EMV Contactless ATM
Рабочий обзор contactless card flow в ATM и отличий от cardless cash.
EMV Contactless ATM
Кратко
EMV Contactless ATM — ATM-сценарий, в котором карта или NFC-enabled устройство взаимодействует с contactless reader без физической вставки карты. EMVCo указывает, что contactless kernels используются acceptance devices, включая ATM.
Contactless ATM flow
sequenceDiagram
participant Client as Клиент
participant NFC as NFC reader
participant APP as ATM Application
participant ACQ as Acquirer / Processor
participant ISS as Issuer / Host
Client->>NFC: Tap card or NFC-enabled device
NFC->>APP: Contactless application data
APP->>APP: Terminal risk management
APP->>ACQ: Authorization request with EMV data
ACQ->>ISS: Route request
ISS-->>ACQ: Authorization decision
ACQ-->>APP: Response
APP-->>Client: Continue permitted ATM flowКонкретная последовательность, cardholder verification и разрешённые операции зависят от payment scheme, ATM application и политики банка.
Отличие contactless card от cardless cash
| Contactless card / wallet | Cardless cash |
|---|---|
| Использует NFC interaction с картой или устройством | Может использовать mobile app, QR, OTP, token или иной механизм |
| Опирается на contactless acceptance flow | Может не быть EMV Contactless card flow |
| Требует проверки scheme-specific правил | Требует проверки отдельного product flow |
Граница терминов
| Сценарий | Что это означает | Что проверить |
|---|---|---|
| Contactless card transaction | Карта взаимодействует с NFC reader по contactless acceptance flow | EMVCo / scheme profile / ATM application |
| Mobile wallet transaction | NFC-enabled device представляет tokenized credential | Tokenization и scheme wallet rules |
| Cardless cash | Наличные выдаются без физической карты в ридере | Product flow банка, лимиты и fraud rules |
| QR withdrawal | QR используется как часть initiation / authentication / retrieval flow | Не считать EMV Contactless без источника |
| App-prestaged withdrawal | Клиент заранее готовит операцию в приложении | Связь с ДБО, token/code lifetime, лимиты |
| Code-based withdrawal | Код или token используется для получения наличных | Anti-fraud и replay controls |
Для российского антифрода важно, что Банк России прямо относит QR, цифровую/виртуальную карту и иной непривычный способ снятия к признакам возможной мошеннической выдачи наличных через ATM. См. ATM-Russia-Anti-Fraud-Cash-Withdrawal.
Роль NFC reader
NFC reader обеспечивает бесконтактное взаимодействие с картой или NFC-enabled устройством. Он не принимает авторизационное решение самостоятельно.
EMV cryptogram
EMV Contactless использует криптографические механизмы и transaction-specific security data. EMVCo указывает, что для каждой contactless-транзакции создаётся одноразовый security code.
Terminal risk management
На terminal side могут применяться:
- проверка поддерживаемого application flow;
- ограничения операций;
- cardholder verification;
- online authorization;
- scheme-specific параметры;
- fraud monitoring.
Ограничения и риски
- relay-related risks;
- ошибки конфигурации;
- различия scheme profiles;
- смешение contactless card и cardless cash;
- слабый monitoring;
- неактуальные contactless kernels или reader configuration.
Связь с fraud monitoring
Monitoring должен различать contact, contactless и cardless flows, учитывать точку использования, устройство, outcome авторизации и последующие disputes.
Связанные заметки
- TERM-emv
- ATM-Skimming
- ATM-Shimming
- ATM-Security-Threat-Model
- ATM-Withdrawal-Sequence
- ATM-Russia-Anti-Fraud-Cash-Withdrawal
Источники
- EMVCo: EMV Contactless Chip.
- EMVCo: 4 Key Features of the New EMV Contactless Kernel Specification.
- EMVCo: EMV Payment Tokenisation.
- EMVCo: EMV QR Code.
- Банк России: Признаки мошеннических операций при снятии наличных в банкоматах.