Виртуальный платежный адрес
Виртуальный платежный адрес (англ. virtual payment address, VPA) — это уникальный буквенно-цифровой или символьный идентификатор, привязанный к банковскому счёту или электронному кошельку, который используется для проведения безналичных платежей и переводов без раскрытия получателю отправителя реальных реквизитов (номера счёта, номера карты или мобильного телефона). Виртуальный платежный адрес выступает в качестве псевдонима (алиаса) для основного счёта, обеспечивая дополнительный уровень конфиденциальности и безопасности транзакций. Технология получила распространение в системах мгновенных платежей, мобильных банковских приложениях и платёжных шлюзах.
История возникновения
Концепция виртуальных платежных адресов начала развиваться в середине 2010-х годов в рамках глобальной тенденции к упрощению и ускорению денежных переводов. Первой крупной системой, внедрившей VPA, стала индийская платформа Unified Payments Interface (UPI), запущенная Национальной платежной корпорацией Индии (NPCI) в 2016 году. UPI позволяла пользователям создавать адреса в формате username@bankname, которые служили единственным идентификатором для отправки и получения средств. Успех UPI — к 2023 году система обрабатывала более 10 миллиардов транзакций в месяц — стимулировал развитие аналогичных решений в других странах.
В России схожий функционал появился в 2019 году с запуском Системы быстрых платежей (СБП) Банка России, где роль виртуального адреса выполняет номер мобильного телефона, привязанный к счёту. Параллельно в мире развивались сервисы, предлагающие VPA как часть экосистем цифровых кошельков (PayPal, Venmo, Google Pay, Apple Pay) и криптовалютных платформ (адреса кошельков являются аналогом VPA в блокчейне).
Принцип работы
Виртуальный платежный адрес функционирует как посредник между отправителем и получателем. Процесс транзакции включает несколько этапов:
- Регистрация: пользователь создаёт VPA в банковском приложении или платёжном сервисе, привязывая его к своему счёту. Адрес может быть сгенерирован автоматически (например,
user123@bank) или выбран вручную (например,ivan.petrov@pay). - Инициирование платежа: отправитель вводит VPA получателя в интерфейсе перевода, не зная его банковских реквизитов.
- Маршрутизация: платёжная система (через шлюз или API) обращается к центральному реестру VPA, сопоставляет адрес с реальным счётом и проверяет доступность средств.
- Авторизация: получатель получает уведомление о входящем запросе (часто с возможностью подтвердить или отклонить перевод). В некоторых системах (например, UPI) отправитель может запросить подтверждение от получателя перед списанием средств.
- Исполнение: после подтверждения средства списываются со счёта отправителя и зачисляются на счёт получателя. VPA остаётся неизменным, а реальные реквизиты не раскрываются.
Технически VPA хранится в базе данных платёжного провайдера в виде записи, связывающей алиас с номером счёта (IBAN, номер карты или токен). Для повышения безопасности используются шифрование каналов связи (TLS) и многофакторная аутентификация (MFA) при создании или изменении адреса.
Классификация виртуальных платежных адресов
По типу привязки к счёту различают:
- Статические VPA: постоянный адрес, привязанный к одному счёту на длительный срок. Используется для регулярных переводов (например, зарплата, коммунальные платежи).
- Динамические VPA: временные адреса, генерируемые для одной транзакции или на короткий период. Применяются в интернет-магазинах для разовых покупок, чтобы минимизировать риск утечки данных.
По сфере применения:
- Банковские VPA: встроены в системы мгновенных платежей (СБП, UPI, Pix в Бразилии). Примеры: номер телефона в СБП,
username@bankв UPI. - Платёжные шлюзы и кошельки: адреса в сервисах PayPal, Venmo, Яндекс.Деньги (сервис принадлежит ООО «НКО «Яндекс.Деньги», действует в рамках законодательства РФ). В криптовалютах — адреса кошельков (например,
1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNaдля Bitcoin). - Корпоративные VPA: используются компаниями для приёма платежей от клиентов. Например, адреса в системе QR-кодов СБП или в сервисах электронной коммерции.
Преимущества и недостатки
Преимущества
- Конфиденциальность: отправитель не узнаёт номер счёта или карты получателя, что снижает риск мошенничества и нежелательных списаний.
- Удобство: VPA легко запоминается (например,
ivan@bankили номер телефона) и не требует ввода длинных номеров счетов (до 20 цифр для IBAN). - Скорость: транзакции по VPA обычно обрабатываются мгновенно (от 1 до 10 секунд) в системах мгновенных платежей.
- Гибкость: возможность привязывать несколько VPA к одному счёту (для разных целей — личные, рабочие, для покупок).
- Безопасность: при утечке VPA злоумышленник не получает доступ к счёту, так как для списания требуется дополнительная аутентификация (пароль, биометрия или одноразовый код).
Недостатки
- Зависимость от инфраструктуры: VPA работает только в рамках конкретной платёжной системы или банка. Для переводов между разными системами требуется конвертация (например, через СБП или международные шлюзы).
- Риск фишинга: мошенники могут создавать поддельные VPA, имитирующие адреса известных сервисов, для кражи данных. Пользователи должны проверять адрес через официальные каналы.
- Ограниченная анонимность: хотя VPA скрывает номер счёта, сам адрес часто привязан к реальным данным (номеру телефона, имени), что позволяет идентифицировать пользователя при необходимости (например, по запросу правоохранительных органов).
- Технические сбои: ошибки в реестре VPA или задержки в маршрутизации могут приводить к неудачным переводам.
Применение
В России
В Российской Федерации виртуальные платежные адреса активно используются в Системе быстрых платежей (СБП), оператором которой является Банк России. В СБП роль VPA выполняет номер мобильного телефона, зарегистрированный в системе. По данным Банка России, на конец 2023 года через СБП было совершено более 7 миллиардов переводов на сумму свыше 30 триллионов рублей. Кроме того, VPA применяются в мобильных приложениях банков (например, СберБанк, ВТБ, Т-Банк) для переводов по номеру карты или телефона, а также в сервисах электронных кошельков (QIWI, ЮMoney — сервисы работают в рамках законодательства РФ).
В международной практике
- Индия (UPI): наиболее массовое использование VPA — более 300 миллионов активных пользователей по состоянию на 2024 год. Адреса формата
username@bankпозволяют совершать переводы между любыми банками-участниками. - Бразилия (Pix): запущенная в 2020 году система использует в качестве VPA номер телефона, CPF (налоговый номер) или случайный ключ. Pix обрабатывает более 3 миллиардов транзакций в месяц.
- Европа (SEPA Instant): в рамках Единой зоны платежей в евро (SEPA) используются IBAN, но существуют сервисы-посредники (например, Revolut, Wise), предлагающие виртуальные адреса для упрощения переводов.
- Криптовалюты: адреса кошельков (например, Ethereum:
0xAb5801a7D398351b8bE11C439e05C5B3259aeC9B) являются аналогом VPA, но не скрывают историю транзакций (публичный блокчейн).
Безопасность и регулирование
Использование VPA регулируется национальными платёжными системами и законодательством о противодействии отмыванию доходов (AML) и финансированию терроризма (CFT). В России операторы СБП обязаны идентифицировать пользователей по номеру телефона через банк, что соответствует требованиям Федерального закона № 115-ФЗ. Адреса VPA не являются анонимными: при необходимости правоохранительные органы могут запросить у банка реальные реквизиты счёта, привязанного к адресу.
Для защиты от мошенничества рекомендуется:
- Использовать только официальные приложения банков для создания и ввода VPA.
- Не передавать VPA третьим лицам без необходимости.
- Включать двухфакторную аутентификацию для подтверждения переводов.
- Регулярно проверять историю транзакций на предмет несанкционированных списаний.
Критика
Основные критические замечания в адрес виртуальных платежных адресов связаны с потенциальной уязвимостью для фишинга: злоумышленники могут создавать поддельные страницы ввода VPA, имитирующие банковские интерфейсы. Кроме того, в некоторых системах (например, UPI) отправитель может запросить у получателя подтверждение перевода, что создаёт неудобства при массовых рассылках. Также отмечается, что VPA не решает проблему мошенничества с использованием социальной инженерии, когда жертву убеждают перевести средства на «безопасный» адрес.
Источники
- Банк России. «Система быстрых платежей: отчёт за 2023 год». Москва, 2024.
- National Payments Corporation of India. «Unified Payments Interface: Product Overview». Mumbai, 2023.
- Banco Central do Brasil. «Pix: Manual de Operação». Brasília, 2022.
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
- European Payments Council. «SEPA Instant Credit Transfer Scheme Rulebook». Brussels, 2023.
- Satoshi Nakamoto. «Bitcoin: A Peer-to-Peer Electronic Cash System». 2008.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →