30 марта 2018 года в Москве прошла крупная конференция FinTech Russia 2018, одно из важнейших событий в российском финтехе. Организатором мероприятия выступил Rusbase, а интеллектуальным партнером – АФТ.

Дарья ВерестниковаВ этом году основной темой стала работа с потребителем финансовых услуг в новой цифровой экономике. Эксперты разобрали кейсы цифрового настоящего и спрогнозировали будущее финансовых технологий. В программе нашлось место как практическим сценариям, так и мыслям о «новой этике».

Представитель SafeTech Дарья Верестникова рассказала, почему банки до сих пор не могут полностью перейти на цифровое обслуживание, и когда мы избавимся от СМС-подтверждений транзакций.

За запись презентаций благодарим нашего партнера — компанию Penxy.

Rusbase выражает благодарность партнерам FinTech Russia: Ассоциации ФинТех, компании Эвотор и «Абсолют страхование».

Презентация с выступления Дарьи:

Все материалы с конференции доступны по тегу.

В конце выступления спикер ответила на вопросы слушателей.

Как сервис работает без биометрии? Телефоны без сканеров отпечатков пальца / Face ID?

Мы не делаем идентификацию. Мы делаем аутентификацию.

Тут надо очень четко разделять [понятия]. Как вы производите идентификацию клиента – это ваша задача. Биометрию мы используем для своих целей как дополнительный фактор доступа к ключу электронной подписи.

Когда вы подписываете документ, вы прикладываете пальчик, чтобы нажать на кнопку «Подписать». Либо вы смотрите в Face ID. Либо, если у вас нет ни того, ни другого, вы можете ввести ПИН-код. Соответственно, любая биометрия идет на защиту контейнера ключа.

Но мы, по сути, никакого отношения к идентификации не имеем. Мы – следующий этап. Вот вы идентифицировали, вы решили, что он – это он. А теперь вам нужно дать ему какое-то юридически значимое средство, чтобы он свое волеизъявление мог передавать вам.

С помощью технологии возможно ли с точки зрения законодательства подписывать кредитные договоры банк – физлицо? Есть ли реализованные или реализуемые кейсы?

Да, конечно. Это как раз история про то, что любой договор вы можете подписывать такой подписью. И банки, в которых встроена эта технология, отправляют клиентам абсолютно любые документы. То есть они либо отправляют электронный файл, который клиент подписывает, либо PDF, который клиент просматривает и нажимает «Подписать». То есть этот ключ – абсолютно юридически значимый аналог собственноручной подписи клиента.

Дарья, DocuSign ваш конкурент? И нужно ли пользователю приходить в удостоверяющий центр для получения такой подписи?

Нет, это не наш конкурент. Я могу сказать, что с точки зрения законодательства, чтобы электронная подпись была квалифицированной, должно быть два аспекта. Первый – это сертифицированное средство криптозащиты информации. И второе – аккредитованный удостоверяющий центр.

Насколько мне известно – поправьте меня, пожалуйста, – технология подписи на планшете не является средством сертифицированной подписи. Там нету хранилища-криптоконтейнера, поэтому оно в принципе не может быть сертифицировано.

Ну, а что до аккредитованного удостоверяющего центра, то в этой парадигме мы до него даже не дойдем. Лично у меня со знанием законодательства возникают вопросы.

Как клиент проходит первичную идентификацию? Чем это отличается от других вариантов?

Опять-таки: первичная идентификация полностью на стороне банка. Вы можете заставить клиента лицом к лицу стоять, вы можете идентифицировать его по удаленным каналам, можете к нему курьера пригнать. Как вы делаете идентификацию – это ваша задача. Наша задача – дать вам юридически значимую возможность дальше с этим клиентом работать.

Чем плох push для платежек? Есть кейс с электронным документооборотом, вроде Диадока?

Это очень хороший вопрос, я ждала его.

Первое, чем плох push. Push – это код подтверждения. Код подтверждения – это исключительно код, там нет никакой криптографии внутри.

Что это значит для обывателя? Сейчас есть реальные кейсы, как с эсэмэсками, так и с пушами. Минкомсвязи признает СМС и пуши неперсонифицированным средство платежа. Что это значит? До того как этот код подтверждения дошел до клиента, его знал банк. Его знал оператор сотовой связи либо он вообще проходил через сервера Apple и Google. А, кстати, в гайдлайнах Apple и Google написано черным по белому, что не рекомендуется передавать конфиденциальную информацию, включая коды подтверждения банковских операций. Значит, первое – пуши не безопасны.

Второе – юридическая значимость. Как я уже говорила, для работы с государством должна быть квалифицированная электронная подпись, которая характеризуется аккредитованным удостоверяющим центром и сертифицированным средством подтверждения. Так вот, push не представляет из себя сертифицированное средство подтверждения.

Как, когда и куда в телефоне записывается ключ? Был ли фрод?

Как, когда и куда записывается ключ – это запатентованная технология. Там действительно очень сложная схема, мы два года доказывали ФСБ ее безопасность. Боевые внедрения я тут показывала. Это РосЕвроБанк, Россельхозбанк, Экспо-банк. Остальные кейсы сейчас в финальной стадии.

Фрода пока что не было. Фрода быть не может. Почему? Если в момент прихода уведомления клиенту на телефон он увидит, что реквизиты не его, он не подпишет такой документ. Если была попытка подмены документа в момент ухода – там подпись на сервере не сойдется. А поскольку у нас установлены все защиты от перерисовки экрана, то фрода не было и на данный момент [это] не представляется возможным.

По материалам rb.ru