Вопросы идентификации в e-commerce: российские реалии и международный опыт

Виктор
Достов

Председатель совета ассоциации “Электронные деньги"

Павел
Шуст

Аналитик ассоциации “Электронные деньги"

В конце января Банк России заявил о потенциальной незаконности сделок с криптовалютами, имеющими некоторые элементы анонимности. В феврале Министерство финансов опубликовало предложения по запрету сберегательных сертификатов, аргументируя свою позицию невозможностью отследить всех их возможных держателей.

Подобные законодательные инициативы заставляют нас задуматься над тем, чем предлагается заменить предполагаемую анонимность сберегательных сертификатов или электронных средств платежа. Клиенты банков знают, что процедура идентификации в России остается фактически неизменной с советских времен и требует предъявления документа, удостоверяющего личность. Однако сегодня удобство паспорта стремительно падает – его слишком трудно восстанавливать при утере, и он совершенно не приспособлен к удаленному взаимодействию. Снижается и ценность паспортных данных: фиксация требует много времени, а как использовать их на практике (например, место регистрации, зачастую не совпадающее с местом жительства) – не совсем ясно. Примечательно, что, хотя форма документов, удостоверяющих личность, постепенно будет эволюционировать (с 2015 г. планируется начать их выпуск в форме пластиковых карт), модернизировать процедуры идентификации пока не спешат. Такая разбалансировка может привести к неожиданным последствиям. Так как на карточке уместить адрес регистрации невозможно, не исключено, что со следующего года клиенты будут вынуждены приходить в банковские офисы с выпиской из домовой книги. В результате в России зачастую смешиваются два разных понятия анонимности: фактическая (когда мы действительно ничего не знаем о том или ином человеке) и юридическая (когда достоверная информация о лице присутствует, но закон ее не признает в силу очень ограниченного круга процедур идентификации). В зарубежной практике такой жесткой градации нет – в основе там лежит рискориентированный подход, рекомендованный ФАТФ, в рамках которого могут быть использованы самые разнообразные подходы к идентификации. Их можно разделить на три основные группы: новые способы установления личности, расширение перечня допустимых документов и исследование псевдонимности.

Мировой опыт идентификации

Наибольшее распространение в мире получили новые методы проверки личности клиентов. Например, в Европе, чтобы снять лимиты на удаленные платежи с аккаунта в системе PayPal, достаточно привязать к электронному кошельку свою банковскую карту. Клиент вводит на сайте реквизиты карты, а PayPal снимает с нее случайную сумму. Большинство покупок в Интернете на этом и заканчивается, но в данном случае осуществляется дополнительная проверка. Клиент обращается в свой банк за выпиской и через интерфейс электронного кошелька указывает уникальный код операции, известный только платежной системе. Таким образом, компания убеждается не только в том, что клиент имеет карту на руках, но и в том, что он ее владелец. Законодательно в Европе эта процедура приравнивается к идентификации. Она используется и в России, но у нас закон продолжает безосновательно считать таких клиентов анонимными.

В Новой Зеландии было создано специальное агентство, обеспечивающее хранение данных о гражданах в электронном виде. Компаниям предоставлена возможность подключиться к порталу realme.govt.nz и проводить верификацию личности клиентов полностью удаленно. В Австралии решили использовать для тех же целей уже существующие бюро кредитных историй. Банки отправляют туда анкетные сведения и получают ответ об их соответствии уже имеющимся в базе. В России есть потенциал для реализации и того, и другого подхода. В стране действует несколько крупных кредитных бюро, которые технически готовы проводить верификацию информации.

За рубежом большое внимание уделяется и использованию дополнительных документов. Исторически это связано с тем, что не во всех странах существует единый документ, удостоверяющий личность. В отсутствие "внутренних" паспортов, банкам и другим организациям было разрешено использовать водительские удостоверения, выписки с банковских счетов и документы, выданные государственными учреждениями. Например, в Великобритании организации сами принимают решение о том, какие документы они будут принимать, а какие – нет.

В России такая возможность фактически не предусмотрена, и причина тому кроется в иной парадигме идентификации. Если за рубежом ее цель состоит в понимании того, кем является клиент, то в нашей стране акцент перенесен на сбор информации для последующего расследования. Нормативные акты Банка России предписывают собирать очень большой объем данных – от полных реквизитов документа, удостоверяющего личность, до места регистрации. В результате идентифицируется скорее не сам человек, а бумаги, которые он принес с собой. В то же время идея о том, что расследовать преступление без заранее полученных паспортных данных невозможно, представляется сомнительной. Правонарушители никогда не оставляют свои паспорта на месте преступления, и все же правоохранительным органам удается их идентифицировать и поймать. Это актуализирует вопрос о том, какая информация в принципе более полезна – записанная в паспорте или относящаяся непосредственно к активности гражданина?

Трансформация онлайн-анонимности

Уже несколько лет эксперты говорят о стремительной трансформации онлайн-анонимности в псевдонимность. Если до 2000-х гг. Интернет преимущественно ассоциировался с полностью анонимными чатами и электронными письмами, то сегодня неперсонифицированность сжимается под давлением двух факторов.

Во-первых, интернет-сервисы стараются бороться с феноменом серийной анонимности (когда лицо постоянно регистрирует на себя новые почтовые ящики или электронные кошельки). Некоторые площадки внедряют для клиентов системы рейтингов или репутации, что демотивирует менять аккаунты. В большинстве систем электронных денег используется привязка к номерам мобильных телефонов. Так как SIM-карты продаются только по паспорту, это эффективно ограничивает возможности множественной регистрации.

Во-вторых, по всему миру правоохранительные органы активно стараются адаптироваться к новой реальности. В ходе расследования чаще агрегируется информация из разных источников (систем платежей, социальных сетей, мобильных операторов). Последние два года стали в этом отношении особенно показательными: администратора Silk Road, руководителя обменника BitInstant и многочисленных "анонимных" продавцов наркотиков, оружия и поддельных документов задержали благодаря эффективному анализу их "электронного следа", не запрашивая документы из банков. Задействовать эти новые техники рано или поздно придется вне зависимости от того, насколько негибким и консервативным будет оставаться наше национальное законодательство, так как преступники всегда более изобретательны, чем добропорядочные граждане.

По всей видимости, естественный уход от анонимности является универсальным явлением. Этот путь прошли банки – от неконтролируемой анонимности к номерным счетам, то же постепенно происходит с интернет-сервисами. Данная тенденция уже сейчас затрагивает экосистему криптовалют. Неперсонифицированность неудобна для самих клиентов. Законодательство в таких случаях ограничивает возможности по оспариванию совершенных операций, неидентифицированному потребителю очень сложно восстановить доступ к утерянному или скомпрометированному средству платежа. Персонификация привлекает, а не отталкивает, но только тогда, когда она не сопряжена со сложными и затратными процедурами.

Признавая важность борьбы с преступностью – будь то в реальном мире или виртуальном, – при разработке конкретных мер мы должны ориентироваться в первую очередь на их эффективность. Некоторые из описанных выше методов установления личности могут быть действенными инструментами борьбы с мошенничеством и использоваться компаниями уже сейчас.

Однако отсутствие их законодательного признания заставляет организации для выполнения регулятивных норм вновь и вновь требовать от клиентов личного присутствия с паспортом – точно так же, как подписанные ЭЦП документы должны дублироваться в распечатанном виде. Мы надеемся, что в ходе активной законотворческой работы модернизация идентификации наконец получит необходимое внимание и окончательные решения будут направлены на повышение реальной, а не формальной эффективности правоохранительной работы.