12 декабря в Минске прошла конференция Digital Identity Day 2024, посвященная актуальным вопросам цифровой идентификации и верификации данных. На мероприятии обсуждались законодательные изменения, инновационные инструменты и подходы, а также ключевые аспекты улучшения клиентского опыта, упрощения процедур и соблюдения правил работы с персональными данными в процессе идентификации и аутентификации.
В конференции приняли участие 175 специалистов из банковской сферы, телекома, лизинговых, страховых и ИТ-компаний. Своим практическим опытом и экспертизой поделились представители из НКФО ЕРИП, Альфа Банк, Банк ВТБ (Россия), Беларусбанк, Белинвестбанк, МТБанк, Микро Лизинг, ТриИнком, Kufar, Revera и других компаний.
Отдельное внимание организаторы мероприятия уделили вопросам улучшения клиентского опыта в процедурах удаленной аутентификации, перспективам развития цифровой подписи и возможностями верификации данных в государственных информационных системах и ресурсах. В рамках дискуссии с участием представителей НЦЭУ, АВЕСТ, Цифровой гарантии и Расвиком Сервиса были выделены важные направления для улучшения текущих процессов и намечены перспективы их реализации. Digital Identity Day 2024 уже в шестой раз продемонстрировала важность темы цифровой идентификации для бизнеса.
Идентификация через МСИ в условиях законодательных изменений
Ольга Голобокова, заместитель начальника Управления развития, НКФО ЕРИП, в своём выступлении отметила новшества в законодательстве, регулирующем функционирование межбанковской системы идентификации (МСИ), а также рассказала о новых способах аутентификации в МСИ.
Новое в Указе 148
21 мая 2024 года вступила в силу новая редакция Указа Президента Республики Беларусь «О цифровых банковских технологиях» (далее Указ 148). Основные изменения расширили круг субъектов МСИ и определили список государственных информационных ресурсов для верификации данных клиентов.
Обновленная версия Указа 148 разрешает подключиться к МСИ новым участникам: поставщикам платежных услуг, не являющимся банками, агентам по идентификации, а также Агентству сервисизации и реинжиниринга и Агентству по возмещению вкладов.
«На сегодняшний день к межбанковской системе идентификации подключились шесть агентов. Большинство из них пришли по ходатайствам банков, также среди них есть агенты от лизинговых компаний. Кроме того, в скором времени к нам должно присоединиться Агентство по возмещению вкладов, которое уже успешно прошло тестирование своей информационной системы и готово к запуску в промышленный режим нашего сервиса для своих клиентов», — отметила спикер.
Также в Указе 148 теперь определен перечень конкретных государственных информационных ресурсов, с которыми МСИ верифицирует предоставленные банками данные. В него вошли Регистр населения Министерства внутренних дел, Государственный реестр плательщиков Министерства по налогам и сборам и Единый государственный регистр юридических лиц и ИП Министерства юстиции.
Новое в Инструкции 497
Нововведения затронули не только Указ 148, но и «Инструкцию о порядке функционирования межбанковской системы идентификации» (далее Инструкция 497).
Введен термин многофакторной аутентификации: с использованием двух или более разных видов аутентификационных данных. Ранее МСИ уже использовала для аутентификации биометрические документы, динамические пароли в связке с биометрическими персональными данным клиента, атрибутные сертификаты и (или) сертификаты открытого ключа проверки электронной цифровой подписи (ЭЦП). Однако этот список пополнил новый способ — сочетание статического и динамического паролей.
Также обновления в Инструкции 497 определили порядок присоединения агентов по идентификации к межбанковской системе. Главная особенность состоит в том, что юридическое лицо, с которым у агента заключен договор на удалённую идентификацию, должно подать ходатайство о его подключении.
Еще одно нововведение позволило банкам получать согласие клиента на верификацию данных в бумажном виде и дистанционно обновлять информацию без его аутентификации в МСИ.
Новое в Инструкции 379
С июня 2024 года начало действовать постановление Правления Нацбанка о внесении изменений в «Инструкцию об использовании программно-аппаратных средств и технологий» (далее Инструкция 379). Они затронули правила заключения кредитных договоров и договоров овердрафтного кредитования с использованием аутентификационных данных свойств объекта. Это значит, что теперь для получения онлайн-кредита нужно проходить биометрическую аутентификацию.
Также, чтобы использовать собранные биометрические данные, банки и финансовые организации сейчас должны проводить верификацию этих данных одним из трех способов: через МСИ, с помощью фотографии из чипа биометрического документа или во взаимодействии с ГИР.
Третье изменение коснулось определения аутентификационных данных владения. Теперь к ним относятся: ЭЦП, биометрический документ, SIM-карта, банковская платежная карта, токен и (или) данные, подтвержденные путем получения или генерации с использованием таких предметов, а также цифровой отпечаток мобильного телефона или компьютера.
Что изменится для пользователей МСИ
В скором времени статический пароль, используемый для многократного входа в МСИ, нужно будет подтверждать биометрией, ЭЦП или атрибутным вертификатом.
Также пользователям необходимо будет сменить логины. Раньше в качестве логина использовался номер телефона или индивидуальный идентификационный номер, указанный в паспорте, однако для большей надежности их заменит МСИ ID — комбинация символов, которую клиент задает самостоятельно.
Онбординг нерезидентов
Анастасия Титова, заместитель начальника Управления идентификационных сервисов, НКФО ЕРИП, познакомила участников конференции с новым перспективным сервисом МСИ, который позволяет нерезидентам пользоваться услугами белорусских банков.
Сервис трансграничной удаленной идентификации нерезидентов дает возможность банкам расширить базу клиентов за счет иностранцев, живущих в Беларуси, а также людей с биометрическими документами из других стран. Сервис уменьшает нагрузку на сотрудников, помогает сократить затраты, и выделяет банк, подключивший услугу, среди конкурентов. Кроме того, вход в информационную систему через МСИ надежный и безопасный, так как для аутентификации используется сертификат документа и биометрические данные клиента.
Сервис также несет ряд преимуществ для пользователей. Теперь, чтобы открыть счет, иностранцам не нужно посещать отделение белорусского банка и тратить деньги на билеты и проживание. Приложение IIS ID Reader позволяет удаленно пройти регистрацию за пять минут, а аутентификацию всего за две. Кроме того, клиент получает круглосуточный доступ к состоянию своих счетов и может в любой момент подключить дополнительные услуги.
На сегодняшний день уже три организации протестировали сервис аутентификации нерезидентов в МСИ, одной из них стал АСБ Беларусбанк. О том, как происходила интеграция и что получилось в итоге, рассказал Кирилл Норик, заместитель начальника управления цифровой трансформации, АСБ Беларусбанк.
Расширение географии клиентов стало одной из стратегических целей АСБ Беларусбанк. Чтобы реализовать идею, банк выбрал сервис МСИ.
«На рынке есть достаточное количество поставщиков, которые предоставляют решения по удалённой идентификации. Мы рассмотрели и проанализировали несколько кейсов, но в итоге склонились в сторону МСИ. Они используют только биометрические документы для аутентификации, что повышает уровень безопасности. Также протоколы межбанковской системы уже для всех знакомы, что упрощает интеграцию и сокращает доработки программного обеспечения и, как следствие, сказывается на стоимости», — рассказал спикер.
На стадии реализации проекта банк столкнулся с несколькими сложностями, которые удалось оперативно решить и улучшить сервис. Так, например, чтобы открыть счет в АСБ Беларусбанк, нерезидент должен предоставить нотариально заверенный перевод документа, удостоверяющего личность. Чтобы выполнить это требование при удалённой идентификации, специалисты банка попросили коллег из НКФО ЕРИП добавить функцию транслитерации данных клиента. Также в некоторых иностранных биометрических документах отсутствует идентификационный номер, что мешало внести нерезидента в систему. АСБ Беларусбанк решил эту проблему, используя уникальный идентификатор пользователя из МСИ.
Проект АСБ Беларусбанк по удаленному онбордингу нерезидентов уже прошел техническую проверку и готов к запуску в тестовом режиме в начале 2025 года.
Умная система управления доступом ВТБ Онлайн
Евгения Горбунова, product owner сервиса «Управление доступом ВТБ Онлайн» (Россия), рассказала об инновационных технологиях, которые предоставляют клиентам оперативный доступ к их средствам и обеспечивают высокую безопасность в эпоху процветания киберпреступлений.
Из-за роста атак на банковские сервисы клиенты все чаще обращаются в колл-центр для блокировки доступа к ВТБ Онлайн. Однако полная блокировка влечет за собой дополнительные, в том числе временные, затраты со стороны клиента на восстановление доступа, особенно если он находится за границей. Чтобы оптимизировать процесс без ущерба безопасности, Банк ВТБ предложил новую функцию — отвязка всех устройств.
«Как показала практика — это очень эффективный метод, который наши клиенты оценили. По статистике порядка 45% пользователей выбирают именно отвязку устройств, а не блокировку», — подчеркнула Евгения Горбунова.
Также в прошлом году Банк ВТБ ввел новый способ разблокировки карт через банкоматную сеть. Теперь клиенту не нужно идти в офис и ждать в очереди, для повторной активации достаточно найти ближайший банкомат. В определенный момент времени доля разблокировок карт в банкоматах достигала 38%.
Однако на этом Банк ВТБ не остановился и в 2024 запустил опцию разблокировки доступа с помощью карты с технологией NFC. Эта функция особенно важна для клиентов в разных частях света, у которых нет возможности обратиться в офис, найти банкомат или позвонить в колл-центр. Теперь достаточно приложить карту с NFC-чипом к смартфону и в течение одной минуты возобновить доступ к сервису ВТБ Онлайн. По словам спикера, данной услуге отдали предпочтение 35% пользователей.
В ближайшее время Банк ВТБ порадует своих клиентов еще одной новой функцией — режимом чтения. Read Only — опция, которая позволит ограничить доступ к финансовым операциям без блокировки личного кабинета ВТБ Онлайн. Например, если система банка заметит подозрительную активность в транзакциях, будет применен этот режим. Владелец счета сможет самостоятельно отключить Read Only. Для этого планируется также использовать технологию NFC.
Полный онлайн в открытии первых счетов ИП
В мае 2022 года Альфа Банк запустил услугу удаленного открытия первых счетов для индивидуальных предпринимателей. Это стало возможным благодаря реализации удаленной аутентификации ИП. Сразу после запуска 35% новых счетов начали открываться дистанционно.
О том, как работает процесс и что нужно для открытия счета онлайн, рассказала Ольга Фадеева, начальник отдела разработки и развития расчетных продуктов массового бизнеса, Альфа Банк.
Банк реализовал онлайн-открытие счетов для ИП, используя сервис аутентификации индивидуальных предпринимателей (ИП) через МСИ. Механика процесса следующая: Альфа Банк получает данные о физическом лице и об ИП из МСИ и дополнительно сверяет информацию о предпринимателе в Едином государственном регистре (ЕГР).
Теперь, для того чтобы удаленно открыть счет, индивидуальный предприниматель должен отправить запрос в Альфа Банк с мобильного устройства или компьютера. Процесс полностью автоматизирован: получение данных из открытых информационных систем, верификация, обработка информации от клиента, внесение сведений в учетные системы банка. По завершении всех операции в течение двух минут предприниматель получает счет. Если каких-либо сведений не хватает, банк попросит клиента сфотографировать или отсканировать документ, удостоверяющий личность, и добавить его в процесс. В таком случае по политикам безопасности клиенту нужно посетить офис банка, чтобы подтвердить личность.
Как сэкономить время на открытие счета для юридического лица в 5 раз
Процесс открытия первого счета для юридических лиц сложнее, чем для ИП: требуется больше сведений, включая учредительные и подтверждающие полномочия документы. При этом данных о связи между физическим и юридическим лицом нет в открытых системах.
Представители МТБанк Марина Малашенок, руководитель развития клиентского опыта в корпоративном блоке, и Анна Мостыка, начальник отдела развития цифровых каналов, поделились собственным опытом реализации удалённой аутентификации юридических лиц для открытия счетов онлайн. Такая возможность у клиентов МТБанк появилась совсем недавно.
МТБанк проанализировал стандартный путь юрлица и выяснил, что в среднем непрерывный процесс открытия счета занимает 3,5 часа. Сюда входит сбор документов, заполнение форм, визит в банк и проверка предоставленных сведений. Сотрудники банка задались вопросом, как можно сократить время процедуры, и обратились к Указу 148. Он гласит, что аутентификация клиентов может производиться без личного присутствия при наличии данных об этих клиентах в межбанковской системе идентификации.
В МСИ содержится информация о 209 000 ИП и 180 000 юридических лиц. Банки, небанковские кредитно-финансовые организации (НКФО) и Банк развития обязаны передавать данные о своих клиентах в МСИ. Благодаря этому система охватывает всех ИП и юридических лиц Беларуси. По состоянию на 1 декабря 2024 года 77% учетных записей юрлиц валидны. Это связано с тем, что данные, поступающие в систему, проходят дополнительную проверку в Едином государственном регистре (ЕГР), Министерстве по налогам и сборам (МНС) или других базах. Если информация не совпадает с этими источниками, учетные записи считаются невалидными.
Чтобы обеспечить надежную верификацию, МТБанк выбрал идентификацию юрлица через МСИ с двухфакторной аутентификацией с помощью сертификата ГосСУОК, который есть у всех юридических лиц.
Как это работает
Клиент заходит с компьютера через любой браузер в неавторизованную зону интернет-банкинга, вводит УНП и номер телефона, а затем проходит аутентификацию через МСИ с подключенным сертификатом ЭЦП и паролем ГосСУОК. Чтобы сократить время оформления заявки, в анкете предусмотрены подсказки и есть возможность предзаполнения полей сведениями из МСИ и ЕГР. После успешной аутентификации сотрудники банка дополнительно верифицируют данные юридического лица и при подтверждении информации в системе автоматически заводится договор и открывается счет. Так, единожды заполнив онлайн-заявку и пройдя удаленную аутентификацию, клиент может за 45 минут получить действующий счет с доступом в систему дистанционного банковского обслуживания (ДБО) и вести бизнес онлайн: проводить оплаты поставщикам, оформлять зарплатные договоры и карты личного дохода, увеличить оборотные средства за счет онлайн-кредитов и делать сбережения в один клик на депозитных счетах.
Дискуссия «Развитие дистанционной аутентификации и KYC: вызовы и возможности»
Представители бизнеса в своих выступлениях уделили много внимания вопросам улучшения клиентского опыта в процессах удаленной идентификации и аутентификации юридических лиц и продолжили разбирать эти темы в рамках дискуссии. В обсуждении приняли участие эксперты из Республиканского удостоверяющего центра НЦЭУ, Национального банка Республики Беларусь, Расвиком Сервис, АВЕСТ, Цифровая гарантия, Альфа Банк и Микро Лизинг.
Участники дискуссии обсудили ряд проблем, с которыми сталкиваются их компании и клиенты при удаленной аутентификации. Ниже представлен список ключевых вопросов, волнующих представителей бизнеса.
1. Новые юрлица не могут открыть расчетный счет (р/с) онлайн, поскольку их данных еще нет в МСИ, а для внесения в систему необходимо сначала стать клиентом банка. Также выпуск сертификата ЭЦП, который обязателен для удаленного открытия р/с, нужно оплачивать со счета, которого еще нет. Проводить аутентификацию через физическое лицо тоже невозможно, так как в открытых информационных системах нет связи между физическим и юридическим лицом для верификации его полномочий. Решением этой проблемы может стать интеграция данных из ФСЗН или МНС, где фиксируются сведения о приеме сотрудников, в МСИ или ЕГР.
2. Согласно Декрету №1 банкам для открытия счета необходимо предоставить учредительные документы, которые могут включать более 15 страниц. Для дистанционного открытия счета эти документы необходимо сканировать и распознавать. Это вызывает трудности у большинства клиентов и требует больших трудозатрат со стороны банка. Внесение электронной версии учредительных документов в ЕГР с регулярным обновлением могло бы устранить проблему сбора и проверки этих данных.
3. Чтобы пройти аутентификацию в МСИ как юридическому лицу с использованием ЭЦП ГосСУОК, клиентам приходится выполнить множество непривычных действий: установить и настроить AvTunProxy, вручную указать адрес прокси-сервера, добавить сертификат в криптоконтейнер через персональный менеджер, а в случае если юридическое лицо не зарегистрировано в МСИ, еще подтвердить данные в личных кабинетах МСИ и НЦЭУ. Также ЭЦП ГосСУОК можно использовать только в веб-версии. Сложность процесса нередко приводит к ошибкам или заставляет пользователей обращаться в офис вместо удаленного оформления.
Альтернативой в решении этого вопроса могут стать ID-карты или технология SIM ID. Однако ID-карты пока имеют низкий охват, а SIM ID пока не получила широкого распространения — в стране всего несколько центров выдачи данных ключей.
4. При организации аутентификации юридических лиц через МСИ данные о руководителе предоставляются в ограниченном объеме, и пользователи вводят эту информацию вручную. Однако эти данные уже имеются в системе как о физическом лице, и их можно было бы автоматически извлекать из МСИ при наличии согласия на их предоставление. Это поможет сэкономить время и избежать ошибок при заполнении. Также участники дискуссии выразили пожелание повысить валидность данных об ИП и юридических лицах в межбанковской системе идентификации с текущих 77% до 100%.
5. Опыт участников дискуссии показал, что использование биометрии для аутентификации снижает конверсию, поэтому биометрические данные стоит использовать только в процедурах с высоким риском. По словам Ольги Фадеевой, начальника отдела разработки и развития расчетных продуктов массового бизнеса, Альфа-Банк, введение биометрической аутентификации при открытии счетов физическими лицами снизило конверсию на 7%. Дополнительные шаги в оформлении заявок всегда отсеивают часть клиентов, однако отсутствие камер на устройствах, технические сложности с распознаванием и страх пользователей предоставлять свои биометрические данные третьим лицам еще больше усугубляют процесс.
6. Чтобы получить номера в ГАИ для автомобилей, приобретаемых в лизинг, необходимо предоставить бумажный договор. С такой сложностью клиенты сталкиваются и в других учреждениях и процессах, что ставит под сомнение целесообразность использования электронных договоров. Представители бизнеса считают, что для упрощения процедур можно использовать системы межведомственного документооборота (СМДО).
В процессе дискуссии эксперты из государственных организаций рассказали, какие проекты сейчас ведутся для решения перечисленных проблем.
Популяризация ID-карт и внедрение новых сервисов
В первую очередь — это популяризация ID-карт и внедрение новых сервисов, которые будут доступны для владельцев биометрических карт. ID-карта уже содержит встроенный сертификат ЭЦП, который выпускается сроком на 10 лет. Это значительно упрощает доступ ее обладателя к удаленным услугам, обеспечивая высокую безопасность в процессах аутентификации и цифрового взаимодействия.
Облачная ЭЦП: решение для мобильных устройств
Также скором времени электронную цифровую подпись можно будет использовать и на мобильных устройствах.
«В следующем году планируется запуск облачной ЭЦП. Онлайн-сервис позволит пользователям создавать электронную цифровую подпись через мобильное устройство. Закрытый ключ будет храниться в защищенном облаке, а доступ к нему — подтверждаться через мобильное устройство, что обеспечит удобство и высокую безопасность», — отметил Александр Скобов, директор АВЕСТ.
Цифровой отпечаток устройства как надежный фактор аутентификации
Вероника Тананайко, начальник управления цифровых технологий Национального банка РБ рассказала о легитимизации цифрового отпечатка мобильного телефона или компьютера для аутентификации. Это нововведение открывает возможность использовать технические характеристики устройств для безопасной аутентификации. Благодаря фрод-мониторингу банковское сообщество научилось распознавать эти отпечатки, и практика показала, что это значительно улучшает клиентский опыт.
Развитие биометрической аутентификации
Национальный банк РБ также видит перспективу использования биометрии в процессах аутентификации. Как упоминалось ранее, теперь согласно Инструкции 379, финансовые организации могут собирать самостоятельно биометрические данные клиентов и осуществлять их аутентификацию без МСИ. Это способствует более широкому применению биометрии, однако оставляет вопрос сертификации программных средств. Согласно законодательству, сертификация должна проводиться аккредитованной лабораторией, но в Беларуси пока нет национальных стандартов и организаций, которые могут подтвердить соответствие. Тем не менее это направление имеет потенциал для дальнейшего развития.
Смарт-контракт для цифрового взаимодействия
Также участники дискуссии обсудили возможности внедрения смарт-контрактов, которые быстро и беспрепятственно позволят обмениваться электронными документами с различными инстанциями и автоматически контролировать исполнение договорных отношений.
Баланс между рисками и удобством
Кроме того, представители государственных учреждений обозначили, что важно соблюдать баланс между рисками и удобством клиентского пути. Излишняя простота аутентификации порождает дополнительные угрозы безопасности, поэтому законодательные органы пытаются совершенствовать эти процессы постепенно и обоснованно.
Конференции Digital Identity Day 2024 осветила преимущества и возможности цифровой идентификации и верификации для клиентов и бизнеса. Мероприятие затронуло важные вопросы, решение которых поможет сделать процессы удаленной аутентификации и сопутствующие сервисы еще более доступными и удобными для пользователей. Однако усовершенствование инструментов и методов цифровой идентификации и аутентификации требует комплексного подхода и скоординированных усилий государственных учреждений и коммерческих компаний.
Для того чтобы не пропустить анонс следующей конференции, следите за обновлениями на официальном сайте мероприятия dgline.by/did
Организатор: Digital Line
Соорганизатор: НКФО «ЕРИП»
Партнер: ООО «СМАРТ ПЭЙ КОМПАНИ»
BelRetail.by – это специализированный интернет-ресурс о розничной торговле и e-commerce в Республике Беларусь: актуальная информация о событиях отрасли, статьи, мнения; каталог ритейлеров, вакансии, профильное обучение, акции и бонусные предложения.
