Неделю назад произошло то, что так долго ждали и толком не верили – официально объявлено о промышленном старте Универсальной Электронной карты. Теперь каждый желающий, как заявлено, может подать заявление и в течение 20 дней получить карту на руки (надо бы это проверить).

Изучение сайта УЭК оставило больше вопросов, чем ответов – все формулировки так весьма расплывчаты – снимаю шляпу перед теми, кто писал тексты. Поэтому попробую сам для себя разобраться, что с этим делать. И какое место в УЭК следует занимать коммерческому Банку.

Итак, грубо говоря от карты ожидается три группы функций:

1. ДУЛ, ЭЦП, Полис ОМС, Страховое свидетельство ОПС – в одном флаконе.
2. Ключ для доступа к государственным, муниципальным и коммерческим услугам – по сути карта участника той или иной (бонусной, предоплаченной и т.п.) системы.
3. Платежная банковская карта.

Функционал я специально разместил именно в таком порядке – по мере реалистичности функционала (на мой взгляд).

Начнем с функции ДУЛ.

Собственно, это то, ради чего, на мой взгляд, и стоило делать данный проект. 115-ФЗ – бич для розничного бизнеса, который сильно портит Банкам жизнь. Банки вынуждены, как могут, изгаляться, чтобы затащить повторно (а то и в первый раз) клиента в Банк, в то время как сам клиент туда идти вовсе не желает. И вовсе не потому, что там его “злобные” банкиры пытаются обмануть. А потому, что закономерно хочет сервиса – то есть обслуживания на дому. Туда же можно отнести, например, такой документ, как 2008-У.

Получить для Банка возможность удаленно провести идентификацию клиента так, чтобы данная процедура удовлетворила госорганы – дорогого стоит. Как все было бы проще: поставил на интернет-банк, на рабочие места операционистов (и прочих работающих с клиентами служб), в терминалы и банкоматы софт и ридеры для работы с УЭК, построил host-to-host с ПЦ УЭК – и все! Открывай депозиты, выдавай кредиты, совершай в терминальной сети операции на сумму свыше 15000 рублей… Это рай какой-то!

Здесь я вижу три узких момента:

— правовой статус этого самого ДУЛ. Тут все зависит от законодателя. Если это будет просто эрзац-карточка – все накроется медным тазом. Правда, если верить заявлениям, что через три года при перевыпуске УЭК уже мутирует в электронный паспорт – можно ожидать, что настрой у государства тут вполне серьезный. Кстати, на мой взгляд при таком подходе Полис ОМС, Страховое свидетельство ОПС, ИНН и прочие локальные идентификаторы должны будут отмереть и будут заменены на единый электронный – аналог номера соцстрахования в США, он же электронный ДУЛ.

— инфраструктура. Я бы не рискнул пользоваться картой, если ею можно подписать документ в интернете, только указав реквизиты карты. Значит – только с использование чипа и под пином, да еще и желательно с сессионным кодом. Как обеспечить каждого «юзера» секъюрным ридером, который читает чип (пусть и бесконтактно), да за приемлемые деньги – это задачка. Если же ее не решить – уделом карты будет катание ее в офисах и терминалах, специально для этого приспособленных.

— удостоверяющий центр сделок (назовем его так). Нужен некий механизм, который будет свидетельствовать о совершении сделки сторонами в случае разбирательств в суде. В обычном деловом обороте таким механизмом выступает бумага с подписями и печатями с двух сторон. Подписи и печати можно проверить на подлинность и снять вопрос. В случае использования ЭЦП это уже не очевидно, так как обычно информация хранится на сервере, например, Банка, который есть сторона заинтересованная. А при стоящем мотиве – возможна и фальсификация. Таким образом, данный момент должен быть продуман.

Ключ для доступа к услугам

В этом собственно никакой сложности нет. Если сделают электронный паспорт, то интегрировать его в уже существующие учетные системы не сложно. Было бы время и деньги.

Единственное, что меня тут смущает – это утверждение о том, что на карте будут размещаться приложения – транспортные и прочее, и прочее. Какого бы размера не была карта – сейчас предполагается от 70 кБайт – учитывая потенциальное количество услуг, все приложения на карту физически не поместятся.

Поэтому придется карту использовать исключительно как ID – то есть по сути использовать тот же самый функционал, что и в первой части функционала карты. Количество же поставщиков услуг, которым разрешат писать информацию в память чипа, скорее всего, будет жестко ограничено.

Банковское приложение

Вот собственно эта часть у меня вызывает наибольшие сомнения. Точнее в нее я просто не верю.

Записать на карту банковское приложение системы ПРО100 или любого другого Банка – теоретически можно. Вопрос в том, как загнать деньги клиента на счет, к которому привязана эта карта?

Зарплатные проекты мигрируют из банка в банк вслед за тем, какой из банков кредитует предприятие. Переводить деньги на данную карту клиенты не будут. Таким образом, карты будут банально пустыми.

Смущает меня также и технические моменты. Я себе слабо представляю как на карту записывать платежное приложение Банка. Обычная карта поступает в банк от изготовителя с уже записанным приложением, закрытым транспортными ключами Банка. Потом Банк его персонализирует. Для того, чтобы с нуля записывать приложения на карту у Банков просто нет оборудования. Либо карты должны идти с приложениями, закрытыми какими-то общими транспортными ключами. Как удалять старое приложение при смене места работы клиента и возможно ли это вообще? Если нет, то рано или поздно карта просто кончится – на ней не останется места.

Можно, конечно, счет в Сбербанке использовать для выплат государства (пенсии, компенсации и т.д.), но в этом случае государству нужен был бы один партнер – Сбербанк – для упрощения работы с реестрами на зачисления. Администрирование же счетов в открытой системе – задача на порядок сложнее.

В общем, мне данная конструкция представляется неработоспособной.

Скорее, тут имеет смысл сделать функционал по привязке через портал гос.услуг или банк-эмитент к платежному приложению УЭК своей текущей зарплатной банковской карты. Как это работает в интернет-системах (например, Pay-Pal, Assisst). В этом случае при минимуме затрат клиент фактически получает платежный инструмент, привязанный к его текущей зарплатной (или любой иной) карте.

Такая архитектура мне представляется более правильной.

Итак, что мы имеем.

Единый идентификатор+ДУЛ+ЭЦП на карте с двумя интерфейсами. Он же используется для получения различных услуг как без оплаты, так и с оплатой через платежное приложение, к которому Клиентом привязывается существующая банковская карта самостоятельно или через банк-эмитент банковской карты. Желательно к карте выдавать бесконтактный ридер для подключения к интернет-терминалу (компьютер, телефон).

Означенного функционала более, чем достаточно для выполнения поставленных перед УЭК задач.

Наверное, не случайно уже сейчас заявляется, что через три года вместо УЭК появится электронный паспорт, а УЭК отомрет. Там тоже не дураки сидят.

При таком раскладе, участие банка в УЭК целесообразно исключительно в качестве эквайрера (для работы с идентификационными приложениями). Заниматься эмиссией карт УЭК смысла особого нет. А после мутирования ее в электронный паспорт, эта функция вообще должна быть передана государственным органам. Собственно об этом говорит и опубликованный сегодня проект закона об электронном паспорте.