Sota Project утверждает, что ФСБ научилась вычислять людей, которые отправляли деньги ФБК. Я в опасности? К сожалению, это возможно — если вы посылали донаты в 2021-2022 годах

Visa и Mastercard — крупнейшие международные платежные системы. Они устанавливают основные правила игры для всех организаций, участвующих в проведении финансовых операций с помощью кредитных или дебетовых карт:

• для торговца, который хочет принимать платежи;
• для банка-эквайера, который обрабатывает поступающие торговцу платежи;
• для банка-эмитента, который выпустил карту покупателя;
• для платежного сервиса, выступающего в роли посредника между продавцом и банком-эквайером (так называемого Payment Facilitator, или PayFac — в нашем случае в этой роли выступал Stripe);
• для разработчика платежных терминалов и программного обеспечения.

Visa и Mastercard важно иметь возможность проследить каждый платеж до конечного торговца для решения самых разных задач. Вроде:

• разрешения споров и возврата денег покупателю;
• контроля соответствия деятельности продавца заявленному виду бизнеса;
• соблюдения требований по противодействию отмыванию денег.

Платежные системы явно оговаривают свое право на мониторинг, аудит, инспекцию и даже расследование в отношении любого торговца. По своему усмотрению и в любое время. Информацию о проблемных («высокорисковых») продавцах заносят в специальную базу данных MATCH. Платежная система может потребовать от эквайера или платежного сервиса разорвать договор с конкретным торговцем.

В 2024 году, после почти двух десятилетий судебных разбирательств, платежные системы заключили соглашение с американскими торговцами (в том числе использующими платформу давнего партнера Stripe — сервиса электронной коммерции Shopify) — и договорились снизить размер межбанковских комиссий по картам в США за проведение и обработку транзакций. Они также обязались выплатить 5,5 миллиарда долларов компенсаций торговцам, которые в 2004-2019 годах принимали кредитные или дебетовые платежи через Visa и MasterCard.

Чтобы определить размер и получить компенсацию, клиентам Shopify нужно было знать свой merchant ID. Они обнаружили, что его нельзя найти ни в отчетах, ни в панели управления своим онлайн-магазином. Некоторые клиенты платформы связали свои проблемы именно с сервисом Stripe. Оказалось, что единственный способ узнать свой merchant ID — это обратиться в службу поддержки платформы.

В службе поддержки Stripe отдельно отмечали, что компания не может и не будет требовать такой компенсации у Visa и Mastercard от имени клиентов.

У этого есть важное — и очень техническое объяснение.

Visa и Mastercard, банки и другие платежные системы обмениваются между собой информацией о платежах в соответствии с единым международным стандартом — ISO 8583 «Сообщения, инициируемые картами для финансовых операций».

Первую редакцию этого документа приняли еще в 1987 году, последнюю — в 2023-м.

Этот стандарт довольно старый — и поэтому каждое сообщение кодируется в виде одного очень длинного числа. Основная информация в нем содержится в блоках с данными, каждый из которых имеет собственный номер. Сообщения разного типа состоят из разного набора блоков. В каждом таком наборе некоторые блоки обязательны, а другие — опциональны.

Блок под номером 42 — это так называемый Card Acceptor Identification Code (CAID). Еще в первой редакции ISO 8583 его описывали как код, который идентифицирует конечного получателя перевода с платежной карты — с примечанием «обычно это торговец». Именно этот идентификатор больше известен под другим названием — merchant ID.

И Mastercard, и Visa явно приравнивают CAID к merchant ID. CAID в документах Mastercard прямо называется Acquirer Merchant ID. Visa также говорит, что CAID и Acquirer Merchant ID, как правило, значат одно и то же (а также уточняет, что в данных транзакции в любом случае будет записан CAID).

ISO 8583 требует, чтобы присвоенный продавцу CAID (то есть merchant ID) был виден в транзакциях.

Если merchant ID торговцу присваивает эквайер, то есть организация, непосредственно обрабатывающая поступающие платежи, то в случае с sub-merchant ID (также известным как sponsored merchant ID) в дело обычно вступает посредник. Его называют Payment Facilitator — или PayFac. Такая компания привлекает торговцев удобным сервисом на своей платежной форме. А эквайеров — тем, что самостоятельно занимается проверкой клиентов и берет на себя часть рисков.

Visa и Mastercard требуют, чтобы в транзакциях таких продавцов одновременно были видны как сам sub-merchant ID (SMID), так и идентификатор выдавшей его организации — Payment Facilitator ID (PFID).

В 2021-2022 годах sub-merchant ID и Payment Facilitator ID не упоминались в актуальной редакции ISO 8583. Но их записывали в такие же финансовые сообщения. Mastercard предписывал использовать для этого блок 48, зарезервированный международным стандартом для частного использования. А Visa — блок 104, который использовался для записи дополнительных данных конкретной транзакции.

Сервис Stripe не раскрывает технические детали своей работы. Это принципиальная позиция компании c момента ее основания в 2011 году. Уже тогда сотрудники уклончиво отвечали на вопрос, создают ли они аккаунты своим клиентам как PayFac-посредники:

С другой стороны, в 2020 году в отчете Credit Suisse утверждалось, что у Stripe есть прямые лицензии платежных систем — то есть компания сама могла быть эквайером. А значит, раздавать клиентам merchant ID, а не только sub-merchant ID.

Банк-эмитент в любом случае сразу получает идентификатор продавца. Это работает так:

1. Человек, решивший оставить пожертвование, вводит данные своей карты на сайте, нажимает на кнопку «отправить» и тем самым инициирует транзакцию.
2. Платежный сервис формирует авторизационное сообщение в формате ISO 8583, которое содержит всю необходимую информацию о транзакции. В том числе данные «продавца» — организации, собирающей пожертвования. Там обязательно должны быть указаны merchant ID или sub-merchant ID.
3. Банк-эмитент карты жертвователя получает авторизационное сообщение от эквайера через сеть Visa или Mastercard вместе с идентификатором «продавца». Проводит необходимые проверки (вроде наличия средств на карте клиента) и отправляет ответ. Банк-эмитент либо подтверждает, либо отклоняет запрос.

Только после успешной авторизации стороны приступают к непосредственному переводу денег.

В 2021-2022 годах американский банк точно был эквайером для некоторых клиентов Stripe. Wells Fargo занимался всей технической работой и обработкой безналичных платежей со стороны продавцов.

Это подтверждает дополнение к пользовательскому соглашению Stripe, вступившее в силу в марте 2021 года — оно не менялось как минимум до мая 2022-го.

Wells Fargo автоматически начинал работать с клиентами Stripe в двух случаях:

• если объем транзакций по картам конкретного торговца превышал миллион долларов в течение одного года;
• если клиент считался «субъектом повышенного риска» для брендов Visa, Mastercard или Discover.

Visa, например, автоматически считает такими субъектами определенные категории торговцев (вроде сервисов знакомств, онлайн-казино, букмекерских контор и продавцов криптовалюты).

Почему в Wells Fargo обрабатывались платежи в адрес ФБК, мы достоверно не знаем. Но банк упоминается уже в самом первом деле о донате ФБК, отправленном 5 августа 2021 года — в день старта фандрайзинговой кампании.

Официального — пока нет.

В августе 2023 года правительство РФ внесло в Госдуму законопроект о прямом (в том числе удаленном) доступе ФСБ, ФСО, МВД, ГРУ и СВР к базам данных различных организаций с информацией об их клиентах. Для того, чтобы спецслужбы могли редактировать или даже удалять оттуда сведения о кадровых и внештатных сотрудниках. Банки выступили против законопроекта. В том числе из-за неограниченного и неконтролируемого доступа спецслужб к данным обычных клиентов без их согласия и без решения суда. В Минцифры заверили, что силовики получат доступ только к информационным системам, которые «будут включены в специальный реестр».

Непонятно, будет ли у них при этом прямой доступ к самим платежам. Или удалять смогут только персональные данные, а сами платежи силовиков сохранятся, но станут обезличенными — анонимными.

Законопроект был принят в первом чтении в ноябре 2023 года. 13 февраля 2025-го инициатива могла быть принята во втором чтении, но рассмотрение перенесли. Если закон будет принят депутатами, одобрен сенаторами, подписан президентом и опубликован, то он вступит в силу 1 июля 2025 года.