Идентификация, которой нет

На днях аналитики Goldman Sachs опубликовали отчет, в котором упоминалось о бреши в системе идентификации пользователей платежной системы QIWI, что вызвало падение стоимости акций компании на NASDAQ и Московской бирже. По мнению участников фондового рынка, неработающая процедура идентификации может привлечь к компании нежелательное внимание Банка России. Портал Банки.ру разбирался, как обстоят дела с идентификацией плательщиков у популярных систем электронных платежей.

Все лето платежные системы бодрыми пресс-релизами сообщали об успешном внедрении процедуры упрощенной идентификации плательщика, в соответствии с принятым в мае этого года законом № 110-ФЗ. Он внес пакет так называемых антитеррористических поправок к законам 163-ФЗ «О национальной платежной системе» и 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем».

С 16 мая анонимный плательщик не может ни оплачивать покупки в зарубежных интернет-магазинах, ни перечислять деньги физическим лицам. Между тем большинство пользователей электронных кошельков анонимны изначально, так как регистрация в системе и создание кошелька производятся по Интернету, а туда пока еще пускают без предъявления паспорта. Чтобы стать плательщиком неанонимным, нужно пройти процедуру идентификации, что до 16 мая можно было сделать, явившись в офис компании или ее агента и предъявив паспорт.

110-ФЗ ввел новую процедуру упрощенной идентификации, призванную облегчить жизнь честным плательщикам. Теперь пользователь имеет право просто указать данные паспорта и второго документа – СНИЛС, ИНН или номер полиса ОМС на выбор. При этом платежная система должна проверить истинность этих данных, что требует интеграции с государственными информационными системами. Как писал портал Банки.ру в мае, это вызвало некоторое смятение в рядах руководства компаний – ведь анонимные платежи урезали сразу, а госорганам наладить информационное взаимодействие с платежными системами закон предписал только к 1 октября. И уже с 1 ноября платежные компании обязаны предоставлять клиентам выбор из всех указанных в законе способов идентификации.

Таковых три: идентификация через предоставление оригиналов документов либо заверенных копий, с использованием информации из информационных систем органов государственной власти, Пенсионного фонда России, Фонда обязательного медицинского страхования и через портал госуслуг с использованием электронной подписи. Наиболее удобен для плательщика второй способ – не надо никуда ехать, нужно лишь вбить данные в форму на веб-сайте.

Проблема только в том, что, по сообщениям из нескольких источников, обмен данными с государственными организациями пока не налажен – то есть упрощенная идентификация не работает, как задумано законодателями. «У нас процедуры именно упрощенной идентификации нет, по той причине, что необходимая инфраструктура от государственных институтов ими пока не представлена, хотя закон и описывает то, какой она должна быть, и даже называет срок – с 1 ноября 2014 года, – рассказала порталу Банки.ру начальник управления развития продуктов электронной коммерции Альфа-Банка Елена Бочарова. – Как показала история с QIWI, можно утверждать, что процедура идентификации работает и все в порядке, но лишь до первой проверки. Закон очень прямо указывает, как должна проводиться идентификация, но инфраструктура со стороны государства до сих пор не готова».

Как сообщили порталу Банки.ру в пресс-службе Федеральной налоговой службы (ФНС), «пунктом 3 статьи 5 федерального закона №110-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» предусмотрено безвозмездное обеспечение возможности использования кредитными организациями соответствующих информационных систем в целях осуществления ими упрощенной идентификации клиентов – физических лиц в соответствии с требованиями федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в порядке, установленном правительством Российской Федерации, который на настоящий момент не определен. Вместе с тем кредитные организации для проведения процедуры упрощенной идентификации клиентов – физических лиц до принятия указанного выше документа могут воспользоваться сервисом ФНС России на сайте nalog.ru «Узнай свой/чужой ИНН» по ссылке http://service.nalog.ru/inn.do».

Получается, что все сроки вышли, а порядок подключения к государственным информационным системам так и не определен. При этом требования по ограничению анонимных платежей действуют уже полгода. Каждая платежная система выкручивается, как может.

1 ноября наступило и прошло, и портал Банки.ру провел небольшое тестирование популярных электронных кошельков, чтобы выяснить, какие способы идентификации они предлагают своим пользователям. Мы регистрировались в системе, пытались пройти упрощенную идентификацию, указав некорректные данные, и проверяли, позволит ли система провести какие-либо платежи, запрещенные для анонимных плательщиков.

«Деньги@mail.ru» позволяют идентифицироваться с помощью предоставления паспорта в офисе компании (полная идентификация, она же первый способ упрощенной идентификации), через платежную систему C ontact (сделав перевод в адрес компании «Деньги.Мэйл.Ру» с предъявлением паспорта) или указав Ф. И. О., серию и номер паспорта, дату рождения, пол, ИНН и номер телефона. Последний случай и есть, по сути, упрощенная идентификация, но работает она не быстро: пользователь получает предупреждение, что подтверждение данных занимает до двух рабочих дней. Перевести деньги с неидентифицированного кошелька «Деньги@mail.ru» на банковскую карту у нас не получилось.

«Тинькофф Мобильный Кошелек» может идентифицировать клиента двумя способами – упрощенно или по полной процедуре. Упрощенная проводится через Интернет, полная подразумевает встречу с представителем банка. Попытку ввода неправильного номера паспорта и ИНН система отловила сразу. Только после указания правильных данных нам удалось перевести деньги с кошелька на банковскую карту.

В этом случае тестирование задержала курьезная проблема – поступление денег на кошелек в 15:18 сразу отобразилось в истории операций, но с временным штампом 16:18, и до наступления этого времени деньги на балансе не появлялись. На телефоне время было установлено правильно: видимо, какой-то сбой в системе.

«Яндекс.Деньги» предлагают восемь способов идентификации, включая проверку кредитной истории, упрощенную заявку (если клиент уже подавал в компанию какое-либо заявление с предоставлением документов), копирование идентификации другого кошелька, через личный визит в офис «Яндекс.Денег» или к одному из партнеров компании. Получается, пройти идентификацию без визитов в офисы можно, только зная свою кредитную историю (по версии кредитного бюро «Эквифакс»).

Однако есть еще одна возможность – персонализироваться, просто указав свои данные в профиле. Идентифицированным кошелек не станет, а перечислять деньги физическому лицу на банковскую карту (но не на банковский счет!) можно.

PayPal будет требовать обязательной привязки банковской карты с подтверждением через банк и с загрузкой копии паспорта, но все это с 18 ноября. До этого момента вполне можно завести кошелек и пересылать деньги другим пользователям платежной системы без предоставления паспортных данных, привязав платежную карту.

RBK Money поступили совсем просто – не стали мудрить ни с какими способами упрощенной идентификации. Плательщик может идентифицироваться, прислав компании по почте письмо с нотариально заверенной подписью либо платежом через систему Contact. Никаких действий, нарушающих 110-ФЗ, система сделать не дает.

Visa QIWI Wallet позволяет идентифицироваться, явившись с паспортом или заверенной копией в офис Киви Банка или в пункт одного из партнеров в Москве, через C ontact или по процедуре упрощенной идентификации, указав данные паспорта и ИНН. Именно в последнем способе кроется уязвимость, обнаруженная аналитиками Goldman Sachs, – можно вбить любые данные, и система посчитает вас идентифицированным плательщиком. Именно так нам удалось вывести деньги из кошелька на банковскую карту.

Wallet One предлагает три способа идентификации: через визит с паспортом в офис компании, прислав по почте нотариально заверенное заявление или копию паспорта, отправив на электронную почту отсканированные паспорт, заявление, ИНН или СНИЛС. На деле оказалось достаточным заполнить паспортные данные в профиле кошелька, чтобы система опознала плательщика как идентифицированного и позволила переводить деньги физическим лицам.

WebMoney предлагает после ввода паспортных данных прислать цветной скан паспорта, после чего в течение одного-двух рабочих дней сотрудники выполняют проверку данных. После этого становится доступным вывод средств с электронного кошелька.

Из всех протестированных электронных кошельков упрощенную идентификацию с автоматической проверкой введенных данных реализовал только «Тинькофф Мобильный Кошелек». По всей видимости, им как-то удалось преодолеть неготовность государственных информационных систем к взаимодействию с платежными системами.

В пресс-службе ТКС Банка сообщили следующее: «Для клиентов Тинькофф Банка процедура упрощена. Пользователь может обратиться в центр обслуживания клиентов, где он будет идентифицирован либо с помощью голосовой биометрии, либо с помощью вопросов (включая кодовое слово). Таким образом, он пройдет полную идентификацию. В настоящий момент мы также работаем над опцией для клиентов банка, чтобы они могли использовать свои логин и пароль к интернет-банку в качестве идентификаторов и тем самым проходить полную идентификацию в «Кошельке».

«Деньги@mail.ru» и WebMoney идентифицируют клиента после проверки данных вручную. Как сообщил порталу Банки.ру начальник отдела финансового мониторинга «Деньги.Мэйл.Ру» Константин Выучейский, «Деньги.Мэйл.Ру» строго выполняет все требования, предусмотренные федеральным законом №115-ФЗ «О противодействии легализации» в части проверки данных пользователя при проведении упрощенной идентификации. «Данные, полученные от пользователя, проверяются нами с использованием ресурса ФНС – https://service.nalog.ru/inn-my.do Дополнительно, в соответствии с требованиями Банка России, паспортные данные проверяются на действительность паспорта с использованием сайта ФМС – http://services.fms.gov.ru/info-service.htm?sid=20.... Платеж не будет осуществлен, пока введенные пользователем данные не будут проверены и статус электронного кошелька не станет «упрощенно-идентифицированный». Кроме того, мы находимся в процессе подключения к ЕСИА ( esia.gosuslugi.ru) для проведения упрощенной идентификации с использованием этого сервиса», – рассказал Выучейский.

«Яндекс.Деньги», Visa QIWI Wallet и Wallet One формально требуют прохождения процедуры упрощенной идентификации от плательщика, на деле же позволяют выполнять платежи в адрес физических лиц после ввода любых данных, без проверки. Пресс-служба группы QIWI прокомментировала это следующим образом: «На текущем этапе реализован интерфейс сбора данных по упрощенной модели идентификации. В скором времени будет открыта возможность верификации полученных пользовательских данных с базой госорганов. Сейчас технически регулятор еще не может предоставить такую возможность игрокам рынка.

Законодательные правки в текущем году были приняты с целью усиления мер борьбы с такими явлениями, как отмывание денежных средств и финансирование терроризма. В связи с этим реализовано решение об идентификации плательщиков при определенных типах платежей. Помимо этих мер, со стороны Центробанка России в банки РФ поступило Указание о внесении изменений в положение о Банке России, где описаны признаки операций, которые дают основание полагать, что они могут быть связаны с незаконной деятельностью. В соответствии с этими указаниями в QIWI доработаны алгоритмы отслеживания и блокировки сомнительных операций. Благодаря отлаженной работе с запросами исполнительных органов, что позволяет эффективно выявлять факты противоправных действий и пресекать их».

И, наконец, RBK Money вообще не реализовали никаких упрощенных схем идентификации, только полную, с предоставлением оригиналов или заверенных копий документов. По букве закона имеют право – 110-ФЗ не требует обязательного предоставления возможности упрощенной идентификации, есть лишь требование предоставить выбор из всех указанных способов.

Особняком стоит PayPal, который задерживается с идентификацией до 18 ноября. Но следует учесть, что без привязки и проверки банковской карты пользователь PayPal не сможет переводить куда-либо деньги, а владелец карты заведомо идентифицирован банком.

В целом обстановка с упрощенной идентификацией сложилась непростая: каждый участник рынка понял требования 110-ФЗ по-своему и по-своему же пытается преодолевать созданные им трудности. Не обходится даже без прямых нарушений закона, строгость которого традиционно в России компенсируется необязательностью исполнения.

Михаил ДЬЯКОВ, Banki.ru