Чуть более года назад мы поднимали тему аутентификации клиента в онлайн канале и риски, связанные с этой процедурой. Сегодня мы обсудим проблемы и расскажем о новом технологическом решении, разработанном нами за прошедшее время.
За последние пять лет для финансовых организаций аутентификация личности клиента стала не только обязательным требованием регулятора, но и инструментом продаж и сокращения рисков. Получение реального портрета и Правильное определение клиента (вместе с его потребностями, характером и поведенческими особенностями) — заветная комбинация, позволяющая предложить клиенту то, что он хочет, а взамен получить его лояльность, максимизировать прибыль и минимизировать риски.
Это ли не мечта любого банка, МФО или страховой компании? Но действительность превращает, как казалось, относительно несложный и однозначный инструмент в настоящее испытание как для онлайн, так и для офлайн каналов.
Начнем с определения: многие финансовые операции, такие как выдача займа, требуют аутентификации клиента как в офлайне, так и онлайне, и для её проведения достаточно паспорта гражданина (и часто ряд других документов). Отделения банка, офис МФО, сотрудники и консультанты берут в руки паспорт, проверяют его, сравнивают с сидящим напротив клиентом (эталоном) и, зафиксировав данные, завершают первый этап аутентификации. Попутно собирается еще и целый набор других данных клиента. Так выглядит офлайн канал.
Для онлайна ситуация усложняется еще и тем, что «эталон» не сидит напротив (в сущности, вообще не известно, кто «сидит напротив»), а вместо документа, удостоверяющего личность, приходится довольствоваться цифровой копией. Тогда для более тщательного «знакомства» организации прибегают к сбору бесчисленного множества персональных и поведенческих данных, а также биометрии (изображение лица и запись голоса).
И тут начинаются проблемы.
Рисунок 1: отрывок из сериала Черные Паруса (Black Sails, s1e2), 2014. Озвучка LostFilm — взято из открытого источника Youtube, канал DJoRDJ734
Стоит признать, что любое лишнее действие или дополнительный вопрос к «хорошему» и благонадежному клиенту может привести к отказу клиента от услуги. Хороший заемщик вообще не склонен оставлять о себе слишком много данных, тем более, когда речь заходит об изображении (особенно в онлайне).
Далее необходимо учесть, что такие данные несут существенный риск для кредитной организации. Ведь при отсутствии уверенности в аутентификации по паспорту (а еще хуже – ошибки или мошенничества), дальнейший сбор может «написать» портрет совсем другого пользователя. Такие, казалось бы, уникальные и неотъемлемые данные все равно могут быть украдены или получены преступным путем. В результате страдает как организация, так и клиент (особенно реальный владелец украденного портрета).
И наконец, даже если исключить негативное развитие событий, — многие из этих данных все равно не являются и не могут являться эталонными и стабильным во времени.
С другой стороны оказываются разработчики биометрических решений, соревнующиеся в сравнении паспортного и актуального «портретов». Но внешность человека может меняться постепенно (старение) или достаточно резко (смена имиджа), карточка в паспорте меняется вместе с документом всего два раза (по закону) за жизнь и также не может поспеть за изменениями человека. В результате ни внешность, ни карточка в паспорте снова не оказываются стабильным во времени эталоном, а незначительное различие между ними приводят к ошибкам второго рода (неверное или недостаточно точное определение клиента, например, ниже 95% из-за новой морщины или шрама на лице), и «хороший» клиент получает отказ в оформлении займа, кредита или страхового полиса.
Для исправления подобной ошибки можно было бы прибегнуть к сбору дополнительных сведений, но тут снова вступает в силу нелюбовь к дополнительным вопросам у «хороших» оговоренных заемщиков и, как следствие, снова упущенная сделка.
Более того, уже сам факт хранения данных такими поставщиками несет огромный риск для клиента и требует детального соблюдения законодательства.
Чтобы избежать ошибок, а также прибегать к дополнительным проверкам в действительно сложных и необходимых случаях, мы вместе с партнерами постарались разработать свой подход к аутентификации клиента. Основные ценности и принципы нашего подхода:
- Мы используем стабильные во времени идентификаторы;
- Мы не работаем с самим изображением клиента, а лишь собираем определенные и достаточные факторы, описывающие параметры этого изображения;
- Сбор информации занимает десятые доли секунды, не доставляя явных неудобств для клиента в процессе заполнения заявки;
- Мы не собираем и тем более не храним персональные и прочие данные, которые могут принести риск для клиента — на собираемые нами данные нельзя взять кредит или совершить финансово значимую операцию!
Рисунок 2: первый взгляд на наше приложение по динамической аутентификации
Комбинация всех этих факторов позволяет получить не только максимально высокую точность аутентификации, но и внедрять ту самую динамическую идентификацию — когда запрашивается только минимально необходимая информация, позволяющая сократить до минимума оттенки серого в клиентском потоке.