В сложной структуре услуг m-commerce есть центральное звено. Оно называется Trusted Service Manager (TSM) и представляет собой платформу, которая отвечает за безопасность финансовых транзакций. Можно сказать: кто владеет TSM, тот главный по услугам мобильной коммерции. Но в этой части не все пока очевидно.
Как рассказывает Виктор Сестреватовский, директор по развитию бизнеса в области банковских, транспортных и NFC-приложений в России и СНГ компании NXP Semiconductors, физически в NFC-телефоне два основных блока — радиоконтроллер и элемент безопасности. Причем последний может располагаться как на SIM-карте, так и быть встроен в сам телефон. Понятно, что первый вариант предпочтительнее для операторов мобильной связи, поскольку теснее связывает с ними абонентов. А вот второй более интересен с точки зрения банков, торговых точек и т. д., которым выгоднее несвязанность покупателя с конкретным оператором. Как замечает Виктор Сестреватовский, технологически оба подхода можно совместить в одном устройстве и дать возможность выбора текущего способа оплаты: через банковскую или SIM-карту. Но единого идеального подхода пока не придумано. И потому производители трубок хотя и держат руку на пульсе — на рынке уже представлено почти 50 моделей с поддержкой NFC и почти столько же готовится к выпуску, — но на масштабное их продвижение в качестве платежного инструмента пока не решаются. Поскольку непонятно, поддержат ли их торговые точки.
К тому же стопроцентных гарантий безопасности мобильных платежей никто дать не может. Ловцы вирусов уверены, что вместе с популярностью NFC-телефонов появятся и соответствующие вредоносы. Подходящие для этих целей уязвимости в ПО управления платежами уже обнаруживаются. Так, недавно были выявлены две уязвимости электронного бумажника Google Wallet. «Если данные о банковском счете хранятся в специальном защищенном разделе NFC-чипа, то необходимые для работы системы значения хэш-функции этого ПИН-кода размещаются в файловой системе телефона, — рассказывает Денис Масленников, ведущий антивирусный эксперт «Лаборатории Касперского». — А ПИН-код — это всего лишь четырехзначное число, которое злоумышленник сможет даже просто подобрать методом полного перебора».
Помимо рисков безопасности есть и другие причины, которые вызывают весьма осторожное отношение к платежам через телефон у банковского сообщества. «Все участники технологической цепочки еще должны договориться, как будут распределяться доходы от использования технологии, — подчеркивает Тимур Аитов, исполнительный директор Ассоциации российских банков. — До сих пор и у нас, и за рубежом эти важные договоренности достигаются не так быстро и легко, как бы этого хотелось». Специально в этих целях по инициативе АРБ и РСПП и при поддержке ЦБ РФ создается Национальный платежный совет — некоммерческое партнерство, которое займется в том числе гармонизацией отношений игроков мобильной коммерции.