8 советов по онлайн-верификации клиентов: как сделать бизнес безопасным и не получить штраф. Проверено на практике

Недавно к нам с запросом пришла зарубежная финтех-компания: нужна интеграция KYC-систем для банковского приложения. Встали вопросы: что именно внедряем? Кого распознаём? А ещё нужно знать регионы деятельности банка, функции решения, специфику компании — массу тонкостей, без которых не понять, какие системы и как должны внедряться.

В процессе обсуждений родилась идея составить список советов по KYC-практикам, который бы наглядно показал, почему так делать плохо, а вот так правильно и здорово. А главное, к чему каждый из вариантов приведёт.

Презентуем: наш чеклист из восьми советов, как сделать KYC-решение максимально полезным для вашего бизнеса и избежать штрафов. И ещё половина совета, которая, надеемся, вам не пригодится, но напомнить будет не лишним.

KYC (Know Your Customer, знай своего клиента) — это набор правил, инструментов и практик, с помощью которых компании понимают, кто такой их клиент. Решения KYC нужны финтеху, чтобы выявить и предотвратить неправомерные действия со стороны клиентов, например, уклонение от налогов или взносы террористам.

Оценить риски, связанные с клиентом, мониторить его активность, искать нехорошие паттерны — это всё KYC. При этом, риски здесь могут быть разные: мошенничество, кража личности, отмывание денег; а может, клиент не подходит банку по своим внутренним причинам, о которых банк никогда не расскажет.

А вот AML (anti–money laundering, противодействие отмыванию денег) сфокусирован конкретно на финансовых преступлениях. Набор законов и инструментов AML охватывает более широкую сферу, чем KYC, но они тесно связаны друг с другом: без идентификации клиента эффективную политику AML в его отношении провести не удастся.

Нормы KYC в общих чертах затрагивают все компании, которые работают с финансами: банки, недвижимость, сервисы переводов, кошельки, онлайн-казино.

Чтобы эффективно управлять KYC-процессами, нужно стабильно работающее решение, которое обеспечит безопасность данных и понравится пользователям. Всё это вместе должно соответствовать законам. Как это сделать, чтобы не потерять клиентов и улучшить бизнес-показатели, рассказываем в восьми советах.

Законы в странах отличаются: глобально работает FATF (Financial Action Task Force), в Калифорнии CCPA защищает конфиденциальность клиентов, бизнес в ЕС обязан соблюдать общий регламент по защите данных (GDPR), а также законодательство каждой отдельной страны.

Поэтому выход на глобальный уровень осложняется тем, что с каждой новой страной, где компания открывает филиал, кратно растёт и число ограничений: законов, которым надо следовать, регуляторов, перед которыми надо отчитываться, проверок, к которым нужно готовиться. А значит требуется больше ресурсов. Бизнес может полностью соответствовать законам одной страны, при этом оказаться нелегальным в другой стране. Например, Налоговое управление США перечислило страны, нормы KYC которых признаются в США — там есть Россия, но нет Литвы, Таиланда и многих других стран. Это значит, что финансовые компании из этих стран могут столкнуться с проблемами при попытке выхода на рынок США.

Что будет, если игнорировать

Если компания не соблюдает закон или бегло проверяет клиентов, то в простом варианте платит огромные штрафы, а в худшем — теряет лицензию, попадает под повышенный контроль или втягивается в уголовные разбирательства. Несколько громких примеров:

Как делать лучше

Привлеките в команду юристов. Они будут помогать вам соблюдать нормы и законы всех стран, в которых работает компания. Особенно внимательным стоит быть в США, поскольку в штатах действуют разные законы, и в ЕС: хотя у стран Евросоюза много общего, единого законодательства по KYC и AML для них пока нет.

Следите за изменениями и обновляйте данные: например, тот же ЕС недавно договорился о создании органа по борьбе с отмыванием денег (AMLA), а в России послабления по KYC действовали только до конца 2022 года, хотя многие компании просили о продлении.

Из недавних изменений в России: с 1 июля 2022 года заработал сервис Центрального Банка ЗСК (знай своего клиента) — тот же KYC, но на русском. Он описывает зелёный, жёлтый и красный уровни риска клиентов и затрагивает только бизнес: в отношении физлиц проверки не предусмотрены.

А для физлиц хотят ввести верификацию с помощью «Госключа» — приложения, в котором можно оформить цифровую подпись.

Если это предложение примут, то ЕБС (единая биометрическая система) больше не будет единственным вариантом для банков, которые предлагают оформление счетов удалённо. Правда, клиентам с цифровой подписью всё равно со временем придётся зайти в банк для подтверждения личности. Но начать работу с сервисом они смогут здесь и сейчас, а проверки пройти в удобное время.

Внизу статьи оставили список основных законов и регуляторов по разным регионам.

Даже самое технологичное KYC-решение теряет смысл в неумелых руках. А небрежное обращение с KYC может поставить чувствительные данные под угрозу. Самый простой пример такой небрежности: сотрудники отправляют секретную информацию по личному имейлу.

Что будет, если игнорировать

В 2020 году Финансовое управление Австралии выявило у банка Westpac миллионы нарушений норм по борьбе с отмыванием денег. Сотрудники банка пропустили «красные флаги» на подозрительных счетах. Проблема была системной: Westpac не обучал сотрудников нужным навыкам и явно не определил ответственных за KYC лиц.

Как делать лучше

Рассмотрим тот же банк. Чтобы урегулировать иск, Westpac:

С тех пор нарушения KYC у банка не выявлялись.

Делаем вывод: обучать сотрудников и настраивать рабочие процессы так же важны, как и высокотехнологичные решения.

Иногда для сбора статистики компании заставляют клиентов заполнять длинные анкеты при регистрации. Статистика очень важна для KYC, но если вопросы не срочные, то лучше перенести их на попозже. Попытка внедрить KYC-проверки ценой удобства клиентов — плохая практика.

В 2023 году Forrester провёл исследование и выявил, что 85% руководителей, занимающихся борьбой с финансовыми преступлениями, считают улучшение клиентского опыта своим главным приоритетом.

Цифровой бизнес контактирует с клиентами онлайн, а лично — почти никогда. Значит, UX его онлайн-ресурсов составляет основную часть клиентского опыта.

Пример

Мы помогли группе банков «Зенит» внедрить онлайн-подачу заявок на кредит. Вместе мы уменьшили число этапов подачи заявки и внедрили онлайн-проверку KYC, чтобы оптимизировать путь пользователя. С новым приложением активность клиентов по платежам и переводам увеличилась на 20%.

KYC-верификация вручную отнимает много времени и у банка, и у клиента. Если результаты не приходят несколько дней, клиенты могут потерять терпение и уйти пользоваться сервисом, который работает быстрее. Мы уже привыкли всё делать онлайн, поэтому компании практически обязаны проводить KYC-проверки удалённо.

Пример

Мы автоматизировали KYC для одного из 15 крупнейших банков ЕС, чтобы его клиенты могли открывать счета в приложении. Проверка документов и биометрии тоже проходят полностью онлайн: приложение банка подключается к ГИС ГМП (государственной информационной системе о государственных и муниципальных платежах) и сверяет по ней данные пользователя. Для клиента всё выглядит просто и понятно.

Сейчас мы с банком продолжаем работу над новыми функциями: NFC-оплата, международные переводы и диплинки для улучшения UX.

С 2011 года мы создали приложения для необанков в России и за рубежом, для семейного и детского банкинга. Мы адаптируем их под нужды клиентов, чтобы помочь уйти от ограничений коробочных решений. И мы знаем, как сделать это за 9 месяцев.

Технологии устаревают и перестают поддерживать новые более строгие процедуры проверки: например, распознавания биометрии, которое нужно российским банкам, если они предлагают услуги удалённо.

К тому же старые решения уменьшают шансы бизнеса в конкурентной борьбе — для этого им даже не обязательно полностью устареть, достаточно просто быть неудобными. А в это время обновлённые решения конкурента выведут его в лидеры, потому что пользователи будут выбирать удобство и новые функции.

Пример. Наша коллега сменила фамилию и хотела обновить данные в Альфа Банке. Зашла в приложение и попыталась отсканировать документы. Но приложение отказывалось принимать фото страницы со штампом, потому что защитная полоса проходила в полутора сантиметрах от того, где она была на шаблоне. 19 попыток не привели к успеху, и коллега поехала в офис.

Как делать лучше

Поругали и сразу же похвалим: Альфа изменил требования, и теперь нужна только первая страница паспорта. В шаблон она вписывается прекрасно, и проблем не возникает. Технические изменения банк не разглашает, но на клиентской стороне процесс ощущается более гладко — как минимум, по мнению той же коллеги.

Новое решение может принести улучшения сразу после запуска. Например, когда онлайн-банк Revolut обновил свою систему KYC, его приложение стало на 38 секунд быстрее выдавать результаты проверок, что экономит время пользователей. В результате компания стала привлекать на 12% больше клиентов.

Возьмём другой пример — необанк N26. В борьбе с мошенниками компания сделала верификацию в приложении более продвинутой. Теперь при проверке биометрии пользователь должен повернуть голову, чтобы доказать, что он — живой человек, а не картинка. Это один из вариантов Liveness-проверки — проверки на живость.

Поэтому лучше, чтобы ваша система распознавания лиц выполняла проверку на живость: иначе мошенники смогут попасть в ваш сервис, используя чужие фото. То же касается и документов: пользователей можно попросить наклонить паспорт, как на скрине выше, или снять документ на видео.

ИИ и ML-инструменты — это самые свежие инновации, поэтому этот пункт вытекает из предыдущего. Отметим его отдельно, чтобы подчеркнуть преимущества, которые дают нейросетевые KYC.

Меньше бумажек. С ИИ компании могут внедрять KYC-проверки вовсе без документов: человека можно проверить по лицу в реестрах биометрии, а оттуда уже и остальные документы подтянутся. Среди компаний, которые уже так делают — сервис денежных переводов TransferGo и решение для криптоплатежей MoonPay.

Меньше времени, меньше трат. Возьмём оптическое распознавание символов (OCR) с ИИ. Оно позволяет автоматически считывать данные из документов, что экономит время на расшифровку и анализ текста. При этом, OCR прошлых поколений иногда не различают похожие символы — например, из латиницы и кириллицы. Из-за этого ошибочных результатов оказывается больше, ручные перепроверки требуются чаще, а у клиентов после долгой регистрации создаётся неприятное первое впечатление.

Выше безопасность. ИИ-алгоритмы анализируют огромные объёмы данных из разных источников. За счёт больших масштабов эти алгоритмы выявляют подозрительное поведение клиентов. С такими данными компаниям легче обнаруживать мошенников, отмывателей денег и других преступников.

Более точные результаты. По сравнению с обычными, решения с ИИ помогают точнее оценивать риски и выдают меньше ошибок. А чем меньше ошибок возникает в ходе проверок, тем больше качественных клиентов привлекает банк.

Один из примеров того, как ИИ помогает с KYC-проверками — это распознавание лиц и голоса с помощью ИИ.

Что будет, если игнорировать

Не-ИИшное распознавание голоса оставляет дыры в безопасности, которыми пользуются мошенники. Возьмём банк Wells Fargo в качестве примера. Чтобы подтвердить свою личность по звонку, клиенты должны повторить фразу «Мой голос — это мой пароль». Издание Vice доказало, что этот метод ненадёжен: в 2023 году репортёру Джозефу Коксу удалось авторизоваться в Wells Fargo с помощью копии его голоса, сгенерированной нейросетями.

После этого случая Сенат США потребовал Wells Fargo разъяснить, как он обрабатывает голосовые данные сейчас и что сделал для устранения проблем. С тех пор интернет не слышал новостей о развитии этого дела.

Как делать лучше

Ситибанк использует голосовую биометрию, которая распознаёт пользователя вне зависимости от того, что он говорит. Для этого она анализирует такие особенности речи как произношение, акцент, скорость и тембр. У банка USAA тоже есть подобные KYC-технологии. Его система создаёт «отпечаток голоса» (как отпечаток пальца) на основе более сотни характеристик и применяет защиту от нейросетевых подделок, чтобы мошенники не использовали искусственные копии.

Поведенческое распознавание есть и у голосового помощника Олега в Тинькофф Банке. Как утверждает сам банк, Олег верно распознаёт до 95% слов, которые произносят клиенты — что именно говорит клиент, тоже неважно.

Смарт-контракты, важная составляющая блокчейна, позволяют автоматически проводить все проверки и не вовлекать лишних действующих лиц. А раз нет посредников, минимизируются и утечки информации, что очень важно при работе с чувствительными данными. Вместе с этим время на каждую операцию сокращается.

В 2021 году 74% центральных банков в мире интересуются технологией блокчейн в том числе для верификации клиентов. Центральный Банк РФ сейчас активно внедряет Мастерчейн — единую платформу для KYC-идентификации клиентов российских банков. Многие канадские банки, например, Scotiabank и Royal Bank of Canada, тоже используют KYC-решения на основе блокчейна.

Особенно по аккаунтам, которые работают в разных странах. Когда деньги пересекают границы, в KYC-идентификации клиента могут появиться пробелы, которыми пользуются мошенники. Упуская часть данных, бизнес может упустить офшоры, мошенников и другой криминал.

Что будет, если игнорировать

Из-за расхождений в платежных системах Revolut в США и ЕС преступники вывели 23 миллиона долларов, совершая транзакции между разными странами. Часть украденных средств Revolut вернул, но 20 миллионов ушли безвозвратно: найти концы не удалось.

Как делать лучше

В 2018 году в N26 частыми стали регистрации по поддельным документам — при регистрации преступники вносили минимум данных, и то не своих. Компания добавила ряд улучшений в приложение, и теперь идентификация проходит более детально. Их проверки живости, о которых мы писали выше, скорее всего, были внесены именно после этого.

Если компанию обвиняют в нарушении норм KYC и AML, суд наверняка потребует поменять те процессы и системы, из-за которых возникли проблемы. Также компания должна будет возместить ущерб и выплатить штрафы. Важно: это лучше не откладывать, так как суммы к выплате растут вместе с промедлением.

А ещё ошибки повторяются, если не устранить их причину. И за повторные нарушения дают более суровые наказания. В первом совете мы уже упоминали о 186 млн долларов, которые должен был выплатить Deutsche Bank. А до этого, в 2021 году, банк был оштрафован на 125 миллионов долларов за участие в преступной финансовой деятельности. В 2023 году штраф стал на 61 млн выше.

Рассмотрим, как KYC-верификация выглядит у разных компаний на разных этапах жизненного цикла клиента.

Золотая корона: Верификация не обязательна

Клиенты сервиса «Золотая корона» могут переводить деньги без верификации по документам — система требует только номер телефона. Однако, получить наличный перевод можно только по паспорту: предъявить его нужно в пункте обслуживания.

Банк Capital One: QR-коды

В филиале или кафе банка Capital One клиенты могут быстро верифицироваться по персональному QR-коду. Этот код не даётся клиенту раз и навсегда: приложение каждый раз генерирует его заново.

Сбер/Тинькофф/Альфа ID

Крупные банки России используют цифровые ID клиентов. Для пользователей такие «ключи» очень упрощают оплату: нужно только ввести код банковского приложения, куда их перенаправит система. А если нужного приложения на смартфоне нет, то потребуется подтведить номер по СМС и один раз заполнить анкету, чтобы привязать цифровой ID к телефону.

N26: Видеозвонки

Клиентам из Германии N26 даёт верифицироваться по видеозвонку вместо фото. Компания внедрила такой способ, потому что этого требуют законы Германии, касающиеся KYC-проверок. Звонок проводится в приложении, и пользователям не надо переходить на другие сервисы, что важно для безопасности.

Банки также могут во время регистрации просить клиентов что-то произнести на видео или без съёмки.

KYC-решения обрабатывают чувствительные данные, поэтому все компании, которые их внедряют, должны соблюдать требования безопасности. Ваше решение об аутсорсинге KYC должно зависеть от сохранности данных больше всего. Оцените, может ли ваша компания обеспечить необходимый уровень безопасности и подходит ли аутсорсинговая компания для её создания.

78% участников исследования Forrester планируют аутсорсить часть своей деятельности по KYC и AML в ближайшие годы. Аутсорсинг стал общей тенденцией в ИТ и банкинге, которая ускоряет цифровую трансформацию современных финансовых компаний.

Учтите и будущие потребности вашего бизнеса. Ваша собственная технология KYC может лучше интегрироваться с вашими системами, ведь для этого вы её и создаете. Но аутсорсинговые решения, как правило, являются более масштабируемыми.

Какой бы вариант вы ни выбрали, убедитесь, что ваш бизнес строго соблюдает законы и следит за обновлениями в сфере KYC и AML. А мы в Surf всегда рады помочь вам с KYC-проектом: мы создаём безопасные и стабильные финтех-приложения для разных стран и умеем делать это быстро.

Ключевые нормативные акты и регуляторы:

*CFT — противодействие финансированию терроризма