Открыть сервис

Виртуальный платежный адрес

Виртуальный платежный адрес (англ. virtual payment address, VPA) — это уникальный буквенно-цифровой или символьный идентификатор, привязанный к банковскому счёту или электронному кошельку, который используется для проведения безналичных платежей и переводов без раскрытия получателю отправителя реальных реквизитов (номера счёта, номера карты или мобильного телефона). Виртуальный платежный адрес выступает в качестве псевдонима (алиаса) для основного счёта, обеспечивая дополнительный уровень конфиденциальности и безопасности транзакций. Технология получила распространение в системах мгновенных платежей, мобильных банковских приложениях и платёжных шлюзах.

История возникновения

Концепция виртуальных платежных адресов начала развиваться в середине 2010-х годов в рамках глобальной тенденции к упрощению и ускорению денежных переводов. Первой крупной системой, внедрившей VPA, стала индийская платформа Unified Payments Interface (UPI), запущенная Национальной платежной корпорацией Индии (NPCI) в 2016 году. UPI позволяла пользователям создавать адреса в формате username@bankname, которые служили единственным идентификатором для отправки и получения средств. Успех UPI — к 2023 году система обрабатывала более 10 миллиардов транзакций в месяц — стимулировал развитие аналогичных решений в других странах.

В России схожий функционал появился в 2019 году с запуском Системы быстрых платежей (СБП) Банка России, где роль виртуального адреса выполняет номер мобильного телефона, привязанный к счёту. Параллельно в мире развивались сервисы, предлагающие VPA как часть экосистем цифровых кошельков (PayPal, Venmo, Google Pay, Apple Pay) и криптовалютных платформ (адреса кошельков являются аналогом VPA в блокчейне).

Принцип работы

Виртуальный платежный адрес функционирует как посредник между отправителем и получателем. Процесс транзакции включает несколько этапов:

  1. Регистрация: пользователь создаёт VPA в банковском приложении или платёжном сервисе, привязывая его к своему счёту. Адрес может быть сгенерирован автоматически (например, user123@bank) или выбран вручную (например, ivan.petrov@pay).
  2. Инициирование платежа: отправитель вводит VPA получателя в интерфейсе перевода, не зная его банковских реквизитов.
  3. Маршрутизация: платёжная система (через шлюз или API) обращается к центральному реестру VPA, сопоставляет адрес с реальным счётом и проверяет доступность средств.
  4. Авторизация: получатель получает уведомление о входящем запросе (часто с возможностью подтвердить или отклонить перевод). В некоторых системах (например, UPI) отправитель может запросить подтверждение от получателя перед списанием средств.
  5. Исполнение: после подтверждения средства списываются со счёта отправителя и зачисляются на счёт получателя. VPA остаётся неизменным, а реальные реквизиты не раскрываются.

Технически VPA хранится в базе данных платёжного провайдера в виде записи, связывающей алиас с номером счёта (IBAN, номер карты или токен). Для повышения безопасности используются шифрование каналов связи (TLS) и многофакторная аутентификация (MFA) при создании или изменении адреса.

Классификация виртуальных платежных адресов

По типу привязки к счёту различают:

  • Статические VPA: постоянный адрес, привязанный к одному счёту на длительный срок. Используется для регулярных переводов (например, зарплата, коммунальные платежи).
  • Динамические VPA: временные адреса, генерируемые для одной транзакции или на короткий период. Применяются в интернет-магазинах для разовых покупок, чтобы минимизировать риск утечки данных.

По сфере применения:

  • Банковские VPA: встроены в системы мгновенных платежей (СБП, UPI, Pix в Бразилии). Примеры: номер телефона в СБП, username@bank в UPI.
  • Платёжные шлюзы и кошельки: адреса в сервисах PayPal, Venmo, Яндекс.Деньги (сервис принадлежит ООО «НКО «Яндекс.Деньги», действует в рамках законодательства РФ). В криптовалютах — адреса кошельков (например, 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa для Bitcoin).
  • Корпоративные VPA: используются компаниями для приёма платежей от клиентов. Например, адреса в системе QR-кодов СБП или в сервисах электронной коммерции.

Преимущества и недостатки

Преимущества

  • Конфиденциальность: отправитель не узнаёт номер счёта или карты получателя, что снижает риск мошенничества и нежелательных списаний.
  • Удобство: VPA легко запоминается (например, ivan@bank или номер телефона) и не требует ввода длинных номеров счетов (до 20 цифр для IBAN).
  • Скорость: транзакции по VPA обычно обрабатываются мгновенно (от 1 до 10 секунд) в системах мгновенных платежей.
  • Гибкость: возможность привязывать несколько VPA к одному счёту (для разных целей — личные, рабочие, для покупок).
  • Безопасность: при утечке VPA злоумышленник не получает доступ к счёту, так как для списания требуется дополнительная аутентификация (пароль, биометрия или одноразовый код).

Недостатки

  • Зависимость от инфраструктуры: VPA работает только в рамках конкретной платёжной системы или банка. Для переводов между разными системами требуется конвертация (например, через СБП или международные шлюзы).
  • Риск фишинга: мошенники могут создавать поддельные VPA, имитирующие адреса известных сервисов, для кражи данных. Пользователи должны проверять адрес через официальные каналы.
  • Ограниченная анонимность: хотя VPA скрывает номер счёта, сам адрес часто привязан к реальным данным (номеру телефона, имени), что позволяет идентифицировать пользователя при необходимости (например, по запросу правоохранительных органов).
  • Технические сбои: ошибки в реестре VPA или задержки в маршрутизации могут приводить к неудачным переводам.

Применение

В России

В Российской Федерации виртуальные платежные адреса активно используются в Системе быстрых платежей (СБП), оператором которой является Банк России. В СБП роль VPA выполняет номер мобильного телефона, зарегистрированный в системе. По данным Банка России, на конец 2023 года через СБП было совершено более 7 миллиардов переводов на сумму свыше 30 триллионов рублей. Кроме того, VPA применяются в мобильных приложениях банков (например, СберБанк, ВТБ, Т-Банк) для переводов по номеру карты или телефона, а также в сервисах электронных кошельков (QIWI, ЮMoney — сервисы работают в рамках законодательства РФ).

В международной практике

  • Индия (UPI): наиболее массовое использование VPA — более 300 миллионов активных пользователей по состоянию на 2024 год. Адреса формата username@bank позволяют совершать переводы между любыми банками-участниками.
  • Бразилия (Pix): запущенная в 2020 году система использует в качестве VPA номер телефона, CPF (налоговый номер) или случайный ключ. Pix обрабатывает более 3 миллиардов транзакций в месяц.
  • Европа (SEPA Instant): в рамках Единой зоны платежей в евро (SEPA) используются IBAN, но существуют сервисы-посредники (например, Revolut, Wise), предлагающие виртуальные адреса для упрощения переводов.
  • Криптовалюты: адреса кошельков (например, Ethereum: 0xAb5801a7D398351b8bE11C439e05C5B3259aeC9B) являются аналогом VPA, но не скрывают историю транзакций (публичный блокчейн).

Безопасность и регулирование

Использование VPA регулируется национальными платёжными системами и законодательством о противодействии отмыванию доходов (AML) и финансированию терроризма (CFT). В России операторы СБП обязаны идентифицировать пользователей по номеру телефона через банк, что соответствует требованиям Федерального закона № 115-ФЗ. Адреса VPA не являются анонимными: при необходимости правоохранительные органы могут запросить у банка реальные реквизиты счёта, привязанного к адресу.

Для защиты от мошенничества рекомендуется:

  • Использовать только официальные приложения банков для создания и ввода VPA.
  • Не передавать VPA третьим лицам без необходимости.
  • Включать двухфакторную аутентификацию для подтверждения переводов.
  • Регулярно проверять историю транзакций на предмет несанкционированных списаний.

Критика

Основные критические замечания в адрес виртуальных платежных адресов связаны с потенциальной уязвимостью для фишинга: злоумышленники могут создавать поддельные страницы ввода VPA, имитирующие банковские интерфейсы. Кроме того, в некоторых системах (например, UPI) отправитель может запросить у получателя подтверждение перевода, что создаёт неудобства при массовых рассылках. Также отмечается, что VPA не решает проблему мошенничества с использованием социальной инженерии, когда жертву убеждают перевести средства на «безопасный» адрес.

Источники

  1. Банк России. «Система быстрых платежей: отчёт за 2023 год». Москва, 2024.
  2. National Payments Corporation of India. «Unified Payments Interface: Product Overview». Mumbai, 2023.
  3. Banco Central do Brasil. «Pix: Manual de Operação». Brasília, 2022.
  4. Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
  5. European Payments Council. «SEPA Instant Credit Transfer Scheme Rulebook». Brussels, 2023.
  6. Satoshi Nakamoto. «Bitcoin: A Peer-to-Peer Electronic Cash System». 2008.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →