EMV QR CPM (consumer-presented)
Стандарт EMVCo, при котором QR-код генерирует покупатель в банковском приложении, а кассир его сканирует — используется в Mir Pay, СБПэй, Alipay и WeChat Pay.
Определение EMV QR CPM
EMV QR CPM (Consumer-Presented Mode) — режим платёжного QR-кода по стандарту EMVCo, в котором код формирует сам покупатель в мобильном банковском приложении, а сотрудник кассы или мерчант сканирует его своим устройством. Это прямая противоположность MPM (Merchant-Presented Mode), где QR размещает продавец, а покупатель сканирует.
Спецификация EMV QR Code Specification for Payment Systems была опубликована EMVCo в 2017 году и описывает оба режима — CPM и MPM — как единый стандарт. EMVCo — консорциум, основанный Europay, Mastercard и Visa, его стандарты используют крупнейшие платёжные сети мира. Именно на CPM построены такие системы, как Alipay, WeChat Pay, а в России — Mir Pay и СБПэй.
Структура CPM QR-кода
Формат данных в CPM QR определяется спецификацией EMVCo и включает несколько обязательных полей в кодировке TLV (Tag-Length-Value):
- Payload Format Indicator — всегда «CPM01», сигнализирует, что это именно consumer-presented режим.
- Application Specific Transparent Template — блок данных конкретного приложения: токен карты или счёта, криптограмма сессии, идентификатор устройства.
- Common Data Template — общие сведения: страна выпуска, идентификатор эмитента.
Ключевой момент: CPM QR содержит криптографический токен, а не номер карты. Токен генерируется на стороне банковского приложения и действителен только для одной транзакции или ограниченного времени — обычно 30–60 секунд. После этого QR становится недействительным, что радикально снижает риск перехвата данных.
Размер итогового QR зависит от объёма данных конкретного приложения, но EMVCo рекомендует версии с уровнем коррекции ошибок M (15%) для баланса между ёмкостью и читаемостью в условиях неидеального освещения кассовой зоны. Подробнее о параметрах версий — в разделе динамических QR-кодов.
Где применяется
CPM используется там, где платёжное устройство на стороне продавца (сканер, POS-терминал, кассовый компьютер), а покупатель предъявляет телефон:
- Alipay и WeChat Pay — оригинальные реализации CPM, с которых EMVCo формализовал стандарт. Работают в Китае и международных транзакциях.
- Mir Pay — российское приложение НСПКа на базе системы «Мир». Поддерживает CPM в терминалах с NFC, но QR-режим доступен там, где NFC нет.
- СБПэй — приложение НСПК для оплаты через Систему быстрых платежей. Технически реализует CPM-подобный сценарий, хотя формат данных у СБП несколько отличается от эталонного EMVCo.
- Apple Pay / Google Pay — на рынках, где NFC-инфраструктура слабо развита, эти кошельки используют CPM QR как резервный канал оплаты.
В торговле CPM особенно удобен на рынках, в небольших точках общепита и везде, где покупатель предъявляет телефон на кассе: продавцу нужен лишь стационарный сканер штрих-кодов, а дорогой NFC-терминал не требуется.
Частые вопросы
Чем EMV QR CPM отличается от MPM?
В CPM QR генерирует покупатель, кассир сканирует. В MPM QR размещает продавец (на кассе, экране, чеке), покупатель сканирует своим телефоном. С точки зрения безопасности оба режима равноценны: данные токенизированы. С точки зрения инфраструктуры MPM дешевле — достаточно наклейки с QR, тогда как CPM требует сканера у продавца.
Безопасно ли показывать QR незнакомым кассирам?
Да. CPM QR не содержит номера карты или счёта — только одноразовый криптографический токен с ограниченным сроком жизни (обычно 30–60 секунд). Перехватить и повторно использовать его невозможно: повторная транзакция по тому же токену будет отклонена платёжной системой на уровне сервера.
Работает ли EMV QR CPM в России после 2022 года?
Международные CPM-реализации (Alipay, Google Pay) ограничены санкциями. Российские аналоги — Mir Pay и СБПэй — работают в штатном режиме. Их QR-формат технически близок к EMVCo CPM, но реализован через инфраструктуру НСПК и не требует подключения к международным сетям Visa/Mastercard.
Может ли CPM QR содержать сумму платежа?
Нет. В CPM инициатором суммы является мерчант, а не покупатель. QR содержит только идентификационные данные плательщика. Сумму и реквизиты получателя вводит или передаёт кассовая система продавца при считывании QR. Это принципиальное отличие от MPM, где динамический QR может содержать конкретную сумму уже в момент показа покупателю.
Нужно ли подключение к интернету при оплате CPM QR?
Телефону покупателя интернет нужен для генерации актуального токена от банка. Без соединения большинство приложений не обновят криптограмму и откажут в создании QR. Некоторые реализации (Alipay в офлайн-режиме) генерируют QR локально, но они требуют предварительного кэширования токена при активном соединении.