Apple Pay и Google Pay: безопаснее ли они карты
Разбираем, как устроена токенизация в Apple Pay и Google Pay, почему оплата телефоном безопаснее пластиковой карты и какие риски всё равно остаются на пользователе.
Содержание
- Как на самом деле работают Apple Pay и Google Pay?
- Почему это безопаснее обычной пластиковой карты?
- Сравнение: карта, Apple Pay и Google Pay
- Какие риски остаются несмотря на токенизацию?
- Как настроить Apple Pay и Google Pay максимально безопасно?
- Что делать, если телефон украли или он потерялся?
- Apple Pay или Google Pay: что защищает лучше?
- Безопасно ли платить Apple Pay в интернет-магазинах?
- Какие схемы мошенничества работают против пользователей кошельков?
- Так платить телефоном или картой?
- Частые вопросы
- Источники
Безопасность Apple Pay - не маркетинговый слоган, а реальное технологическое преимущество: да, платить телефоном через Apple Pay или Google Pay безопаснее, чем прикладывать физическую карту или вводить её номер на сайте. Причина проста: сервис не передаёт продавцу настоящий номер карты. Вместо него создаётся токен - отдельный цифровой номер, который работает только с вашим устройством и подтверждается Face ID, отпечатком пальца или PIN-кодом. Даже если базу магазина взломают, мошенники получат бесполезный набор цифр. В этой статье разберём, как именно это работает, где границы защиты и что делать, чтобы не оставить мошенникам шансов.
Apple Pay и Google Pay безопаснее физической карты и ввода её реквизитов на сайте. Они используют токенизацию: продавец никогда не видит настоящий номер карты, а каждый платёж подтверждается биометрией или кодом устройства. Главные оставшиеся риски - фишинг, перехват SMS при привязке карты к чужому телефону и невнимательность самого пользователя.
Безопасность оплаты - лишь часть безопасной покупки. Не менее важно, как вы договариваетесь с продавцом: мы подробно разбирали, что выгоднее и безопаснее - наложенный платёж или предоплата, и выводы оттуда полностью применимы и к оплате смартфоном.
Как на самом деле работают Apple Pay и Google Pay?
Когда вы добавляете карту в Wallet или Google Кошелёк, банк через платёжную систему (Visa или Mastercard) генерирует токен - виртуальный номер карты, привязанный именно к этому устройству. Настоящий номер на телефоне не хранится. В Apple Pay токен лежит в отдельном защищённом чипе Secure Element, к которому нет доступа ни у приложений, ни даже у самой iOS. Google Pay хранит токены преимущественно в облаке Google с шифрованием и так же не передаёт реальный номер продавцу.
Во время оплаты терминал получает токен и одноразовый криптографический код, действующий только для этой транзакции. Перехватить и повторно использовать такие данные практически невозможно: код одноразовый, а токен без вашего устройства и биометрии ничего не стоит. Именно поэтому утечки данных из магазинов для пользователей NFC-кошельков почти не страшны.
Почему это безопаснее обычной пластиковой карты?
У физической карты три уязвимости, которых нет у телефона. Во-первых, на ней написано всё: номер, срок действия, CVV. Достаточно сфотографировать обе стороны - и мошенник может платить в интернете. Во-вторых, карту можно скимминговать - считать магнитную полосу поддельным устройством на банкомате или терминале. В-третьих, бесконтактный платёж картой до определённого лимита проходит без PIN-кода, поэтому украденная карта - это сразу деньги вора.
- Телефон не показывает реквизиты: номер карты не виден ни на экране, ни продавцу, ни в чеке
- Каждый платёж требует Face ID, отпечатка или PIN-кода устройства - украденный смартфон сам по себе не платит
- Токен можно дистанционно деактивировать через Find My или Найти устройство, не блокируя саму карту
- Одноразовые криптограммы делают скимминг и перехват NFC-сигнала бессмысленными
По данным НБУ [НБУ, 2025], безналичные расчёты составляют большинство карточных операций в Украине, а количество токенизированных карт в кошельках смартфонов растёт ежегодно - и именно на токенизированные платежи приходится минимальная доля мошеннических списаний по сравнению с операциями, где реквизиты вводятся вручную.
Сравнение: карта, Apple Pay и Google Pay
| Критерий | Физическая карта | Apple Pay | Google Pay |
|---|---|---|---|
| Продавец видит номер карты | Да (на пластике) | Нет, только токен | Нет, только токен |
| Подтверждение платежа | PIN не всегда (бесконтакт) | Face ID / Touch ID / код | Биометрия / код разблокировки |
| Защита от скимминга | Уязвима (магнитная полоса) | Да, одноразовые криптограммы | Да, одноразовые криптограммы |
| Хранение данных | Реквизиты на карте | Secure Element в устройстве | Зашифрованное облако Google |
| Если устройство/карту украли | Платежи до блокировки | Платежи невозможны без биометрии | Платежи невозможны без разблокировки |
| Дистанционное отключение | Звонок в банк | Find My (мгновенно) | Найти устройство (мгновенно) |
Для онлайн-покупок на незнакомых сайтах комбинируйте подходы: платите через Apple Pay/Google Pay, а если сайт принимает только ввод реквизитов - используйте отдельную [[virtualna-kartka-yak-stvoryty:виртуальную карту]] с небольшим лимитом. Тогда даже утечка данных обойдётся вам в минимум.
Какие риски остаются несмотря на токенизацию?
Токенизация защищает сам платёж, но не защищает вас от социальной инженерии. Самая распространённая схема в Украине - мошенник выманивает реквизиты карты и SMS-код якобы для 'перевода за товар' и привязывает ВАШУ карту к СВОЕМУ телефону. Дальше он платит вашими деньгами через свой Apple Pay, и технически все операции выглядят легитимными.
- Фишинговые сайты: оплата через кошелёк на поддельном сайте всё равно уходит мошеннику - проверьте признаки фишингового сайта перед оплатой
- Привязка вашей карты к чужому устройству через выманенный SMS-код
- Слабый код разблокировки телефона: если кто-то подсмотрел PIN и украл смартфон, он сможет добавить свою биометрию
- Платежи детей или близких, знающих код устройства
- Вредоносные приложения с правами администратора на Android из сторонних источников
SMS-код от банка - это ключ от ваших денег. Если 'покупатель' на OLX или 'служба поддержки' просит назвать код из SMS - это всегда мошенничество. Банк никогда не спрашивает коды. Назвали код - мошенник привязал вашу карту к своему телефону.
Как настроить Apple Pay и Google Pay максимально безопасно?
- Установите сложный код разблокировки (6 цифр или пароль), а не 0000 или дату рождения - это последний рубеж защиты кошелька
- Включите биометрию (Face ID, Touch ID, отпечаток) и не добавляйте чужие отпечатки или лица в настройки устройства
- Добавляйте в кошелёк отдельную карту для покупок с ограниченным балансом, а не зарплатную - как её выбрать, мы писали в материале про безопасную карту для покупок
- Активируйте Find My (iPhone) или Найти устройство (Android), чтобы мгновенно блокировать кошелёк дистанционно
- Включите уведомления о каждой операции в банковском приложении - так вы заметите чужое списание за минуты
- Не устанавливайте приложения из неофициальных источников и не давайте им доступ к специальным возможностям Android
Что делать, если телефон украли или он потерялся?
Паника здесь лишняя: без вашего лица, пальца или кода устройства заплатить кошельком невозможно. Но действовать всё равно нужно быстро.
- Зайдите с другого устройства на icloud.com/find или google.com/android/find и переведите телефон в режим пропажи - Apple Pay и Google Pay на нём блокируются мгновенно
- Позвоните в банк или заблокируйте карту в приложении банка с другого устройства
- Обратитесь к мобильному оператору, чтобы заблокировать SIM-карту - иначе мошенник может получать ваши SMS-коды
- Проверьте выписку за последние часы; если видите чужие операции - сразу фиксируйте их и готовьте обращение в банк
- Если деньги всё же списали - действует процедура оспаривания: пошаговую инструкцию смотрите в гайде как сделать чарджбек
Блокировка токена в кошельке не блокирует саму карту, и наоборот. Если телефон украли, надёжнее сделать оба действия: режим пропажи для устройства плюс временная блокировка карты в банковском приложении. Разблокировать потом можно за минуту.
Apple Pay или Google Pay: что защищает лучше?
На практике уровень защиты платежей одинаков: оба сервиса используют токенизацию стандарта EMV и не передают реквизиты продавцу. Разница в архитектуре. Apple хранит токен в аппаратном чипе Secure Element и вообще не видит историю ваших покупок. Google хранит токены в защищённом облаке, а данные транзакций может использовать внутри своей экосистемы. Для Android также важно, что Google Pay работает только на устройствах с заблокированным экраном и сертифицированной прошивкой: телефон с root-доступом кошелёк обычно блокирует.
Вывод простой: выбирать сервис по безопасности не нужно - он определяется вашим смартфоном. Важнее, насколько защищено само устройство: код, биометрия, обновления системы.
Безопасно ли платить Apple Pay в интернет-магазинах?
Да, и даже безопаснее, чем вводить номер карты: сайт получает токен, а подтверждение проходит на вашем устройстве. Кнопка Apple Pay или Google Pay на кассе сайта часто заменяет собой проверку 3-D Secure, потому что платёж уже подтверждён биометрией. Но помните: способ оплаты не проверяет честность магазина. Если сайт мошеннический, деньги уйдут мошеннику независимо от технологии.
Для покупок на зарубежных маркетплейсах действуют общие правила Украины 2026 года: посылки стоимостью до 150 EUR не облагаются налогами, а с суммы превышения уплачивается 10% пошлины и 20% НДС. Оплата через Apple Pay на это никак не влияет - таможенные платежи считаются от стоимости товара. А при покупке в украинских интернет-магазинах у вас есть 14 дней на возврат товара надлежащего качества по закону о защите прав потребителей - и оплата телефоном права на возврат денег за товар не ограничивает.
Какие схемы мошенничества работают против пользователей кошельков?
Мошенники не взламывают токенизацию - они обманывают людей. Вот схемы, которые реально работают в Украине.
- 'Покупатель' с маркетплейса присылает ссылку якобы для получения оплаты и просит ввести реквизиты и код из SMS - так вашу карту привязывают к чужому кошельку
- Поддельные сайты-двойники служб доставки собирают данные карт под видом 'оплаты доставки 1 грн'
- Звонки от 'службы безопасности банка' с просьбой продиктовать код подтверждения
- Поддельные QR-коды для оплаты, наклеенные поверх настоящих в общественных местах
Если вы заметили операцию, которую не совершали, не медлите: алгоритм действий мы описали в статье что делать, если списали деньги с карты. Чем быстрее обратитесь в банк, тем выше шансы вернуть средства.
Так платить телефоном или картой?
Телефоном - однозначно. Apple Pay и Google Pay убирают главные уязвимости пластиковой карты: открытые реквизиты, скимминг и бесконтактные платежи без подтверждения. В редакционной проверке официальных страниц поддержки Apple и Google мы убедились: оба сервиса прямо заявляют, что не передают продавцам номер карты, и это базовый принцип их архитектуры. Слабое звено теперь не технология, а человек: код из SMS, названный мошеннику, сводит на нет любую токенизацию. Держите сложный код на телефоне, отдельную карту для покупок и здоровый скепсис к 'службам безопасности' - и платежи смартфоном будут самым безопасным способом расчёта из доступных сегодня.
- Добавляйте карту только через официальное приложение Apple Pay или Google Pay, а не сторонние сервисы.
- Включите разблокировку телефона по Face ID, отпечатку или паролю - без этого оплата не пройдёт.
- Проверьте, что для платежей используется токен, а не настоящий номер карты.
- Не передавайте телефон посторонним с разблокированным экраном возле терминалов.
- Включите функцию удалённой блокировки телефона (Найти устройство) на случай потери.
- Сразу удаляйте карту из кошелька, если телефон потерялся или украли.
- Обновляйте систему телефона - именно там живут защитные механизмы платежей.
Отмечайте выполненные пункты - прогресс сохраняется в браузере.
Частые вопросы
Видит ли продавец номер моей карты при оплате Apple Pay?
Нет, не видит. Продавец получает только токен - виртуальный номер, привязанный к вашему устройству, и одноразовый код транзакции. Настоящие реквизиты карты не передаются ни терминалу, ни сайту.
Что безопаснее: Apple Pay или обычная бесконтактная карта?
Apple Pay безопаснее. Карта проводит бесконтактные платежи до определённого лимита без PIN-кода и несёт реквизиты прямо на пластике, а кошелёк требует биометрию для каждого платежа и не раскрывает номер карты.
Могут ли списать деньги, если украли телефон с Apple Pay?
Практически нет. Без Face ID, отпечатка пальца или кода разблокировки платёж не пройдёт. Дополнительно вы можете мгновенно заблокировать кошелёк через Find My или Найти устройство с любого другого устройства.
Можно ли считать данные с телефона через NFC в транспорте?
Нет, реальной угрозы нет. Телефон передаёт платёжные данные только после подтверждения биометрией, и передаётся одноразовая криптограмма, которую нельзя использовать повторно. Это не магнитная полоса карты, которую считывает скиммер.
Как мошенники привязывают чужую карту к своему Apple Pay?
Через выманивание данных: жертва сама диктует номер карты, срок действия, CVV и код из SMS якобы для 'получения перевода'. С этими данными мошенник добавляет карту в свой кошелёк. Никакие коды из SMS никому называть нельзя.
Безопасно ли платить Google Pay на сайтах?
Да, безопаснее ручного ввода реквизитов: сайт получает токен вместо номера карты. Но технология не защищает от мошеннического магазина - перед оплатой проверяйте сам сайт.
Что делать, если с карты списали деньги через кошелёк, а я не платил?
Немедленно заблокировать карту в приложении банка, позвонить в банк и оспорить операцию. Если банк откажет, можно инициировать чарджбэк через платёжную систему. Чем быстрее обращение, тем выше шансы.
Нужен ли интернет для оплаты Apple Pay в магазине?
Нет, для оплаты на терминале интернет не обязателен: токен и криптограммы хранятся на устройстве. Соединение нужно для добавления карты и для части операций Google Pay после нескольких офлайн-платежей.
Можно ли добавить одну карту на несколько устройств?
Да, карту можно добавить на телефон, часы и планшет - для каждого устройства создаётся отдельный токен. Если одно устройство потеряется, его токен блокируется отдельно, остальные продолжают работать.
Влияет ли оплата Apple Pay на возврат товара?
Нет. В Украине действует 14 дней на возврат товара надлежащего качества независимо от способа оплаты. Деньги возвращаются на ту же карту, токен которой использовался при оплате.
Источники
- Apple Support - Безопасность Apple Pay и конфиденциальность
- Справка Google Wallet - Как защищены платёжные данные
- Национальный банк Украины - статистика безналичных расчётов
- Киберполиция Украины - предупреждения о платёжном мошенничестве
