Мудрый Юрист

Современные концептуальные подходы к идентификации клиентов на рынке финансовых услуг: мировой опыт и выводы для России

Достов Виктор Леонидович, председатель Совета Ассоциации участников рынка электронных денег и денежных переводов "АЭД", заведующий сектором Межкафедральной лаборатории финансово-экономических исследований Факультета финансов и банковского дела Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации, кандидат физико-математических наук.

Шуст Павел Михайлович, исполнительный директор Ассоциации участников рынка электронных денег и денежных переводов "АЭД", научный сотрудник Межкафедральной лаборатории финансово-экономических исследований Факультета финансов и банковского дела Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации, кандидат политических наук.

В статье представлен сравнительный анализ мировых подходов к проведению надлежащей проверки клиентов в целях оказания финансовых услуг, приведены соображения относительно дальнейшей эволюции механизмов идентификации. Анализ показывает, что в мировой практике исчезает противопоставление между удаленной идентификацией клиента и идентификацией в личном присутствии. На место собственно сбора идентифицирующей информации приходит разработка новых методов аутентификации - подтверждения личности клиента с использованием разнообразных источников данных.

Ключевые слова: надлежащая проверка клиента, биометрия, ФАТФ, ПОД/ФТ, идентификация, банки, риск-ориентированный подход.

Modern conceptual approaches to identification of clients at the financial services market: world experience and conclusions for Russia

V.L. Dostov, P.M. Shust

Dostov Viktor L., Chairman of the Council of the Russian Electronic Money Association (EMA), Head of the Sector of the Interdepartmental Laboratory of Financial and Economic Researches of the Faculty of Finances and Banking of the Russian Presidential Academy of National Economy and Public Administration under the President of the Russian Federation, Candidate of Physical and Mathematical Sciences.

Shust Pavel M., Executive Director of the Russian Electronic Money Association (EMA), Research Scientist of the Interdepartmental Laboratory of Financial Economic Researchesof the Faculty of Finances and Banking of the Russian Presidential Academy of National Economy and Public Administration under the President of the Russian Federation, Candidate of Political Sciences.

In the article the comparative analysis of world approaches to carrying out proper check of clients for the purpose of rendering financial services is provided, reasons of rather further evolution of mechanisms of identification are given. The analysis shows that in world practice opposition between remote identification of the client and identification at personal presence disappears. To the place of actually collection of the identifying information, development of new methods of authentication - confirmation of the identity of the client with use of various data sources comes.

Key words: customer due diligence, biometrics, FATF, AML/CFT, identification, banks, risk-based approach.

Требования к идентификации клиента в целях противодействия легализации преступных доходов и финансированию терроризма (ПОД/ФТ) занимают важное место в регулировании банковской деятельности. Первоначально банковский счет можно было открыть анонимно или почти анонимно. С конца 1980-х годов общепринятым стандартом стало проведение надлежащей проверки клиента в личном присутствии. В 2000-х годах мы наблюдаем попытки отдельных государств модернизировать процедуры идентификации с учетом появления новых технологий. Это позволило не только повысить эффективность этих механизмов, но также сделать более доступными финансовые услуги для населения, снизить издержки участников рынка. В настоящей статье мы приводим анализ наиболее распространенных современных подходов к идентификации клиента на финансовом рынке. По нашему мнению, некоторые из них могут быть внедрены и в Российской Федерации.

Роль ФАТФ в выработке требований к идентификации клиентов

Стандарты процедур идентификации клиентов устанавливаются Группой разработки финансовых мер борьбы с отмыванием денег (ФАТФ). Рекомендация ФАТФ N 10 предписывает, что надлежащая проверка клиента (НПК) должна включать следующие элементы:

Наибольшие издержки финансовые организации и их клиенты несут при проведении первого этапа надлежащей проверки, в то время как последующие в значительной степени автоматизированы. На практике идентификация и подтверждение личности сводятся, по существу, к двум задачам:

  1. проверке того, что клиент представил корректные данные (например, паспорт выдан на указанное имя и действителен);
  2. проверке того, что представленные данные действительно принадлежат клиенту.

ФАТФ не описывает конкретных механизмов изучения клиента. С 2012 года основополагающим принципом Рекомендаций ФАТФ является риск-ориентированный подход: то есть регуляторы и финансовые организации должны самостоятельно выстраивать меры по ПОД/ФТ исходя из характера и уровня рисков. При этом отмечается, что излишне жесткие меры по идентификации ограничивают доступность финансовых услуг, что само по себе повышает риски ОД/ФТ, поскольку растет наличный оборот и спрос на неформальные финансовые сервисы <1>.

<1> FATF Guidance. Anti-Money Laundering and Terrorist Financing Measures and Financial Inclusion // FATF/OECD. 2013. Pp. 15 - 16.

Традиционно ФАТФ оперирует понятием "надлежащая проверка клиента", этот же термин наиболее распространен в мировой практике. В России вместо него используется "идентификация". В настоящей статье мы используем оба этих понятия как взаимозаменяемые, если не указано иное.

Терминология, принятая в сфере ПОД/ФТ, также несколько отличается от той, что распространена в иных профессиональных областях. В приведенном анализе мы понимаем под верификацией данных проверку их достоверности (то есть данные не были изменены третьими лицами), под установлением личности - проверку принадлежности данных конкретному лицу (то есть то, что сведения описывают именно конкретное лицо), под аутентификацией - проверку полномочий лица на совершение определенных действий (например, путем проверки логина и пароля при доступе к интернет-банку).

Верификация сведений о клиенте с использованием баз данных третьих сторон

С развитием цифровых технологий, во многих странах государственные и частные организации начали накапливать массивы информации о гражданах. Со временем они начали использоваться в том числе и для целей надлежащей проверки клиентов.

Как правило, базы данных третьей стороны задействуются по следующей схеме:

<2> Guidance Note 11/02. Verification of identity: The use and disclosure of personal information by reporting entities and credit reporting agencies for the purposes of verifying an individual's identity - natural persons (e-verification) // Australian Transaction Reports and Analysis Centre. July 2011. P. 6.

Как можно заметить, сама по себе верификация данных не говорит о том, что сведения действительно принадлежат клиенту. Поэтому на практике проверяется сразу несколько типов данных, одновременная компрометация которых маловероятна.

В разных странах приняты различные подходы к тому, чьи базы данных и для каких целей считать надежными.

Например, в Великобритании банки открывают счета в удаленном режиме, после проверки имени и адреса или имени и даты рождения клиента через бюро кредитных историй и список избирателей (или иным двум независимым источникам данных) <3>. Схожий принцип реализован в Нигерии, где нормативно предписаны три уровня идентификации клиента: уровень 1 (счета с балансом не более 1000 долларов США), уровень 2 (счета с балансом не более 2000 долларов США), уровень 3 (счета без лимитов на оборот или баланс). Для удаленного открытия счетов второго уровня информация о клиенте (имя, место и дата рождения, пол, адрес) проверяются через базы данных Национальной комиссии по выдаче удостоверений личности, Регистра избирателей, Федеральной комиссии по безопасности дорожного движения и тому подобным источникам <4>.

<3> Is Customer Verification the Achilles Heel in Online Account Opening? A Retail Banker Industry Report // Retail Banker International. 11.06.2015.
<4> Circular to all banks and other financial institutions. Introduction of Three-Tiered Know Your Customer (KYC) Requirements // Central Bank of Nigeria. FPR/DIR/ClR/GEN/02/001. 18.01.2013.

Россию в этом отношении можно отнести к странам с низким уровнем доверия. Согласно Федеральному закону N 115-ФЗ <5> (подпункт 2 пункта 1.12 статьи 7), верификация данных о клиенте как отдельная процедура используется при проведении упрощенной, но не полной идентификации физического лица. На практике через государственные базы данных проверяются данные документа, удостоверяющего личность, индивидуальный номер налогоплательщика (либо СНИЛС, либо номер полиса обязательного медицинского страхования).

<5> Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" // СЗ РФ. 2001. N 33 (ч. I). Ст. 3418.

В странах с развитой банковской системой большие массивы данных накоплены самими финансовыми учреждениями. Но из конкурентных соображений они не склонны делиться информацией друг с другом. Известны случаи, когда регулятор принуждает их к этому путем создания единого независимого хранилища информации.

Такая модель реализуется с 1 октября 2016 года в Беларуси. В соответствии с Указом Президента Республики Беларусь от 01.12.2015 N 478 "О развитии цифровых банковских технологий" <6> в стране создается межбанковская система идентификации (МСИ). Согласно Указу Национальный банк и банки обязываются направлять в МСИ информацию о своих клиентах и их представителях. При наличии соответствующих сведений в МСИ Национальный банк и банки могут проводить идентификацию клиентов и их представителей без личного присутствия.

<6> Указ Президента Республики Беларусь от 01.12.2015 N 478 "О развитии цифровых банковских технологий" // Национальный правовой интернет-портал Республики Беларусь. 03.12.2015. 1/16129.

Создание государственных идентификационных сервисов на основе биометрии

В мире делаются попытки использовать для установления личности и биометрическую информацию. Наиболее выдающийся пример такого - индийская система Aadhaar <7>. До недавнего времени в Индии вовсе отсутствовала система учета граждан, что создавало проблемы при распределении социальных выплат и субсидий, в борьбе с коррупцией и ограничивало доступ к финансовым услугам.

<7> В переводе с хинди - "основание", "идентичность".

В 2009 году в стране создано Управление по выдаче уникальных удостоверений (Unique ID Authority of India, UDAI), главной задачей которого стала разработка новой системы идентификации граждан и выдача удостоверений личности Aadhaar <8>. К марту 2016 года было сгенерировано более 993 миллионов номеров Aadhaar (охвачено около 82% населения), ежемесячный прирост регистраций составляет в среднем 14 миллионов человек <9>.

<8> Srinivasan J., Johri A., Creating Machine Readable Men: Legitimizing the "Aadhaar" Mega E-Infrastructure Project in India // Conference: Proceedings of the Sixth International Conference on Information and Communication Technologies and Development: Full Papers - Volume 1. 2013. Pp. 101 - 112.
<9> Aadhaar - Unique Identification // Unique Identification Authority of India. URL: https://portal.uidai.gov.in/uidwebportal/dashboard.do# (application date: 05.04.2016).

Для регистрации в системе Aadhaar гражданин лично представляет свои персональные данные: имя, дату рождения, пол, имена родителей, адрес проживания. Дополнительно фиксируются биометрические данные: цветная фотография, отпечатки всех десяти пальцев, а также радужная оболочка глаз <10>. Дополнительно гражданин может указать номер своего мобильного телефона и адрес электронной почты. Все полученные данные стекаются в единое хранилище информации и впоследствии используются для целей верификации.

<10> Sharma V. AADHAAR - A Unique Identification Number: Opportunities and Challenges Ahead // Research Cell: International Journal of Engineering Sciences. Vol. 4. Sept. 2011. P. 171.

Aadhaar позволяет не только проверить подлинность идентификационных данных клиента, но и установить его личность с использованием нескольких аутентификационных факторов. Чем их больше - тем выше достоверность проверки. Технически Aadhaar поддерживает пять типов проверки: в первом дополнительные аутентификационные факторы не используются, в пятом - их три (см. табл. 1). Каждая организация может выбрать, какая степень достоверности нужна именно ей.

Таблица 1 <11>

<11> Aadhaar Authentication Framework. Version 1.0 // Unique Identification Authority of India. 2011 - 2012. P. 2.

Тип проверки

Метод проверки

Тип 1

Идентификационные данные верифицируются без использования аутентификационных факторов

Тип 2

Верифицируются идентификационные данные.

Личность клиента подтверждается с использованием одного аутентификационного фактора: одноразового пароля, направляемого на мобильный телефон или адрес электронной почты

Тип 3

Верифицируются идентификационные данные.

Личность клиента подтверждается с использованием одного биометрического фактора: отпечатка пальца или радужной оболочки глаза

Тип 4

Верифицируются идентификационные данные.

Личность клиента подтверждается с использованием двух факторов: одноразового пароля и одного биометрического фактора (отпечатка пальца или радужной оболочки глаза)

Тип 5

Верифицируются идентификационные данные.

Личность клиента подтверждается с использованием трех факторов: одноразового пароля и двух биометрических факторов (отпечаток пальца и радужная оболочка глаза)

Верификация данных через систему Aadhaar позволила банкам перейти на "безбумажную" проверку клиента - так, при открытии банковского счета достаточно устно передать свои данные сотруднику банка и предоставить отпечатки пальцев.

Банковский аутентификационный сервис

В некоторых юрисдикциях функцию хранилищ данных о гражданах взяли на себя банки. Преимущество такого решения в том, что финансовые учреждения выдают своим клиентам дополнительные аутентификационные факторы: как правило, логины и пароли к интернет-банку. С их помощью можно достоверно подтвердить, что человек является тем, за кого себя выдает.

Подобная модель получила название "скандинавской", поскольку широко распространена в Швеции, Финляндии и Дании. Показателен пример финской Tupas, созданной группой местных банков, работающих по следующему сценарию <12>:

<12> Tupas Identification Service for Service Providers. Service Description and Service Provider's Guidelines. Version 2.3c // Federation of Finnish Financial Services. 20.01.2011.

Аналогичные системы работают в Швеции (BankID) и Дании (Ne mID). Число клиентов, использующих данные механизмы, достигло более половины населения скандинавских стран <13>.

<13> Haug A.V. Experiences with National eID in the Bank and Finance Sector // European Payments Forum. 20.03.2013. P. 7.

Использование видеосвязи

Особняком в ряду новых способов идентификации клиента стоит использование видеосвязи.

Так, в 2014 году Министерство финансов Германии обозначило свою позицию относительно понятия личного присутствия. Согласно позиции Министерства при проведении идентификации клиента посредством видеосвязи клиент может считаться присутствующим лично <14>. В ходе видеоидентификации сотрудник финучреждения должен проверить, сфотографировать документ клиента и направить ему одноразовый пароль.

<14> П. III, Rundschreiben 1/2014 (GW) - Verdachtsmeldung nach §§ 11, 14 GwG // Bundesanstalt fur Finanzdienstleistungsaufsicht. GW 1-GW 2001-2008/0003. Bonn/Frankfurt a. M. 5 March 2014 (zuletzt geandert am 10. November 2014).

В силу близости правовых систем в целом аналогичные требования предъявляются к видеоидентификации в Швейцарии <15>. В марте 2016 года схожее решение реализовано в Испании <16>.

<15> Перевод Циркуляра FINMA 2016/7. Видео- и онлайн-идентификация. Требования к надлежащей проверке клиента при вступлении в деловые отношения с использованием цифровых каналов // Ассоциация "АЭД". 13.05.2016. URL: http://npaed.ru/RU/emoney/documents/press-releases/300-2016-7.
<16> Autorizacion de procedimientos de identificacion no presencial mediante videoconferencia // SEPBLAC. 12.02.2016.

Отметим, что во всех перечисленных случаях видеоидентификация приравнивается к "полной" идентификации в личном присутствии.

Полагание на идентификацию, ранее проведенную третьей стороной

Когда риски совершения клиентом незаконных операций невелики, финансовой организации может быть достаточно убедиться, что он уже находится на обслуживании у другого субъекта финансового мониторинга.

Сделать это можно разными способами. Например, в Великобритании первый платеж со счета, открытого на имя клиента, считается фактором снижения риска <17>. Другой распространенный механизм состоит в проверке банковской карты: банк блокирует на карте небольшую сумму, а клиент должен обратиться к эмитенту, чтобы узнать точный размер этой суммы.

<17> Money Laundering Regulations: your Responsibilities // HM Revenue & Customs. URL: https://www.gov.uk/guidance/money-laundering-regulations-your-responsibilities (application date: 05.04.2015).

В результате идентифицирующая организация не только убеждается, что клиент имеет карту на руках, но имеет право ею распоряжаться. Например, в Европе привязка банковской карты к системе PayPal снимает ограничения на совершение клиентом платежных операций.

Обратим внимание, что описанные механизмы не подразумевают наличия договорных отношений между организацией, которая провела первичную идентификацию (выдала клиенту карту, открыла счет), и организацией, которая полагается на проведенную ранее идентификацию. Следовательно, обмена данными о клиенте не происходит. Поэтому дополнительный акцент делается на мониторинге операций для превентивного выявления подозрительной деятельности.

Заключение

В мире наблюдается большое разнообразие подходов к идентификации клиентов на финансовом рынке. При этом они не исключают друг друга - в одной и той же юрисдикции может быть реализовано несколько разных механизмов. По результатам обзора концептуальных подходов к идентификации можно сделать несколько выводов.

  1. В большинстве развитых экономик идентификация в личном присутствии более не противопоставляется удаленной идентификации клиента. Нормативные акты в той или иной степени допускают полную идентификацию без личного присутствия клиента (в том числе в целях открытия банковского счета). Согласно позиции ФАТФ отсутствие личного присутствия следует рассматривать только как один из факторов оценки риска <18>.
<18> International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation. The FATF Recommendations (updated October 2015) // FATF. Paris. 2012.
  1. Мировая тенденция состоит в расширении источников данных: на практике используются как государственные, так и негосударственные базы данных (банков, бюро кредитных историй, телекоммуникационных компаний и т.д.).
  2. Ограничения, установленные Рекомендациями ФАТФ, по факту не оказывают существенного драматического, негативного влияния на разработку современных методов идентификации клиентов и предоставляют достаточное пространство для маневра как регуляторам, так и участникам рынка. Консервативные подходы к идентификации, как правило, связаны с локальными нормативными ограничениями, что подтверждается аналогичными выводами ФАТФ <19>.
<19> FATF Guidance. Anti-Money Laundering and Terrorist Financing Measures and Financial Inclusion. Op. cit. P. 17.
  1. С ростом числа организаций, которые хранят данные о клиентах, центральное место в механизмах установления личности начинает играть не идентификация - то есть собственно установление данных о клиенте, а их проверка.

В России эволюция современных методов идентификации клиентов находится на начальной стадии. Лишь в 2015 - 2016 годах начал функционировать механизм верификации данных о клиентах через государственные базы данных, но только в целях упрощенной идентификации. Поскольку отечественные нормативные акты устанавливают жесткие рамки и в части градации уровней идентификации (упрощенная и стандартная), и в части конкретных ее процедур, у участников рынка ограничено пространство для снижения издержек и повышения эффективности.

По нашему мнению, в России основными направлениями оптимизации нормативной базы могут быть следующие:

Литература

  1. Aadhaar - Unique Identification // Unique Identification Authority of India. URL: https://portal.uidai.gov.in/uidwebportal/dashboard.do# (application date: 05.04.2016).
  2. Aadhaar Authentication Framework. Version 1.0 // Unique Identification Authority of India. 2011 - 2012.
  3. Autorizacion de procedimientos de identificacion no presencial mediante videoconferencia // SEPBLAC. 12.02.2016.
  4. Circular to all banks and other financial institutions. Introduction of Three-Tiered Know Your Customer (KYC) Requirements // Central Bank of Nigeria. FPR/DIR/CIR/GEN/02/001.18.01.2013.
  5. FATF Guidance. Anti-Money Laundering and Terrorist Financing Measures and Financial Inclusion // FATF/OECD. 2013.
  6. Guidance Note 11/02. Verification of identity: The use and disclosure of personal information by reporting entities and credit reporting agencies for the purposes of verifying an individual's identity - natural persons (e-verification) // Australian Transaction Reports and Analysis Centre. July 2011.
  7. Haug A.V. Experiences with National eID in the Bank and Finance Sector // European Payments Forum. 20.03.2013.
  8. International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation. The FATF Recommendations (updated October 2015) // FATF. Paris. 2012.
  9. Is Customer Verification the Achilles Heel in Online Account Opening? A Retail Banker Industry Report // Retail Banker International. 11.06.2015.
  10. Money Laundering Regulations: your Responsibilities // HM Revenue & Customs. URL: https://www.gov.uk/guidance/money-laundering-regulations-your-responsibilities. 05.04.2015.
  11. Rundschreiben 1/2014 (GW) - Verdachtsmeldung nach §§ 11, 14 GwG // Bundesanstalt fur Finanzdienstleistungsaufsicht. GW 1-GW 2001-2008/0003. Bonn/Frankfurt a. M. 5 March 2014 (zuletzt geandert am 10. November 2014).
  12. Sharma V. AADHAAR - A Unique Identification Number: Opportunities and Challenges Ahead // Research Cell: International Journal of Engineering Sciences. Vol. 4. Sept. 2011. Pp. 169 - 176.
  13. Srinivasan J., Johri A. Creating Machine Readable Men: Legitimizing the "Aadhaar" Mega E-Infrastructure Project in India // Conference: Proceedings of the Sixth International Conference on Information and Communication Technologies and Development: Full Papers - Volume 1. 2013. Pp. 101 - 112.
  14. Tupas Identification Service for Service Providers. Service Description and Service Provider's Guidelines. Version 2.3c // Federation of Finnish Financial Services. 20.01.2011.
  15. Перевод Циркуляра FINMA 2016/7. Видео- и онлайн-идентификация. Требования к надлежащей проверке клиента при вступлении в деловые отношения с использованием цифровых каналов // Ассоциация "АЭД". 13.05.2016. URL: http://npaed.ru/RU/emoney/documents/press-releases/300-2016-7.