часов с момента выписки счета, обращаетесь к менеджерам в торговом зале и сообщаете номер Вашего счета. Схема проезда в отделение фирмы и справочные телефоны указаны на выписанном Вам счете. Оплата карточкой происходит в отделении фирмы Формоза при получении товара. Ваша карточка прокатывается, Вы ставите свою подпись на слипе и только после этого с карточки могут быть сняты деньги". Согласитесь, назвать эту операцию "платежом через Интернет" можно, лишь обладая изрядной фантазией. В остальных российских Интернет-магазинах платежи происходят примерно таким же образом. Единственный "свет в конце туннеля" - информация, полученная от специалистов фирмы "АйТи". По их словам, в настоящее время прорабатывается вопрос о создании специального центра под эгидой ФАПСИ, который выдавал бы участникам электронной торговли специальные сертификаты ФАПСИ, удостоверяющие подлинность участников торговой сделки.

Ситуация с платежами в российском Интернете не только не улучшается, но даже наоборот, - появились признаки ее ухудшения: с недавнего времени владельцы некоторых дебетовых карт, эмитированных российскими банками, лишились возможности платить ими в Интернете (об этом чуть ниже). Не хотят банки работать с интернетными платежами по карточкам, и все тут. Аргумент - слишком рискованные операции… Отчасти да, рискованные, но отнюдь не для банка, а для владельца магазина. И при этом, заметьте, владелец магазина сознательно идет на этот риск, да, кстати, и риски по карточным операциям, в свою очередь, страхуются, а страховые компании разоряются крайне редко. Банк же в любом случае остается не в накладе.

Строго говоря, ситуация где-то уже выходит за рамки здравого смысла. Создается ощущение, что вокруг России вырос некий "электронный занавес", при пересечении которого все системы электронных платежей, прекрасно работающие в остальном мире, вдруг перестают действовать. Объяснить существование этого занавеса никак нельзя, но заметить его наличие особого труда не составит.

Пытаясь объяснить происходящее, банки ссылаются на два фактора. Первый заключается в том, что правила обращения пластиковых карт входят в довольно заметное противоречие с российскими банковскими и бухгалтерскими традициями. Второй - в том, что системы шифрования карточных транзакций, применяемые в Интернете, не сертифицированы ФАПСИ. Однако и первый, и второй факторы лишь создают определенные затруднения, но никак не могут служить настоящим препятствием.

Пожалуй, самым серьезным противоречием является то, что при карточных Интернет-платежах не остается бумажных документов, свидетельствующих о сделке. Когда вы расплачиваетесь по карте обычным способом, то оставляете свою подпись либо на слипе, либо на чеке кассового терминала. Когда снимаете деньги через банкомат, то вводите свой PIN, который играет роль подписи. А вот когда платите по карте через Интернет, от вас не остается ни подписи, ни введенного PIN'а. Увы, банковская система России завязана на бумагу. И если при традиционном применении пластиковой карты спустя некоторое время банк получает бумажное подтверждение вашего платежа, то при платеже интернетном, последний так и остается как бы в "подвешенном", не подтвержденном состоянии.

С точки зрения российского аудита, это можно считать нарушением, но с точки зрения правил обслуживания международных карт, которым банки также должны подчиняться, - это не противозаконно. Подобное противоречие создает для российских банков заметные проблемы. Большинство их относит Интернет-платежи к группе особого риска и не рекомендует своим клиентам совершать их. Интересно, что "особый риск" в данном случае относится вовсе не к клиенту, который в такой ситуации как раз мало чем рискует, а только к продавцу. Дело в том, что если клиент опротестует платеж, совершенный по его карте через Интернет, банк будет обязан вернуть ему деньги, ведь документов о платеже у банка нет.

Эти соображения послужили поводом к тому, что в последнее время некоторые российские банки стали буквально блокировать Интернет-платежи своих клиентов. Как сообщили мне в банке "Российский кредит", формальный предлог для этого есть. Практически все пластиковые карты, эмитируемые российскими банками, - не кредитные, а дебетовые, причем подавляющее их большинство - электронные. Если клиринговый центр обнаруживает, что попытка авторизации такой карты происходит без чтения ее магнитной дорожки, он вправе отказать в авторизации. В последнее время российские банки, имеющие собственные клиринговые центры, начали такую проверку проводить.

Это касается одной стороны платежей. И если клиент российского банка, имеющий настоящую, не электронную Visa Classic, все же пока еще, худо-бедно, но может тратить в Интернете свои деньги, не спрашивая согласия банка, то с другой стороной - получением платежей через Интернет по пластиковым картам все совершенно безнадежно. Безусловно, трудно себе представить российскую фирму, на счет которой поступают деньги, и эти поступления не сопровождаются абсолютно никакими платежными документами. Равно как и банк, который зачисляет деньги на ваш счет, не имея соответствующего платежного поручения. Как ни верти, но если ваша фирма имеет виртуальный магазин, на каждый "виртуальный" платеж вам нужно будет представить не виртуальный, а самый что ни на есть бумажный документ.

Меж тем, в настоящее время разработаны и широко применяются в Интернете системы электронной авторизации карт и электронной идентификации личности. Целый ряд фирм предлагает программное обеспечение для осуществления банковских транзакций в реальном времени. При этом ваш компьютер как бы превращается в банковский терминал. Информация о вашей карте, которую вы вводите с клавиатуры или при помощи считывающего устройства, поступает не к продавцу, а прямо в клиринговый центр, и, по сути дела, платеж, осуществляемый при помощи такой системы, ничем не отличается от платежа с помощью кассового терминала. Вы обратили внимание? Я написал "считывающее устройство". В российских магазинах я их пока еще, вроде, не видел, но в мире они широко распространены. Продаются даже клавиатуры со встроенными устройствами для считывания магнитной дорожки пластиковых карт. Если вы вместо ввода номера карты с клавиатуры просто протянете через считывающее устройство свою карту, то подобный платеж будет абсолютно, на сто процентов законным с точки зрения самого придирчивого российского банка.

Любопытно, что и правила российского документооборота отнюдь не отрицают ни возможности подобной авторизации, ни применения электронной подписи. Более того, законность подобной "безбумажной" документации и идентификации признана высшим арбитражным судом России (письма от 24 апреля 1992 г. и от 19 августа 1994 г.). Уже существуют судебные прецеденты разрешения дел по документам, подписанным электронными подписями (дело #40413 в арбитражном суде Москвы от 28 июля 1993 г.)

Но когда речь заходит о применении подобных технологий в российском Интернете, обычно принято вспоминать печально известный указ президента РФ #334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации", который требует сертификации криптографических средств в ФАПСИ. Алгоритмы с открытыми ключами, применяемые для шифрования транзакций в Интернете, ФАПСИ не сертифицированы. Однако, похоже, ситуация с указом президента поразительно напоминает ситуацию со "стандартом" на КОИ-8. Все знают, что этот указ есть, но, похоже, его никто не читал. Этот указ носит обязательный характер для федеральных учреждений и лишь вскользь касается остальных, приобретая скорее рекомендательный характер. Безусловно, "рекомендация" президента в этой стране значит очень много, но формально, во время любого судебного разбирательства суд вряд ли примет ее во внимание. Что, кстати, и подтверждается активной деятельностью на российском рынке целого ряда фирм, успешно продающих здесь многочисленные криптографические средства, не сертифицированные ФАПСИ. В настоящее время более 800 банков и около полутора десятков тысяч фирм в СНГ используют в своей деятельности подобные средства (данные фирмы "Лан-Крипто"). И тот факт, что ни одна из них до сих пор не привлечена к ответственности, говорит о многом.

Дело в том, что с точки зрения здравого смысла указ #334 вообще бессмыслен, уже хотя бы только потому, что формально нигде не определено, что можно понимать под термином "шифрование". Если вы, к примеру, берете и по определенным правилам заменяете в тексте каждую букву на какой-нибудь другой значок. Это шифрование? Безусловно. Но в таком случае любая перекодировка текста, например из кодировки Windows в кодировку КОИ-8, - это уже не что иное, как шифрование, и, согласно указу, она должна быть обязательно сертифицирована ФАПСИ (Господа провайдеры, вы в курсе, что нарушаете 334 указ президента?) А перевод текста в такую форму, что читать его можно только с помощью специальных технических средств? Это тоже классический случай шифрования. Но в таком случае под указ президента попадает любой случай набора текста в редакторе "Лексикон". Ведь прочесть этот текст можно лишь при помощи дешифровальной машины - компьютера.

Точно провести границу понятия "шифрование" - нереально. Поэтому в юридически грамотно составленных документах это понятие не используется. Вместо него применяется другой термин - "защита информации", - границы действия которого достаточно четко определимы. Но все дело в том, что любой указ, ограничивающий право граждан на защиту их конфиденциальной информации, не может быть законным (ну разве что в условиях чрезвычайного положения), поскольку такое ограничение будет явно противоречить Конституции (ст. 23, 55). Именно поэтому единственная роль, которую играет указ #334, - это роль пугала, к помощи которого можно прибегнуть в тех случаях, когда надо ответить на щекотливый вопрос, но делать этого не хочется. А вопрос о том, почему Россия оказалась за электронным занавесом, - действительно щекотливый, и четкого ответа на него никто до сих пор не дал.

Хотя, конечно, определенные предположения построить можно. Очевидно, что если в российском Интернете начнут играть с платежами по тем же правилам, что и во всем остальном мире, сюда придут те, кто эти правила определяет и диктует, и здешним финансовым и политическим заведениям достанутся разве что мелкие крошки от этого вкусного пирога. Поэтому стремление заграбастать пирог себе одному вполне понятно и естественно.

Что там я писал в начале статьи о сертификационном центре, том самом, который от ФАПСИ? Извините, господа, я конечно не банковский специалист, но, ей-богу, из-за белых ниток, которыми шита вся эта история, мне явно видятся чьи-то уши.

P.S. Поскольку ко всему, что касается обращения денег в Интернете, так или иначе относится Указ Президента РФ #334, мы приводим его текст полностью и сопровождаем комментариями экспертов. В качестве экспертов выступают:

Михаил Генин - редактор еженедельника "Компьютерра".

Анатолий Лебедев - директор фирмы "Лан-Крипто", разрабатывающей оригинальные средства защиты информации.