Существующие процедуры «знай своего клиента» – путь к ограничению доступа к услугам

 

Давайте еще немного порассуждаем о процедурах идентификации клиента. Хотя в последние годы компания Uber показывала крупные убытки, сейчас ее дела вроде бы пошли на лад[62]. Во втором квартале 2017 года число заказов выросло на 17 %, в первом квартале – на 10 %, а выручка составила почти 9 млрд долларов. Компания Amazon оставалась убыточной на протяжении первых 20 лет работы; кажется, инвесторы Uber пока готовы мириться с убытками в обмен на рост. Популярность Uber, очевидно, меняет отношение к вождению автомобиля, особенно среди миллениалов. Моей дочери Ханне сейчас 17 лет; жизнь в Нью‑Йорке не заставила ее задуматься о получении водительских прав, а на мое предложение купить машину она ответила: «Не стоит, папа, просто давай мне денег на Uber».

С появлением автономных транспортных средств и распространением сервисов типа Uber наши дети будут водить машину значительно реже и меньше нас. По данным Frontier Group за 2016 год, автомобильный бум, наблюдавшийся в США на протяжении 60 лет, завершился[63]; появление Uber только ускорит этот спад.

 

Автомобильный бум второй половины XX века происходил на фоне быстрых экономических, культурных и демографических изменений в США. Все они вели к одному: к обществу, ориентированному на всё более активное использование автомобилей. Однако многие из этих тенденций уже достигли естественного предела или обернулись вспять… всё это позволяет заключить, что рост массовости вождения автомобилей, имевший место во времена бума, скорее всего, уже остановился.

Доклад Frontier Group о будущих тенденциях использования автомобилей в США

 

Рисунок 2. Меньше миль, меньше водителей, меньше официальных документов для процедуры «знай своего клиента»

 

Если учесть одновременное действие таких факторов, как снижение необходимости в вождении автомобиля, почти повсеместная доступность сервисов совместных поездок (например, от Uber) и перспектива скорого появления автономных или автопилотируемых машин, становится совершенно ясно: меньше водителей – меньше водительских прав – меньше документов, удостоверяющих личность, то есть всё большее число людей не сможет пройти процедуру проверки личности и лишится доступа к финансовым услугам на рынках типа США[64].

В странах с развивающейся экономикой, таких как расположенные на территории Африки южнее Сахары, развитие сети отделений не сработало в качестве способа повышения доступности финансовых услуг. Как показывает исследование консалтинговой компании Accenture и банка Standard Bank, 70 % не охваченного банковскими сервисами населения Африки вынуждены были бы потратить больше месячного заработка только на то, чтобы добраться до отделения банка[65]. Похожая ситуация наблюдается в Индии. Первоначально Резервный банк Индии (Reserve Bank of India) предписывал банкам размещать не менее 25 % новых отделений в сельской местности, чтобы привлечь пока не охваченную аудиторию; однако эта мера не помогла заметно повысить доступность банковских услуг – просто потому, что люди не могли предоставить документы для установления личности и банк не мог открыть им счет. Именно по этой причине запуск системы идентификации и начало выдачи удостоверений личности Aadhaar дали такой мощный толчок росту финансовой доступности: изменились правила игры. По данным на 15 августа 2017 года, в системе Aadhaar было зарегистрировано более 1,171 миллиарда человек. Это 88 % населения Индии.

Результатом реформы требований к идентификации личности в Индии стал грандиозный рост числа клиентов финансовых учреждений. Среди домохозяйств с низкими доходами и женщин – групп с наименьшими шансами получить доступ к банковским услугам при прежнем порядке – число пользователей финансовых услуг удваивалось каждый год с момента запуска карты Aadhaar. В 2015 году банковскими счетами пользовались более 358 миллионов индийских женщин (61 %), тогда как в 2014 году – 281 миллион (48 %). Это самый высокий показатель роста охвата женщин банковскими услугами среди восьми стран Южной Азии и Африки[66]. Чтобы расширить доступ к финансовым услугам, нужно или снизить требования к процедуре идентификации клиента, или создать новую систему удостоверения личности. Если население не водит автомобили и не путешествует, не стоит ждать, что требование предъявить водительские права или паспорт позволит сети отделений успешно привлекать новых клиентов. Такая модель гарантирует исключение части граждан из финансовой системы, что на собственном опыте ощущают 25 % домохозяйств США, не имеющие банковских счетов.

Однако в плане регулирования вопрос нужно поставить иначе: у кого сегодня наиболее развитые сервисы идентификации физических лиц? У кого есть всё необходимое для обеспечения роста финансовой доступности на протяжении следующих нескольких десятилетий? Скажем честно: не у банков.

Сегодня самый большой объем данных о личности пользователей – у Facebook, Apple, Tencent, Amazon, Alibaba/Alipay Uber, Snapchat и других платформ со значительной аудиторией. У них есть не только основная идентификационная информация, но часто и обширные сведения о поведении человека, его биометрические данные (например, из системы распознавания лиц) и прочее. Пожалуй, сегодня Facebook[67] знает о своих пользователях столько, сколько не знает большинство розничных банков во всем мире. И еще все эти платформы хранят данные в облачных системах.

Поскольку возможность оказывать услуги в реальном времени становится залогом конкурентоспособности, требование явиться в банк и предъявить удостоверение личности (которым значительная часть населения больше не пользуется) превращается в структурное препятствие для повышения доступности банковских услуг. Если регулятор предписывает лично пройти идентификацию в банке, предъявив водительские права или паспорт и поставив собственноручную подпись на документе, то это не решение, повышающее безопасность банкинга для клиентов, а часть проблемы, которая продолжает усугубляться. Идентификация посредством личного посещения банковского отделения и проставления подписи на бумажном документе – гарантированный проигрыш по сравнению с беспрепятственным подключением к услугам финтех‑компаний, предлагающих альтернативные способы хранения средств на повсеместно доступных платформах из числа упомянутых выше.

Единственный способ для регулятора сохранить конкурентоспособность существующих участников рынка – отменить как требования к очной идентификации, так и ограничения на использование облачных сервисов. Вполне возможно, что к 2025 году большинство банков передадут задачу по установлению личности клиента специализированным посредникам, таким как Facebook или система карт Aadhaar. В будущем банкам будет просто незачем собирать и хранить идентификационные данные. Намного вероятнее, что банки станут сотрудничать с сервисами идентификации и запрашивать только тот объем информации, который позволит убедиться в правильном установлении личности нового клиента. Кстати, не стоит забывать, что технология распознавания лиц способна идентифицировать клиента в 15–20 раз точнее, чем сотрудник банка при личной встрече[68]. Отсюда следует, что личный визит в отделение для открытия счета в современных условиях – не только не самое безопасное, но и, пожалуй, самое рискованное из того, что в принципе может требовать банк.

Далее в главе про блокчейн я покажу, что регуляторам и банкам вскоре не придется беспокоиться ни о сборе данных о клиенте, ни о соблюдении требований процедуры «знай своего клиента».

 

Голова в облаках?

 

Еще один вызов для регуляторов – необходимость присоединиться к глобальному переходу на облачные вычисления. До недавних пор контролеры в США в штатном порядке требовали от банков выпускать физические объекты: например, обязательным элементом систем управления рисками в области информационных технологий были карточки‑ключи для доступа в серверные помещения и оформленные в письменном виде планы противопожарной безопасности для защиты серверов. В отличие от банков, у финтех‑компаний нет помещений для серверов. Все данные хранятся в облаке. Когда наша компания Moven впервые переносила технологии в Канаду, канадский регулятор потребовал, чтобы облачный сервис Amazon Web Services (AWS) сообщил, где находятся физические серверы, на которых хранятся обезличенные и токенизированные данные клиентов. Нечего и говорить, что в AWS не ответили на запрос.

Недовольство регуляторов по поводу облачных систем обычно обусловлено соображениями безопасности. Однако при грамотной реализации облачные системы типа AWS не менее, а гораздо более надежны – в основном потому, что их значительно проще защитить. IT‑системы традиционных банков имеют множество слабых мест, потому что каждая точка доступа является потенциальной уязвимостью, а точек доступа – хоть отбавляй: многочисленные серверные; разношерстное программное обеспечение (часто в устаревших версиях); незащищенные каналы связи между системами с дефектами безопасности, из‑за чего данные могут быть утеряны или украдены. Похитить данные могут как хакеры, так и многочисленные банковские сотрудники, которым нельзя закрыть доступ просто потому, что кто‑то должен обслуживать все эти системы.

Еще важнее, что облачные провайдеры, такие как AWS или Microsoft Azure, развивались в суровой среде, в постоянной борьбе с хакерством, и их работу обеспечивают лучшие в мире специалисты по информационной безопасности. Со временем крупные облачные платформы обзавелись своего рода иммунной системой, благодаря которой они защищены не менее надежно, чем военные объекты[69], и далеко превосходят IT‑системы банков по критериям безопасности и производительности.

В облачной системе данные хранятся онлайн, то есть им не грозит физическое уничтожение (например, в результате пожара) и их можно эффективно защитить. Регуляторам нужно сосредоточиться не на формате мер по обеспечению безопасности, а на их результативности. Если банк и регуляторы исправно тестируют средства защиты от несанкционированного доступа и проверяют безопасность среды, то не имеет значения, как именно обеспечивается безопасность, – главное, что клиентским данным ничто не угрожает.

Регуляторы постепенно отказываются от недоверия к новым технологиям, но им еще предстоит в полной мере осознать необходимость разрешать и даже поощрять применение систем на основе облачных вычислений. В выигрыше будут все: и банки, и их клиенты, и сами регуляторы, ведь это позволит контролировать соблюдение требований банками посредством регуляторных технологий (regulatory technology, RegTech)[70], анализирующих легкодоступные данные.

Обычное для регуляторов требование обрабатывать данные внутри организации приведет к созданию изолированных «островов» в технологической архитектуре финансовых систем будущего. Это помешает банкам беспрепятственно сотрудничать с другими провайдерами услуг.

Вероятность того, что в будущем нас ожидает рост числа провайдеров финансовых услуг на основе облачных технологий, выше, чем вероятность обратного. Вполне возможно, что облачная составляющая появится у большей части функционала, формирующего клиентский опыт. Ограничивая использование облачных платформ как базы для деятельности поднадзорных учреждений, регуляторы добьются только того, что подконтрольные им банки утратят конкурентоспособность в борьбе с новыми финтех‑компаниями и технологическими лидерами. Кроме того, запрет облачных сервисов сделает саму площадку по представлению финансовых услуг менее эффективной – и в конечном счете, опять же, менее конкурентоспособной. В целом ограничение использования облачных технологий приведет к росту отставания финансового сектора страны от самых прогрессивных финансовых рынков мира.