KYC — идентификация и верификация. Кому и зачем нужно «знать своего клиента»?

Процедура KYC (кей-уай-си, сокращение от англ. know your customer) или «Знай своего клиента» предусматривает проверку данных нового пользователя с целью верифицировать его личность для доступа к услугам финансовой организации. Смысл KYC в том, чтобы убедиться: новый пользователь — идёт ли речь о верификации физических лиц или о корпоративных клиентах — именно тот, за кого себя выдаёт, и за цифровым профилем не скрывается мошенник, похитивший чужие персональные данные или использующий подставных лиц. Самое важное в современных реалиях — убедиться в этом быстро.

Похищенные персональные данные и фотографии дают мошенникам возможность сфабрикировать цифровую личность и выдать себя за другого человека. Так регистрируют теневые аккаунты для сомнительных финансовых операций. Проверка KYC на базе современных технологий — искусственного интеллекта и биометрической верификации — позволяет компаниям отсекать мошенников на самом первом этапе, в процессе регистрации аккаунта, а значит — беречь репутацию и рейтинг.

От чего защищает KYC?

Процедура «знай своего клиента» нужна, чтобы противодействовать отмыванию денег (AML — anti-money-laundering), финансированию терроризма (CTF — counter terrorist financing) и уклонению от уплаты налогов (Tax Avoidance).

Отмывание денег широко распространено во всём мире. В ООН говорят, что объём отмытых средств составляет от 2% до 5% мирового ВВП (до 2 трлн долларов США). Мошеннические схемы угрожают и здоровью финансовой системы, и репутации бизнеса. Если угроза нечистоплотных действий извне неизбежна, важно предпринимать разумные меры безопасности. Проверка документов клиента по методике KYC — первый шаг в протоколе борьбы с отмыванием денег (AML): так банки ограничивают деятельность преступных и террористических групп.

KYC для бизнеса — это обязательно? Кому проверка не нужна?

В России проверки по принципу KYC регулирует государство. Закон против отмывания денег и положение Банка России об идентификации кредитными организациями клиентов предписывают финансовым организациям знать, кто их клиент. В то же время, например, страховые компании могут к строгим процедурам KYC не прибегать.

И всё же проверка KYC необходима не только компаниям финансового сектора, но и других отраслей. Аргумент — простая, быстрая и безопасная регистрация новых пользователей. Именно по этой причине KYC полюбили букмекерские компании, казино и другие организации с активным денежным оборотом.

Три компонента KYC

1. Идентификация клиентов — подтверждение личности для физических и юридических лиц. На этом этапе устанавливают, что за персональными данными стоит подлинная личность, а не мошенник. В случае с юрлицами устанавливаются бенефициары. Этап включает:
   • Проверку документов (государственный документ, удостоверяющий личность, проверяют на предмет подделки).
   • Проверку лица и присутствия клиента во время транзакции (liveness).

   Верификация — главный этап в процедуре KYC.

2. Сбор дополнительных данных о клиентах для профиля риска. Клиент с более высоким уровнем риска потребует дополнительной проверки.
3. Непрерывный мониторинг. Активность и статус клиента регулярно проверяют на протяжении всей истории отношений с ним. Масштабы и частота мониторинга зависят от профиля рисков.

Что такое KYC для регулятора, бизнеса и клиента: разница восприятия

Если для регулятора KYC — это про то, как организации соблюдают протокол безопасности, то для бизнеса — это задача пройти между Сциллой и Харибдой: умиротворить регулятора, сохранить публичную репутацию и не навредить пользователю, не усложнить ему путь лишними действиями. Этап KYC не должен отнимать много времени и должен быть максимально бесшовным.

Для клиента лишние действия в процессе регистрации — это просто проволочка и бюрократия, которую никто не любит.

Технологии распознавания лиц и распознавания символов (OCR) как способ упростить KYC-проверку

Быстро идентифицировать пользователя и проверить его цифровой профиль на аутентичность помогают современные технологии: компьютерное зрение для распознавания лиц (face recognition), символов (OCR — optical characters recognition) и машинное обучение.

Эти технологии работают на базе нейросетей и демонстрируют высокую точность распознавания: качество распознавания печатного текста составляет 96–99% при разных шрифтах и условиях освещения. Технологии распознавания лиц справляются со своей задачей даже при частично скрытом лице — например, в медицинской маске.

KYC-модуль встраивается в форму онлайн-регистрации на сайте или в приложение. Пользователю достаточно загрузить в специальное окно фотографию паспорта и селфи. Нейросетевой модуль сам сличит фото на паспорте с фотографией-селфи или изображением на селфи-видео.

Если на первом этапе всё в порядке и машина «понимает», что пользователь — реальный человек с корректными документами, остальные проверки проходят в фоновом режиме. Пользователь получает готовый результат — разрешение или запрет на регистрацию аккаунта. При этом решается одна из основных задач — быстрая аутентификация (онбординг). Зарегистрироваться можно практически с любого современного устройства: смартфона, планшета, ноутбука, компьютера.

Как выглядит современное KYC-решение и как оно работает?

Ещё несколько лет назад клиент должен был лично прийти в банк с документами. Развитие технологий позволяет свести этот маршрут к нескольким загруженным фотографиям и нескольким кликам.

Модуль KYC даёт возможность просто и быстро загрузить для проверки документ — например, паспорт, а также свою фотографию или видео, только что снятые на камеру смартфона. Актуальна технология liveness — проверка персоны на живость и актуальное присутствие во время транзакции, что позволяет бороться с дипфейками.

Загруженные данные попадают в контур распознавания, где благодаря технологиям распознавания лиц и символов информация переводится в машиночитаемый вид. После этого машина проводит ряд первичных проверок, позволяющих пользователю зарегистрировать аккаунт.

Решение — максимально невидимое для пользователя. Он даже не знает, что за процедуру он проходит, но понимает: это нужно для безопасности.

А что по безопасности обработки данных? Какие варианты решений?

ПО для KYC-проверок поставляется компаниям как SDK (software development kit) или в виде облачного сервиса с подпиской или тарификацией за зарегистрированного пользователя.

Облачный сервис — более экологичный подход, соответствующий принципам ESG-развития. Позволяет быстрее проводить вычисления, разворачивать новые клиентские сервисы и существенно экономить на ИТ-инфраструктуре. Верификатор работает удалённо, при полном соблюдении безопасности — с деперсонализацией и шифрованием. Он видит данные фрагментарно — только ту часть, по которой есть вопросы.

SDK-решение («коробка») хранит данные в контуре организации, что воспринимается как более безопасное с точки зрения персональных данных. Однако верификатор должен работать в контуре заказчика — то есть быть штатным сотрудником компании. Это исключает полную автоматизацию процесса и требует найма дополнительного персонала.

Наиболее существенная разница — в организации верификации: на чьей стороне находится оператор и как именно обрабатываются спорные случаи при низком уровне уверенности системы (блик на фото, нестандартный ракурс, особенности шрифта).

KYC-решение от Биорг и VisionLabs

Компания Биорг объединила экспертизу в области оцифровки документов и распознавания изображений с опытом компании VisionLabs — одного из мировых лидеров в области распознавания лиц в оптическом потоке. Результатом стал отечественный продукт «Биорг.Идентификация» для верификации пользователей по документам и биометрическим данным (селфи-фото и видео).

Преимущество решения в том, что с его помощью можно не только быстро идентифицировать пользователя, но и сразу перенаправить нужные данные в карточку информационной системы. Таким образом время обработки клиентских заявок сокращается в 2–3 раза. Данные обрабатываются с соблюдением всех требований безопасности, что подтверждается сертификатами ФСТЭК и ФСБ.

Интеграция процесса KYC в онлайн-регистрацию помогает установить все необходимые факты гладко и бесшовно. В большинстве случаев новая регистрация — это добропорядочный пользователь, который не должен ощущать регуляторного давления. Выявлять мошенников, а не отпугивать законопослушных клиентов — такова бизнес-логика, ориентированная на привлечение новых пользователей.

Часто задаваемые вопросы