Блог

Основой деятельности любой организации, в частности в интернете, стало доверие. Любое взаимодействие клиента и компании, платформы, финансовой структуры, криптобиржи и прочих организаций начинаются не с непосредственного сотрудничества, а с идентификации пользователя. Именно эту функцию и выполняет KYC.

Что такое KYC

Согласно данным финансового портала Investopedia KYC (Know Your Customer) — это совокупность нормативных и технологических процедур, которые различные организации используют для проверки и подтверждения личности своих клиентов, оценки уровня риска и выявления признаков подозрительной деятельности. Это основной инструмент достижения регуляторных требований.

Это подтверждает и Майк Слау, ведущий инженер по информационным системам в Amazom Business, в интервью для Identity Week:

Финансовые учреждения со своими строгими стандартами KYC (Знай своего клиента) предоставляют ценные уроки для электронной коммерции. Заимствование этих методов верификации может помочь Amazon и другим компаниям лучше разобраться в своих клиентах, адаптировать опыт под их потребности и повысить защиту на глобальном уровне

Сам Amazon, по словам Майка Слау,  рассматривает аутентификацию как непрерывный процесс, а не как разовое событие:

Все начинается с проверки личности пользователя при входе в систему, но оценка рисков проводится на протяжении всей сессии, отслеживая необычное поведение или сигналы, чтобы обеспечить постоянную уверенность в личности пользователя

Простыми словами, KYC — это безостановочный процесс, помогающий компании ответить на вопрос: «Кто этот человек и можем ли мы ему доверять?»

Основные задачи KYC-проверки: 

• Идентификация и верификация личности клиента на основе его данных;
• Обеспечение соответствия глобальным регуляторным требованиям;
• Снижение рисков мошенничества;
• Выявление потенциально незаконных операций (отмывание денег, финансирование терроризма)

Виды KYC: традиционный, электронный и гибридный

На практике KYC используется в трех основных форматах в зависимости от организации, степени риска и требований регулятора.

1. Традиционный (офлайн) KYC

Офлайн KYC — это базовая, начальная модель идентификации, характеризующаяся личным присутствием клиента в отделении компании. При такой системе сотрудник организации вручную проверяет документы, задает вопросы и заполняет формы.

Этот формат до сих пор частично используется в банках и организациях с физическими точками. 

Преимущества:

• Офлайн-формат не позволяет применять современные способы мошенничества, основанные на цифровых инструментах (дипфейк, подмена документов через цифровые каналы).

Недостатки:

• Низкая масштабируемость и высокие операционные расходы;
• Невозможность обслуживания удаленных клиентов;
• Длительные сроки обработки заявок;
• Ручные ошибки и отказ потенциально успешных заявок.

2. eKYC (electronic KYC)

Согласно отчету Reconnaissance в сфере защиты документов происходит революция: общество переходит от использования физических документов, таких как банкноты и удостоверения личности, к использованию смартфонов и электронных платежных карт для финансовых транзакций и в качестве носителей своих идентификационных данных. В связи с этим и привычная KYC-система трансформировалась в eKYC — полностью автоматизированную цифровую версия традиционного процесса KYC-идентификации, при которой клиент проходит проверку удаленно через мобильное приложение или веб-платформу. 

eKYC — это не отдельное регуляторное требование, а способ цифровой реализации KYC, основанный на искусственном интеллекте и машинном обучении. При этом, как отмечает Майк Слау, ведущий инженер по информационным системам в Amazon Business, ИИ в равной степени является как инструментом для создания атак, так и оружием для их противодействия. Сам Amazon, по словам Майка Слау, использует ИИ для выявления аномалий в огромных массивах данных и идентифицирует с его помощью различные схемы мошенничества.

В ходе электронной KYC-проверки используются документы (удостоверение, права и пр.), а также сэлфи, сделанное пользователем в реальном времени. Онлайн-формат идентификации часто включает в себя биометрическую проверку личности пользователя.

Преимущества:

• Масштабируемость — одновременная обработка тысяч клиентов;
• Доступность 24/7 из любого места, оснащенного интернетом;
• Снижение операционных расходов на 60-90%
• Минимальное участие сотрудников — снижение ручных ошибок и повышение конверсии;

Недостатки:

• Требует наличия интернета и смартфона;
• При отсутствии механизмов защиты от современных атак система eKYC может быть уязвима к цифровым видам мошенничества.

3. Гибридный KYC

Гибридный KYC — это комбинация автоматизированных систем электронной версии и ручной проверки традиционной версии.

Такая проверка используется когда алгоритм eKYC не уверен в выданном результате. В этом случае решение принимается системой и специалистом по комплаенсу совместно, квалифицированный сотрудник вручную рассматривает необычный случай и принимает окончательное решение.

Сценарии применения гибридного подхода:

• eKYC-система возвращает результат с высоким риском (например, клиент находится в санкционном списке);
• Процент “живости” пользователя недостаточно высок (<95%);
• Проверяемый документ поврежден, размыт или содержит дополнительные элементы;
• И другие.

Структура KYC: из каких компонентов состоит система

Система KYC состоит из стека взаимосвязанных технологий, объединенных в единую цепочку по принятию решений. Каждая из них выполняет определенную функцию в процессе обработки личности клиента. 

1. Модуль распознавания и проверки документов (Document Recognition)

Первым шагом в KYC-системе является модуль, отвечающий за распознавание и проверку документов. Он включает в себя следующие элементы:

•   Камера мобильного приложения — специализированный интерфейс для фотографирования документов с функцией подсказки (показывает область для съёмки, проверяет степень освещения, угол);

•   OCR (Optical Character Recognition) — извлечение текстовых данных (ФИО, дата рождения, серия и номер документа);

•       Валидация документов — проверка формата, контрольных сумм, соответствия стандартам ISO;

•     Проверка MRZ-зоны.

2. Модуль распознавания живости (Liveness Detection) 

Модуль распознавания живости — это один из важнейших этапов системы, основанный на биометрической проверке. В ходе проверки используется компьютерное зрение и машинное обучение для выявления мошенничества и подмены лица:

•   Liveness Detection — технология, подтверждающая, что за экраном находится реальный человек, а не распечатанное фото или подставленное изображение;

•   Anti-spoofing — защита от современных цифровых атак (выявляет использование дипфейков, ИИ-атак, масок)

3. Модуль сопоставления лиц (Face Comparison) 

Сравнивает селфи клиента с его фотографией в документе. Использует технологии:

•   Глубокие нейронные сети (Deep Learning) для создания биометрического отпечатка лица;

•   Расчёт коэффициента схожести (similarity score) между двумя изображениями;

•     Учет возрастных изменений, макияжа, прически и угла съемки.

Технология проверки лица может значительно снижать случаи мошенничества с использованием чужой личности. Так, первые международные испытания подобного решения дейтинговой платформой Tinder показали снижение риска мошенничества на 60%. Вместе с этим руководитель отдела доверия и безопасности Match Group, владельца Tinder, Йоэль Рот сообщает:

Face Check, пожалуй, самая эффективная функция безопасности, которую я видел за свою 15-летнюю карьеру

4. Модуль санкционной проверки (AML & CTF)

Проверяет наличие данных клиента в санкционных списках:

•   OFAC (Office of Foreign Assets Control) — санкционный список США;

•   EU Consolidated List — санкционный список Евросоюза;

•   Санкционные списки других стран;

•   Международный Перечень организаций и лиц, причастных к террористической деятельности (Сводный санкционный Перечень Совета безопасности ООН);

•   Базы данных мошенников и киберпреступников — в том числе собственные базы/черные списки финансовых учреждений и прочих.

5. Модуль оценки рисков (Risk Scoring)

Вычисляет общий рейтинг риска на основе множества факторов:

•   Географические факторы (страна происхождения, территория проживания);

•   Возраст и история активности клиента;

•   Качество документов и уровень уверенности системы;

•     Поведенческие сигналы (необычный паттерн активности, скоростная регистрация множественных аккаунтов).

6. Анализ транзакционной активности

KYC не перестает работать после регистрации клиента. На последующих этапах система регулярно перепроверяет данные о пользователе. Критичность пост-анализа пользователей описывает и Кристина Хулка, исполнительный директор Secure Technology Alliance:

Специалисты в области идентификации на протяжении последних лет переопределяют смысл понятия "вход в систему". Аутентификация перестала быть разовой процедурой входа, которая происходит один раз и потом исчезает на фоне. Она все чаще становится постоянным, контекстно-ориентированным решением, которое определяет, что может сделать пользователь и какие действия может предпринять злоумышленник.

Это изменение выходит за рамки технологии идентификации, поскольку наиболее критичные действия в цифровом мире — это не входы в аккаунты, а транзакции. Добавление платежной карты в цифровой кошелек, инициирование перевода средств, изменение данных профиля или подтверждение рискованной покупки — все эти операции требуют ответа на один вопрос: можем ли мы доверять этому пользователю настолько, чтобы позволить перевести средства прямо сейчас?

В рамках последующего мониторинга система постоянно анализирует:

• нетипичную активность;
• изменение поведенческого профиля;
• связи с высокорисковыми адресами;
• дробление операций;
• географические аномалии.
  

Этот компонент тесно связан с системами AML-мониторинга.

Ограничения KYC

Несмотря на свою важность, система KYC имеет определенные рамки, которые необходимо учитывать участникам индустрии. В зависимости от выбранного поставщика и его возможностей пользователь может столкнуться со следующими препятствиями:

1. Технологические ограничения

•   Качество камеры и интернета — в случае, если KYC-технологии не адаптированы для слабых устройств размытые фото, плохое освещение или низкая скорость сети могут привести к неудачным проверкам;

•   Распознавание лиц может работать хуже для некоторых этнических групп если обучение алгоритмов проводилось на несбалансированных наборах данных. Так, согласно исследованию NIST (National Institue of Standards and Tevhnology), точность распознавания лиц может отличаться в зависимости от группы пользователя;

•   Уязвимость к дипфейкам и синтезированным видео — eKYC технологии нуждаются в грамотно выстроенных механизмах защиты от современных способов атак;

•      Несовместимость форматов документов — система распознавания документов обучена на паспортах и правах развитых стран. При этом документы из малоизвестных территорий могут быть обработаны неправильно в случае, если база документов поставщика изначально небольшая.

2. Нормативные ограничения

•   Разные регуляции в разных странах — локальные законы различных стран предполагают необходимость в адаптации технологий поставщика в странах работы его клиентов;

•   Требования к согласию — клиент должен дать явное согласие на обработку биометрии и персональных данных.

3. Социальные и этические ограничения

•   Финансовая исключённость — жители некоторых стран (особенно развивающихся) не имеют актуальных удостоверений личности, что блокирует доступ к финансовым услугам;

•      Приватность и доверие — сбор и хранение биометрических данных вызывают опасения у клиентов по поводу безопасности их информации. Технологии поставщика KYC идентификации должны соответствовать местным законам о персональных данных. 

4. Экономические ограничения

•   Операционные расходы на ручную проверку — несмотря на автоматизацию, гибридный KYC требует хотя бы небольшой команды экспертов для обработки неоднозначных случаев;

•       Стоимость ложных отказов — неправильно выстроенная система может отказать легитимным клиентам, что приводит к репутационным и экономическим потерям.

5. Операционные ограничения

•   Зависимость от третьих сторон — качество KYC зависит от надежности выбранных поставщиков.

•     Отставание от мошенников — с каждым днем появляются все новые методы мошенничества. В связи с этим критическое значение имеет постоянная адаптация поставщика KYC услуг к новым способам атак. 

Заключение

KYC — это не просто бюрократическая процедура, а стратегическая инфраструктура, которая защищает как финансовую систему, так и ее участников. Эволюция от классического офлайн-KYC к электронному и гибридному подходам отражает баланс между инновацией, безопасностью и доступностью.

Однако ни одна система не идеальна. Существующие ограничения — от технологических до этических — требуют ответственного выбора поставщика, сотрудничества между регуляторами и индустрией, а также инвестиций в исследования.

Организации, которые понимают как возможности, так и ограничения KYC, смогут эффективнее использовать эту технологию для построения доверия с клиентами и соответствия нормативным требованиям в глобальной экономике.