LIVE

Бесконтактная оплата и банк: статистика рынка в цифрах

83,4% розничного оборота в России по итогам 2023 года прошли без наличных. Это не косметическое изменение платежного поведения. Это смена базовой инфраструктуры расчетов.

Обновлено14 июля 2026 г.
Чтение12 мин
Бесконтактная оплата и банк: статистика рынка в цифрах

Бесконтактная оплата и банк больше не сводятся к прикладыванию карты к POS-терминалу. После 2022 года рынок ушел в более фрагментированную модель: карты «Мир», Mir Pay на Android, QR-коды СБП, платежные стикеры, CNP-транзакции, биометрия, банковские pay-сервисы. Для пользователя это выглядит как набор кнопок на экране. Для банка — как рост числа поверхностей атаки, маршрутов авторизации и спорных операций.

Рекорд безналичного оборота: 83,4% как технический сигнал

Доля безналичных платежей в розничном обороте РФ достигла 83,4% в 2023 году. Это исторический максимум. Цифра важна не сама по себе. Она показывает плотность зависимости розницы от банковской инфраструктуры.

Когда восемь из десяти рублей проходят через цифровой канал, банк перестает быть удаленным расчетным центром. Он становится операционным участником каждой покупки. Даже если платеж идет не картой, а через QR-код. Даже если пользователь видит на экране логотип магазина, а не банка. Деньги все равно проходят через счет, токен, платежное поручение, идентификатор операции, антифрод-скоринг и журнал событий.

В 2023 году объем операций с использованием платежных карт превысил 70 трлн рублей. Одновременно росла доля операций без физического присутствия карты — CNP-транзакций. Это оплата в приложениях, интернет-магазинах, подписках, маркетплейсах, сервисах доставки, игровых платформах, цифровых витринах подарочных карт.

Для банка CNP — зона повышенного риска. Карта не предъявлена. Чип не участвует. PIN не вводится. Контроль переносится на связку из 3-D Secure, поведенческой аналитики, device fingerprint, лимитов, истории мерчанта и параметров сессии. Если одна переменная скомпрометирована, остальные должны удержать транзакцию. Не всегда удерживают.

ПараметрКонтактная/классическая карточная оплатаCNP-транзакцияQR-платеж через СБП
Носитель платежаКарта или токен в устройствеРеквизиты карты, токен, сохраненный методБанковское приложение и счет
Критичная точка рискаУстройство, терминал, PIN, токенизацияФишинг, утечка PAN, подмена формы оплатыПодмена QR, ложный счет, социальная инженерия
Роль банкаАвторизация и эквайрингАвторизация, антифрод, 3-D SecureИдентификация клиента, перевод, подтверждение
Спорная операцияChargeback-механика применима по карточным правиламЧасто сложный спор по факту согласияПеревод может быть сложнее оспаривать
Удобство для клиентаВысокое при наличии NFCВысокое, но зависит от доверия к площадкеВысокое, если QR корректен и банк стабилен

83,4% — это также индикатор концентрации данных. Банк видит частоту покупок, категории мерчантов, географию, устройства, паттерны авторизации. Для антифрода это сырье. Для злоумышленника — цель. Компрометация банковского аккаунта сегодня дает больше, чем номер карты десять лет назад. Внутри приложения лежат счета, шаблоны, история переводов, QR-сканер, подтверждения, иногда доступ к выпуску виртуальных карт.

Безналичный оборот не снижает риск. Он переносит риск из кассы в идентификацию, устройство и поведенческий контур банка.

После ухода международных NFC-сервисов рынок не откатился к наличным

Ограничение работы Apple Pay и Google Pay в России после 2022 года не вернуло рынок в наличные. Это ключевой факт. Платежная привычка уже была сформирована. Пользователь не хотел доставать банкноты. Ритейл не хотел увеличивать кассовую наличность. Банки не хотели терять транзакционный поток.

Рынок ушел в обходные и локальные контуры. Не в один канал. В несколько.

Во-первых, сохранились физические карты. В том числе бесконтактные карты «Мир». Это обычный NFC на уровне пластика. Он не исчез.

Во-вторых, на Android остались локальные мобильные решения, включая Mir Pay. Ограничение международных кошельков не означает смерть оплаты телефоном. Оно означает перераспределение технологического контроля.

В-третьих, банки начали активнее продвигать оплату через собственные приложения. Это удобно для банка. Клиент чаще открывает приложение. Банк получает прямой контакт. Растет вероятность кросс-продажи. Но растет и цена компрометации мобильного канала.

В-четвертых, ритейл ускорил внедрение QR. Дешевле, чем классический эквайринг в ряде сценариев. Проще для малого бизнеса. Не требует NFC-терминала в базовом виде. Требует дисциплины в генерации, отображении и проверке реквизитов.

Статистика мобильных платежей банков в открытом виде фрагментарна. Консолидированного распределения между частными сервисами нет. Поэтому точный ответ на бытовой вопрос «какой процент платит телефоном» по всему рынку без допущений дать нельзя. Можно фиксировать другое: безналичный платеж сохранил доминирование, а мобильный интерфейс стал главным экраном управления расчетом.

Здесь есть уязвимость. Пользователь перестал различать тип операции. Для него «оплатить телефоном» — это и NFC, и QR, и кнопка в приложении, и перевод по СБП, и привязанная карта в маркетплейсе. Для банка это разные правовые и технические режимы. Для атакующего — разные сценарии обмана.

Типовой набор векторов:

1. Фишинг под банковскую авторизацию. Пользователю показывают копию формы входа. Цель — логин, пароль, одноразовый код, push-подтверждение. Фишинг-киты давно копируют визуальный стиль банковских экранов с достаточной точностью.

2. Подмена QR-кода. Код ведет не на оплату товара, а на перевод третьему лицу или на фальшивую платежную страницу. В офлайне это наклейка поверх легитимного QR. В онлайне — подмена изображения или redirect.

3. Социальная инженерия под «безопасный счет». Пользователь сам переводит деньги через СБП. Банк видит авторизованное действие клиента. Оспаривание затрудняется.

4. Компрометация устройства. Малварь читает SMS, перехватывает уведомления, использует accessibility-сервисы, подменяет интерфейсы приложений.

5. Захват аккаунта у мерчанта. Особенно в малом бизнесе. Если кабинет приема платежей взломан, реквизиты могут быть изменены без немедленного обнаружения.

Бесконтактная оплата стала менее однородной. Это осложняет защиту. Раньше главный вопрос звучал так: карта или наличные. Сейчас вопрос другой: какой канал, какой идентификатор, какой сценарий подтверждения, кто контролирует экран оплаты.

СБП: 7 млрд операций и новая логика платежа

Количество операций через Систему быстрых платежей в 2023 году превысило 7 млрд. Рост — в 2 раза к 2022 году. Это уже не экспериментальная инфраструктура. Это массовый платежный рельс.

СБП изменила механику бесконтактного расчета. Карточная модель строится вокруг PAN, токена, эквайринга, платежной системы и правил оспаривания. СБП строится вокруг банковского счета и мгновенного перевода. Для пользователя разница часто незаметна. Для риска — принципиальна.

При оплате через QR пользователь обычно открывает банковское приложение, сканирует код, видит получателя и сумму, подтверждает операцию. В статическом QR сумма может вводиться вручную. В динамическом QR параметры платежа формируются под конкретную покупку. Динамический вариант безопаснее. Меньше ручного ввода. Меньше пространства для ошибки. Но он не ликвидирует социальную инженерию и подмену интерфейса.

Для банков СБП дала три эффекта.

Первый — снижение зависимости от международных NFC-кошельков. Клиенту нужен банк и приложение. Не нужен Apple Pay или Google Pay.

Второй — прямой контроль над клиентским действием. Подтверждение происходит в банковском контуре. Это улучшает телеметрию. Банк видит устройство, сессию, геолокационные признаки, историю поведения, параметры перевода.

Третий — рост нагрузки на антифрод. Мгновенный перевод требует мгновенного решения. Окно реакции короткое. Если деньги ушли через цепочку счетов, возврат становится операционно тяжелым.

СБП ускорила платеж. Она же сократила время, за которое банк может распознать ошибку клиента или атаку.

QR-платежи через СБП стали основным альтернативным методом бесконтактной оплаты после ограничения международных NFC-сервисов. Но «альтернативный» не значит вторичный. В малом ритейле и сервисах QR иногда оказывается первым вариантом, который продавец предлагает клиенту. Особенно там, где стоимость эквайринга чувствительна, а парк терминалов неоднороден.

Техническая дисциплина здесь критична. QR не должен быть бесхозной картинкой у кассы. Его надо генерировать из контролируемой системы, сверять получателя, ограничивать права сотрудников на замену реквизитов, вести журнал изменений. В онлайне — фиксировать источник генерации QR, проверять домен платежной страницы, исключать редиректы через неизвестные сокращатели.

Если бизнес выпускает собственное мобильное приложение и принимает через него оплату, платежная часть должна проверяться отдельно от интерфейса каталога и бонусной программы. Практический ориентир по таким проверкам есть в разборе про безопасность и условия оплаты в мобильном приложении для бизнеса. Слабое место обычно не в кнопке «Оплатить». Слабое место в связке авторизации, хранения токенов, логирования и поддержки спорных операций.

QR, стикеры, биометрия: не замена карты, а разрастание поверхности атаки

Ошибочно описывать рынок как простую замену Apple Pay на QR. Так не работает. Бесконтактные платежи в России развиваются как набор параллельных методов.

Есть карты «Мир» с NFC. Есть Mir Pay на Android. Есть QR-коды СБП. Есть платежные стикеры. Есть биометрическая оплата в отдельных сценариях. Есть оплата сохраненной картой в приложениях. Есть переводы по номеру телефона. Есть корпоративные кошельки, внутренние балансы, подарочные карты и предоплаченные инструменты.

Для платежной безопасности это плохая новость. Чем больше методов, тем больше исключений. Чем больше исключений, тем сложнее контроль.

Разница между каналами выглядит так:

МетодЧто удобно пользователюЧто получает банкОсновной риск
Карта NFCБыстрая оплата без открытия приложенияСтандартный карточный потокУтеря карты, лимиты без PIN, компрометация терминала
Mir Pay / банковский pay-сервисОплата телефоном, токенизацияКонтроль мобильного устройства и токенаЗахват устройства, вредоносные приложения, подмена push
QR через СБПОплата со счета без картыПрямая сессия в приложении банкаПодмена QR, ошибочный перевод, социальная инженерия
Платежный стикерПоведение как у бесконтактной картыДополнительный носитель платежаФизическая утрата, слабый контроль пользователем
БиометрияМинимум действий на кассеПривязка платежа к биометрическому шаблонуОшибки согласия, спор идентификации, защита биоданных
CNP в приложенииАвтоматическая оплата и подпискиПовторяемые транзакции, токеныФишинг, утечки, несанкционированные списания

Стикер в этой таблице не является технологической революцией. Это дополнительный носитель. Он удобен после потери привычного сценария оплаты телефоном на iOS. Но с точки зрения контроля он ближе к карте. Пользователь может забыть, где именно он его наклеил. Может передать устройство другому лицу. Может не заметить низколимитные списания.

Биометрия находится в другой зоне. Там риск не только платежный. Там риск идентификационный. Пароль можно сменить. Карту можно перевыпустить. Биометрический шаблон нельзя «перевыпустить» в бытовом смысле. Поэтому массовое внедрение биометрической оплаты требует жесткой процедуры согласия, сегментации данных, аудита доступа и прозрачной отмены привязки. Без этого канал будет уязвим не технически, а процедурно.

QR остается наиболее показательным кейсом. Он выглядит безопасным, потому что клиент сам подтверждает операцию в банковском приложении. Но именно это и используют схемы социальной инженерии. Злоумышленнику не нужно обходить криптографию. Достаточно заставить клиента подтвердить правильную с точки зрения системы, но ложную по экономическому смыслу операцию.

Алгоритм атаки обычно примитивен:

1. Создается легитимный или полу-легитимный получатель платежа.

2. Пользователю показывают QR или ссылку на оплату под видом заказа, штрафа, бронирования, доставки, возврата.

3. В интерфейсе банка клиент видит название получателя, но не проверяет его с должной точностью.

4. Операция подтверждается push-кодом, биометрией или паролем.

5. Средства уходят дальше. Часто дробятся. Иногда выводятся через цепочку счетов.

Криптографического взлома нет. Есть эксплуатация доверия к экрану. Это дешевле, масштабируемее и устойчивее к техническим обновлениям.

Банки считают не только платежи, но и поведение

Рост безналичных операций вынудил банки перестроить антифрод. Сигнатурные правила уровня «новая страна — заблокировать» работают плохо в локальном мобильном рынке. Нужен поведенческий профиль.

Банк анализирует не только сумму и получателя. Он смотрит на устройство, IP-признаки, скорость набора, частоту входов, смену SIM, недавнюю установку приложения, попытки привязки нового способа оплаты, нетипичное время операции, изменение паттерна переводов. Для CNP-транзакций добавляются параметры мерчанта, MCC, история chargeback, география BIN, прохождение 3-D Secure.

Это не делает платежи безопасными автоматически. Антифрод всегда работает с вероятностью. Он режет хвост распределения. Он блокирует часть мошенничества и часть легитимных операций. И пропускает часть атак, которые выглядят нормальными. Особенно если клиент действует сам.

Здесь возникает конфликт между удобством и защитой. Рынок требует бесшовности. Пользователь не хочет подтверждать каждую покупку длинной процедурой. Ритейл не хочет терять конверсию. Банк не хочет получать поток жалоб на ложные блокировки. Мошенник работает ровно в этом зазоре.

Наиболее уязвимые сценарии:

  • первая крупная операция после долгого периода малых платежей;
  • перевод новому получателю сразу после звонка или сообщения;
  • установка банковского приложения на новое устройство с последующим выводом средств;
  • оплата через QR без сверки получателя;
  • сохранение карты в малоизвестном сервисе без понятной политики списаний;
  • покупка цифрового товара, подарочной карты или игрового баланса у неавторизованного продавца;
  • включение удаленного доступа под диктовку «службы безопасности».

Подарочные карты и цифровые коды в этой конструкции занимают отдельное место. Они ликвидны. Их легко передать. Их трудно вернуть после активации. Поэтому мошеннические сценарии часто используют подарочную карту как промежуточный актив. Клиент оплачивает код, передает его в чат, код активируется, спор становится почти бесполезным. Банк видит оплату товара. Не видит последующую передачу кода как часть платежной операции.

Что изменится дальше: больше CNP, больше счетовых платежей, меньше простых правил

Тренд очевиден. Доля безналичных операций не выглядит временным выбросом. Рынок уже перестроил кассовую инфраструктуру, банковские приложения, клиентские привычки и бизнес-процессы. Наличные остаются, но не диктуют архитектуру.

Рост CNP-транзакций продолжится. Подписки, маркетплейсы, доставка, внутриигровые покупки, онлайн-образование, телемедицина, цифровые сервисы, подарочные карты. Все это платежи без предъявления карты. Банки будут усиливать токенизацию, риск-скоринг, контроль рекуррентных списаний и мониторинг мерчантов.

СБП продолжит занимать место в повседневных расчетах. Не только как перевод между людьми. Как платежный инструмент для ритейла. Особенно там, где QR дешевле и быстрее развернуть, чем обновлять терминальную сеть.

Цифровой рубль пока не имеет публично закрепленного массового прогноза по внедрению в ритейл в цифрах. Поэтому строить точные оценки бессмысленно. Но архитектурно он добавит еще один контур расчетов. А значит — еще один набор процедур идентификации, лимитов, журналирования и клиентских ошибок.

Для банков главный риск — не отсутствие технологий. Технологий достаточно. Главный риск — несогласованность каналов. Клиентская поддержка говорит одно. Мобильное приложение показывает другое. Антифрод блокирует третье. Мерчант хранит токены четвертым способом. В такой среде инциденты не устраняются быстро. Они размазываются между участниками.

Для пользователя практический вывод жесткий. Банк не является абсолютным предохранителем. Он контролирует инфраструктуру. Не контролирует намерение клиента, если клиент сам подтверждает перевод. Не видит смысл сделки за пределами платежного сообщения. Не может отменить каждую операцию, которая технически прошла корректно.

Превентивный минимум для рынка, где 83,4% розницы уже без наличных

Цифры 2023 года фиксируют зрелость безналичного рынка. Но зрелость платежей не равна зрелости защиты. Бесконтактная оплата и банк теперь связаны плотнее, чем до 2022 года. Банк стал главным интерфейсом доверия. Поэтому атаки идут не только на карты. Они идут на мобильные приложения, QR, счета, подарочные коды, привычки подтверждения.

Минимальный протокол защиты выглядит так:

1. Разделять каналы оплаты. Карта, QR, СБП-перевод, подписка и покупка цифрового кода — разные операции. У них разные механизмы возврата и разные риски.

2. Проверять получателя в банковском приложении. Не сумму. Не красивый логотип. Именно юридическое или отображаемое имя получателя перед подтверждением.

3. Не оплачивать QR из непроверенного источника. Наклейка на кассе, изображение в мессенджере, ссылка из письма — это не доказательство легитимности.

4. Держать отдельную карту или счет для CNP. Интернет-покупки, подписки и подарочные карты не должны иметь доступ к основному остатку.

5. Отключать лишние рекуррентные списания. Сохраненные карты в сервисах — это отложенный платежный риск.

6. Не передавать коды подарочных карт и пополнений в чатах. После активации спор почти всегда проигрывает по времени.

7. Запретить удаленный доступ к устройству с банковским приложением. AnyDesk-подобный сценарий в платежном контуре равен передаче управления счетом.

8. Использовать лимиты. По карте, по СБП, по переводам, по оплате в интернете. Лимит — грубый, но работающий предохранитель.

9. Следить за новым устройством и SIM. Смена устройства, перевыпуск SIM, восстановление доступа — ключевые события для захвата аккаунта.

10. Не считать push-подтверждение доказательством безопасности. Push подтверждает действие. Не проверяет экономический смысл сделки.

Рынок бесконтактных платежей в России не откатился после потери части международных сервисов. Он стал более локальным, более счетовым и более мобильным. 83,4% безналичного оборота и 7 млрд+ операций СБП за год — достаточный масштаб, чтобы перестать говорить о нишевой технологии. Это базовый платежный слой.

У базового слоя другая цена ошибки. Ошибка пользователя, банка или мерчанта больше не единичный сбой. Это транзакция в системе, через которую проходит большая часть розничных денег. Защита здесь не строится на доверии к бренду. Только на проверке канала, получателя, устройства и сценария подтверждения.

Частые вопросы

Почему доля безналичных платежей в 83,4% считается важным техническим сигналом?
Эта цифра показывает высокую плотность зависимости розницы от банковской инфраструктуры, при которой банк становится операционным участником каждой покупки, контролируя весь путь денег от счета до антифрод-скоринга.
Что такое CNP-транзакции и почему они опасны?
Это операции без физического присутствия карты, например, оплата в интернет-магазинах или подписки. Они считаются зоной повышенного риска, так как при их совершении не используются чип или PIN-код, а контроль ложится на 3-D Secure и поведенческую аналитику.
В чем главное отличие оплаты через СБП от классической карточной модели?
Карточная модель строится вокруг реквизитов карты (PAN) и правил платежных систем, тогда как СБП базируется на мгновенном переводе со счета, что требует от банка более быстрой реакции антифрод-систем.
Почему использование платежных стикеров несет риски?
Стикер является дополнительным носителем платежа, который легко потерять или передать другому лицу, при этом пользователь может не контролировать низколимитные списания по нему.
Как злоумышленники используют QR-коды для кражи денег?
Они подменяют легитимные QR-коды на фальшивые, ведущие на счета третьих лиц, или используют социальную инженерию, заставляя пользователя подтвердить в банковском приложении операцию, которая выглядит корректно технически, но является мошеннической по смыслу.