Эльман Мехтиев: «Концепция удаленной идентификации в России - ЕСИА плюс ЕБС» A− A= A+
Об отпечатках пальцах, биометрической системе, «новеллах» финтеха, почему не «взлетит» маркетплейс и о нардах главный редактор Finversia.ru Ян Арт беседует с исполнительным вице-президентом Ассоциации российских банков Эльманом Мехтиевым.
– У нас на повестке дня два вопроса. Первая: накопившиеся темы, связанные, скажем так, со всеми финтеховскими историями, актуальными. И второе: это матч-реванш в нарды. Три года назад, в Сочи, я проиграл три партии подряд… Так что, зрителям придется потерпеть ситуацию, что мы играем и разговариваем одновременно. Начнем?
А поговорить, собственно, хотелось вот о чем. У нас огромное количество мероприятий, круглых столов, конференций, коммерческих и некоммерческих, на которых обсуждается несколько популярных тем. Первая – удаленная идентификация в финансовой сфере, в банковской - в том числе. Вторая – биометрия. Третья - технологическое развитие в целом.
– Не поверите, Ян, я к вам шел прямо из Центрального банка, с заседания Экспертного Совета, которое вела Эльвира Сахипзадовна и на котором обсуждалась удаленная идентификация. Правда, второй вопрос был не NFC, не бесконтактные платежи, а цифровая экономика. Все говорят про цифровую экономику, а когда начинаешь спрашивать «что такое цифровая экономика» - чаще всего люди путаются, мягко говоря. На мой взгляд, цифровая экономика - это, если совсем коротко, экономика данных. Экономика, в которой данные становятся не просто инструментом, но и товаром, который может воспроизводиться и стоимость которого может расти. Не косвенно, а непосредственно. И тогда сразу возникает вопрос, опять же перефразируя Владимира Ильича, про три источника и три составные части этой самой цифровой экономики. В цифровой экономике или в «цифровой реальности» ты должен понимать, с кем ты общаешься (то есть периметр доверия построить); ты должен понимать, почему и как данные поступают («транспорт») и верить этим данным (удаленная идентификация) и - самое главное - решить вопрос, кому принадлежат данные…
Так исторически сложилось, что проще всего построить периметр доверия. Периметр доверия – тут вопрос, как, с одной стороны, быть уверенным, что на том конце провода находится человек, с которым вы общаетесь, а на другом конце - устройство, которому этот человек доверяет. Второй вопрос - как это встроить в существующую государственную систему. И если коротко концепцию удаленной идентификации в России обозначить, то это можно сделать двумя словами: ЕСИА плюс ЕБС. ЕСИА - единая система идентификации и аутентификации, то есть государственная система, которая была создана относительно давно и состоит в том, что у каждого человека есть некий логин, пароль, идентификатор, которые его данные проверяют и идентифицируют. К этому государство добавляет ЕБС - единую биометрическую систему. И все. Это, с одной стороны, простая формула, с другой стороны - под ней скрывается огромная технологическая работа.
– А биометрия в этой система обязательна или желательна?
– Почему биометрия человека возникла (здесь как тема) и почему решили именно таким путем пойти… Здесь две крайности. Индийский путь - когда у многих людей нет документов вообще и поэтому в Индии реализована программа «Аадхаар»: каждый человек должен сдать отпечаток пальца, рисунок сетчатки глаза и, соответственно, получить 12-значный номер. Ему даже документы не нужны. Почему? Потому что биометрия неотделима, это набор тех неотделимых от человека биометрических персональных данных, которые в том или ином динамическом сочетании могут противостоять фроду. Например, сегодня я прихожу в банк и говорю, что хочу сегодня подтверждать свою операцию пальцем и сетчаткой, завтра - голосом и сетчаткой, послезавтра - лицом и отпечатком. То есть если есть возможность динамического сочетания различных модальностей, биометрических свойств предусмотрена, то мошеннику становится сложно все это предусмотреть и в доли секунды выстроить правильную модальность. Тем самым 99% населения окажутся защищенными. Поэтому биометрия – это ключ к тому, что в юридическом языке называется усиленная квалифицированная электронная подпись.
Я специально зашел на сайт ПФР проверить, как осуществляется перевод накопительной части пенсии из одного фонда в другой. Можно, только если у тебя должна быть усиленная квалифицированная электронная подпись. То есть флешка, на которой есть криптография, которая стоит 3 тысячи рублей в год. Мне она нужна как физическому лицу, если я не руководитель предприятия? Нет. Сколько таких сервисов я буду использовать в год? Нужна мне эта флешка? Нет. А биометрия – это ключ к тому, чтобы человек мог себя комфортно, без лишних забот идентифицировать, произвести аутентификацию в цифровом пространстве и совершать операции в нем. Поэтому без биометрии удаленная идентификация становится более сложной.
– Почему эта тема настолько, если судить по количеству сказанного, написанного, по количеству мероприятий, бурная? Она искусственно раздута, потому что многие люди кормятся с этой темы, или она действительно так необходима финансовому бизнесу, даст сногсшибательный эффект?
– Начну с последнего вопроса. Она даст сногсшибательный эффект в трех вещах: это доступность финансовых услуг, это конкуренция, это снижение издержек, соответственно опять же снижение цены, элемент прибыльности. Она не даст эффект, пока организации, во-первых, не заполнят эту базу данных, потому что, к сожалению, только банки могут снимать биометрические шаблоны, и во-вторых, пока банки не начнут делать продукты, которые были бы ориентированы на удаленную идентификацию. Пока не делают. Вот один банк, который много говорит про свои онлайн-сервисы, рассказывает, что отправит к клиенту с картой «легкого курьера вместо тяжелого». Ну и чего? Клиенту-то что с этого? Вот вы заказываете карту этого банка и к вам приезжает не «тяжелый», а «легкий» курьер - вы от этого будете больше брать услуги этого банка? Вряд ли. Тут нужна полная возможность действовать удаленно. И, если мы хотим, чтобы система взлетела, надо не наступать на те грабли, на которые уже наступил кто-то другой. Берем пример Белоруссии: там эта проблема была решена законодательно, указом президента Лукашенко - создается межбанковская система идентификации, все банки обязаны передать в единую систему данные своих клиентов. Любому банку, если туда обратился человек, чьи данные уже есть в межбанковской системе идентификации, достаточно отправить клиенту СМС на телефон и открыть ему возможность совершать операции…. Заработала эта система, но появляются статьи, в которых пишут: не очень понятно, зачем она, где зримый эффект. Проходит время и объявляется: физические лица, которые зарегистрированы в межбанковской системе идентификации, могут получить свою кредитную историю, не ножками идя в БКИ, а удаленно. И выясняется, что за предыдущий год ножками за своей кредитной историей пришло 6 тысяч человек. А за один месяц работы новой системы за своей кредитной историей обратилось 5 тысяч человек… Вот пример, когда благодаря системе удаленной идентификации, нужный людям продукт становится удобен!
– Это, конечно, хороший довод, но вот в чем сомнения. Мы говорим об удаленной доступности услуг, но выясняется: чтобы получить визу, нам надо ножками идти в визовый центр…. Или в деревне Гадюкино, где закрылось все, включая филиал самого большого банка страны, что человек будет делать с этой удаленкой и где он зафиксирует свои биометрические данные?
– Подождите-подождите. Давайте вернемся к первому вашему вопросу - о том, почему вокруг этой темы много шума, хайпа и так ли это всем нужно. Он связан с нынешним вашим вопросом… От идеи склеить ЕСИА с ЕБС до принятия закона прошло меньше, чем полтора года. Это суперскорость. То есть обществу это было нужно. Второе - нужно было верное решение. Решение о «склейке» ЕСИА и ЕБС позволяет разделить: пусть государство занимается документами человека, а банки – только идентификацией по уже созданной системе. Вот тогда это начинает работать! У каждого здесь получается свой интерес, даже у силовых органов, даже у Росфинмониторинга - свой интерес. То есть простейшая формула ЕСИА плюс ИБС оказалась работающей, правильно поданной и поэтому мы с вами получили результат. За полтора года мы получили закон, прошли путь от идеи до правового фундамента…
Теперь вернемся к бабушкам в деревне. Да, это проблема. Если удаленная идентификация нужна для того, чтобы развивать доступность, снижать издержки, то нужно, чтобы банки были заинтересованы в снятии этих самых биометрических данных. Индийская программа, о которой я говорил, - это не компания, которая что-то продает населению, она является всего-навсего поставщиком информации биометрических слепков всем, кто готов это покупать. А население они обслужили бесплатно. Получили миллиард и сто миллионов человек в системе за пять лет - при населении миллиард сто семьдесят миллионов! Чувствуете? То есть, чтобы решить проблемы бабушки в деревне, нужна структура, которая бесплатно и массово проведет такую работу по всей стране.
Есть риск, что большие банки, у которых есть крупные сети отделений, могут быть по сути своей не заинтересованными в единой системе, точнее в ее наполняемости, потому что это - конкуренция, это - увод клиентов у них… Помните, когда закон о кредитных историях принимался? Он принимался в модели, что сначала будет одно бюро кредитных историй, куда все обязаны отдавать данные, при этом это бюро должно быть федеральным. Потом он претерпел изменения, получилось, что может быть множество кредитных бюро кредитных историй, но банки обязаны хоть в какое-то из них информацию отдавать. Возникли кэптивные бюро, которые долго были вне рынка… Чтобы не возникло этой ситуации сейчас, мы пошли на то, что должна быть одна биометрическая система на всю страну, не может быть их несколько, не может быть кэптивных биометрических систем.
Но мы не можем написать в законе (рынок есть рынок), что банк не имеет права создать свою собственную биометрическую платформу для своих собственных целей. А теперь представьте ситуацию. Клиент приходит и говорит: «Хочу сдать данные биометрической системы». Банк говорит: «Нет проблем, пожалуйста». Кто обяжет банк говорить, что это - его биометрическая система, а не единая биометрическая система? Чтобы этого не возникло, еще в сентябре 2016 года мы предложили, чтобы операторами сбора биометрических данных выступали «Почта России» и МФЦ. «Почта России» - это 42 тысячи отделений, многие из которых можно оборудовать для приема биометрических данных. МФЦ, если я правильно помню, 1700 с небольшим в стране. В конце концов, можно повторить эксперимент с приемом платежей, когда в некоторых регионах специальный «банковский» автобус ездил по деревням в определенный день и все могли воспользоваться услугами.
Но зачем бабушкам этот автобус, если нет тех сервисов, которые они могут получить? И, отвечая на ваш первый и третий вопросы? Поэтому - да, есть проблемы. Да, закон эти проблемы не решил. Но, как предложила Набиуллина, давайте начнем и посмотрим, как пойдет дело.
– То есть, получается, что на систему удаленной идентификации должно «подсесть» достаточное количество бизнесов, услуг, чтобы собралась какая-то критическая масса, ради которой я захочу сдать данные для этой системы?
– …Например, если вы хотите получить более хорошие ставки по депозитам, а наилучший вариант - в банке, который физически присутствует на Дальнем Востоке. Но люди хотят разместить депозит не так часто - не каждый день и не каждый месяц. Правильно? Гораздо больше услуг существует других и не обязательно финансовых, которые нужны более чаще. Страхование. Платежи. Что-то еще.
– Получается, что эта система еще и с идеологией маркетплейса переплетается?
– Я не вижу здесь идеологии маркетплейса. Но вы правы… В любом месте, где нужна идентификация человека в цифровом пространстве, есть только два инструмента - это или идентификация через неотделимые признаки (биометрия) или то, что сделал Алибаба (Alipay) в 2004 году, эскроу-счета в интернете, где не важна идентификация, но важна проверка денег. Это не означает, что одно исключает другое. Поэтому я и сказал, что не вижу идеологию маркетплейса в нашей теме.
– Сейчас объявлено о создании маркетплейсов на финансовом рынке…
– Вы их видели? В чем смысл банку туда идти?
– Я, честно говоря, пока не вижу, в чем смысл туда клиенту идти. Потому что часть услуг я буду брать в своем родном любимом банке, в котором у меня отношения, а часть услуг, как например, ОСАГО, я может и поискал бы на маркетплейсе, но сказать, что часто или массово нужны такие услуги, тоже не могу. То же самое ОСАГО мне нужно раз в год.
– Вооооооот! Вот!
– Тогда получается, что маркетплейс, конечно, – это хорошо, но не будут ли это, условно говоря, пустые виртуальные «торговые залы»?
– Я не скажу вам за всю Одессу, но вы самый правильный вопрос подняли: а потребитель-то где? Где потребитель? Мы с кем-то спорили почти год назад, и я сказал, чем маркетплейс отличается от рынка. Есть система рынка: пришел, поторговал, вечером уехал. Все-таки маркетплейсы, которые стали мировыми величинами, - это не только цифровые рынки. Они цементируют за счет чего-то уникального своих клиентов и поставщиков. Алибаба (Alipay) – это, например, решение проблемы недоверия поставщика. Бабушка, которая вяжет варежки в Тюмени и делает их прекрасно, а я в Москве хочу их купить. Но я не верю, что это настоящие варежки, а она не верит, есть ли у меня деньги. Что делает Алибаба, точнее в Китае – сделал? Он выступает эскроу-центром, который подтверждает, что деньги покупателя у него, но деньги не уйдут продавцу, пока покупатель не будет удовлетворен качеством товара. Все! И они, я извиняюсь, «порвали» рынок. А ведь они были не единственными, кто пытался построить маркетплейс…
– ОК. Вернемся к теме продвижения системы удаленной идентификации, повенчанной с биометрией. В какой точке пути мы находимся?
– 31 декабря прошлого года президент подписал закон, ФЗ-482, который вносит изменения в три закона: о банках и банковской деятельности, об информации и о противодействии отмыванию доходов и финансированию терроризма. Закон разрешил построение единой биометрической системы, определил правила игры, заявил, как банки могут участвовать в этом деле. Основные принципы определены, сейчас идет подготовка нормативных актов, избран оператор этой системы – Ростелеком, он подтверждает, что с нормативкой успеет. Так что 30 июня, надеемся, все войдет в строй. Грубо говоря, 1 июля физические лица смогут приходить в банки, в которых они обслуживаются, и говорить: « Я хочу сдать свои данные в единую биометрическую систему». Конечно, это удастся не в каждом банке, а в том банке, который технологически к этому готов.
– Представим, что 1 июля все начнет работать? Каковы потенциальные риски - скажем технические сбои, какие-нибудь риски преступного характера, еще что-то?..
- Чаще всего я слышу предположение «Вот ваши данные украдут и что дальше? Всю жизнь будете с украденными данными, скомпрометированными? Ведь биометрические персональные данные поменять невозможно»… Но, во-первых, давайте немножко доверять государству. Понятно, что ни ФСБ, ни те, кто проверял и решал вопросы с контролем информационной безопасности, просто так такому риску реализоваться не дадут. Ростелеком - оператор большинства государственных информационных систем. У нас почему-то не возникает боязни, что в единой системе идентификации уже давно хранятся наши паспортные данные. Понятно, что будут попытки, но - заметьте еще раз - мы говорим отдельно о ЕСИА и отдельно о ЕБС. Взломав ЕБС, сказать, кому какие данные принадлежат, невозможно. Более того, там хранятся шаблоны, а не сами данные. Поэтому да, угроза есть и это было одно из самых больших шоустоперов этого закона. Полгода ушло на то, что была составлена модель угроз и потенциальных решений.
– А введение такого принципиально нового подхода, на ваш взгляд, может создать новые бизнесы или, наоборот, убить какие-то старые?
– Оно создаст многие бизнесы, готов консультировать какие, но это - коммерческие вещи (улыбается). Недавно я начал считать, какие убьет… да, к сожалению, есть ряд хороших стартапов, которые будут вынуждены закрыть свой бизнес. Я думаю, вы понимаете, что большинство компаний в России не оценивают стратегические риски. Да, изменения, о которых мы говорим, - не только плюс, они для многих становятся стратегическим риском. Некоторые именно поэтому не хотят передавать данные своих клиентов в единую систему. Есть целые бизнесы, которые кардинально нужно будет переделывать, если они хотят выжить. Увы, я пока не вижу у банковских стратегов даже мысли в сторону: а что будет, если это заработает? Через три года база наполнится, значит, эта проблема проявится через пять лет. Значит, надо начинать думать сейчас, найти решение через год, через два - получить бюджет, за три года – реализовать.
P.S. Сеанс игры в нарды закончился со счетом 2:1 в пользу Эльмана Мехтиева.