API v3.0 ЮMoney для бизнеса: архитектура, возможности и безопасность
API v3.0 ЮMoney: ключевые изменения с версии v2.0
API v3.0 ЮMoney, запущенное в 2024 году, стало критически важным элементом экосистемы цифровых финансовых услуг в России. В отличие от устаревшего v2.0, который полагался на устаревшую схему Basic Auth, v3.0 использует современный протокол OAuth 2.0 с поддержкой PKCE — что делает его совместимым с требованиями ФЗ-115 и ФЗ-173. Согласно отчёту PwC за 2025, 89% интеграций в Битрикс24, нацеленных на высокую безопасность, уже используют v3.0. Основные изменения: полная отмена передачи учётных данных в открытом виде, введение refresh token с TTL 30 дней, а также обязательная аутентификация через 3-стороннюю проверку. Согласно статистике Банка России, доля инцидентов, связанных с утечкой токенов, снизилась на 74% после массового перехода с v2.0 на v3.0 (2024–2025 гг.).
Технические характеристики и требования к интеграции
API v3.0 ЮMoney для бизнеса поддерживает стандарты REST/JSON, с поддержкой HTTPS-шифрования с TLS 1.3. Все запросы должны включать заголовок Authorization: Bearer <access_token>. Ключевые требования к интеграции:
- Поддержка TLS 1.3 (обязательно, иначе 403 Forbidden)
- Макс. размер тела запроса: 10 МБ (для методов с файлами — 50 МБ через Multipart)
- Лимиты: 1000 запросов/минуту (на 1 аккаунт) с возможностью масштабирования до 10 000 через пре-апрув
- Поддержка Webhook-уведомлений (секция валидации подписи HMAC-SHA256)
Согласно внутренним метрикам ЮMoney, 91% интеграций с Битрикс24, использующих вебхуки, на 2025 год, работают с задержкой менее 300 мс, что критично для автоматизации возвратов и чеков.
Сравнительный анализ версий API: v2.0 vs v3.0
| Параметр | v2.0 (устаревшее) | v3.0 (рекомендуемое) |
|---|---|---|
| Аутентификация | Basic Auth (логин/пароль) | OAuth 2.0 + PKCE |
| Безопасность токенов | Доступны в логах, риск утечки | Access/Refresh, срок действия 1 час / 30 дней |
| Поддержка вебхуков | Ограниченная, через HTTP-POST | Полная, с подписью HMAC-SHA256 |
| Лимиты (в секунду) | 1 запрос/сек | до 100 (при согласовании) |
| Соответствие 115-ФЗ | Не соответствует (не проходило аудит) | Соответствует (подтверждено ФНС в 2024) |
Роль OAuth 2.0 в аутентификации через API v3.0
OAuth 2.0 в v3.0 реализован с соблюдением стандарта PKCE (Proof Key for Code Exchange), что исключает возможность перехвата токенов через сторонние приложения. Согласно отчёту SberTech (2025), 94% DDoS-атак на интеграции с ЮМани в 2024 году были направлены на уязвимые реализации Basic Auth. В отличие от v2.0, где 68% интеграций хранили токены в логах, v3.0 не требует долговременного хранения учётных данных. Все токены генерируются динамически, с возможностью отмены через API. Для интеграции с Битрикс24 рекомендуется использовать встроенный модуль «ЮMoney API» (v3.0), в котором реализована автосмена токенов.
Регуляторные аспекты: соответствие ФЗ-115, ФЗ-173, Постановлению Банка России № 521-П
Согласно Постановлению Банка России № 521-П (в ред. 2024 г.), все платёжные агрегаторы, включая ЮMoney, обязаны обеспечить:
— логирование всех операций с IP-адресом, E-mail, ИНН, ФИО (если ИП/ФЛ);
— интеграцию с системами финансового мониторинга (ФМС);
— обязательную проверку контрагентов (в т.ч. через KYC-провайдеров).
В 2024 году 12,7 тыс. аккаунтов с подозрительной активностью были заблокированы, включая 3,2 млрд руб. в «сомнительных» переводах (данные ЦБ РФ, 2025). Согласно ФЗ-173, нарушение требований к аутентификации ведёт к штрафу в 100 000 руб. (ст. 10.1). ЮMoney v3.0 в 2025 году прошёл аудит АСИ, подтвердив соответствие 100% нормативов.
API v3.0 отменило Basic Auth, внедрив OAuth 2.0 с PKCE — теперь 91% интеграций с Битрикс24 минимизировали утечки (PwC, 2025). Поддержка TLS 1.3, лимиты 1000 req/min, вебхуки с HMAC-SHA256. Согласно ФНС, 89% бизнесов, интегрированных через v3.0, не сталкивались с блокировками (2025). Безопасность: 0 утечек токенов в 2024–2025 (данные ЮМани).
API v3.0 требует TLS 1.3, JSON-данные, Authorization: Bearer. Лимиты: 1000 запросов/мин (до 10 000 с пре-апрувом). Вебхуки с HMAC-SHA256 (задержка 300 мс в 91% случаев). 89% интеграций с Битрикс24 работают стабильно (PwC, 2025). Соответствие 115-ФЗ: 100% (ФНС, 2025). Ошибки 401/403 — 0,5% (в т.ч. из-за невалидных токенов). pecunix
| Параметр | v2.0 (устар.) | v3.0 (акт.) |
|---|---|---|
| Аутентификация | Basic Auth (логин/пароль) | OAuth 2.0 + PKCE |
| Безопасность | Риск утечки: 89% | Риск утечки: 3% |
| Лимиты (в сек.) | 1 запрос/сек | до 100 (с масштабированием) |
| Поддержка вебхуков | Нет | Да (HMAC-SHA256) |
| Соответствие 115-ФЗ | Не поддерживается | 100% (ФНС, 2025) |
С 2024 г. 91% бизнесов перешли на v3.0. Утечка токенов — 0 (2025, ЮМани). Вебхуки: 300 мс отклика (PwC, 2025).
| Метод API | Метод | Требуемый уровень доступа | Описание |
|---|---|---|---|
/payment/tokens |
POST | Конфигурация + KYC | Генерация токена для платёжной ссылки (в 2025 г. 91% интеграций с Битрикс24 используют v3.0) |
/payment/confirm |
POST | Конфигурация + KYC | Подтверждение оплаты (задержка 300 мс, 94% успешных вызовов в 2025) |
/webhook |
POST (HMAC-SHA256) | Вебхуки (в т.ч. через 1С-Битрикс24) | События: payment.success, payment.fraud (91% стабильности в Битрикс24) |
| Функция | ЮMoney API v3.0 | Альтернативы (СБП, Тинькофф, Альфа-Касса) |
|---|---|---|
| Аутентификация | OAuth 2.0 + PKCE (100% ФНС, 2025) | API-ключи (риск 68% утечек — PwC, 2024) |
| Вебхуки | Да (HMAC-SHA256, 300 мс отклик) | Ограничено (в т.ч. через 1С-Битрикс24) |
| Лимиты (в сек.) | до 100 (с пре-апрувом) | до 50 (без масштабирования) |
| Соответствие 115-ФЗ | 100% (ФНС, 2025) | 72% (ФНС, 2024) |
FAQ
Можно ли интегрировать ЮMoney v3.0 с Битрикс24 без кода? Только через встроенные приложения (v3.0, 2025). Безопасность: 91% интеграций с вебхуками стабильны (PwC).
Какие документы требуются для KYC в 2025? УНП, ИНН, СНИЛС, паспорт (для ФЛ/ИП). Для юрлиц — учредительные, 137-ФЗ. Проверка: в среднем 2,1 дня (ФНС, 2025).
Какие штрафы за несоответствие 115-ФЗ? До 100 000 руб. (ст. 10.1). 68% блокировок — из-за игнорирования AML (Банк России, 2025).