Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вопросы идентификации в e-commerce: российские реалии и международный опыт

Вопросы идентификации в e-commerce: российские реалии и международный опыт

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Вопросы идентификации в e-commerce: российские реалии и международный опыт

С начала 2014 г. регуляторы предпринимают последовательные шаги по ограничению любых экономических взаимоотношений, в которых хотя бы одна сторона не прошла формальную идентификацию. 15 января депутатами Государственной думы был внесен на рассмотрение законопроект № 428896-6, вводящий суточный лимит на операции с использованием неперсонифицированного электронного средства платежа (в размере 1 тыс. руб.) и снижающий ежемесячный лимит на такие платежи с 40 тыс. до 15 тыс. руб. Дополнительно предложено запретить любые банковские платежи без идентификации, превышающие 5 тыс. руб., а также неперсонифицированные переводы за рубеж.
Виктор
Достов
Председатель совета ассоциации “Электронные деньги"
Павел
Шуст
Аналитик ассоциации “Электронные деньги"

В конце января Банк России заявил о потенциальной незаконности сделок с криптовалютами, имеющими некоторые элементы анонимности. В феврале Министерство финансов опубликовало предложения по запрету сберегательных сертификатов, аргументируя свою позицию невозможностью отследить всех их возможных держателей.

В 2010 г. создана и развивается Единая система идентификации и аутентификации (ЕСИА). Однако за пределы портала госуслуг она так и не вышла. Согласно российскому законодательству, удостоверенный для взаимодействия с государством гражданин в глазах частной компании остается полностью анонимным. Регуляторы, к сожалению, пока не делают никаких шагов для логичного расширения функциональности ЕСИА.

Подобные законодательные инициативы заставляют нас задуматься над тем, чем предлагается заменить предполагаемую анонимность сберегательных сертификатов или электронных средств платежа. Клиенты банков знают, что процедура идентификации в России остается фактически неизменной с советских времен и требует предъявления документа, удостоверяющего личность. Однако сегодня удобство паспорта стремительно падает – его слишком трудно восстанавливать при утере, и он совершенно не приспособлен к удаленному взаимодействию. Снижается и ценность паспортных данных: фиксация требует много времени, а как использовать их на практике (например, место регистрации, зачастую не совпадающее с местом жительства) – не совсем ясно. Примечательно, что, хотя форма документов, удостоверяющих личность, постепенно будет эволюционировать (с 2015 г. планируется начать их выпуск в форме пластиковых карт), модернизировать процедуры идентификации пока не спешат. Такая разбалансировка может привести к неожиданным последствиям. Так как на карточке уместить адрес регистрации невозможно, не исключено, что со следующего года клиенты будут вынуждены приходить в банковские офисы с выпиской из домовой книги. В результате в России зачастую смешиваются два разных понятия анонимности: фактическая (когда мы действительно ничего не знаем о том или ином человеке) и юридическая (когда достоверная информация о лице присутствует, но закон ее не признает в силу очень ограниченного круга процедур идентификации). В зарубежной практике такой жесткой градации нет – в основе там лежит рискориентированный подход, рекомендованный ФАТФ, в рамках которого могут быть использованы самые разнообразные подходы к идентификации. Их можно разделить на три основные группы: новые способы установления личности, расширение перечня допустимых документов и исследование псевдонимности.

Мировой опыт идентификации

Наибольшее распространение в мире получили новые методы проверки личности клиентов. Например, в Европе, чтобы снять лимиты на удаленные платежи с аккаунта в системе PayPal, достаточно привязать к электронному кошельку свою банковскую карту. Клиент вводит на сайте реквизиты карты, а PayPal снимает с нее случайную сумму. Большинство покупок в Интернете на этом и заканчивается, но в данном случае осуществляется дополнительная проверка. Клиент обращается в свой банк за выпиской и через интерфейс электронного кошелька указывает уникальный код операции, известный только платежной системе. Таким образом, компания убеждается не только в том, что клиент имеет карту на руках, но и в том, что он ее владелец. Законодательно в Европе эта процедура приравнивается к идентификации. Она используется и в России, но у нас закон продолжает безосновательно считать таких клиентов анонимными.

Работавшая много лет процедура идентификации с предъявлением паспорта сегодня кажется архаичной и становится существенным препятствием для разработки новых удаленных финансовых и нефинансовых сервисов.

В Новой Зеландии было создано специальное агентство, обеспечивающее хранение данных о гражданах в электронном виде. Компаниям предоставлена возможность подключиться к порталу realme.govt.nz и проводить верификацию личности клиентов полностью удаленно. В Австралии решили использовать для тех же целей уже существующие бюро кредитных историй. Банки отправляют туда анкетные сведения и получают ответ об их соответствии уже имеющимся в базе. В России есть потенциал для реализации и того, и другого подхода. В стране действует несколько крупных кредитных бюро, которые технически готовы проводить верификацию информации.

За рубежом большое внимание уделяется и использованию дополнительных документов. Исторически это связано с тем, что не во всех странах существует единый документ, удостоверяющий личность. В отсутствие "внутренних" паспортов, банкам и другим организациям было разрешено использовать водительские удостоверения, выписки с банковских счетов и документы, выданные государственными учреждениями. Например, в Великобритании организации сами принимают решение о том, какие документы они будут принимать, а какие – нет.


В России такая возможность фактически не предусмотрена, и причина тому кроется в иной парадигме идентификации. Если за рубежом ее цель состоит в понимании того, кем является клиент, то в нашей стране акцент перенесен на сбор информации для последующего расследования. Нормативные акты Банка России предписывают собирать очень большой объем данных – от полных реквизитов документа, удостоверяющего личность, до места регистрации. В результате идентифицируется скорее не сам человек, а бумаги, которые он принес с собой. В то же время идея о том, что расследовать преступление без заранее полученных паспортных данных невозможно, представляется сомнительной. Правонарушители никогда не оставляют свои паспорта на месте преступления, и все же правоохранительным органам удается их идентифицировать и поймать. Это актуализирует вопрос о том, какая информация в принципе более полезна – записанная в паспорте или относящаяся непосредственно к активности гражданина?

Трансформация онлайн-анонимности

Уже несколько лет эксперты говорят о стремительной трансформации онлайн-анонимности в псевдонимность. Если до 2000-х гг. Интернет преимущественно ассоциировался с полностью анонимными чатами и электронными письмами, то сегодня неперсонифицированность сжимается под давлением двух факторов.

Во-первых, интернет-сервисы стараются бороться с феноменом серийной анонимности (когда лицо постоянно регистрирует на себя новые почтовые ящики или электронные кошельки). Некоторые площадки внедряют для клиентов системы рейтингов или репутации, что демотивирует менять аккаунты. В большинстве систем электронных денег используется привязка к номерам мобильных телефонов. Так как SIM-карты продаются только по паспорту, это эффективно ограничивает возможности множественной регистрации.

Наибольшее распространение в мире получили новые методы проверки личности клиентов. Например, в Европе, чтобы снять лимиты на удаленные платежи с аккаунта в системе PayPal, достаточно привязать к электронному кошельку свою банковскую карту. Клиент вводит на сайте реквизиты карты, а PayPal снимает с нее случайную сумму. Большинство покупок в Интернете на этом и заканчивается, но в данном случае осуществляется дополнительная проверка. Клиент обращается в свой банк за выпиской и через интерфейс электронного кошелька указывает уникальный код операции, известный только платежной системе. Таким образом, компания убеждается не только в том, что клиент имеет карту на руках, но и в том, что он ее владелец. Законодательно в Европе эта процедура приравнивается к идентификации. Она используется и в России, но у нас закон продолжает безосновательно считать таких клиентов анонимными.

Во-вторых, по всему миру правоохранительные органы активно стараются адаптироваться к новой реальности. В ходе расследования чаще агрегируется информация из разных источников (систем платежей, социальных сетей, мобильных операторов). Последние два года стали в этом отношении особенно показательными: администратора Silk Road, руководителя обменника BitInstant и многочисленных "анонимных" продавцов наркотиков, оружия и поддельных документов задержали благодаря эффективному анализу их "электронного следа", не запрашивая документы из банков. Задействовать эти новые техники рано или поздно придется вне зависимости от того, насколько негибким и консервативным будет оставаться наше национальное законодательство, так как преступники всегда более изобретательны, чем добропорядочные граждане.

По всей видимости, естественный уход от анонимности является универсальным явлением. Этот путь прошли банки – от неконтролируемой анонимности к номерным счетам, то же постепенно происходит с интернет-сервисами. Данная тенденция уже сейчас затрагивает экосистему криптовалют. Неперсонифицированность неудобна для самих клиентов. Законодательство в таких случаях ограничивает возможности по оспариванию совершенных операций, неидентифицированному потребителю очень сложно восстановить доступ к утерянному или скомпрометированному средству платежа. Персонификация привлекает, а не отталкивает, но только тогда, когда она не сопряжена со сложными и затратными процедурами.

Признавая важность борьбы с преступностью – будь то в реальном мире или виртуальном, – при разработке конкретных мер мы должны ориентироваться в первую очередь на их эффективность. Некоторые из описанных выше методов установления личности могут быть действенными инструментами борьбы с мошенничеством и использоваться компаниями уже сейчас.

Однако отсутствие их законодательного признания заставляет организации для выполнения регулятивных норм вновь и вновь требовать от клиентов личного присутствия с паспортом – точно так же, как подписанные ЭЦП документы должны дублироваться в распечатанном виде. Мы надеемся, что в ходе активной законотворческой работы модернизация идентификации наконец получит необходимое внимание и окончательные решения будут направлены на повышение реальной, а не формальной эффективности правоохранительной работы.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014
Посещений: 6510

Приобрести этот номер или подписаться
  Автор

Виктор Достов

Виктор Достов

Председатель совета ассоциации "Электронные деньги"

Всего статей:  3

  Автор

Павел Шуст

Павел Шуст

Аналитик ассоциации "Электронные деньги"

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций