Идентификация клиентов в рамках развития электронных платежных систем

Виктор
Достов

Председатель совета ассоциации "Электронные деньги"

Павел
Шуст

Аналитик ассоциации "Электронные деньги"

В целом установление личности клиента тем важнее, чем выше риски злоупотребления используемой услугой. На этом основывается рискориентированный подход, популяризуемый международной Группой разработки финансовых мер борьбы с отмыванием денег (ФАТФ): меры противодействия должны соответствовать уровню риска. По этой причине никто не требует предъявления паспорта при покупке продуктов в ближайшем магазине или при совершении платежей на сумму до 15 тыс. руб.: вероятность того, что эти операции используются для отмывания денег или финансирования терроризма очень низка. Однако состав рисков со временем пересматривается - как правило, в сторону расширения. Одним из последних примеров стали крупные покупки: когда законодатель понял, что таким образом могут отмываться коррупционные доходы, усилились попытки сделать все соответствующие платежи безналичными, а значит, отслеживаемыми. Тем не менее пока изменения законов касаются только того момента, когда требуется устанавливать личность клиента, и совершенно не затрагивают того, какой именно должна быть эта процедура.

Риски и их причины

Существование рисков обусловило две причины, которые заставляют кредитные организации идентифицировать своих клиентов. В первую очередь этого требует законодательство, регламентирующее деятельность по противодействию легализации преступных доходов и финансированию терроризма. При совершении большинства финансовых операций кредитная организация обязана выяснить, кто является ее клиентом, - за нарушение этих требований она рискует даже отзывом лицензии.

Во-вторых, кредитная организация сама может быть заинтересована в том, чтобы выяснить, что обратившийся к ней человек именно тот, за кого себя выдает. Очевидно, что банку важно выдать деньги именно владельцу счета, а не постороннему человеку. Хотя электронные платежные системы не открывают своим клиентам счетов, для них противодействие мошенничеству не менее актуально.

Однако при определении того, как именно устанавливать личность клиента, в России продолжает доминировать традиционный подход: наиболее надежной считается личная явка с паспортом (или иным документом, удостоверяющим личность). Такая процедура используется настолько давно, что постепенно стала синонимом надежности, стопроцентной гарантии безопасности. Тем не менее и она не идеальна: сотрудники не обязаны быть специалистами по определению подлинности документов, не могут они гарантировать и того, что перед ними клиент, а не его брат-близнец. Наконец, из-за большой загруженности операционистов неизбежно возрастает риск человеческой ошибки.

Минимизация рисков

Первые подвижки в изменении процедур идентификации начались в сфере противодействия мошенничеству. Пионерами в этом отношении оказались платежные системы, для которых характерно именно удаленное взаимодействие с клиентом. Наиболее распространенным способом минимизации риска стала идентификация посредством аутентификации: при личной явке лицу выдавался пароль, который в последующем удостоверял его личность. Самый простой пример подобного решения - использование банковской карты в Интернете: чтобы подтвердить, что клиент - тот, за кого себя выдает, изначально для совершения операции потребителю было достаточно указать все сведения, нанесенные на тело карты. Впоследствии этот способ аутентификации стал дополняться одноразовыми паролями, присылаемыми по SMS или генерируемыми токеном. На данный момент кредитные организации имеют в своем арсенале инструменты, позволяющие с достаточно высокой достоверностью установить, что их не вводят в заблуждение.

К сожалению, регулирование сильно ограничивает возможности по полаганию на ранее проведенную идентификацию. Из-за этого граждане вынуждены при совершении почти любого действия предъявлять паспорт, а организации и государственные органы - раз за разом записывать полное имя гражданина, дату и место его рождения, место регистрации, номер документа, наименование организации, его выдавшей, и дату, когда это произошло. Это усложняет работу, увеличивает вероятность ошибок, а также неизбежно требует ужесточения режима защиты персональных данных, ведь число субъектов, которые вынуждены их хранить, только растет.

Современные технологии и идентификация

Тем временем и в России, и за рубежом идет активный поиск современных способов идентификации, которые отвечали бы требованиям удаленного взаимодействия с клиентом и при этом использовали потенциал современных технологий. Мы полагаем, что из всех дискуссий, которые ведутся на данный момент, три наиболее перспективны.

Во-первых, в целях модернизации процедур установления личности жизненно необходимо расширение перечня сведений, которых достаточно для адекватной идентификации. Фиксирование места или даты выдачи паспорта было актуально в эпоху, когда правоохранительные органы не имели единой базы данных о документах. Заменить их могли бы сведения, имеющиеся у кредитной организации в силу удаленного взаимодействия с клиентом: например, номер мобильного телефона, IP и МАС-адреса, номера банковских карт. Во многих случаях для проведения оперативно-разыскных мероприятий эти данные оказываются более важными, нежели номер отдела УФМС, где гражданин получил свой паспорт.

Во-вторых, источником сведений о гражданине может быть не только паспорт. И речь не только о расширении списка "бумажных" документов, но и о новых технических решениях. Электронные карты, о внедрении которых всерьез задумались в Европейском союзе, и их аналог - электронные паспорта, хранят данные о человеке в электронном виде, а значит, могут передавать их удаленно. В отличие от бумажного документа к сведениям на чипе доступ может получить только тот, кому известен PIN-код; владелец также может устанавливать, какие именно данные будут передаваться по каналам связи. Безусловно, важнейшим элементом таких проектов должна стать техническая составляющая, которая у "классических" паспортов, за исключением специфики типографии, отсутствует. В некоторых странах это не вопрос будущего, а пример настоящего: в Финляндии Федерация финансовых услуг разработала единый стандарт идентификации на основе одноразовых паролей - он уже используется крупнейшими банками и некоторыми госорганами. Нет причин, почему та же модель не может использоваться в других странах.

В-третьих, организации должны получить возможность полагаться на идентификацию, которая проведена третьей стороной. Если о вас все знают в одном банке, зачем дублировать эту информацию при обращении в другой? С постепенным ужесточением правил оформления SIM-карт номер мобильного телефона тоже может быть уместным хотя бы для упрощенной идентификации. Наконец, организации могли бы полагаться на идентификацию, которую провело государство при предоставлении доступа к порталу госуслуг: это и повысило бы ценность самого сервиса, и упростило жизнь гражданам и компаниям. Пока реализации таких решений мешает взаимное недоверие сторон относительно безопасности, ПДн и правовой базы,хотя найти в России организации, находящиеся под большим надзором, нежели кредитные, весьма трудно.

Модернизация процедур установления личности - крайне сложный и зачастую болезненный процесс. Но он жизненно необходим, так как это фактически единственное препятствие для внедрения удаленных способов взаимодействия с клиентами.

Комментарий эксперта

Алексеи Филатенков

Начальник отдела ИБ, компании "Открытые Технологии"

Технологии идентификации были хорошо проработаны в век бумажного документооборота, а в эпоху развития электронных технологий они только формируются. Но цели идентификации (а также аутентификации и авторизации) клиентов в платежных системах остались теми же - обеспечение юридической значимости и неотказуемости финансовых операций. И чем выше сумма транзакции - тем выше риски, о чем совершенно справедливо пишет автор статьи. Такая же логика заложена в требованиях закона "О национальной платежной системе", почему-то не упомянутом автором, где для идентифицированных клиентов доступны более высокие лимиты по финансовым операциям.

Однако в вопросах развития способов электронной идентификации не во всем можно согласиться с автором. Так, использование МАС-адреса устройства или номера телефона даже в качестве дополнительных идентификаторов может оказаться небезопасным. Известны примеры взлома с подменой подобных идентификаторов. Электронные паспорта в данном случае выглядят более перспективными. Даже можно говорить об использовании некоего единого идентификатора, одобренного государством. Кстати, в этом направлении движется проект универсальной электронной карты (УЭК). Также в качестве такого единого идентификатора могут выступать токены, содержащие сертификат открытого ключа, который используется на сайте госуслуг, или адрес государственной электронной почты. Если рассматривать в качестве примера тот же портал www.gosuslugi.ru, то он поддерживает и СНИЛС в качестве логина, и токены, и УЭК.

Из описанных в статье современных методов идентификации интересным видится использование идентификации, проведенной другой системой. Примером этого может служить использование для доступа к некоторым информационным ресурсам результатов аутентификации в соцсетях. Для идентификации в электронных платежных системах такой доверенной третьей стороной может выступить государство. Но при этом должны быть решены все аспекты безопасности.

Однако в связи с использованием цифровых идентификаторов и процедуры аутентификации могут встать вопросы легитимного использования средств криптографии, которые (средства) имеют специальные процедуры регулирования в нашей стране. Это, конечно же, должно учитываться. Ведь необходимость получения, например, дополнительной лицензии на использование криптографии может затормозить развитие электронных платежных систем.