О важности риск-ориентированного подхода в комплаенсе с учетом развития искусственного интеллекта
Бекназаров Айдар Булатович,
Юрист, зарегистрированный в совете юристов МФЦА
(AIFC Legal Services Board)
член сообщества комплаенс профессионалов в области комплаенс «Compliance Hub»
Финансовые технологии развиваются семимильными шагами, не отстают и системы комплаенс.
Пандемия показала, что практически любая финансовая услуга должна и может быть оказана на дистанционной основе (в формате online).
Постановлением Правления Национального Банка Республики Казахстан от 29 июня 2018 года № 140 [1] утверждены требования к надлежащей проверке клиентов в случае дистанционного установления деловых отношений субъектами финансового мониторинга.
В феврале текущего года ООО «Сноб медиа» публиковало статью[2] о том, что на просторах даркнета проявилась нейросеть под названием «Onlyfake», которая генерирует поддельные паспорта и документы.
Разработчики обучили нейросеть генерировать фотографии поддельных документов. Искусственный интеллект создает паспорта и водительские права 26 стран, включая Россию, США, Австралию и государства Европейского союза. Услуга стоит 15 долларов США за одну фотографию. Разработчики не раскрывают имен и принимают оплату только криптовалютой.
В качестве примера в статье приводится паспорт, сгенерированный искусственным интеллектом (ИИ) на имя Дэвид Крик с датой рождения 29 марта 1981 года, гражданство - Великобритания и Северная Ирландия.
Завершив прочтение данной статьи, было принято решение об организации проверки данного поддельного паспорта, сгенерированного ИИ приемами и средствами, которые стоят на вооружении Субъектов финансового мониторинга Казахстана.
Итак, прежде всего был предпринят метод сравнения (сличения) представленной фотографии паспорта со стандартом, который установлен Паспортным Офисом Его Величества Короля Великобритании (HM Passport Office)[3]
По всем ключевым признакам паспорт соответствовал стандарту
Далее был предпринят метод верификации (сверки) по уникальным цифрам в строке машиночитаемой зоны (MRZ - machine reading zone).
Машиночитаемая зона образуется из 4 компонентов, состоящих из:
1) Полное Ф.И.О владельца
2) Дата рождения владельца паспорта
3) Номер паспорта
4) Срок действия паспорта
Одна из передовых систем, используемая Субъектами финансового мониторинга Казахстана и разработчиком которой является Британская компания, имеющая колоссальный опыт и специализируется на проверке паспортов по контрольным цифрам в MRZ строке паспортов, отобразила все данные, которые должны отображаться в MRZ строке.
Однако, все данные, указанные в паспорте, сгенерированном ИИ и представленные системой по проверке документов, совпадают.
Далее, были подвергнуты проверке фотографии паспорта, сгенерированного ИИ через системы, которые позволяют отличить оригинальные фотоизображения от изображений, совершенных ИИ.
По итогу 2 системы указали, что данное фото не сгенерировано ИИ.
Также активную популярность набирают ИИ сервисы, которые со стопроцентной точностью умеют подделывать голоса, и если ранее у некоторых банков второго уровня способ идентификации клиента по голосу был одним из передовых мер защиты, то теперь сбор такой информации лишь может повысить риск или сделать подверженной риску систему, если лицо публичное и в сети интернет имеется достаточно образцов голоса клиента.
Таким образом, всем субъектам финансового мониторинга необходимо в кротчайшие сроки пересмотреть риск-ориентированный подход (РОП) по предоставляемым продуктам и услугам и каналам их доставки.
Особенный упор, конечно, необходимо сделать на дистанционной форме оказания услуг.
В случае, если у комплаенс-офицеров возникают сомнения в достоверности предъявляемого паспорта, они должны предпринять дополнительные меры по идентификации лица и его документов.
Такие меры, например, описаны в акте МФЦА[4] «Требованиях к надлежащей проверке клиентов в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма для субъектов финансового мониторинга Международного финансового центра «Астана» в случаях дистанционного установления деловых отношений с их клиентами от 30 декабря 2020 года.
Актом МФЦА для СФМ предписываются такие методы как:
· проверка места жительства, места прописки и деятельности посредством запросов информации в компетентные органы или посредством выездных встреч;
· наличие электронной цифровой подписи физического/юридического лица при предоставлении любых документов;
· сбор биометрической идентификации, отпечатки пальцев;
· сканирование глаза/сетчатки;
· средства для распознавания лиц.
· внедрение программного обеспечения для распознавания лиц, и сравнения «селфи» снимка с другим представленным документом;
· видеоконференцсвязь в реальном времени и интервью с подготовленными
вопросами для проверки клиента;
· требование по проведению первой транзакции клиентом путем физического присутствия;
То есть субъекты финансового мониторинга (СФМ), осуществляющие деятельность в юрисдикции МФЦА, могут пригласить клиента на видеозвонок посредством приложений «Microsoft Teams» или «Google Meet» и применением аудио и видеофиксации провести беседу, в ходе которой попросить продемонстрировать паспорт или даже осуществить выезд по месту его регистрации/осуществления предпринимательской деятельности.
СФМ осуществляющие деятельность вне территории МФЦА могут также прибегать в дополнительным мерам проверки, исходя из РОП, регулярно проводить стресс-тесты собственных систем, активно участвовать в обновлении систем «KYC».
В будущем, с учетом скорости развития ИИ, возможно государствам на уровне правительств необходимо будет рассмотреть вопрос обмена персональными данными граждан, но здесь возникнет вопрос национальных интересов и безопасности.
[1] https://adilet.zan.kz/rus/docs/V1800017250
[2] Создана нейросеть для генерации поддельных паспортов и водительских прав (snob.ru)
[3] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/867550/Basic_passport_checks_1988_-2019_02.20.pdf
[4] cdd-ca-for-publication-pdf-final.pdf (aifc.kz)