Про удаленную идентификацию клиента и "диванный" банкинг

За последние несколько десятилетий банкинг сильно изменился.

Прежде всего, изменился клиент. Он стал более требовательнее к сервису. Его уже не заманишь тривиальными процентами по банковскому вкладу. Обыденным стало SMS-оповещение о проведенных операциях по счету. В порядке вещей теперь для многих оплата коммунальных и прочих услуг через мобильные приложения в Интернет-банкинге. Как в Райкиновской юмореске про “белый верх-черный низ или черный верх-белый низ”, теперь возможны операции с текущего счета на депозитный, с депозитного на текущий, с карточки на карточку, да еще и в другом банке - и все это, не слезая с дивана.

Намного проще стало открывать банковские счета. Если у вас уже имеется счет в банке, то новые счета (включая депозитные) можно открыть, не приходя в банк. Сервис дошел до того, что платежную карточку вы сможете открыть с доставкой ее к вам на дом.

Для современного потребителя (особенно молодежи) поход пешочком в банк - это анахронизм. То ли мы обленились, то ли стали ценить свое время, но факт в том, что выстаивать очереди в банковских отделениях становится как то … не в духе времени, что ли. Ожидание очереди к банковскому окошку теперь роскошь непозволительная для современного продвинутого клиента. Правда, и очереди сами изменились. Нет привычной для советского человека толкучки в сберкассу: сейчас всё по электронным билетикам; все чинно сидят в удобных креслах, ожидая появления своего номера на экранах табло (именно в банках мы впервые познали такой удобный способ ожидания своей очереди).

В общем, народ начал ценить удаленное обслуживание в банках. Оно выгодно всем: банкам - из-за снижения операционных расходов (обслуживание “вживую” всегда обходится дороже) и возможности угодить потребителям финансовых услуг; клиентам - ввиду очевидного удобства и экономии своего времени. Была бы возможность, обе стороны так и общались бы друг с другом на удалении. Все, что нужно - это смартфон, планшет или компьютер с использованием камеры и микрофона.

Если идентификацию (то есть первое знакомство банка с клиентом) проводить без посещения банковского отделения, то речь в таком случае может идти об удаленной идентификации клиента.

Удаленная идентификация и аутентификация: что это?

Удаленная идентификация - это процедура первичного знакомства банка с клиентом, которая осуществляется онлайн по определенным биометрическим параметрам (идентификаторам). Ими могут быть отпечатки пальцев, рисунок сетчатки глаз или капилляров на пальцах, голос, контуры лица и даже частота сердечного ритма (встречается и такое). Важно, чтобы: 1) клиент заранее сдал образец своей идентификации; 2) образец хранился в определенной базе; 3) банк имел доступ к этой базе данных; 4) возможно было сверить (подтвердить) предоставленный клиентом материал с образцом параметров, хранящийся в базе данных.

Через удаленную идентификацию вы сможете обратиться за получением услуги, например, открыть счет, даже если ранее вы не обслуживались в данном банке. Прежде чем предоставить доступ к услуге, сервер банка запросит у вас отпечаток пальцев по смартфону, попросит посмотреть в камеру и т.п. Программа сверит полученное с базой данных и в случае успешной проверки откроет вам доступ к банковской услуге.

При последующем обращении в банк вы проходите процедуру аутентификации, то есть подтверждения того, что вы - это вы.

Мировой опыт

Удаленная идентификация и аутентификация получила распространение за рубежом благодаря появлению смартфонов. Чем больше пользователей смартфонов, тем более востребованным становится сервис мобильного банкинга и удалённого общения клиента с банком. По прогнозам KPMG, к 2019 году количество пользователей мобильного банкинга в мире возрастет до 1,8 млрд., причем наибольшая доля придётся на Юго-Восточную Азию. Впечатляющие данные!

Впервые удаленная идентификация была опробована в США. В 2013 году Apple использовала отпечатки пальцев через смартфоны в своей двухфакторной идентификации клиентов в сервисе Apple Pay. По отпечатку пальцев распознают клиентов Bank of America, Royal Bank of Scotland.

Отпечатки пальцев - это, пожалуй, первый, но не единственный биометрический идентификатор, используемый в мире.

К примеру, Standard Chartered Bank в качестве идентификатора использует голос. По мнению специалистов, голосовое распознавание клиента достаточно надежно, поскольку алгоритм может распознать примерно 100 характеристик человеческого голоса, такие как: тембр, скорость, произношение и даже размер рта. По голосу распознает клиентов также Citibank.

Вот еще примеры зарубежных банков по удаленной идентификации: Barclays распознает по сосудистому рисунку пальца, HSBC - по лицу, Wells Fargo - либо по голосу и лицу, либо по сосудистому рисунку глазного яблока (используется селфи клиента).

С 30 июня 2018 года удаленная идентификация легализована в Российской Федерации. В качестве идентификатора там используют изображение лица и голос. Центральный Банк России также заявил, что у него есть планы внедрения удаленной идентификации не только для физических, но и юридических лиц.

База данных и доступ к ней

Одним из главных вопросов успешного и широкого применения удаленной идентификации и аутентификации является вопрос о том, как формировать базу данных биопараметров.

Очевидно, что чем крупнее банк и разветвленнее его сеть, тем менее охотно он будет делиться данными своих клиентов с другими, менее крупными конкурентами. Многие зарубежные банки формируют такие базы исключительно для собственного пользования, не делясь данными биопараметров своей клиентуры с другими фининститутами.

Но есть и другая модель, по которой доступ к базе данных биопараметров доступен широкому кругу финансовых институтов страны. По этому пути пошли в Российской Федерации. Клиенту необходимо сдать свои параметры при личном присутствии в одном из уполномоченных банков (один раз все-таки придется появиться в банке!). Данные гражданина попадают сразу в две системы: Единую систему идентификации и аутентификации, на основе которой работает портал госуслуг (ЕСИА) и Единую биометрическую систему (ЕБС). После этого личное присутствие клиента в банках уже не понадобится. Если гражданин захочет дистанционно открыть счет или депозит, получить кредит или осуществить перевод в новом банке, ему достаточно пройти авторизацию в ЕСИА; банк проверит данные через ЕБС - и всё, аутентификация клиента пройдена.

Стоит ли опасаться мошенничества?

Основной проблемой удаленной идентификации и аутентификации остается, разумеется, проблема безопасной сохранности биопараметров граждан и мошенничества.

Нельзя исключать того, что, во-первых, в систему будут внесены данные под чужим именем, и злоумышленники смогут совершать операции под именем другого гражданина; во-вторых, в процессе аутентификации будут использованы параметры, смонтированные по чужим фото или изображениям. Известен случай, когда была изготовлена копия отпечатка пальцев министра обороны ФРГ по фотографиям с ее публичного выступления, снятыми крупным планом с разных ракурсов.

Специалисты утверждают, что, хотя полностью исключить такие риски нельзя, но снизить их вполне реально, используя, к примеру, двухфакторную идентификацию (то есть комбинируя сразу несколько параметров). БОльшим доверием, по мнению некоторых исследователей, пользуются, например, анализ походки и движений тела и система распознавания рисунка вен пальцев (кстати, рисунок вен не зависит от изменения артериального давления человека).

Стоит добавить, что даже “старые-добрые” методы неудаленной идентификации не снимают полностью риск мошенничества. Так, имеют место случаи, когда в банки за получением кредита обращаются лица по утерянным удостоверениям личности. Во внешней схожести злоумышленника по фото на документе могут ошибиться как нотариусы, так и банковские работники, проводящие первичную идентификацию клиента. Таким образом, даже личное присутствие не может гарантировать полное исключение мошенничества.

Удаленная идентификация и аутентификация в Казахстане

Закон Республики Казахстан “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”, по общему правилу, обязывает банки осуществить проверку будущего клиента перед тем, как установить с ним в деловые отношения. Иначе говоря, банки обязаны осуществить идентификацию клиента, то есть убедиться в том, что клиент является на самом деле тем, за кого он себя выдает. Непроведение предусмотренных законом мер проверки запрещает банку иметь с таким клиентом деловые отношения (за некоторыми исключениями).

Отметим, что казахстанское законодательство признает так называемую динамическую идентификацию. Согласно Нацбанковским Правилам открытия, ведения и закрытия банковских счетов клиентов под нею понимается процедура установления личности клиента с целью однозначного подтверждения его прав на подписание заявления на открытие банковского счета и подписание договора банковского обслуживания путем использования одноразового (единовременного) кода. О динамической идентификации упоминается и в Правилах оказания банками и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг.

Закон “О противодействии легализации (отмыванию) доходов...” не содержит в себе категоричного указания на обязательность личного присутствия клиента или его представителя при первичной идентификации клиента.

Более того, Требования к Правилам внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, утвержденные Минфином и Нацбанком, не исключают идентификацию клиента при дистанционном установлении деловых отношений (пп. 6) пункта 22 Требований). При этом на банк возлагается обязанность по установлению программы проверки и процедур безопасности при использовании динамической идентификации.

Несмотря на перечисленные допущения в законодательстве, удаленная идентификация в том виде, котором она применяется за рубежом, в Казахстане не работает. У нас легализованы, по сути, только два способа удаленной идентификации - посредством электронной цифровой подписи (ЭЦП) и динамической идентификации. Однако ЭЦП не получило широкое использование среди населения, а использование одноразового кода (чаще всего посредством СМС-сообщений) не считается надежным средством идентификации и аутентификации. Возможность же применения биопараметров в сфере банковских услуг пока не получила отражение в законодательстве.

Тем не менее, Казахстан намерен двигаться в этом направлении. Внедрение удаленной идентификации личности обозначено в Государственной программе “Цифровой Казахстан” (намеченный срок в программе - декабрь 2020 года).

Национальный банк РК уже анонсировал близость завершения работы над данным проектом, заявив о намерении внедрить биометрию для удаленной идентификации. Речь будет идти, скорее всего, о методе распознавании лица через видео-конференц связь. У банков будет доступ к базе данных для сличения с фото на удостоверениях личности.

По информации финансового регулятора, проект находится на согласовании с государственными органами.

Юридические проблемы

Активное внедрение удаленной идентификации и аутентификации потребует поиск путей разрешения правовых споров, связанных с такой формой взаимодействия клиентов с банками.

Например, в случае хищения денег с банковского счета, на кого будет возлагаться ответственность перед клиентом: на лицо, допустившее введение неверных данных в систему, или на обслуживающий банк? Как будет распределяться ответственность между участниками системы обмена данными клиентов? Каковы будут правила ответственности банка перед клиентом по удаленной идентификации и аутентификации? Какова будет презумпция: клиент обязан будет доказывать неверность идентификации или, напротив, такая обязанность будет возложена на банк? Какими способами будет доказываться неведение клиента о совершенных помимо его воли операций по счету посредством удаленной идентификации и аутентификации?

Возьмем такую ситуацию: некто незаконным образом использовал данные биопараметров гражданина либо подделал их каким то образом и оформил на имя последнего кредит в банке посредством удаленной аутентификации. Получив кредит, злоумышленник скрывается. Банк же, будучи уверенным, что заемщиком выступает наш гражданин, предъявляет к нему требование о возврате долга, хотя тот ни сном, ни духом о кредите. Возникает вопрос о бремени доказывания: клиент должен доказывать, что имел место обман, подложность представленных биопараметров и что он фактически кредит не получал, либо банк должен доказать обратное?

Определить хотя бы общими мазками ответы на эти вопросы не так то просто.

С одной стороны, возложение обязанности по доказыванию своей невиновности на клиента кажется несправедливым, поскольку, во-первых, клиент ограничен в возможностях контроля над формированием сведений в базе данных биопараметров; во-вторых, как потребитель финансовых услуг, он является слабой стороной договора с банком, следовательно, его интересы подлежат дополнительной защите.

С другой стороны, банк может оказаться в уязвимом положении перед мошенничеством со стороны недобросовестных клиентов в случае сговора последних со злоумышленниками, если всякий раз на него (то есть на банк) возлагать бремя доказывания. К тому же такая позиция угрожает самой идее удаленной идентификации и аутентификации, если достоверность идентификаторов в виде биопараметров будет всякий раз ставится под сомнение.

Смею предположить, что законодательство и практика пойдут все же по пути возложения бремени доказывания на клиента. Скорее всего, именно ему придется доказывать неправомерность использования его биопараметров; учитывая относительно высокую степень надежности разработанных современными технологиями идентификаторов, достоверность удаленной идентификации и аутентификации будет предполагаться.

Итак, стремительное развитие технологий и цифровизации создает новую реальность, в которой мы можем управлять своими деньгами, не выходя из дома. Правда, с новыми возможностями возникают и новые риски, в том числе правовые. Надо быть готовыми к ним.

Следите за новостями zakon.kz в: