Новые технологии AML глазами регулятора и рынка

В декабре 2018 года состоялась внеочередная встреча представителей банковского сообщества и вендоров с руководством Банка России, на которой было рассказано о позиции и ожиданиях регулятора касательно контроля сомнительных финансовых операций, а также рассмотрены возможные технические средства для улучшения ситуации с мошенничеством. По словам независимого эксперта Александра Ермаковича, последний момент заслуживает особого внимания.

Новые технологии AML глазами регулятора и рынка

В частности, было озвучено, что какой-либо прогресс в этом вопросе труднодостижим без онлайн-мониторинга. Иными словами, для перехода на принципиально иной уровень безопасности необходим анализ транзакций в реальном времени.

Был озвучен и типичный подход к предварительной проверке транзакций, включающий в себя следующие моменты:

  1. анализ операций за 2 недели;
  2. контакт с клиентом по указанному телефону для уточнения;
  3. анализ фингерпринта (Фингерпринт (от английского fingerprint – отпечаток пальца) – информация, собранная об удаленном пользовательском устройстве для дальнейшей идентификации. Фингерпринтинг позволяет идентифицировать пользователя не по специальным меткам, сохраненным на его системе (например cookie), а по уникальным особенностям его браузера, системы и устройства) устройства пользователя (не путать с IP).

Первый пункт вполне понятен – он связан с транзакционным анализом. И хотя на рынке уже немало вендоров, которые предлагают свои решения для этих задач, данная отрасль переживает процесс адаптации. Мошенники изучают, как работают системы, и разрабатывают новые схемы. Для банков это означает, что необходимо не просто постоянно следить за ситуацией, а работать на опережение, создавая новые средства выявления и защиты. В частности, упомянутый онлайн-мониторинг.

Интересно обратить внимание на третий пункт. Впервые в Положении Банка России № 375-П была упомянута необходимость анализа пользовательских устройств, и это спровоцировало много слухов, вопросов и непонимания. В конце лета – начале осени 2018 года этот момент был одним из самых актуальных на конференциях и деловых встречах. Интересно, что от регулятора также прозвучало подтверждение, что анализ фингерпринтов на совпадение устройств с устройствами, использованными для сомнительных операций, доказал высокую эффективность и рекомендуется к применению. Кроме того, анализ устройств вошел как один из признаков мошенничества в 167-ФЗ.

И все же попробуем разобраться, как устройства и их анализ связаны с сомнительными операциями.

Любая мошенническая организация для работы с ДБО использует те или иные коммуникационные устройства,  как реальные, так и виртуальные. Кроме того, для сокрытия следов преступления могут применяться средства анонимизации – TOR, VPN, Proxy и другие. Поэтому, анализируя, кто именно к вам заходил и с какого устройства, можно с высокой вероятностью выявлять подозрительные входы и проводить дальнейший анализ, ведь нормальные клиенты обычно такие подходы не используют, хотя, конечно, могут быть исключения.

Кроме того, современные транзакционные системы зачастую размещены  внутри периметра банка, а это значит, что зона видимости таких систем – только клиенты этого банка. Если же используется продукт, подключенный сразу к нескольким банкам и позволяющий анализировать связи между устройствами и пользователями не только конкретного банка, а сразу нескольких кредитных организаций, можно получить репутацию конкретных устройств на глобальном уровне.

Таким образом, решаются сразу две задачи. Первая – выявляются мошеннические группировки на уровне нескольких банков одновременно (очевидно, что мошенники работают по всему рынку). Вторая – если клиент (или его устройство) уже были замечены в подозрительных операциях, им будет выставлен низкий рейтинг, и эта информация сразу же станет доступна всем участникам распределенной системы.

Необходимо не просто постоянно следить за ситуацией, а работать на опережение

Простой пример. В банке А обнаружили и подтвердили наличие сомнительной операции. У клиента есть конкретные устройства, и с них осуществлялся заход в ДБО. Но, кроме того, по связям видно, что с этого же устройства заходили в другой банк, а это значит, что все операции, связанные с этим устройством, как минимум подозрительные и требуют дополнительной проверки.

Как показала практика, такой подход оказался очень эффективным и уже используется некоторыми ведущими банками страны. Другие пока присматриваются. В частности, у них есть опасения:

  1. Почему я должен (и имею ли право) делиться персональными данными с третьей стороной, особенно если это облачный вендор?
  2. Почему я не могу получать такие обновления от ЦБ?

Ответ на первый вопрос. На самом деле при таком подходе никаких персональных данных не собирается. Собираются только параметры устройств (больше 100 штук) и анализируются. Кто-то делает это с помощью машинного обучения, у кого-то просто продвинутая аналитика. Но персональные данные при этом не используются в принципе.

Ответ на второй вопрос был задан самому регулятору – но ЦБ не очень хочет этим заниматься и считает, что обеспечивать онлайн-мониторинг – задача вендоров, хотя какая-то информация, возможно, будет собираться и распространяться регулятором.

Но это не все – продукты продолжают развиваться дальше, и не только в плане технологий, но еще и за счет интеграции с другими продуктами. Например, точно стоит анализировать связи не только устройств, но и счетов и, возможно, ИНН. Кроме того, есть подтверждение, что транзакционный анализ очень нуждается в сессионном анализе, и наоборот, а это значит, что скоро мы увидим или альянсы, или новые подходы у традиционных вендоров. Регулятор считает AML одним из своих приоритетов, а это значит, что отрасль и технологии будут дальше развиваться, и за этим развитием очень интересно следить.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных