Центральный банк изучил международный опыт развертывания систем идентификации, и считает наиболее релевантными проекты в Индии (E-KYC) и Беларуси. «Надо развивать то, что уже построено, — заметила на форуме Финополис-2016 Ольга Скоробогатова, заместитель председателя Банка России, — использование государственной ЕСИА (Единая система идентификации и аутентификации) — наиболее оптимальный вариант». Реализация других сценариев, организация децентрализованной системы с консорциумом банков или построение специально созданной государственной системы потребуют гораздо больше времени и ресурсов.

Разработанная Центробанком и Минкомсвязи концепция предполагает следующий алгоритм. Первичная идентификация предполагает личное присутствие в банке, в рамках традиционной процедуры клиент также сможет получить данные учетной записи ЕСИА. В последующем он сможет обращаться в другие финансовые организации, с которыми раньше не имел дела, а его удаленная идентификация будет происходить через ЕСИА. При этом банк сможет получить от государственного оператора данные клиента, необходимые для идентификации в рамках Закона № 155-ФЗ. Важно, что банки будут иметь возможность проводить дополнительную проверку пользователя.

На портале госуслуг, который оперирует возможностями ЕСИА, уже зарегистрированы 35 млн граждан, напомнил Алексей Козырев, заместитель министра связи и массовых коммуникаций. Как в реальном мире существует основной документ — паспорт, так и в электронном виде должен появиться универсальный идентификатор для получения государственных, финансовых услуг и вообще для совершения любых юридически значимых сделок. Он может использоваться, например, операторами связи для заключения договора и продажи абоненту sim-карты без его личного присутствия. Г-н Козырев упомянул о существующих проблемах с достоверностью данных в базах различных ведомств. С развитием системы актуализация будет происходить при каждом факте обращения, что позволит избежать многих проблем.

Разработана и проходит апробацию в двух банках (судя по слайдам, один из них — Сбербанк) технология получения информации из пенсионного фонда через ЕСИА. Банк запрашивает у потенциального заемщика разрешение на доступ к его данным в системе Пенсионного фонда, клиент подтверждает согласие через личный кабинет на портале госуслуг; предусмотрен и упрощенный вариант — через sms. В конце ноября — начале декабря может быть объявлено о запуске и первых результатах этой инициативы.

Представители других ведомств были более сдержанны в оценке перспектив удаленной идентификации. Павел Ливадный, заместитель директора Росфинмониторинга, акцентировал внимание на контроле за рисками. «Если некритично относиться к инновациям, можно потерять профилактическую составляющую, которая лежит в основе нашей деятельности», — сказал чиновник.

Особенно на первоначальном этапе банки должны быть готовы к ограничению возможностей для клиента, не прошедшего очную идентификацию. Это касается ограничения перечня операций и лимитов на суммы, возможности открывать счета юридических лиц. Финансовая активность таких клиентов должна находиться под особым контролем, у них могут быть затребованы разъяснения о происхождении денежных средств. Примерно такой подход практикуется в Индии, где «заочники» находятся под усиленным контролем в течение первых шести месяцев.

Особые требования возникают к оператору сервиса и его информационной системе — это касается уровня безопасности, гарантирующего защиту от проникновения и похищения персональных данных. Риски, которые могут возникнуть при использовании любого способа идентификации, лежат на финансовой организации, напомнил Павел Ливадный, с нее не снимаются обязанности анализа финансовой активности, не отменяется право отказа в обслуживании.

Идеологи проекта, конечно, держат вопросы безопасности в фокусе — это стало ясно из продолжающейся на Форуме дискуссии. В Центробанке априори предусмотрели ограничения функционала, лимитирование операций для клиентов с флажком «удаленная ID» и в целом ориентируются на риск-ориентированный подход. Алексей Козырев из Минкомсвязи рассказал о технической стороне вопроса. IT-решение ЕСИА и система работы с персональными данными сертифицированы и аттестованы уполномоченным органами, проходят регулярные детальные проверки ФСБ.

Выступление представителя налоговой службы Татьяны Матвеевой несколько снизило градус воодушевления аудитории. Она напомнила о похищенных 350 млн рублей у пользователей android-гаджетов, низкий уровень грамотности населения в части финансов и информационной безопасности. «Если украдут ключ от всех замков — это катастрофа для отдельного человека, но если базу таких ключей — это уже национальная трагедия», — обозначила масштаб вероятных угроз чиновник ФНС. По ее мнению, нужен основательный подход: сначала проведение научных исследований, выработка отраслевых стандартов и правовых актов, а затем уже практическое внедрение вкупе с масштабной образовательной программой.

Впрочем, вряд ли такая многолетняя перспектива придется по душе игрокам рынка. «Мы и так уже сильно запаздываем в этом вопросе, — говорит Ольга Скоробогатова, — к нам поступают тысячи обращений по вопросам удаленной идентификации». Тем не менее евангелистам удаленной идентификации приходится принимать во внимание мнение более консервативных организаций.Настораживает тот факт, что мало что известно о позиции МВД, которая может иметь решающее значение в этом вопросе. Другим сдерживающим фактором может стать технологическое развитие системы — про целевое финансирование проекта ничего не говорится. Задействованные в проекте ведомства рассчитывают, что доработки ЕСИА будут проходить в бюджете Минкомсвязи, но: насколько они будут приоритетны в структуре министерских затрат, неясно.