Проверка клиентов по 115-ФЗ: какие подводные камни есть у этого процесса

Бизнес по-разному решает вопрос с проверками клиентов по спискам Росфинмониторинга: одни используют вендорские продукты, другие создают в рамках комплаенс-процессов собственные системы. Расскажу о подводных камнях таких проверок — знание о них поможет и при самостоятельном написании системы, и при выборе вендора. 

Проблемы с качеством данных 

Начнем с простого: данные, которые поступают в организацию, далеко не всегда правильные и полные. И если компания не использует Data Quality решение для повышения их качества, она легко пропустит фигуранта из черных списков. 

Обнаружить его могут помешать: 

• Опечатки в данных. Например, если оператор по ошибке ввел имя или фамилию неправильно: Симаченко вместо Симоченко. 
   
• Намеренные ошибки в данных. Люди, оказавшиеся в списках террористов и экстремистов, иногда откровенно хитрят и используют трансграфику. При заполнении формы на сайте они могут написать буквы О, С в имени или фамилии в латинской раскладке. Например, вот так: Cидoров. Визуально не определить, что буква С и O написаны латиницей.
   
• Похожие имена.  Использование близких по написанию имен (Наталья и Наталия, Софья и София, Андрей и Андрий и др.) — еще один способ обмануть организацию.   

Намеренные или случайные ошибки во входящих данных «сработают», если компания: 

• не работает с качеством данных, 
• использует прямое построковое сравнение с перечнями,
• алгоритмы системы не умеют распознавать трансграфику и не знают о различных вариантах написания имен. 

Особенности транслитерации 

По решению совета безопасности ООН, публикуются перечни организаций и физических лиц, связанных с терроризмом или с распространением оружия массового уничтожения. И списки эти — на английском языке. 

Перевод на русский язык бывает, но не всегда. Кроме того, часто публикуется перевод только одного имени, а альтернативные имена (алиасы) на русском языке не приводятся. 

Вот основные моменты, которые стоит учесть при разработке системы:  

• У фигуранта перечня может быть несколько имен — на английском, арабском, корейском или других языках. Иногда они и вовсе написаны иероглифами, поэтому сравнить запись в перечне ООН с предоставленным апостилем крайне сложно. Более того, иногда правила транслитерации меняются, так что одно и то же имя в разное время может быть написано по-разному. Например, Юлия на транслите может быть написана как Yuliya или Iuliia. 
• В списке ООН по физическим лицам много арабских имен. И если в русском языке три компонента имени (фамилия, имя, отчество), то в арабском их может быть и больше. Поэтому при разработке алгоритмов для сравнения нужно нужно внимательно разбираться, в какой последовательности и какие компоненты вы будете сравнивать.
• Дата рождения внесенных в список людей не всегда определена. Иногда представлен только год рождения или дата рождения с типом between: так, может быть указано, что фигурант родился в период с 1966 по 1967 года.
• Юридические лица иногда могут использовать аббревиатуру вместо полного названия, так что при проверке нужно иметь в виду и такой вариант. Мы рекомендуем автоматически вычленять из названия организационно-правовую форму (LTD, LLC, Trust и др.) и для проверки использовать только название. Почему? Правовая форма иностранной организации не всегда корректно переводится на русский язык, поэтому ее использование может создать дополнительные трудности. Вторая проблема — перевод названия. Например, в списке могут быть далеко не однозначные переводы: Корейская национальная страховая компания (КНСК) — это то же самое, что Korea Foreign Insurance Company.

Сложные алгоритмы сравнения

Расскажу поучительную историю: один из банков использовал самописное решение для проверки по спискам. Система умела работать только с двумя сценариями:

1. полное совпадение ФИО и даты рождения,
2. полное совпадение серии и номера паспорта. 

Этого оказалось недостаточно, и организация не сумела опознать фигурантов списков. Ей пришлось заплатить штрафы за проведенные операции. 

Чтобы свести ошибки к минимуму, алгоритмы должны использовать множество разных правил с оценкой вероятности совпадения. Если при сравнении учитывать только ФИО и дату рождения, то совпадений, скорее всего, будет слишком много — особенно, если у организации миллионы клиентов. А вот если учитывать совпадение ФИО, ДР и паспортных данных — с вероятностью 95% система будет правильно находить фигуранта. Но есть случаи, когда номера паспортов не совпадает, а вот адрес проживания один и тот же. На такой случай нужны дополнительные «мягкие» правила сравнения. Какими они будут, компания решает сама (или обсуждает их вместе с вендором). Скажем, можно использовать вот такие правила: 

1) Совпадение по ФИО на 70-99% + дата рождения + дополнительный документ физлица

2) Совпадение ФИО на 70-99% + адрес до дома на 90-100% + дата рождения

Сделать проверку более точной помогут ИНН и СНИЛС фигурантов. Тем более, что в некоторых списках эти данные представлены. Остается только обогатить клиентскую базу организации этой информацией. Для этого можно использовать сервис ФНС, который позволяет получить данные по ИНН. Подключиться к нему могут организации, поднадзорные ЦБ. ИНН помогает проводить проверки более точно и выявлять фигурантов списка даже в том случае, если они, например, поменяли паспорт. 

Со СНИЛС, к слову, сложнее. Автоматически базу по этим документам не получить, остается только запрашивать эти документы у клиентов. 

К чему еще нужно быть готовым при самостоятельном создании системы для проверки клиентов по 115-ФЗ? 

• К быстрой проверке всей клиентской базы. Списки публикуются через день, иногда чаще. В них регулярно появляются новые фигуранты, а некоторые, напротив, исчезают. Сложность в том, что проверить всю клиентскую базу и все совершенные операции нужно в течение 24 часов после того, как Росфинмониторинг опубликовал новую версию того или иного списка. К слову, у этого регулятора есть сервисный концентратор, который позволяет компаниям  в автоматическом режиме скачивать списки сразу, как только они публикуются.
   
• К обеспечению оперативного и удобного доступа к системе проверки. Бывает, что комплаенс загружает списки в одной системе, а заведение клиентов и операции с ними происходят во множестве других. Клиенты могут совершать операции в мобильном приложении, на сайте, в офисе… Принципиальный вопрос, который предстоит решить: делать модуль проверки по спискам в каждой системе или обязать всех использовать единый сервис. Второй вариант, по нашему опыту, удобней и проще. 
   
• К постоянным доработкам системы. В сфере комплаенса законодательство то и дело меняется — десятки изменений в год! Конечно, далеко не все из них касаются проверки по спискам, но держать руку на пульсе нужно. Например, в 2023 году Росфинмониторинг поменял формат данных списков, и некоторым компаниям это серьезно осложнило работу — пришлось разбираться в новой структуре данных и дорабатывать систему. В случае с вендорским решением доработку под новый формат делает разработчик продукта. Доработка требуется и в том случае, если регулятор обязывает бизнес проверять клиентов по новым, ранее не использовавшимся, спискам.