Как 15 апреля показало, что комплаенс — это продуктовая проблема

Как 15 апреля показало, что комплаенс — это продуктовая проблема

Обычно когда говорят «нам нужно соответствовать требованиям регулятора», это звучит как задача для юридического отдела или службы безопасности.

Технари кивают, юристы пишут документы, все расходятся.

15 апреля показало, что это не так.

Я занимаюсь регуляторными инструментами для финтеха на Rust и в тот день разговаривал с несколькими командами. Картина была одинаковая: онлайн стал, причина непонятна, что делать непонятно, юридический отдел тут ни при чём.

Что произошло и почему это важно

МВД закрыло доступ к паспортным данным через СМЭВ для всех банков одновременно. Транспортная шина работала. Данные были закрыты административным решением одного ведомства.

Положение ЦБ 444-П говорит прямо: для проверки паспорта при дистанционном обслуживании есть ровно один законный способ — СМЭВ, часть сведений МВД.

Других законных вариантов нет.

Ни ЕСИА, ни коммерческие агрегаторы, ни сайт МВД не соответствуют требованию регулятора.

Значит при недоступности СМЭВ онлайн-выдача кредитов физически не может соответствовать требованиям закона.

Не «это неудобно» и не «нам выпишут штраф». Буквально невозможно выполнить требование.

Три слоя проблемы

Первый слой: архитектурный

Большинство интеграций со СМЭВ написаны так, что любая ошибка сервиса схлопывается в один статус. «Что-то пошло не так» — и дальше либо ручная обработка, либо молчание.

Для аудита это катастрофа, потому что регулятора интересует не «сервис упал», а конкретная запись о том, что организация пыталась выполнить требование и получила конкретный отказ с конкретной причиной.

Второй слой: правовой

С марта 2026 года действует Приказ ФСТЭК №117, который обязывает любую систему, получающую данные из государственных ИС, соответствовать требованиям защиты.

МВД воспользовалось этим как основанием для отключения. Банки с актуальным аттестатом ФСТЭК получили доступ обратно 20 апреля.

Остальные ждут.

Третий слой: конкурентный

Пока одни банки восстановили онлайн-выдачу 20 апреля, другие отправляли клиентов в офис ещё несколько дней.

Клиент, которому нужен кредит прямо сейчас, не ждёт.

Что это значит для продукта

Комплаенс-инфраструктура перестала быть задачей службы безопасности. Это продуктовая задача с прямым влиянием на доступность онлайн-канала.

Практически это означает три вещи.

Разграничение типов ошибок

«Сервис недоступен» и «МВД административно закрыло доступ» — это разные события с разным регуляторным смыслом. Система должна их различать и записывать по-разному.

Аудиторский след каждой попытки

Не только успешных верификаций, но и неудачных. Особенно неудачных — потому что это доказательство добросовестного исполнения требования в условиях внешней недоступности.

Непрерывная аттестация, а не разовая

Приказ №117 изменил модель: теперь это операционный процесс с пересчётом показателей и жёсткими сроками устранения уязвимостей.

Организации, которые воспринимали аттестацию как «раз в несколько лет», получили наглядный ответ на вопрос о последствиях.

Что я делаю с этим в своей работе

Я строю открытый стек регуляторных алгоритмов на Rust для российского финтеха. После апреля стало ещё очевиднее, что нужно не просто реализовывать регуляторные требования в коде, но и обеспечивать аудиторский след каждого решения — особенно при внешней недоступности.

В smev4-rs, который я опубликовал на crates.io, есть конкретный инструмент для этого: при любом исходе запроса — успешном, с ошибкой доступа или с таймаутом — создаётся аудиторская запись с хешем запроса и классом исхода.

Записи выстраиваются в цепочку: каждая ссылается на предыдущую, вставить или удалить запись без нарушения цепи невозможно.

Это не просто красивая архитектурная абстракция.

Это ответ на конкретный вопрос: «как вы можете доказать, что пытались выполнить требование идентификации в период с 2:00 до 20:00 15 апреля?»

Что делать прямо сейчас

Если вы работаете в финтехе и у вас есть интеграция с СМЭВ или другими государственными источниками данных, стоит ответить на три вопроса:

Что ваша система записала 15 апреля между 2:00 и 20:00?

Если ответ «нечитаемую строчку с ошибкой» или «ничего» — это пробел.

Различает ли ваша система между «сервис технически недоступен» и «владелец данных закрыл доступ»?

Если нет — при следующем инциденте у вас снова будет белое пятно в доказательной базе.

Когда последний раз обновлялся аттестат ФСТЭК для систем, работающих с государственными ИС?

Если ответ «несколько лет назад» — по Приказу №117 это уже проблема.

Апрель 2026 года не является уникальным событием. В 2021 году МВД объявило о закрытии офлайн-файла паспортов. В 2023 году закрыло. Паттерн известен.

Следующий раз будет, вопрос только когда.

1