E-money: доверять или нет?

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-058-3

Чтобы не попасть впросак, необходимо ознакомиться с системой WebMoney извне и изнутри, чем сейчас и займемся.

Электронные платежные системы

При всем многообразии электронных платежных систем, присутствующих на рынке, им присуще некоторые общие черты. В каждой системе присутствует как минимум плательщик (payer) и получатель (payee). Перемещение денег от плательщика к получателю обеспечивается определенной последовательностью действий - протоколом электронного платежа. Теоретически обе стороны могут связываться и напрямую (современный криптографический аппарат позволяет это), но практически такая схема оказывается ненадежной и приходится вводить так называемые "финансовые институты", которые соотносят электронный перевод с реальным перемещением денежных средств. В роли "финансового института" могут выступить и банк, и любая другая уважаемая контора, которой доверяют участники обмена. Кстати, банки очень настороженно относятся к рискованным экспериментам с виртуальной наличностью. В основном финансовыми институтами становятся сами разработчики платежных систем, которые в принципе не способны обеспечить все электронные единицы живыми деньгами. Налицо превышение эмиссионного права в миллионы раз! Чтобы хоть как-то сгладить углы и удержать систему от падения, привлекаются дополнительные игроки...

Финансовый институт, принимающий денежные средства от плательщика, называется эмитентом (issuer). Институт, передающий их получателю, - эквайр (acquirer). Эмитент и acquirer могут осуществлять перевод любым платежным протоколом (грузить апельсины бочками) или даже быть единым и двуликим Янусом, обслуживающим и плательщиков, и получателей.

Если Янус один, платежная система называется централизованной, что, во-первых, означает постоянный "перегруз" центрального сервера, во-вторых - подрыв доверия к системе (не приобретут ли все денежки ноги в один прекрасный день?). Вот почему центральный финансовый институт обычно делегирует часть своих прав сторонним конторам, контролируя их деятельность или не контролируя. Контроль - это и плохо, и хорошо. "Хорошо", потому что центр в ответе за все: если эмитент смотался с чужими деньгами, их оплачивает "материнская" организация, а за самим эмитентом бегает Янус с паяльником. С другой стороны, в такой системе задавлена инициатива и отсутствует конкуренция, значит, спектр предоставляемых услуг невелик...

Если контроль отсутствует, работать с электронными деньгами может любой желающий. Добиваться одобрения "центра" необязательно, и потому можно вводить мыслимые и немыслимые услуги, лишь бы существовал спрос. Ценой за это становится отсутствие каких бы то ни было гарантий. Если тебя кинул "свободный Джо", можно обращаться только в прокуратуру, но добиваться возврата наличности от других участников рынка бессмысленно (хотя в условиях свободного рынка обязательно появятся лица, которые предложат услуги подобного рода, так что ситуация не совсем безнадежна).