Почти 30 лет назад[55] работающая бок о бок с Организацией экономического сотрудничества и развития (ОЭСР) Группа разработки финансовых мер борьбы с отмыванием денег (ФАТФ), финансируемая правительствами стран «Большой семерки» и центральными банками 37 государств, сформулировала 40 рекомендаций в сфере противодействия отмыванию преступных доходов (anti-money laundering, AML), а также девять рекомендаций по борьбе с финансированием терроризма (terrorist financing). Сегодня эти рекомендации зафиксированы в законодательстве мировых финансовых центров. В частности, банкам предписано сообщать о подозрительных транзакциях, которые могут указывать на отмывание денег. Однако дать определение подозрительной транзакции оказалось довольно проблематичным.
Если финансовое учреждение подозревает или имеет разумные основания подозревать, что средства являются доходом от преступной деятельности или связаны с финансированием терроризма, оно должно быть обязано незамедлительно сообщать о своих подозрениях в подразделение финансовой разведки.
Рекомендация 20, Рекомендации ФАТФ (2012)
Сегодня банки вынуждены выполнять полицейские функции в интересах глобальной системы борьбы с отмыванием денег, которая отличается поразительной неэффективностью.
Законодательство в сфере противодействия отмыванию преступных доходов состоит из трех элементов. Во-первых, банки должны устанавливать личность клиентов, которым открывают счета, по процедуре «знай своего клиента». Затем они должны контролировать транзакции клиентов, определять обычные действия, включая операции с наличными, и выявлять отклонения. Наконец, при обнаружении отклонений они должны проводить расследование и при необходимости сообщать о подозрительной активности по установленной форме.
Хотя процесс частично автоматизирован, в основном всё делается по старинке, как в эпоху, когда наилучшим способом поиска отклонений и информирования о подозрении на отмывание денег было заполнение формы банковским работником или аналитиком. Неудивительно, что сейчас такой подход не приносит результатов.
По сообщению ООН, объем финансовых преступлений сегодня достигает 2–5 % мирового ВВП, то есть 2 трлн долларов в год, а меры по борьбе с отмыванием денег позволяют отследить менее одного процента нелегальных финансовых потоков[56]. Увы, этот удручающе низкий результат обходится банкам крайне дорого. Только в США банки в сумме тратят порядка 50 млрд долларов на соблюдение требований в сфере противодействия отмыванию преступных доходов[57]. Таким образом, чтобы пресечь все происходящие сегодня финансовые преступления, в реализацию одних только мер по борьбе с отмыванием денег потребуется вложить сумму, эквивалентную годовому ВВП Великобритании. Существующая модель не является ни масштабируемой, ни эффективной.
Расходы на соблюдение требований в сфере противодействия отмыванию преступных доходов усугубляются риском получить крупный штраф: для отдельно взятого банка сумма может превышать 1 млрд долларов[58]. Опасаясь санкций, банки склонны чрезмерно усердствовать в отправке сообщений о подозрительных операциях, что, в свою очередь, перегружает надзорные органы потоком малополезной информации, мешающей расследовать настоящие преступления. В крупных городах США есть специальные подразделения, сотрудники которых каждый месяц распечатывают тысячи официальных сообщений о подозрительной активности, раскладывают их пачками на столах и пытаются вычленить полезную информацию, выделяя фрагменты текста желтым маркером. Пожалуй, именно в этом кроется причина столь вопиющей неэффективности отчетности. Контроль за соблюдением законодательства сводится к работе маркером!
Еще одно непредвиденное последствие этой примитивной системы состоит в том, что она лишает доступа к финансовым услугам целые сектора экономики, так как регулятор видит свою цель в «снижении рисков». Клиенты, которые в силу своей принадлежности к определенной отрасли или региону либо других обстоятельств попадают в категорию потенциально высокого риска, не получают необходимую услугу просто потому, что в рамках существующей процедуры «знай своего клиента» для банков слишком трудно, дорого и рискованно проводить тщательный анализ, дабы отделить законопослушных граждан от подозрительных. Особенно остро эта проблема стоит в развивающихся странах[59]. В США она известна как практика «новой красной черты»[60].
Одним из побочных эффектов этого нехитрого процесса стало то, что из-за требований законодательства целым группам клиентов отказывают в предоставлении услуг. Положения Закона США «О справедливых и точных кредитных операциях» 2003 года (Fair and Accurate Credit Transactions Act, FACTA) требуют от банков, независимо от страны принадлежности, сообщать в Налоговое управление США о каждом случае обслуживания гражданина США. В результате множество банков по всему миру просто отказывают американским гражданам, даже если те обращаются за простейшими операциями вроде открытия счета[61].
Проблем, вызываемых мерами по борьбе с отмыванием денег, будет становиться всё больше.
Эволюционное развитие платежной среды в конечном счете вынудит регуляторов отреагировать на всё более разнообразные форматы хранения средств и осуществления платежей, многие из которых не укладываются в нормативные рамки. Возьмите биткойн, криптовалюты сетей Ethereum или Ripple, счета на картах Starbucks или в учетных записях Xbox: если совершить перевод на сумму 10 000 долларов, никакого сообщения о подозрительной транзакции не будет. В Китае сегодня 90 % мобильных платежей проходят через системы Alipay и WeChat; триллионы платежей, проходящих через эти сети каждый год, почти невозможно проконтролировать средствами, привычными для традиционной банковской системы.
Сегодня требование сообщать обо всех нетипичных транзакциях на сумму от 10 000 долларов показало удручающую неэффективность в борьбе с отмыванием денег. Нужна система, способная контролировать потоки средств и выявлять закономерности и центры притяжения платежей. Для этого необходимы AI-алгоритмы, действующие как минимум в масштабах страны, а лучше – всего мира, и сотрудничество национальных регуляторов и иных ответственных органов. Такая система мониторинга, основанная на данных более высокого уровня обобщения, намного лучше выявит случаи отмывания денег и установит личности участников, чем существующие процедуры отчетности.
Новые технологии ставят под сомнение саму логику нынешних методов борьбы с отмыванием денег. Их цель – закрыть для преступников и террористов доступ к финансовой системе, но регулятор решает эту задачу силами людей, «глазами» вычитывающих распечатки сообщений, в то время как технологии позволяют организовать качественный автоматизированный анализ данных, благодаря которому можно будет выявлять, отслеживать и ловить преступников. Как отмечено в недавнем докладе Чикагского университета, сегодняшние меры, по самым оптимистичным оценкам, позволяют засечь всего 0,2 % отмываемых денег. Это значит, что на каждый перехваченный доллар приходится 499 долларов, проходящих незамеченными. Ежегодно в мире тратится 50-100 млрд долларов только для того, чтобы достичь успеха на 0,2 %. Поразительная неэффективность! Громоздкие правила, миллиарды часов труда, причинение неудобств клиентам и необоснованные обвинения в их адрес, усилия по контролю за соблюдением предписаний регулятора – а результат почти нулевой.
Сегодня уже доступны технологии, которые могут сделать борьбу с отмыванием денег результативнее и дешевле. Нужно обновить нормативную базу и процедуры отчетности, расширить совместное использование защищенных данных, усилить информационную безопасность, ускорить и усовершенствовать анализ закономерностей; также нужны инструменты, которые исключат участие человека и снимут нагрузку с банковских специалистов и правоохранительных органов. Некоторые страны, например Сингапур, разрабатывают систему обмена данными по процедуре «знай своего клиента» между правительством и финансовыми организациями. Этому примеру стоит последовать и другим регуляторам.
Давайте еще немного порассуждаем о процедурах идентификации клиента. Хотя в последние годы компания Uber показывала крупные убытки, сейчас ее дела вроде бы пошли на лад[62]. Во втором квартале 2017 года число заказов выросло на 17 %, в первом квартале – на 10 %, а выручка составила почти 9 млрд долларов. Компания Amazon оставалась убыточной на протяжении первых 20 лет работы; кажется, инвесторы Uber пока готовы мириться с убытками в обмен на рост. Популярность Uber, очевидно, меняет отношение к вождению автомобиля, особенно среди миллениалов. Моей дочери Ханне сейчас 17 лет; жизнь в Нью-Йорке не заставила ее задуматься о получении водительских прав, а на мое предложение купить машину она ответила: «Не стоит, папа, просто давай мне денег на Uber».
С появлением автономных транспортных средств и распространением сервисов типа Uber наши дети будут водить машину значительно реже и меньше нас. По данным Frontier Group за 2016 год, автомобильный бум, наблюдавшийся в США на протяжении 60 лет, завершился[63]; появление Uber только ускорит этот спад.
Автомобильный бум второй половины XX века происходил на фоне быстрых экономических, культурных и демографических изменений в США. Все они вели к одному: к обществу, ориентированному на всё более активное использование автомобилей. Однако многие из этих тенденций уже достигли естественного предела или обернулись вспять… всё это позволяет заключить, что рост массовости вождения автомобилей, имевший место во времена бума, скорее всего, уже остановился.
Доклад Frontier Group о будущих тенденциях использования автомобилей в США
Рисунок 2. Меньше миль, меньше водителей, меньше официальных документов для процедуры «знай своего клиента»
Если учесть одновременное действие таких факторов, как снижение необходимости в вождении автомобиля, почти повсеместная доступность сервисов совместных поездок (например, от Uber) и перспектива скорого появления автономных или автопилотируемых машин, становится совершенно ясно: меньше водителей – меньше водительских прав – меньше документов, удостоверяющих личность, то есть всё большее число людей не сможет пройти процедуру проверки личности и лишится доступа к финансовым услугам на рынках типа США[64].
В странах с развивающейся экономикой, таких как расположенные на территории Африки южнее Сахары, развитие сети отделений не сработало в качестве способа повышения доступности финансовых услуг. Как показывает исследование консалтинговой компании Accenture и банка Standard Bank, 70 % не охваченного банковскими сервисами населения Африки вынуждены были бы потратить больше месячного заработка только на то, чтобы добраться до отделения банка[65]. Похожая ситуация наблюдается в Индии. Первоначально Резервный банк Индии (Reserve Bank of India) предписывал банкам размещать не менее 25 % новых отделений в сельской местности, чтобы привлечь пока не охваченную аудиторию; однако эта мера не помогла заметно повысить доступность банковских услуг – просто потому, что люди не могли предоставить документы для установления личности и банк не мог открыть им счет. Именно по этой причине запуск системы идентификации и начало выдачи удостоверений личности Aadhaar дали такой мощный толчок росту финансовой доступности: изменились правила игры. По данным на 15 августа 2017 года, в системе Aadhaar было зарегистрировано более 1,171 миллиарда человек. Это 88 % населения Индии.
Результатом реформы требований к идентификации личности в Индии стал грандиозный рост числа клиентов финансовых учреждений. Среди домохозяйств с низкими доходами и женщин – групп с наименьшими шансами получить доступ к банковским услугам при прежнем порядке – число пользователей финансовых услуг удваивалось каждый год с момента запуска карты Aadhaar. В 2015 году банковскими счетами пользовались более 358 миллионов индийских женщин (61 %), тогда как в 2014 году – 281 миллион (48 %). Это самый высокий показатель роста охвата женщин банковскими услугами среди восьми стран Южной Азии и Африки[66]. Чтобы расширить доступ к финансовым услугам, нужно или снизить требования к процедуре идентификации клиента, или создать новую систему удостоверения личности. Если население не водит автомобили и не путешествует, не стоит ждать, что требование предъявить водительские права или паспорт позволит сети отделений успешно привлекать новых клиентов. Такая модель гарантирует исключение части граждан из финансовой системы, что на собственном опыте ощущают 25 % домохозяйств США, не имеющие банковских счетов.
Однако в плане регулирования вопрос нужно поставить иначе: у кого сегодня наиболее развитые сервисы идентификации физических лиц? У кого есть всё необходимое для обеспечения роста финансовой доступности на протяжении следующих нескольких десятилетий? Скажем честно: не у банков.
Сегодня самый большой объем данных о личности пользователей – у Facebook, Apple, Tencent, Amazon, Alibaba/Alipay Uber, Snapchat и других платформ со значительной аудиторией. У них есть не только основная идентификационная информация, но часто и обширные сведения о поведении человека, его биометрические данные (например, из системы распознавания лиц) и прочее. Пожалуй, сегодня Facebook[67] знает о своих пользователях столько, сколько не знает большинство розничных банков во всем мире. И еще все эти платформы хранят данные в облачных системах.
Поскольку возможность оказывать услуги в реальном времени становится залогом конкурентоспособности, требование явиться в банк и предъявить удостоверение личности (которым значительная часть населения больше не пользуется) превращается в структурное препятствие для повышения доступности банковских услуг. Если регулятор предписывает лично пройти идентификацию в банке, предъявив водительские права или паспорт и поставив собственноручную подпись на документе, то это не решение, повышающее безопасность банкинга для клиентов, а часть проблемы, которая продолжает усугубляться. Идентификация посредством личного посещения банковского отделения и проставления подписи на бумажном документе – гарантированный проигрыш по сравнению с беспрепятственным подключением к услугам финтех-компаний, предлагающих альтернативные способы хранения средств на повсеместно доступных платформах из числа упомянутых выше.
Единственный способ для регулятора сохранить конкурентоспособность существующих участников рынка – отменить как требования к очной идентификации, так и ограничения на использование облачных сервисов. Вполне возможно, что к 2025 году большинство банков передадут задачу по установлению личности клиента специализированным посредникам, таким как Facebook или система карт Aadhaar. В будущем банкам будет просто незачем собирать и хранить идентификационные данные. Намного вероятнее, что банки станут сотрудничать с сервисами идентификации и запрашивать только тот объем информации, который позволит убедиться в правильном установлении личности нового клиента. Кстати, не стоит забывать, что технология распознавания лиц способна идентифицировать клиента в 15–20 раз точнее, чем сотрудник банка при личной встрече[68]. Отсюда следует, что личный визит в отделение для открытия счета в современных условиях – не только не самое безопасное, но и, пожалуй, самое рискованное из того, что в принципе может требовать банк.
Далее в главе про блокчейн я покажу, что регуляторам и банкам вскоре не придется беспокоиться ни о сборе данных о клиенте, ни о соблюдении требований процедуры «знай своего клиента».
Еще один вызов для регуляторов – необходимость присоединиться к глобальному переходу на облачные вычисления. До недавних пор контролеры в США в штатном порядке требовали от банков выпускать физические объекты: например, обязательным элементом систем управления рисками в области информационных технологий были карточки-ключи для доступа в серверные помещения и оформленные в письменном виде планы противопожарной безопасности для защиты серверов. В отличие от банков, у финтех-компаний нет помещений для серверов. Все данные хранятся в облаке. Когда наша компания Moven впервые переносила технологии в Канаду, канадский регулятор потребовал, чтобы облачный сервис Amazon Web Services (AWS) сообщил, где находятся физические серверы, на которых хранятся обезличенные и токенизированные данные клиентов. Нечего и говорить, что в AWS не ответили на запрос.
Недовольство регуляторов по поводу облачных систем обычно обусловлено соображениями безопасности. Однако при грамотной реализации облачные системы типа AWS не менее, а гораздо более надежны – в основном потому, что их значительно проще защитить. IT-системы традиционных банков имеют множество слабых мест, потому что каждая точка доступа является потенциальной уязвимостью, а точек доступа – хоть отбавляй: многочисленные серверные; разношерстное программное обеспечение (часто в устаревших версиях); незащищенные каналы связи между системами с дефектами безопасности, из-за чего данные могут быть утеряны или украдены. Похитить данные могут как хакеры, так и многочисленные банковские сотрудники, которым нельзя закрыть доступ просто потому, что кто-то должен обслуживать все эти системы.
Еще важнее, что облачные провайдеры, такие как AWS или Microsoft Azure, развивались в суровой среде, в постоянной борьбе с хакерством, и их работу обеспечивают лучшие в мире специалисты по информационной безопасности. Со временем крупные облачные платформы обзавелись своего рода иммунной системой, благодаря которой они защищены не менее надежно, чем военные объекты[69], и далеко превосходят IT-системы банков по критериям безопасности и производительности.
В облачной системе данные хранятся онлайн, то есть им не грозит физическое уничтожение (например, в результате пожара) и их можно эффективно защитить. Регуляторам нужно сосредоточиться не на формате мер по обеспечению безопасности, а на их результативности. Если банк и регуляторы исправно тестируют средства защиты от несанкционированного доступа и проверяют безопасность среды, то не имеет значения, как именно обеспечивается безопасность, – главное, что клиентским данным ничто не угрожает.
Регуляторы постепенно отказываются от недоверия к новым технологиям, но им еще предстоит в полной мере осознать необходимость разрешать и даже поощрять применение систем на основе облачных вычислений. В выигрыше будут все: и банки, и их клиенты, и сами регуляторы, ведь это позволит контролировать соблюдение требований банками посредством регуляторных технологий (regulatory technology, RegTech)[70], анализирующих легкодоступные данные.
Обычное для регуляторов требование обрабатывать данные внутри организации приведет к созданию изолированных «островов» в технологической архитектуре финансовых систем будущего. Это помешает банкам беспрепятственно сотрудничать с другими провайдерами услуг.
Вероятность того, что в будущем нас ожидает рост числа провайдеров финансовых услуг на основе облачных технологий, выше, чем вероятность обратного. Вполне возможно, что облачная составляющая появится у большей части функционала, формирующего клиентский опыт. Ограничивая использование облачных платформ как базы для деятельности поднадзорных учреждений, регуляторы добьются только того, что подконтрольные им банки утратят конкурентоспособность в борьбе с новыми финтех-компаниями и технологическими лидерами. Кроме того, запрет облачных сервисов сделает саму площадку по представлению финансовых услуг менее эффективной – и в конечном счете, опять же, менее конкурентоспособной. В целом ограничение использования облачных технологий приведет к росту отставания финансового сектора страны от самых прогрессивных финансовых рынков мира.
Еще одна область, в которой растет разрыв между традиционным регулированием и новыми технологиями, – оценка кредитных рисков и, следовательно, доступность финансовых услуг. Сегодня кредиторы могут использовать новые виды данных и возможности машинного обучения, чтобы произвести тонкую настройку моделей оценки риска, разработанных в эпоху дефицита сведений и вычислительных мощностей. Наряду с распространением мобильных телефонов, открывающих доступ к финансовым сервисам для миллиардов людей, которые не могли получить обслуживание в обычных отделениях банков, эта революция данных оказывается самой мощной демократизирующей силой в истории финансов. К сожалению, ее потенциал может быть ограничен особенностями государственной политики и склонностью регуляторов решать любые вопросы в пользу крупных кредитных институтов, особенно в таких странах, как США, где позиции кредитных агентств очень сильны.
Хотя американские регуляторы позволяют использовать разнообразные сведения для оценки кредитного риска, усилиями политиков применение новых видов данных в потребительском кредитовании оказалось сопряжено с немалым риском для кредитора. Законы против кредитной дискриминации обязывают его не допускать возникновения «несопоставимого влияния» (disparate impact) – ненамеренной дискриминации защищаемых групп населения, таких как женщины и представители меньшинств, в форме статистически отклоняющихся от среднего шансов на получение кредита. Практика кредитования, в которой выявлены подобные статистические закономерности, – если только кредитору не удастся доказать ее необходимость для бизнеса и обосновать невозможность применения недискриминирующего подхода— считается противозаконной.
Кредитование всегда в разной степени доступно для разных групп заемщиков, и различия часто не в пользу расовых и этнических меньшинств с более низкими доходами и уровнем жизни, менее надежной занятостью и прочими признаками, которые влияют на кредитоспособность. Когда-то давно регуляторы разрешили использовать определенные модели оценки рисков как статистически надежные и предсказуемые, не обращая внимания на дискриминирующий эффект. В таких моделях большой вес имеют кредитные рейтинги, и поэтому клиенты с хорошими кредитными историями пользуются благосклонностью банков. Однако люди без опыта кредитования, со скудными или сложными кредитными историями, которые непросто оценить на основе имеющихся данных (например, в случае финансовых трудностей в прошлом из-за проблем со здоровьем), автоматически лишаются доступа к кредиту или получают менее выгодные условия. Такой подход к оценке рисков отправляет в потенциально проблемную категорию и тех клиентов, кто вполне кредитоспособен и мог бы это доказать, если бы кредитор принял во внимание дополнительную информацию.
С развитием технологий такая возможность появилась. Сегодня кредитное учреждение может с легкостью узнать о людях намного больше, чем их кредитную историю и кредитный рейтинг – именно это обычно и делается для выявления мошенничества и выполнения требований процедуры «знай своего клиента» в рамках борьбы с отмыванием денег. Однако в сфере кредитования большинство кредиторов опасаются использовать дополнительные сведения, потому что регуляторы не уточнили, не будут ли подобные действия рассматриваться как дискриминирующие.
В США от 80 до 130 миллионов граждан живут на задворках финансовой системы и вынуждены пользоваться дорогими небанковскими сервисами[71]. Если регулирующие органы согласятся дать шанс новым технологиям, миллионы людей получат доступ к существенно более адекватному по стоимости стандартному кредитованию[72].