393
ЕСИА для банков. Идентификация и менеджмент цифровой идентичности
Единая система идентификации и аутентификации (ЕСИА) уже достаточно давно используется не только для получения госуслуг, но и для предоставления различных сервисов финансовыми организациями. В первую очередь ЕСИА применяют сегодня участники рынка ценных бумаг, а также часть банков – для упрощенной идентификации клиента.
Однако существующая норма Закона № 115-ФЗ вызывает недовольство у большинства участников рынка, так как имеет ряд ограничений в получении информации и не может полностью закрывать задачи, стоящие перед банковским сообществом в части полноценной удаленной идентификации клиентов.
После серии консультаций по дальнейшему развитию финансового рынка Минкомсвязи и Банка России было принято решение использовать для идентификации клиентов коммерческих структур имеющиеся государственные информационные системы, которые обладают доверием, усилив их технологией биометрической идентификации.
Как отметил руководитель проектов по развитию ЕСИА Евгений Беляев, в Министерстве связи пытались найти максимально удобный для обычного пользователя способ идентификации. Изначально в качестве дополнительного способа идентификации предполагалось использовать Skype. Но так как данная система предполагает наличие широкополосного интернета, организовать полноценный сервис с помощью стандартных сотовых сетей не всегда представляется возможным. Учитывая, что сегодня в нашем обществе достаточно высок уровень распространения смартфонов, это позволяет массовому потребителю просто и удобно произвести передачу своих ИД-данных с помощью мобильных устройств. Биометрические технологии не настолько требовательны к наличию широкополосного интернета и дают возможность тратить значительно меньше энергии. Кроме того, по словам Евгения Беляева, биометрические решения более надежны: если skype-конференцию выполняет человек, то проверку биометрических технологий проводит машина по специальному математическому алгоритму.
На начало 2017 года в ЕСИА были занесены данные 40 млн пользователей, а уже на сентябрь – почти 56 млн (из них более 32 млн пользователей – с полностью проверенными данными в государственных информационных ресурсах). У приблизительно 80% от всей базы пользователей указаны номера мобильных телефонов.
Как отметил Иван Беров, директор по цифровой идентичности «Ростелекома», в декабре 2017 года планируется достичь технической готовности платформы, после чего будет проводиться ее техническое тестирование. К этому моменту полностью должно быть завершено не только проектирование системы, но и ее реализация. При этом И. Беров особо подчеркнул, что реализация платформы предполагает работу не только со стороны «Ростелекома», Министерства связи и Банка России, но и возлагает определенные задачи на банки в части оборудования офисов, трансформации бизнес-процессов внутри розничного отделения и организации процесса обслуживания клиентов с возможностью их регистрации в ЕСИА. При этом для граждан система сможет заработать не ранее вступления в силу изменений к 115-ФЗ.
Ожидать, что все желающие банки смогут подключиться к платформе уже в декабре, не приходится. Однако в «Ростелекоме» рассчитывают, что несколько «самых быстрых и юрких» банков смогут поддержать технологическую интеграцию и приступят к тестированию платформы в конце нынешнего года. Запускать систему в масштабе страны без проведения тестирования – шаг слишком рискованный, поэтому с декабря по июнь 2018 года «Ростелеком» планирует провести совместно с банками мероприятия, которые, по словам Ивана Берова, «создадут максимально комфортный бизнес-процесс для запуска системы внутри отделения».
Сегодня в рамках исполнения требований ПОД/ФТ 115-ФЗ банки требуют проведения идентификации физлица с целью получения возможности использования его данных в дальнейшем на межбанковском рынке. В то же время многофункциональные центры предоставления государственных и муниципальных услуг (МФЦ), Почта России и другие удостоверяющие центры при взаимодействии с гражданами работают в рамках других федеральных законов. Поэтому им необходимо не только поменять внутренний процесс проведения идентификации физического лица, но и оснастить свои отделения специализированным оборудованием как минимум для проверки паспорта, а как максимум – для снятия биометрии аналогично банковскому отделению. Ввиду этих причин вопрос с организацией дополнительных точек по регистрации гражданина в ЕСИА и единой биометрической системе отнесен на второй этап.
Дмитрий Гурин, руководитель службы автоматизации документооборота с органами государственного управления департамента информационных технологий Банка ВТБ (ПАО), отметил, что банк планирует участвовать в работе единой биометрической платформы. Во-первых, это единый стандарт, возможность встраивания единых процессов в каналы дистанционного банковского обслуживания (ДБО). Во-вторых, по его мнению, платформа позволит минимизировать число логинов, в тех случаях, когда пользователи будут обращаться в банк за продуктом или услугой через портал госуслуг. В-третьих, единое решение будет способствовать увеличению конкуренции между банками по привлечению новых клиентов с использованием единой биометрической платформы.
Директор по инновациям банка «Открытие» Алексей Благирев рассказал, что в банковском сообществе обсуждается вопрос о применении удаленной идентификации для четырех основных продуктов – открытия счетов, получения и выдачи кредитов, размещения депозитов и денежных переводов. ФК «Открытие» рассматривает возможность запустить первый такой продукт.
Сегодня, когда клиент приходит в отделение банка, например, для открытия счета, его идентификация считается стопроцентной, так как операционист визуально и по предоставленным документам точно определяет, что клиент действительно именно то лицо, за которое себя выдает. Однако, когда клиент приходит в банк виртуально, через цифровой канал, вопрос идентификации остается открытым. Биометрическая платформа дает соответствие только на 85%. В этом смысле для команды, которая занимается операционными рисками, возникает серьезный вызов создать платформу, которая на основе этой вероятности будет открывать счета для новых клиентов. Как отметил А. Благирев, эту нетривиальную задачу пока еще не решил никто. В банке «Открытие» специалисты обсуждают, какие дополнительные факторы необходимо запрашивать у клиента, и пытаются выяснить порог уверенности, что лицо или голос, находящийся в биометрической платформе, с высокой степенью достоверности принадлежат именно этому клиенту, и банк будет готов принять этот риск.
Алексей Благирев предполагает, что банковская карта как идентификатор перестанет существовать уже через несколько лет. Банки уже доверяют ЕСИА, биометрическим данным, каким-то другим внешним identity. Это означает, что банку не нужно выпускать карту как единственно возможный identity для клиента, с помощью которого он может идентифицироваться и расплачиваться. Появятся сервисы, когда клиент банка сможет прийти к мерчанту и купить, например, банку Coca-Cola, подтвердив транзакцию через ЕСИА. На рынке уже есть несколько интересных сервисов, которые пытаются реализовывать такие схемы.
В отличие от банков, у которых появляется такой инструмент, как удаленная идентификация, микрофинансовые организации пока не смогут им воспользоваться, причем сроки, когда такая возможность будет им предоставлена, тоже не определены. Тем не менее генеральный директор «МигКредит» Олег Гришин отметил, что «МФО готовы ускориться при входе в этот механизм и быть в первом эшелоне». Он сделал предположение, что микрофинансовые организации даже больше диджитализированы, чем банки, – в первую очередь с точки зрения безбумажных технологий работы кредитного конвейера, а также в отношении клиентов, каналов и цифровых подписей.
Эдуард Моссаковский, менеджер по работе с технологическими партнерами VisionLabs, отметил – несмотря на то, что сейчас для удаленной идентификации человеку необходимо подтвердиться в двух биометрических модальностях (лицо плюс голос), точность одной модальности распознавания лиц достаточно высока, чтобы надежно идентифицировать человека. Основная задача удаленной идентификации – подтвердить, что клиент «живой», что это не подмена, не фотография, не видеоролик. Использование второй модальности, например, голоса, усложняет злоумышленникам задачу, хотя и приводит к дополнительным неудобствам для пользователей. Но время не стоит на месте, и появляются технологии, которые защищают от подмены лица без использования дополнительной модальности. Так, VisionLabs разработала проверку присутствия живого человека для обычных веб-камер и камер смартфонов, обойти которую с помощью фото или видео не удается. Кроме того, совсем недавно состоялась презентация iPhone X, в котором реализована функция аутентификации по лицу FaceID с использованием миниатюрной инфракрасной камеры и структурной ИК-подсветки, которые делают использование распознавания лиц еще более удобным на этом устройстве.
Представители регуляторов неоднократно обсуждали вопрос определения лимитов по счетам и продуктам, открытым в результате удаленной идентификации. Руководитель проектов по развитию ЕСИА Евгений Беляев отметил, что ограничения коснутся не только максимальных сумм счетов, открытых с использованием этого механизма, но и количества имеющихся у клиента счетов в различных банках. Так как технология абсолютно новая, необходимо двигаться итеррационно. Как только у банковского сообщества появится полная уверенность в технологии, эти ограничения станут постепенно ослабевать и, может быть, в конечном счете уйдут совсем.
Иван Беров, директор по цифровой идентичности «Ростелекома», рассказал, что согласно концепции законопроекта тариф за использование ЕСИА банками будет утверждать Минсвязи по согласованию с Банком России. В свою очередь «Ростелеком» определит себестоимость системы для государства, на основании которой и будет формироваться тариф. В настоящее время размер тарифа находится на стадии обсуждения с ЦБ, после чего планируется собрать рабочую группу с участием банков, где будет представлена сама модель расчета. Иван Беров особо подчеркнул, что тариф не будет некоей константой. По его словам, к тарификации будет применяться дифференцированный подход, основанный на двух принципах. Первый – количество отделений и объем зарегистрированных граждан. Второй – количество транзакций, которые лежат в основе использования механизма удаленной идентификации. Банки, более активно пользующиеся системой для регистрации граждан, будут платить в разы меньше, чем те кредитные организации, которые пользуются системой разово, не создавая определенный механизм спроса на оказанную услугу.
Фото: Дениса Леонова и Михаила Бабичкова
