GH GambleHub

NFC и бесконтактные лимиты

1) Базовые понятия NFC/EMV

NFC (contactless) на POS — это EMVCo-платеж по радиоканалу (Visa payWave, Mastercard PayPass и т. п.) с одноразовой криптограммой и CVM (Cardholder Verification Method).
CVM определяет, требуется ли верификация держателя и какая: No CVM, Offline PIN, Online PIN, CDCVM (Consumer Device CVM — биометрия/пин устройства в Apple/Google/Samsung Pay).
DPAN/Network Token: при кошельках (Apple/Google Pay) используется токен вместо PAN.
Терминальный risk-engine: floor limit, офлайн-риск-правила, ключи CAPK, TAC/IAC (Terminal/Application Action Codes).

2) Откуда берется «бесконтактный лимит без PIN»

Локальная экосистема задает «порог No CVM» (сумма, до которой терминал может провести транзакцию без PIN/подписи), чтобы ускорить мелкие покупки. На практике лимит складывается из:

1. Схема карт (Visa/MC/и др.) — устанавливает правила CVM и совместимость ядер.

2. Регулятор/рынок — может ограничивать No-CVM сумму (напр., в ЕС, UK и др. — свои пороги).

3. Терминальные параметры — конфиг ядра (CVM Limit, Floor Limit, Velocity/Cumulative counters).

4. Эмитент/карта — профили рисков, off-услуги, counters (число транзакций подряд без SCA и/или суммарный порог).

Важно: лимит касается No CVM операций по физической карте. Как только применяется CDCVM, это уже «с сильной аутентификацией», и порог No-CVM не релевантен.

3) Почему Apple/Google Pay часто «без лимита»

CDCVM = биометрия/пин устройства, подтвержденные на телефоне/часах. Это соответствует SCA и считается полноценной верификацией держателя.
Для транзакций с CDCVM терминал получает признак, что CVM выполнен, поэтому суммовые ограничения No-CVM не применяются (оплата возможна на любую сумму, если эмитент одобрит).
Исключения: терминал/ядро не поддерживает CDCVM, кошелек выключил биометрию, транзитные/офлайн сценарии, локальные регуляторные правила.

4) Офлайн-лимиты и cumulative counters

Floor limit — порог, до которого терминал теоретически может разрешить офлайн-авторизацию (в бесконтакте чаще нулевой, но зависят настройки).
Cumulative/Velocity counters — число подряд операций без SCA или их суммарная величина. После исчерпания терминал/эмитент требуют PIN/онлайн.
Offline PIN в contactless поддерживают не все карты/терминалы; чаще переход в online и запрос Online PIN.

5) Регуляторные рамки (ориентиры)

PSD2 / SCA (ЕЭЗ): контактные и бесконтактные операции без SCA допускаются с порогами (например, до ~€50 за раз и суммарно до ~€150/или N операций подряд — ориентиры; точные значения зависят от локальной имплементации банка/рынка). Превышение → требуется SCA (PIN/CDCVM).
UK/другие рынки: собственные лимиты No-CVM (исторически повышались).
Transit/Open-loop (метро, автобусы): специальные Transport Settings — разрешен No CVM при высоком throughput, офлайновые механизмы риска и последующая пост-авторизация/агрегация. Возможны «необычные» статусы и поздние денайлы.

💡 Вывод: правила разнятся по рынкам, а банки могут применять еще более строгие пороги.

6) Типовые CVM-кейс-стади

Физическая карта, покупка ниже порога No-CVM: быстрый tap, без PIN.
Физическая карта, выше порога No-CVM: терминал запрашивает PIN/подпись или переводит в contact/online.
Apple/Google Pay (CDCVM): биометрия выполнена — лимит фактически «снят», но эмитент все равно может отказать по своим правилам/риску.
Wearables: как правило, CDCVM через PIN устройства при «разблокировке» и постоянном ношении; после снятия устройства требуется повторный PIN.

7) Риски и антифрод

No-CVM утраты/кражи карты: эмитенты компенсируют, но держат counters/velocity для ограничения ущерба.
Офлайн-решения терминала: повышают UX, но несут риск «позднего» отказа при последующей онлайновой проверке.
CDCVM снижает риск (SCA), повышает approve rate, но не исключает эмитентских/регуляторных блокировок по MCC/гео/скорингу.

8) UX-паттерны на кассе

Отображайте статусы: «Поднесите карту/телефон», «Подтвердите на устройстве», «Введите PIN».
При decline выше порога предложите: «Повторить с PIN» или «Оплатить кошельком (Apple/Google Pay)».
В транзите — ясные тексты «Tap in / Tap out», «Card clash» (несколько карт/кошельков одновременно).

9) Чек-лист терминальной настройки (эквайер/мерчант)

1. Ядра: актуальные EMV contactless kernels, CAPK, схемные параметры (Visa/MC/…); регулярные обновления.
2. CVM Limit / Floor Limit / Velocity: согласовать с банком и локальными правилами; включить поддержку CDCVM.
3. Online-преференс: для high-risk — принудительный online; для транзита — профиль transport.
4. Фоллбек-логика: при превышении порога → запрос PIN/подпись/контактный insert.
5. Логи/телеметрия: причина запроса PIN (No-CVM exceeded / counters), доля CDCVM, офлайн-решений, approve rate.
6. UX: понятные промпты на дисплее; для кошельков — подсказка «Подтвердите на iPhone/часах/Android».
7. Тест-кейсы: суммы ниже/выше порога, N подряд tap без PIN (срабатывание counters), CDCVM-платеж, офлайн-окно, транзитный профиль.

10) Особенности вертикалей

Транзит/тикетинг: приоритетная скорость, нулевой/минимальный UI; часто отдельные тарифы/процедуры пост-клиринга.
Гостиницы/аренда: препавторизации и инкрементальные капчуры лучше вести контактно/в онлайне с SCA; бесконтактный «tap-and-go» уместен только на финальном списании.
iGaming/квази-кэш: в офлайне редко релевантно; при MCC-риске эмитенты могут селективно отказывать даже с CDCVM.

11) KPI и эксплуатационные метрики

Approval rate по разрезам: карта vs кошельки (CDCVM), ниже/выше No-CVM, офлайн-решения.
Доля CDCVM и ее вклад в конверсию.
PIN-prompts rate (сколько операций потребовали PIN) и влияние на скорость обслуживания.
Late declines (после офлайн-разрешений), chargeback rate для No-CVM.
Transit KPIs: throughput (taps/min), tap-on/tap-off match, revenue protection.

12) Быстрые ответы для саппорта/операций

«Почему без PIN на большую сумму?» — CDCVM выполнен в кошельке; это SCA.
«Почему попросило PIN на мелкую сумму?» — сработали counters или терминал потребовал SCA согласно правилам.
«Почему телефон не сработал?» — терминал/ядро не поддерживает CDCVM, заблокирован кошелек, нет сети для online, конфликт карт (card clash).

13) Резюме / практические выводы

No-CVM лимит — это порог только для операций без верификации держателя; при CDCVM он не применяется.
Настраивайте терминалы с поддержкой CDCVM, актуализируйте ядра и параметры (CVM/Floor/Velocity).
Учитывайте локальные регуляторные пороги и схемные правила; держите разные профили (розница vs транзит).
Мониторьте approve rate/CDCVM-share/PIN-prompts и снижайте офлайн-риски.
В коммуникации и UI делайте прозрачными причины PIN-запросов и предлагайте кошельки как способ пройти SCA без «лимита».

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.