Книга: Банк 4.0: Новая финансовая реальность
Назад: Составные элементы реформы
Дальше: Часть 2. Банкинг в реальном времени

Точка зрения

Как технологии меняют личность

Дэвид Бёрч

Нет сомнений, что будущее банкинга тесно переплетено с будущим идентификации личности. Цифровая личность (digital identity) – ключевой ресурс новой экономики, и банкам, как и другим организациям, придется разрабатывать стратегии цифровой идентификации. Но какими они должны быть? И что произойдет, если банки не обзаведутся подобными стратегиями?

Все мы читали статьи в различных изданиях и блогах, слушали выступления на конференциях и отмечали твиты, в которых говорилось о ключевой роли цифровой личности в новой экономике. Не все авторы дают внятное определение цифровой личности, но все они полагают, что без инфраструктуры для установления личности в цифровой среде невозможно в полной мере реализовать потенциал роста и воспользоваться всеми возможностями новой онлайн-экономики. Я целиком разделяю их опасения и абсолютно уверен, что без грамотно выстроенной инфраструктуры мы просто не сможем двигаться вперед.

Если называть вещи своими именами, удаленное установление личности – критически важная составляющая инфраструктуры будущего. Но как она будет работать? Кто будет за нее отвечать? Мне есть что сказать по этому поводу. Я работаю в данной сфере много лет и даже внес определенный скромный интеллектуальный вклад в ее развитие. В компании Consult Hyperion мы с коллегами разработали довольно удачную модель цифровой личности, которая прошла испытания и показала себя полезной в ряде областей. Как показано на рисунке 1, модель трехдоменной личности (three domain identity, 3DID) описывает цифровую личность как мостик между реальным и виртуальным мирами и предлагает понятную схему привязки к каждому из этих миров. В первом приближении достаточно знать, что эти привязки чрезвычайно асимметричны: чтобы привязать цифровой образ к чему-либо в реальном мире, требуется много времени, усилий и затрат, а привязать цифровой образ к чему-либо в виртуальном мире можно быстро и недорого. Всё сводится к набору шифров и ключей и управлению ими (см. раздел «Модель цифровой личности» в книге «Управление цифровой личностью» под редакцией вашего покорного слуги).



Рисунок 1. Модель трехдоменной личности





Есть много организаций, которые могли бы формировать эти привязки, можно было бы даже создать специализированные институциональные механизмы – и есть достаточные основания включить в их число банки, которые могли бы возглавить процесс. Несколько лет назад я написал книгу «Личность – это новые деньги», где разобрал некоторые вопросы инфраструктуры для идентификации и предложил ряд усовершенствований, которые сделают эту инфраструктуру более адекватной в условиях современного мира, а также объяснил, почему банки – самые подходящие организации для создания и обслуживания систем цифровой идентификации.

На мой взгляд, приведенные в книге доводы в целом по-прежнему верны. Недавно мне напомнил о них друг, столкнувшийся с проблемой взлома аккаунта Facebook. Он был крайне раздражен тем, как много усилий пришлось приложить, чтобы достучаться до представителей Facebook и заставить их хоть что-нибудь предпринять. Я ответил, что в принципе у него и не было никаких оснований ожидать от Facebook чего-то иного. Закон не обязывает Facebook решать подобные проблемы. А вот банки – это регулируемые государством финансовые организации, и если бы они предоставляли услуги идентификации, то были бы по закону обязаны гарантировать защиту вашей информации. Если к вашему банковскому счету получат доступ воры, вы вправе ожидать от банка ответных действий по определенной процедуре: установить подлинного владельца банковского счета, вернуть ему контроль над счетом и предоставить соответствующую компенсацию, если окажется, что проблема возникла по вине банка.

Мне нравится такая картина будущего. Обратимся к ситуации вне финансовой сферы, чтобы было понятно, что я имею в виду. Богатый контекст для изучения разных концепций цифровой личности дают сайты знакомств, так что возьмем их как пример. Представьте, что я захожу на сайт знакомств и создаю аккаунт. В качестве логина мне предлагают использовать банковский счет и затем перенаправляют на сайт моего банка, где я прохожу стандартную процедуру двухфакторной аутентификации, чтобы подтвердить свою личность. Затем банк направляет на сайт знакомств криптографический токен, сообщающий, что я старше 18 лет, живу в Джерси и могу оплатить услуги сайта. В этом примере мои реальные личные данные надежно хранятся в банке, но привязываются к виртуальному профилю, которым я могу пользоваться для общения онлайн. Таким образом, мой аватар для знакомств в интернете не содержит персональной информации, идентифицирующей личность пользователя (personally identifiable information, PII), но если я под этим аватаром сделаю что-нибудь нехорошее, то сайт знакомств передаст данные токена в полицию, полицейские увидят, что токен направлен банком Barclays, а банк сообщит им, что аватар принадлежит Дэйву Бёрчу. На мой взгляд, весьма разумное распределение обязанностей. Вместе с тем, когда преступники взломают сайт знакомств (рано или поздно это произойдет), им достанется лишь бессмысленный токен – они не будут знать, кому он принадлежит, и мой банк им этого не расскажет.

Одна из главных привлекательных черт подобного решения (уверен, не только я так думаю) состоит в том, что оно дает основания надеяться на решение неизбежных проблем. Что-нибудь плохое рано или поздно случается. Важно то, какие структуры, механизмы и процессы помогут решить проблему. Я предполагаю, что на случай захвата мошенниками моего банковского счета и использования моих данных для создания фальшивого аккаунта на сайте знакомств у моего банка есть механизмы отзыва токена и информирования об этом меня и сайта знакомств без раскрытия моих персональных данных. Этот момент очень важен, поскольку идентифицирующие личность сведения – нечто вроде ядовитых отходов, с которыми не будет связываться ни одна компания, если есть хоть какой-то шанс этого избежать. Новый Общий регламент по защите данных (General Data Protection Regulation, GDPR) предусматривает астрономические штрафы за раскрытие персональных данных без согласия субъекта данных. А потому нужно продумать полный цикл обращения с персональными данными, ведь будет глупо выстроить инфраструктуру, которая защищает их в обычной ситуации, но раскрывает при сбое системы или при восстановлении после сбоя.

Чтобы понять, почему банки выходят на первый план в этой сфере, давайте взглянем на то, что делает банк Barclays в Великобритании, сервис itsme в Бельгии, банк Toronto Dominion в Канаде и банк Commonwealth Bank of Australia (СВА) в Австралии.

Банк Barclays выступает одним из «провайдеров персональных данных» (identity provider) для государственной системы идентификации. Чтобы воспользоваться этим сервисом и получить онлайн-доступ к различным государственным услугам, сначала нужно создать онлайн-профиль. Для этого вы можете обратиться в ряд частных организаций, где проверят ваши персональные данные и привяжут их к онлайн-профилю. Одна из таких организаций – банк Barclays. Пока схема не очень популярна, потому что регистрация в государственной системе идентификации дает доступ к ограниченному набору услуг, но, как утверждает глава управления информационных предложений Сара Манро, модель получит дальнейшее развитие.

Бельгийский сервис itsme, запущенный в 2017 году, – пример совершенно другого подхода. Сервис стал итогом необычного сотрудничества бельгийских банков (Belfius, BNP Paribas, KBC/CBC, ING) и мобильных операторов (Orange, Proximus и Telenet). Чтобы им воспользоваться, нужно скачать приложение itsme и подтвердить свою личность (в Бельгии это нетрудно, так как у каждого есть электронная карта-идентификатор), после чего можно использовать его для входа на сайты участников программы. Первыми из них стали сайты по заполнению налоговых деклараций (разумеется!), но сейчас к программе присоединяются также страховые компании и розничные магазины. В скором времени пользователи смогут подписывать при помощи мобильного телефона официальные документы и получат надежный канал удаленного доступа ко множеству систем. Сочетание удостоверения личности, SIM-карты и мобильного приложения позволило создать очень безопасную и надежную среду для передачи данных. По правде говоря, я не понимаю, почему банки и мобильные операторы не организовали подобное сотрудничество лет десять назад!

Ведущие банки Канады (включая ВМО, CIBC, RBC, National Bank, Scotiabank и Toronto Dominion) входят в общегосударственный консорциум по разработке продвинутой инфраструктуры цифровой идентификации, цель которой – усилить безопасность и повысить удобство работы для всех участников рынка. Аналогично ситуации с сервисом itsme, клиент будет получать услугу с помощью мобильного приложения, но в канадской схеме заверенные персональные данные хранятся в совместно используемом реестре, построенном на основе блокчейн-сервиса от компании IBM (на технологии Hyperledger Fabric). Схема предусматривает «трехстороннюю привязку» (triple blinding), так что люди, полагающиеся на заверенные данные, и люди, предоставляющие их, не смогут ничего узнать друг о друге.

Австралийский банк СВА совместно с компанией Airtasker запустил пилотный сервис идентификации. Это очень важный шаг в условиях роста «гиг-экономики» (gig economy), поскольку, предлагая клиентам платформы свою инфраструктуру для цифровой идентификации, банки автоматически становятся участниками транзакций. Airtasker – австралийское интернет-сообщество, аналог американского TaskRabbit, где люди и предприятия ищут исполнителей для своих задач (например, «нужен человек для сборки мебели IKEA»). Если у вас есть профиль на сайте Airtasker, вы можете пройти верификацию, обратившись в СВА, после чего в вашем профиле появится соответствующий значок. Видя его, люди будут понимать, что банк знает, кто вы. Значок не раскрывает никакой персональной информации; потенциальным клиентам доступны только сведения о том, что вы умеете и каким временем располагаете. Этот простой способ подтверждения репутации удобен для заказчиков и удачно иллюстрирует главную отличительную черту грядущей «экономики сотрудничества» (collaborative economy): в ней репутация гораздо важнее любых персональных данных (да и риск фальсификации в случае с репутацией ниже). Для банков услуги цифровой идентификации – очень перспективное направление, поскольку участники «экономики сотрудничества» не готовы создавать собственные инфраструктуры для идентификации, аутентификации и авторизации. И вопрос не только в технологиях. Еще в 2014 году стало известно, что британские банки планируют предложить услуги репозитория цифровых персональных данных (статья Салли Дэйвис «Banks want to keep your digital ID in their vaults» в издании Financial Times, 2 сентября 2014 года).

Надеюсь, приведенные примеры показали потенциальные возможности рынка банковских услуг в сфере цифровой идентификации, но дело не только в перспективе заработать. Одна из причин, почему именно регулируемые финансовые институты должны заняться развитием инфраструктуры для цифровой идентификации, состоит в том, что такая инфраструктура станет важным элементом стратегии развития всего финансового сектора. Мы не хотим, чтобы преступники и террористы открывали счета в банках, чтобы наркоторговцы и коррумпированные политики отмывали преступные доходы, чтобы грязные деньги подрывали работу организаций. Поэтому мы наделяем банки рядом привилегий, но в обмен хотим, чтобы они взвалили на себя бремя процедур типа «знай своего клиента», выполняли требования по противодействию легализации преступных доходов и финансированию терроризма, а также принимали риски обслуживания влиятельных политических лиц.

Кстати говоря, для банков всё это составляет серьезную проблему, поскольку существующий подход влечет за собой неприемлемо высокие издержки, а с принятием новых мер по борьбе с отмыванием денег расходы только увеличатся. Пожалуй, сейчас самое время задуматься об альтернативных RegTech-механизмах контроля над денежными потоками. Мы можем рассмотреть даже такой на первый взгляд радикальный вариант, как перестать ограничивать доступ к финансовой системе и, напротив, постараться привлечь в нее всех и каждого. Зачем? Затем, что, исключая людей из системы, вы больше не получаете о них информации. Это особенно очевидно в случае борьбы за снижение риска денежных переводов по основным направлениям движения средств. Яркий пример – переводы в коридоре Великобритания – Сомали, ставшие предметом пристального изучения и обсуждения в британском парламенте. В рамках политики по снижению рисков банки отказывали в осуществлении переводов. Однако, как и следовало ожидать, это не остановило поток денег в Сомали, часть которых предназначалась для сомнительных целей. Вместо перевода по электронным каналам, где мы можем как минимум наблюдать за процессом и имеем шанс узнать хоть что-то о преступных планах, деньги вывезет из страны в чемодане какой-нибудь пассажир лоукостера – и об этом никто не узнает и не сможет выявить или отследить их незаконное использование.

Но есть одно большое «но»: подход, где во главу угла ставятся банки, – не единственно возможный. Есть и альтернативное видение, в основе которого – не банки, цифровые привязки и регулируемые финансовые институты, а большие данные, искусственный интеллект и ориентация на всеохватность.

Вернемся к нашему примеру с интернет-сайтом знакомств. Я захожу на сайт знакомств и создаю профиль. Меня просят подтвердить личность. Я иду на сайт Microsoft, Amazon, Facebook, Apple или Google, захожу под своей учетной записью, и меня перенаправляют обратно на сайт знакомств с криптографическим токеном, удостоверяющим, что, например, по данным компании Amazon мне больше 18 лет, я постоянно проживаю в Великобритании и, самое важное, в случае если эти сведения хотя бы отчасти окажутся недостоверными, Amazon будет нести материальную ответственность в полном объеме. У компании Amazon нет оснований сомневаться в достоверности моих данных, потому что, помимо прочего, у нее есть доступ к моему банковскому счету в рамках инициатив по развитию открытого банкинга. Amazon также знает всё о моих покупках, местоположении и сроках поступления зарплаты на счет. Они могут предоставить сайту знакомств мое весьма точное описание, не раскрывая персональные данные. И они могут разрешить сайту знакомств выставлять счета на «имя» своего токена.

Как было обозначено в ходе Всемирного экономического форума, в этой сфере очень желательно участие регулируемых государством финансовых институтов (отчет Всемирного экономического форума «A Blueprint for Digital Identity – the Role of Financial Institutions in Building Digital Identity», Женева, 2016 год). Однако возможности банков в части цифровой идентификации не дают им права наживаться на этом. Если банки не предложат рынку сервисы цифровой идентификации, соответствующие эпохе постиндустриальной революции, они не просто упустят возможность компенсировать часть издержек на обработку персональных данных за счет прибыли от полезных новых сервисов. Они лишат себя доступа к источнику данных, которые понадобятся в будущем для их собственных систем искусственного интеллекта. Они не смогут проводить сколько-нибудь качественный анализ рисков и грамотно управлять информацией; у них не будет доступа к огромному объему сведений, в том числе данных о связях и репутации, которые необходимы для работы гигантской системы машинного обучения – а именно такие системы лягут в основу деятельности банков следующего поколения. Цифровая идентификация должна стать главным стратегическим вопросом для банков и регуляторов, которые хотят идти вперед. В противном случае в цифровом мире вы даже не номер, а в буквальном смысле никто.

Назад: Составные элементы реформы
Дальше: Часть 2. Банкинг в реальном времени