Как работает чип на банковской карте: от контакта до подтверждения платежа

Чип на банковской карте работает по стандарту EMV и создаёт одноразовый криптографический код для каждой оплаты. Этот код нельзя использовать повторно, поэтому даже если мошенники перехватят данные транзакции, создать копию карты по ним не получится.

Что такое EMV и зачем он нужен

EMV расшифровывается как Europay, Mastercard, Visa: три платёжные системы, которые разработали стандарт в 1994 году. До появления чипов карты защищала только магнитная полоса с записанными статичными данными. Скопировать её с помощью специального считывателя несложно, что породило массовое скимминг-мошенничество. Чип решает эту проблему за счёт динамической аутентификации.

Внутри чипа размещены микропроцессор, оперативная и постоянная память, а также операционная система платёжного приложения. Размер всей этой системы составляет менее квадратного сантиметра, а вычислительной мощности достаточно для выполнения криптографических алгоритмов в реальном времени.

Как проходит транзакция по чипу

Когда карта вставляется в терминал, начинается многошаговый диалог. Первый этап: выбор приложения. Терминал запрашивает список приложений на карте, и они договариваются об общем протоколе. Второй этап: считывание данных. Терминал получает публичную часть информации о карте, включая срок действия и набор разрешённых операций.

Третий этап: верификация держателя. Это может быть ввод PIN-кода, сравнение подписи или, для бесконтактных платежей небольшой суммы, отказ от проверки. В России банки, как правило, требуют PIN для сумм свыше 1000 рублей при бесконтактной оплате.

Четвёртый и ключевой этап — генерация криптограммы. Чип берёт данные транзакции (сумму, дату, счётчик операций) и вычисляет ARQC, уникальный код запроса авторизации. Этот код шифруется мастер-ключом, который хранится в чипе и никогда не передаётся наружу. Банк-эмитент расшифровывает ARQC своим экземпляром ключа и проверяет корректность. Если всё сходится, он генерирует ответную криптограмму ARPC и отправляет разрешение.

Онлайн и офлайн авторизация

Не каждая транзакция уходит на сервер банка в режиме реального времени. При офлайн-авторизации терминал самостоятельно принимает решение на основе лимитов, зашитых в карту. Такой режим типичен для транспортных карт и платёжных систем в метро, где скорость важнее онлайн-проверки. Чип при этом всё равно формирует криптограмму, которая накапливается и отправляется в банк пакетом в конце дня.

При онлайн-авторизации ARQC уходит в процессинговый центр немедленно. Крупнейший процессинговый центр в России: Национальная система платёжных карт (НСПК), через которую проходят все операции по картам «Мир». Система обрабатывает десятки миллионов транзакций в сутки, и на подтверждение каждой уходит в среднем менее двух секунд.

Бесконтактная оплата и NFC

Современные карты часто оснащены антенной для бесконтактной связи по протоколу NFC. Принцип работы тот же, что и при контактном чипе, но обмен данными происходит на расстоянии до 4 сантиметров. Карта получает питание от электромагнитного поля терминала, поэтому работает даже без батарейки. Криптограмма формируется той же микросхемой, что и при вставке карты, поэтому уровень защиты не снижается. Смартфоны с поддержкой платёжных сервисов используют аппаратный модуль безопасности, который выполняет те же функции, что и физический чип банковской карты.