Что такое регулярный (рекуррентный) платёж по банковской карте?

Регулярный платёж — это автоматическое списание, которое выполняется периодически с карты или банковского счёта клиента на основании предварительного и явного согласия. В отличие от разового платежа, он формирует постоянные платёжные отношения между мерчантом и потребителем.

Эта модель лежит в основе экономики подписок: SaaS‑платформы, стриминговые сервисы, спортзалы, страхование и любой бизнес с периодическим биллингом. Основные каналы, через которые движутся средства, — это банковское прямое дебетование (SEPA Direct Debit в Европе) и платежи по картам с использованием технологии Credential‑on‑File (COF).

Как работает регулярный платёж

Технический поток регулярного списания по карте основан на двух типах транзакций, которые Visa и Mastercard требуют различать:

• CIT (Cardholder‑Initiated Transaction): клиент вводит платёжные данные и проходит сильную аутентификацию (SCA). Это первый платёж, в котором создаётся доверительная связь и сохраняется токен карты через токенизацию.
• COF (Credential‑on‑File): шлюз безопасно хранит токен — никогда не PAN — в соответствии с требованиями PCI DSS v4.0 о минимальном хранении данных.
• MIT (Merchant‑Initiated Transaction): в каждом последующем цикле биллинга мерчант инициирует списание, используя сохранённый токен, без участия клиента. Эмитент проверяет наличие успешного CIT.

Если мерчант попытается выполнить MIT без корректной ссылки на исходный CIT, эмитент отклонит транзакцию. Эта цепочка CIT → COF → MIT — технический фундамент любой системы автоматического списания по карте.

В канале SEPA Direct Debit клиент подписывает мандат, разрешающий мерчанту инициировать списания с его IBAN. Флажок «платёж является регулярным» должен быть отмечен явно — это позволяет оспаривать списания только в течение 13 месяцев.

Регуляторные требования и безопасность

Европейское регулирование защищает и потребителей, и мерчантов в среде регулярных платежей:

• PSD2 (Директива ЕС 2015/2366), ст. 97: требует сильной аутентификации (SCA) для электронных платежей. Регулярные списания фиксированной суммы освобождаются от SCA после первого CIT, согласно RTS EBA.
• Королевский декрет‑закон 19/2018: имплементирует PSD2 в Испании. Устанавливает безусловное право на возврат по прямому дебету в течение 8 недель (если авторизовано) и до 13 месяцев (если не авторизовано).
• PCI DSS v4.0: требует минимизировать хранение данных и делать PAN нечитаемым с помощью криптографии. Токенизация значительно сокращает объём требований для мерчантов.
• Регламент SEPA (ЕС 260/2012): регулирует прямые дебетования в еврозоне, различая схемы Core (с правом возврата) и B2B (без права возврата).

Visa и Mastercard классифицируют MIT по 8 сценариям использования: отложенные списания, no‑show, unscheduled COF, рассрочка, повторная отправка, standing order, подписка и частичная доставка. Корректная классификация предотвращает отказы и штрафы платёжных систем.

Операционные преимущества и недостатки

Крупнейший операционный риск в регулярных платежах — истёкшие карты. Если MIT отклоняется из‑за истечения срока действия карты, мерчант должен уведомить клиента и получить новые данные, создавая новый CIT. Без автоматизированной системы dunning (умные повторные попытки и напоминания) непреднамеренный отток может превышать 5–9% в месяц в портфелях подписок.