1 августа, 2019, BIS Journal №3(34)/2019

Безбумажный банк


Князева Диана

Главный инженер Управления экспертизы кибербезопасности (Сбербанк)

Обзор технологии и особенности её реализации.

Всего лишь несколько десятилетий назад идея создания такого банка, в котором услуги клиенту предоставлялись бы без использования бумажных документов, казалась весьма утопичной. Однако неуклонное увеличение объёмов обрабатываемой информации и развитие информационных технологий заставляет отбросить стереотипы и превратить, казалось бы, фантастические идеи в реальные работающие схемы обслуживания клиентов.

Сбербанк — одна из первых российских компаний, которая взялась внедрить юридически значимый электронный документооборот между банком и клиентом, перенимая мировой опыт ведущих иностранных компаний. Причём в Сбербанке этим начали заниматься задолго до того, как диджитализация стала мейнстримом отечественной экономики. Сейчас масштабы ежегодного роста доли электронных документов в России в различных сферах бизнеса поражают воображение: если пару лет назад речь шла об оборотах, исчисляющихся в миллионах электронных документов в год, то сейчас это миллиарды. Именно поэтому Сбербанк «не верит в бумагу» и делает всё для цифровизации своего бизнеса и развития цифровой экономики.

Несомненный факт, что удержание лидирующих позиций в современном цифровом мире требует быстрой реакции на происходящие изменения среды: постоянного контроля потребностей клиента и разработки новых продуктов и сервисов, актуализации существующих бизнес-моделей, автоматизации и упрощения бизнес-процессов. Для решения этих задач банкам необходима трансформация из классического финансового института с кипой бумаг в цифровую организацию, деятельность которой строится на основе использования современных решений. Одним из таких решений стала технология безбумажного фронт-офиса (БФО), работа над которой началась в 2014 году и продолжается до сих пор в рамках проекта с говорящим названием «Безбумажный мир».

 

ТЕХНОЛОГИЯ БФО И ЭФФЕКТ ОТ ВНЕДРЕНИЯ

БФО представляет собой технологию электронного взаимодействия банка и клиента, основанную на максимальном сокращении бумажного документооборота между ними за счёт предоставления клиенту удобного и безопасного способа оформления операций. Внедрение этой технологии позволяет сократить издержки, оптимизировать трудозатраты и минимизировать операционные риски при исполнении поручений, а клиенту, в свою очередь, получить более гибкий, защищённый и быстрый способ получения банковских услуг.

Электронные документы имеют ряд преимуществ перед бумажными аналогами. Во-первых, это экономический эффект — уменьшение расхода бумаги и затрат на закупку и обслуживание печатной техники, транспортировку документов, аренду и (или) покупку значительных площадей для их хранения.

Во-вторых, эффективный контроль — возможность быстро отследить путь и статус документа от момента его создания до уничтожения. Природа электронного документа такова, что его обработка формирует цифровой след
в информационном пространстве. Цифровой след содержит подробную информацию не только о самом электронном документе, но и действиях пользователей, связанных с его обработкой на протяжении всего жизненного цикла. С момента начала крупномасштабного перевода документооборота в цифровой формат эффективность контроля увеличилась по сравнению с бумажным документооборотом более чем в два раза, а факты утраты или неспособности найти нужный клиентский документ свелись к нулю.

В-третьих, удобство поиска и хранения — электронный архив позволяет найти необходимый документ даже пятилетней давности за считанные минуты, не требуя при этом больших трудозатрат со стороны сотрудника.

В-четвёртых, повышение скорости работы — высокая скорость создания, обработки и передачи документов способствует повышению скорости обслуживания клиентов. В частности, эффект только от внедрения технологии БФО при обслуживании клиентов в офисах Сбербанка привел к росту скорости совершения клиентской операции на 30%.

В-пятых, расширение границ ведения бизнеса — отсутствует необходимость физического присутствия клиента в офисах обслуживания, что даёт возможность вести бизнес удалённо или в любом удобном для клиента месте.

В настоящее время доля электронных документов в офисах обслуживания клиентов Сбербанка превышает 85%. Динамика роста доли безбумажного документооборота, в том числе и прогнозируемая, приведена на графике (рис.1).

Рис. 1. Динамика роста доли безбумажного документооборота в офисах обслуживания

 

В Сбербанке технология БФО встроена в процессы обслуживания по вкладам, счетам и картам, при предоставлении услуг аренды индивидуальных сейфов, переводов и платежей в пользу поставщиков услуг. Ведутся работы по переходу на безбумажное обслуживание клиента в более консервативных процессах, таких как оформление кредитных продуктов и банковских доверенностей. К примеру, уже сейчас в таком сложном продукте, как ипотечное кредитование с электронной регистрацией сделки в Росреестре, число бумажных документов сведено до одного — это заявление на выпуск электронной подписи, полстранички текста на каждого участника даже сложных альтернативных сделок. Все остальные документы, начиная от договора купли-продажи и вплоть до выписки из ЕГРП, приходят участникам сделки по электронной почте, а очное взаимодействие покупателя, продавца и сотрудника банка сведено до одной встречи, которая по продолжительности не превышает пары часов. Но здесь заслуга не только банка, но и государственных ведомств, которые синхронно переводят свои услуги в электронный формат, что делает возможным удалённое получение государственных услуг.

 

МЕСТО БФО В БИЗНЕС-ПРОЦЕССЕ

Типовой жизненный цикл электронного документа, сформированного по технологии БФО, и его место в бизнес-процессах представлены на рис. 2.

Рис. 2. Жизненный цикл электронного документа

 

Клиент обращается в банк за услугой, а банк, в свою очередь, устанавливает личность клиента, определяет его потребность, формирует черновик операции и соответствующий электронный документ на основании введённых в систему данных. Сформированный документ отображается клиенту на экране электронного устройства. Цифровая природа документа позволяет использовать для одного и того же документа разные стили форматирования в зависимости от особенностей канала и устройства вывода. Можно подчеркнуть основные реквизиты и суть подтверждаемой операции, а вторичные параметры «убрать под кат», чтобы не распылять внимание клиента.

Далее клиент принимает решение о подтверждении операции и нажимает кнопку «подтвердить» на устройстве вывода электронного документа. На этапе подтверждения дополнительно осуществляется аутентификация одним из выбранных клиентом способов: считывание карты и ввод ПИН-кода (PIN) или ввод кода, полученного в SMS-сообщении, или биометрическая аутентификация. В случае успешной аутентификации формируется блок данных, который составляет простую электронную подпись (ЭП) клиента и помещается в электронный документ в поля, предназначенные для собственноручной подписи клиента.

Сформированный электронный документ отображается сотруднику банка для ознакомления и подписания усиленной ЭП. Подписанный документ передаётся на хранение в электронный архив. По истечении срока хранения он удаляется из архива. Электронный документ, подписанный всеми участниками, может быть направлен клиенту по цифровым каналам связи. Кроме того, клиенту по его желанию может быть предоставлена распечатанная бумажная копия электронного документа.

Описанный выше способ применения технологии БФО универсален и может быть использован в различных каналах. Однако при выборе инструментов и методов реализации необходимо учитывать специфичные для электронных документов риски.

 

ПОТЕНЦИАЛЬНЫЕ РИСКИ

Ознакомиться с потенциальными рисками, специфичными для электронных документов, а значит, и рисками внедрения технологии БФО, можно на рис.3.

  

Рис. 3. Риски, специфичные для электронных документов

Правовой риск — несоблюдение требований законодательства Российской Федерации при формировании юридически значимого электронного документа. В отличие от «классических» бумажных документов здесь есть проблема с неопределённой и (или) отсутствующей практикой обеспечения неотказуемости факта свершения сделки между участниками электронного взаимодействия. При использовании простой ЭП авторство и целостность документа доказываются по косвенным данным (логи, журналы аудита, выгрузки смежных АС) и результаты экспертизы могут существенно отличаться в зависимости от персоны конкретного эксперта.

Риск несанкционированного доступа (НСД) — получение доступа к документу в результате нарушения правил разграничения доступа или их отсутствия. В отличие от бумажного носителя цифровые имеют свойство множиться с неконтролируемой скоростью. По сути, каждая передача документа из точки в точку порождает его копию. Поэтому необходимо особое внимание уделять надёжности каналов передачи данных и процедур аутентификации участников электронного взаимодействия на всех этапах бизнес-процесса.

Риск недоступности — невозможность предоставления юридически значимого документа по запросу клиента и (или) органов государственной власти. Банальный технический сбой может в один миг уничтожить весь архив. Поэтому отдельный фокус внимания направлен на обеспечение безопасности электронного архива, систем резервного копирования и восстановления данных. Но здесь есть и обратная сторона — избыточное копирование плодит дополнительные точки компрометации.

Риск утечки — следствие реализации риска несанкционированного доступа. Если из физического архива незаметно вынести можно только несколько папок, то из цифрового хранилища — всё.

Риск модификации или подмены — несанкционированное изменение документа или его подмена в результате отсутствия процедур контроля целостности документа на каждом этапе жизненного цикла документа.

Многие организации, переходящие или планирующие переход на электронный документооборот с частным клиентом, слишком концентрируются на вопросах НСД, пренебрегая юридическими аспектами. Однако задача обеспечения кибербезопасности цифрового документа ничем не отличается от задачи защиты любого другого цифрового актива. Когда организация не ощущает уверенности, что их, к примеру, расчётная или биллинговая система достаточно безопасна, то переход на цифровой документооборот либо преждевременен, либо переоценён по эффективности. Недооценка же правовых рисков, в свою очередь, может в какой-то момент перечеркнуть все усилия по обеспечению целостности и конфиденциальности во всех системах компании. Описанный ниже практический опыт поможет минимизировать вышеизложенные риски и избежать основных ошибок при реализации безбумажной технологии за счёт соблюдения как требований регуляторов, так и требований кибербезопасности.

 

ПРО ТРЕБОВАНИЯ РЕГУЛЯТОРОВ

При предоставлении клиенту сервиса безбумажного оформления операций необходимо руководствоваться положениями следующих нормативных документов: Гражданский кодекс Российской Федерации (ГК РФ) и Федеральный закон N 63-ФЗ «Об электронной подписи» от 06.04.2011 (63-ФЗ).

В соответствии с п. 2 ст. 160 ГК РФ при совершении сделок, помимо собственноручной подписи, допускается использование электронной подписи. Регулирование отношений в области использования электронных подписей при совершении гражданско-правовых сделок и иных юридически значимых действий осуществляет 63-ФЗ.

Согласно этим нормативно-правовым актам, перед тем как предложить клиенту формирование документов по технологии БФО, необходимо убедиться, что между организацией и клиентом заключён специальный договор (соглашение), определяющий условия и порядок электронного взаимодействия между ними. При этом нужно понимать, что клиент может расторгнуть данное соглашение в любой момент времени, что вызывает необходимость проверки актуальности такого соглашения при каждом обращении клиента.

В Сбербанке таким якорным документом является договор банковского обслуживания (ДБО). В целевой картине это единственный документ, который хранится в бумажном виде и подписывается собственноручной подписью. Однако если заглянуть за горизонт, то развитие государственных сервисов по идентификации частных лиц даёт все предпосылки к тому, что и ДБО станет электронным документом. В качестве собственноручной подписи клиента в таком случае будет использоваться облачная подпись, выданная государством данному гражданину после прохождения им аутентификации через общегосударственные сервисы Единой системы идентификации и аутентификации и (или) Единой биометрической системы.

В соответствии с 63-ФЗ участники электронного взаимодействия вправе использовать электронную подпись любого вида по своему усмотрению, если иное не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами, либо соглашением между участниками электронного взаимодействия. Существует два вида ЭП: простая и усиленная (которая, в свою очередь, делится на квалифицированную и неквалифицированную).

Формально законодательство не устанавливает требований к составу простой ЭП, поэтому она может представлять собой любой блок данных и быть интегрирована в электронный документ по любым событиям, о которых банк заранее договорится с клиентом (в нашем случае — ДБО). Однако при формировании такого блока данных необходимо учитывать, что содержащаяся в нём информация должна обеспечить доказуемость того факта, что «событие» действительно наступило, и не быть при этом избыточной. Допускается использовать как бизнес-параметры операции, так и технические.

Сбербанк в своей практике придерживается минимально достаточного набора данных, который позволяет точно определить клиента, дату и время операции, факт аутентификации клиента, способ подтверждения операции. Для определения лица, подписавшего документ согласно ст. 9. 63-ФЗ, набор данных составляющих простую ЭП должен быть интегрирован в электронный документ в поля, предназначенные для собственноручной подписи клиента.

При реализации безбумажной технологии взаимодействия с клиентом необходимо предусмотреть возможность ознакомления всех сторон с подписываемыми электронными документами перед непосредственной процедурой подписания и визуализации результатов проверки ЭП всех подписантов согласно 63-ФЗ. Законодательство не устанавливает ограничений на типы электронных устройств отображения документов, поэтому Сбербанк использует в офисах обслуживания наиболее удобные и привычные для клиента устройства — POS-терминал или планшет, а для сотрудника средством вывода дополнительно может служить экран монитора рабочего места. 

ГК РФ не устанавливает обязанности сторон использовать при электронном взаимодействии какие-либо конкретные информационные технологии и (или) технические устройства. Аналогичное правило содержится, например, в п. 2 ст. 4 63-ФЗ, согласно которому одним из принципов использования электронной подписи является возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования, установленные для конкретных видов электронных подписей.

Всё вышесказанное необходимо учитывать при выборе способов реализации технологии электронного взаимодействия с клиентом, однако юридические аспекты реализации — это только половина пути при движении в сторону цифровой трансформации бизнеса. Вторая половина — обеспечение кибербезопасности.

 

Смотрите также

Подпишись на новости!
Подписаться