Снимаем и вносим наличные в банкомате с помощью смартфона. Впервые в мире

    Привет, Хабр! Мы с ребятами подумали и решили, что раз уж все начинают активно пользоваться разного рода Pay-ми (Apple Pay, Samsung Pay, Android Pay, да и не за горами еще парочка от вендоров), то почему бы не дать пользователям возможность не только платить с помощью смартфона на кассе магазина, но и снимать деньги в банкомате.



    Сказано – сделано.

    С чего все началось


    Мысли о том, что неплохо бы постепенно переводить процессы оплаты на бесконтакт, пришли к нам еще во время первого фестиваля Alfa Future People. Тогда эта затея хорошо укладывалась в концепцию о том, что на территории фестиваля не должно быть наличных денег. Расплачиваться предлагалось с помощью браслета.



    Гость фестиваля на входе получал браслет и привязанную к нему карту (MasterCard). В браслет была встроена смарт-карта, которая и позволяла расплачиваться касанием на торговых точках фестиваля. Таким образом получался и пропуск на фестиваль, и кошелек.



    Это был 2014-й, и затем возможность вносить или снимать наличные в банкомате была распространена с браслетов на наши карты MasterCard PayPass, после чего доработали и VISA.

    Новый виток развития платежей касанием был задан, когда к делу активно подключились вендоры. Apple 9 сентября 2014-го представила Apple Pay, который не только доказал свою состоятельность, но и задал очередной тренд. Samsung решил не отставать, в результате чего мир увидел Samsung Pay, а сейчас в РФ работает и Android Pay.

    Пользователи, оценившие удобство такой оплаты на кассах, не могли не начать задавать вопросы о возможности взаимодействия смартфона и банкомата.

    Переговоры


    Мы пообщались с ребятами из Apple и объяснили им, что и как хотим сделать. Идея была воспринята с энтузиазмом.

    На Apple Pay обкатывались все доработки процессинга, поэтому после выхода Samsung Pay и Android Pay каких-то технических сложностей не возникало, и по сути все подключение новой системы к банкоматам зависело только от успешности переговоров с вендором.

    Когда ты делаешь что-то с расчетом на то, чтобы запуститься первым в мире, скорость работы будет играть довольно важную роль. В представлении большинства все процессы, связанные с банковской деятельностью и внедрением чего-то нового, должны быть довольно неторопливыми – тут и сама специфика банковской сферы, и присущая ей бюрократия, и множество других факторов, каждый из которых так или иначе тормозит ход работы.



    В нашем же случае все происходило так быстро, что мы сначала что-то делали, внедряли и тестировали, а уже потом писали всю необходимую документацию и вносили возможные корректировки от вендора.

    Здесь надо отдать должное нашему подрядчику, БПЦ Банковские технологии, который делал свою часть работы с максимальной оперативностью.

    В итоге на все про все в случае с подключением Apple Pay у нас ушел месяц. В апреле 2017-го мы едем в Apple, а уже в начале мая проводим первые живые тесты на банкоматах.

    На каких смартфонах это работает и насколько это безопасно


    Ответ на оба эти вопроса, по сути, прост – все зависит от самой платежной системы вендора.
    То есть если ваш смартфон поддерживает Apple Pay, Samsung Pay или Android Pay, то вы можете снять или внести наличные в одном из наших новых банкоматов с помощью смартфона. Если оплата на пинпаде в магазине работает с помощью часов – то получится использовать их и с банкоматом.

    То же касается и безопасности – все, что связано с безопасным хранением токена банковской карты на устройстве, обеспечивается силами самого вендора.

    Дополнительная защита от несанкционированного доступа к вашему счету со стороны банкомата – это необходимость вводить пин-код от соответствующей карты при любой операции. К примеру, если в кафе вы можете расплатиться за чашку кофе простым касанием, без пин-кода, то взаимодействие с банкоматом потребует ввода кода даже в том случае, если вы хотите снять со счета 100 рублей.

    Где можно попробовать в действии


    На начало июля в Москве у нас пока установлено 20 таких терминалов, по России суммарно – 300. Приоритет в установке отдается отделениям Альфа-Банка, но банкоматы ставятся и в бизнес-центрах.

    Для того чтобы найти такой банкомат на карте, мы сделали дополнительный фильтр на сайте. В скором времени он должен появиться и в мобильных приложениях.



    Эти банкоматы будут выделяться визуально с помощью специальных наклеек, также будет заметно, что под прорезью для карты установлен ридер.

    Здесь не обходится без курьезов, потому что люди привыкают ко внешнему виду банкоматов, и начинают что-то подозревать, если вдруг на их любимом аппарате вдруг появляется какая-то дополнительная деталь. Будь это ридер или антискиммер – для пользователя это все равно что-то новое, а значит – подозрительное. Нам уже звонили пару раз по поводу того, что «на банкомате кто-то установил какую-то странную фигню, которая сейчас точно снимет у деньги вообще со всех моих карт». На самом деле, это даже хорошо, что пользователи проявляют бдительность и звонят нам, потому что случаи бывают разные.

    К концу 2017-го мы планируем довести число таких банкоматов до 700. Сама перестройка банкоматной сети проводится двумя способами – это и установка новейших моделей банкоматов, и апгрейд текущих (соответствующий софт + ридер). При этом в случае апгрейда стоимость такой доработки составляет примерно 5% от цены нового банкомата.

    Сейчас с момента официального запуска прошла пара недель, поэтому показать какую-то подробную статистику использования данной функции будет затруднительно, но общие сведения дают понять, что этим начинают пользоваться все активнее. Причем не столько в тестовом режиме «Дай-ка попробую снять тысячу смартфоном», но и на довольно больших суммах – были снятия около 100 000 рублей с использованием Apple Pay. Пока мы склонны считать, что именно этот Pay станет самым популярным у пользователей, но время покажет.

    Что дальше


    В планах есть ввод в банкоматный парк так называемых топлесс-банкоматов. Вопреки ожиданиям, у такого банкомата рядом не будет симпатичной ассистентки, помогающей вам снять или внести наличные, это просто банкомат без верхней части (без экрана и без клавиатуры). Подобные банкоматы уже используются в ряде некоторых стран.

    Как это работает – все операции (выбор нужного действия, конкретной суммы и прочего) осуществляются на экране смартфона через приложение банка. После уточнения всех деталей остается лишь поднести смартфон к ридеру банкомата и получить или внести наличные. Сам банкомат представляет собой прямоугольный ящик, у которого есть только ридер и отделение для приема и выдачи купюр.

    Это, кстати, дает небольшой плюс в плане безопасности. Если раньше над клавиатурой под конкретным углом могли устанавливать камеры, записывающие для злоумышленника ваш пин-код (или вообще использовать подложную клавиатуру в тех же целях), то ввод пин-кода и других данных с экрана вашего смартфона такую уязвимость отсекает. Как и проблему скиммеров – нет прорези для карт = никто не клонирует магнитную полосу вашей карты.
    Конечно, есть ненулевая вероятность, что со временем и ростом популярности бесконтакта появятся и миниатюрные NFC-скиммеры, это неизбежно, как вечное противостояние меча и щита. Но, прямо скажем, уровень защиты данных в токене и в магнитной полосе сильно отличается.

    Само собой, ожидаем появление подобных банкоматов и у наших коллег по банковскому делу.
    А вот насчет распространения подобного по миру пока наблюдается следующая тенденция. Сильнее всего банкоматы развиваются в Азии. Какие-то новые функции и эксперименты чаще всего появляются там (но в случае с пополнением и снятием через смартфон первыми в мире все же стали мы).

    Запад же, несмотря на то, что банкоматы впервые появились именно там, прогрессирует в плане банкоматов не так активно. По большей части это связано с тем, что у них парк банкоматов прошел все ступени эволюции, от первых банкоматов, которые обрабатывали чеки (их именно для этого и придумали) до банкоматов, которые вы можете видеть в США сейчас.


    Barclays Bank, 1967-й год, фото – AP.

    Вот эта штуковина была первым в мире автоматом по выдаче наличных денег населению. Пользователь вставлял в прорезь чек и получал наличку. Наличка при этом была ограничена суммой в 10 фунтов, потому что в то время не было возможности проверить, сколько денег у клиента на счете в принципе. Зато уже в то время боролись с подделками, и эти чеки, которые выдавал банк, были помечены изотопом углерода-14. Для человека изотоп довольно безвреден, а банкомат мог понять, правильный чек в него вставили, или кто-то решил обогатиться за счет банка не самым законным способом.

    Сейчас же в США ситуация сложилась так, что большая часть используемых карт – с магнитными полосами, а не с чипами, не говоря уже о бесконтакте. Кстати, именно по этой причине клонированные карты везут на обнал из РФ в США. Допустим, у вас есть карта с чипом. Каким-то образом в установленном не в самом надежном месте банкомате вы попали на скиммеры, которые считали магнитную полосу и пин-код, после чего злоумышленник с помощью болванки сделал клон вашей карты.

    Так вот, использование этого клона в РФ будет бесполезным – у банков есть данные о том, что карта защищена еще и чипом, поэтому снять деньги с клона через банкомат не выйдет. Зато можно увезти клон в США и обналичить его там, без проверки на чип.

    Сейчас банкоматная сеть в США настолько огромна, что на ее модернизацию уйдет колоссальное количество средств и времени. Вкупе с определенным консерватизмом имеем то, что имеем – заметное отставание от остального мира по работе с картами.

    Почему нам повезло больше – потому что в нашей стране банкоматы начали активно появляться в 90-х годах прошлого века. Мы стартовали с довольно нормальных технологий, которые успевали развивать в соответствии с потребностями пользователей и своими идеями.
    Поэтому сейчас нам гораздо проще внедрять что-то новое.

    Чем мы и стараемся заниматься.

    PS Кстати, если вам хочется принять участие в разработке подобных решений, мы недавно открыли несколько новых вакансий, возможно, нам нужны именно вы.

    Comments 45

      –1
      Классно сделали!
      Единственный момент наверное лучше разместить устройство для телефона и часов слева а не справа :)
      Все таки часы большинство носит на левой руке да и телефон как правило держат левой рукой и привязывают touch id к пальцу правой руки.
        +13
        ПриватБанк уже года 2 позволяет снимать деньги с банкомата без карты, лишь с помощью телефона.
          0
          Есть даже видео 3-летней давности про topless :)
            0
            Характерно, что реклама сумму именно в долларах показывает.
            –1
            Ну, справедливости ради, Приватбанк вроде бы только с использованием СМС позволяет снять деньги без карты. Или уже появились банкоматы с поддержкой paypass?

            А тут в банкомет вставили очередной бесконтактный ридер, и теперь хотя прокричать что они «первые в мире», хотя, по сути дела, нет новой технологии даже на уровне реализации Приватбанка — всего лишь бесконтактный ридер перенесли из POS-терминала в банкомет…

            PS
            «Сам себя по голове не погладишь — ...» © :)
              0
              SMS нужна только когда у тебя не смартфон а обычная звонилка, а так открыл приложение ввёл нужную сумму денег, отсканировал QR код с банкомата и можно забирать деньги.

              Когда начал пользоваться поначалу было чувство что он должен мне вернуть карту :)
                0
                И опять же это все нюансы — «умное» мобильное устройство отвечает само, а «тупое» использует руки носителя для вноса кода в терминал :)

                А вот когда они позволят снимать деньги в терминале не имея на руках ни карточки, ни телефона, тогда… Тогда биометрика рулит.
              0
              зашел сюда ради этого коммента
                0
                Да про топлесс знаем, что есть у Привата. Правда, насколько мне известно, он остался в стадии концепции. Вот хотим тоже попробовать развить эту историю у нас. Но эта тема не про Pay…
              • UFO just landed and posted this here
                  0
                  Насколько нам известно, все, что делалось, было на картах банка-владельца АТМ.

                  Мы первые, кто сделал это для чужих карт.
                    +1

                    В Польше есть BLIK, подходишь к банкомату вводишь код который генерируется приложением банка и можно снимать деньги.(причем работает почти во всех банкоматах в стране )

                    +5
                    Согласен, тот же Альфа-Банк Украина ровно год назад, в июне 2016-го, установил первый в Украине бесконтактный банкомат. Так что да, «Впервые в мире» лучше заменить на «Впервые в России».

                    Кстати, передайте, пожалуйста, коллегам, что на украинском сайте тоже хочется видеть аналогичный фильтр по расположению бесконтактных банкоматов.
                      0
                      Ребят еще раз, Альфа-Банк Россия сделала бесконтакт в АТМ на Мастеркарде еще в 2015 году (если быть точнее на картах Припейд еще в 2014 на первом фестивале AFP). Сейчас мы сделали это на ApplePay/SamsungPay/AndroidPay. Были реализации на «домашних» картах, но, на сколько нам известно, ни разу в мире не было реализаций для карт выпущенных банком, отличным от владельца банкоматов. Мы ровно про это.
                    0
                    А если мобильник с NFC в приемный лоток банкомата положить?
                      +3
                      Если вы надеетесь таким образом реализовать смартфон и получить на счет карты средства в размере его цены с учетом амортизации — у меня с Samsung S7 не прошло.
                      +2
                      Даже в Австралии это уже есть пару лет. Хотя Австралия от континента отстаёт в среднем на 10 лет.

                        +2
                        Ой, ну не надо так громко, в мире єто уже практикуется. Первый раз видел где-то года два… три назад.
                          +1
                          Взглянув на браслет, о наболевшем: В Украине есть смешная сложность Pay Pass, продавцы не умеют им пользоваться:
                          — Не знают что он есть
                          — Пытаются взять карту и приложить самостоятельно
                            0
                            Есть свежий обзор, частично подтверждающий, что с бесконтактными оплатами у нас есть некоторые нюансы: Как я месяц пытался оплачивать все только смартфоном.
                            Но, как пишет автор, «пройти тест можно было, но комфортно жить только со смартфоном в качестве кошелька сложно».
                              0
                              На самом деле это еще цветочки, у моего банка (европейский банк), есть карта наклейка — это маленькая карта которая клеится на телефон и платишь Pay Pass. Ну так вот, был я в Украине и приложил телефон к терминалу и прошла оплата, и продавщица начала орать что я сделал… типо как телефоном… я снял чехол показал карту и объяснил ей, а она уперлась и позвала охрану и они уже готовы были звонить в милицию, типо мошенник ( я стоял угарал со всего этого действа ) и в принципе готов уже был что вызовут милицию и сейчас будет еще веселее, но повезло что был один молодой охранник который умеет пользоваться гуглом… В итоге я нормально пошел домой.
                              Но когда приезжаю домой стараюсь платить обычной картой.
                              П.с было это где-то 6-8 месяцев назад
                              0
                              Дикие какие-то люди у вас. У меня истории с точностью до наоборот — когда оплачиваю в магазинах или аптеках и вставляю карту на считывание чипа, то продавцы на меня смотрят обиженно — зачем вы так делаете? у нас же PayPass работает! Но возможно, что это только в Киеве так…
                              +1
                              Яндекс деньги так умеют. Без привязки к левым вендорам. Только смартфон с NFC нужен. Именно поэтому их подобным сервисом пользоваться буду, а эпплами и гуглами, которые хранят логи моих платежных операций в маркетинговых целях, и, как слествие, вашим подобным сервисом — нет.
                                +5
                                Почему логи у эппла и гугла хуже чем логи у яндекса? :)
                                  +1
                                  Очевидно тем, что яндекс.деньги в данном случае сам себе банк, который в любом случае имеет доступ к моим транзакциям, так сказать неизбежное зло. Но при этом подчиняется законам, регламентирующим действия фин.организаций. Тогда как эппл и гугл — нет.
                                    0
                                    И в чём разница-то? Вам легче от того что ваши данные используют ровно в тех же самых целях, но в России?
                                      +2
                                      Еще раз. На фин.организации (яндекс.деньги) и НЕ фин.организации(гугл, эппл, самсунг) возложенны совершенно разные обязательства по отношению к нашим финансовым данным. Речь не про географическую\политическую принадлежность (я использую финансовые организации РФ и зарубежные), а именно про возложенные на данные организации обязательства.
                                        –1
                                        Можете сколько хотите ставить минусы и повторять одно и тоже, сути это не поменяет. От того что на яндекс.деньги наложены какие-то доп. обязательства — вовсе не означает что сам яндекс не может пользоваться этими данными.
                                          +1
                                          Вы действительно не понимаете разницу между финансовой организацией\банком и какой-то левой конторой? Тогда рекомендую поговорить с грамотным фин.юристом.

                                          Если коротко, то как только яндекс.деньги запалят за передачей этих данных в яндекс и использование в коммерческих целях — яндекс.деньги перестанут существовать, да еще и штрафы получат. А если гугл\эппл запалят,… ничего не будет, они ничем не обязаны.
                                          0
                                          Как только ты начинаешь хранить и обрабатывать карточные данные, то сразу попадаешь под действие PCI DSS. Так что тут примерно пофиг.
                                            –1
                                            Известно (тут статья была, как минимум), что гугл использует данные Android Pay в маркетинговых целях. Подозреваю. что PCI DSS ему это позволяет (ну непосредственно данные карт он не использует, быть может). Яндекс.деньгам использовать данные платежей запрещает наш закон о ПД.
                                  0
                                  Зато можно увезти клон в США и обналичить его там, без проверки на чип.


                                  передать дамп за пару секунд, сообщнику прям у банкомата, ага.
                                  А то прям так и вижу как везут чемодан болванок :)

                                  что со временем и ростом популярности бесконтакта появятся и миниатюрные NFC-скиммеры


                                  здрасьте… они давным давно есть
                                    0
                                    > передать дамп за пару секунд, сообщнику прям у банкомата, ага.

                                    К чему спешка? Как жертва определит что карта скомпрометирована, если никаких операций по ней злоумышленник еще не провел?
                                      0
                                      ну, если не спешно, можно и продать их, ога
                                  • UFO just landed and posted this here
                                      0
                                      Зато уже в то время боролись с подделками, и эти чеки, которые выдавал банк, были помечены изотопом углерода-14

                                      Тогда вообще не мелочились: то вот чеки изотопом пометят, то систему противоракетной обороны спроектируют со сдуванием боеголовок ядерным взрывом в атмосфере.
                                        +1
                                        осталось дождаться когда альфа банк перестанет подключать левые услуги на карты и красть деньги вкладчиков
                                          0
                                          ввод пин-кода и других данных с экрана вашего смартфона такую уязвимость отсекает.

                                          Спорное утверждение…
                                          Особенно при работе с налом. Все же EPP клавиатура и приложение в телефоне дает разный уровень безопасности.

                                            0
                                            Когда уже можно будет заменить карту / телефон / браслет Альфа банка чипом с подобным решением https://dangerousthings.com/shop/xemi/
                                              0
                                              А у Сбера тем временем появился первый банкомат который лица читать умеет — и не надо ни карты, ни телефона, ни чипа. Встал напротив банкомата — он тебя тут же признал и выдал денег
                                                0
                                                Пин-код от карты, отжатой мускуклистыми молодцами, можно попытаться не сказать, а вот не показать лицо банкомату — несколько сложнее. Или Сбербанк будет распознавать эмоции?
                                                0
                                                Я так понимаю, можно воспользоваться картой любого банка? Есть ли какая-либо комиссия? Что на счёт карт Тинькофф, у которых бесплатное обналичивание свыше 3к в любых банкоматах?

                                                Only users with full accounts can post comments. Log in, please.