Подарок для подписчиков - тексты основных законов с учетом изменений, связанных с цифровым рублем. В режиме правки, для удобства чтения. Enjoy!

Нигерийские миллиардеры госучреждения теперь не смогут выводить наличные со своих счетов. С 2015 года с них было выведено 2.4 миллиарда долларов, с преобладание крупных сумм, спохватились только сейчас (FATF в целом рассматривало государственные счета как малорискованные, видимо такой лобовой подход им в голову не приходил). Заодно ставят лимиты на банкоматы (7го декабря поставили $200 за неделю, но 22го передумали и подняли до $1000) и меняют купюры и проводят все прочие действия по стандартным протоколам обезналичивания.

В целом Нигерия успешно становится безналичной страной. Например, за 2022 объем безналичных платежей увеличился на 50%. Но такого резкого регуляторного ограничения аналитики не ожидали. Упомянем также, что Нигерия является единственной большой страной с полномасштабной CBDC eNaira, хотя пока и малопопулярной (через год после запуска используется 0.5% населения). Учитывая, что Нигерия находится на 26 месте в мире по ВВП и метит в двадцатку - к происходящему там стоит присматриваться.

https://www.bloomberg.com/news/articles/2023-01-05/nigeria-to-ban-cash-withdrawals-from-government-accounts

До боли знакомая история. Дальше золотая акция и тому подобное.

Китайский миллиардер Джек Ма отказывается от контрольных прав на Ant Group, сообщает Bloomberg со ссылкой на заявление компании. В нем говорится, что компания предоставит право независимого голоса десяти лицам, включая основателя, руководство и персонал, что фактически лишит Ма контроля над Ant Group. Доли акционеров компании при этом не изменятся.

Переходим в фазу систематизации правил применения санкций от хаотичных инструкций, гайдлайнов и рекомендаций. Как и предсказывалось (ожидалось) нами здесь и здесь: начался откат в де-рискинге.

ЦБ понемногу раскрывает свои виды на ЦВЦБ, в частности - на трансграничные расчеты. Я, в отличии от коллег, вижу в цифровом рубле некий антисанкционный потенциал за счет обскуризации, но исключительно тактический. Стратегические решения лежат исключительно в плоскости политики.

https://kommersant-ru.turbopages.org/kommersant.ru/s/doc/5758849

Пост про электронные подписи, как обещали подписчикам. Эта тема имеет не только практическое значение, но для нас как консультантов еще и представляет прекрасный пример колейности (path dependence): когда единожды сделанный выбор определяет проблемы по всему миру.

«Золотым стандартом» в электронных подписях является акцент на квалифицированных электронных подписях (КЭП); это прекрасно видно, например, в eIDAS. Чаще всего они реализованы на USB-токенах, хотя есть и множество иных решений (например, интеграция с симкартой). Всем КЭП хороши: они обеспечивают неизменность электронного документа, подтверждают личность клиента и тому подобное. Проблема в одном: нигде в мире (кроме редких исключений вроде Эстонии) КЭП широко так и не используются. Почему?

Исторически цель регуляторов была в обеспечении тождественности электронной и собственноручной подписи. И технократический подход был в том, чтобы выбрать самое надежное решение из возможных – по умолчанию признать тождественность только для КЭП. Так сформировалась регулятивная колея, выпрыгнуть из которой очень тяжело. Но проблема состоит в том, что КЭП ничем не похожа на собственноручную подпись. Если на то пошло, у них вообще мало общего.

✅В отличие от КЭП, для получения собственноручной подписи не нужно обращаться к удостоверяющим центрам и другим посредникам. А посредники – это необходимость дополнительного регулирования, надзора и расходы.

✅У собственноручной подписи нет срока годности. А у КЭП, как ни парадоксально, есть.

✅Собственноручная подпись технологически нейтральна. Можете ставить ее ручкой, карандашом, маркером, угольком. На стене или салфетке. Использование КЭП, особенно с использованием USB-токенов, это целая процедура. Иногда требующая недюжинных технических навыков (кто работал с подписями от юрлица, поймет).

✅КЭП действительно гарантирует высокую надежность электронного документа – неизменность и гарантию подписания конкретным лицом. Но в абсолютном большинстве случаев такая надежность избыточна. И в целом может достигаться более дешевыми методами (например, двухфакторной аутентификацией).

В некоторых странах пытаются отойти от доминирования КЭП в законах, но продвигается это медленно. Колейность привела к появлению отдельных регуляторов, бизнеса, самостоятельных процессов. И они неизбежно сопротивляются изменениям. Поэтому внедрять более простые механизмы электронного подписания (например, по смс) непросто.

Будет любопытно посмотреть, как насколько устойчивой будет эта колейность. Давайте обсудим в комментариях. Кто пользуется КЭП, какие впечатления и какие прогнозы на будущее.

Посоветую канал с хорошим анализом по карточным продуктам и не только.

Ravelin.com опубликовал занятное исследование про использование 3DS, ныне обязательное в Европе (хотя тут, как и с другими сегментами PSD2 многие отстают) и его влияние на конверсию. Лично у меня мне процедура оплаты с кодом по SMS настолько въелась в кровь, что меня, скорее напрягает, когда платеж проходит без SMS или push (которое периодически приходится в телефоне искать). Оказывается, однако, что практически повсеместно есть куча озабоченности по поводу снижения конверсии, от 9% опрошенных экспертов в Австралии до 41% в Италии. В принципе, протоколы 3DS 2 позволяют эту озабоченность сгладить, в силу использование исключения дополнительной проверки (проще говоря - не присылая SMS и не выдавая дополнительной формы для заполнения) но, вероятно, недостаточно.

Как настоящие безопасники, авторы исследования сделали все, чтобы им нельзя было делиться, не оставив им е-мейл. Так что если ссылка не открывается, идите на сайт, там много всего интересного по теме.

https://resources.ravelin.com/3ds_psd2_authentication/global_payment_regulation_and_authenticationmap_2022?utm_campaign=Delivery+emails&utm_medium=email&_hsmi=239018144&_hsenc=p2ANqtz--RdU5FoHkqInWpREGq0Kk3ATHtsipYY1-0HZSDt7oFXKPN--z9lrEKB7mQtTcI5ceseHJeaHldNv1NzZq6hoYOz8SBAw&utm_content=239018144&utm_source=hs_automation&_pfses=5PQpJEAozUkcWkUk8P37vMus#page=1

Алексей посоветовал статью, возможно, критически важную, про стратегический подход к управлению пользовательским поведением, в том числе и в финансах. Популярное «мягкое подталкивание» потребителей к верному с какой-либо точки зрения потребительскому поведению как минимум нерелевантно в отношении их благосостояния, и, скорее всего, сокращает общее благосостояние.

https://www.kommersant.ru/doc/5772377?from=main

🖋Есть ли будущее у простых электронных подписей? Наш прошлый пост по перипетии электронных подписей прочитало больше тысячи человек. Поэтому по просьбе в комментариях расскажем про простую электронную подпись (ПЭП).

У простых электронных подписей нет какого-то четкого определения. В ЕС это любые «электронные данные, используемые для подписания документов». В США – «электронный процесс, который указывает на согласие с подписываемым документом». Поэтому о каких-то конкретных критериях речь не идет.

Но ПЭП явление удивительное еще и потому, что она де-факто используется абсолютно во всех странах, где мы работаем (и где не работаем). От Пакистана до Вануату и от Мозамбика до Мальдив – везде вы встретите простые электронные подписи. Пресловутые кнопки «согласен» и «далее», «галочки», одноразовые пароли в SMS и прочее – все это попадает под определение ПЭП. Возникает закономерный вопрос: зачем использовать сложную и дорогую КЭП, если есть простая и дешевая простая электронная подпись? Хитрость в том, что законодательство обычно признает надежность КЭП по умолчанию (см наш пост выше), а вот для признания простой электронной подписи может понадобиться идти в суд, потому что каждый случай рассматривается отдельно. Хотя и зачастую положительно: например, в Великобритании суд решил, что и подпись с именем в емейле тоже ПЭП: ведь отправитель ставит ее намеренно, а значит подтверждает то, что в письме написано (в том числе, к примеру, условия контракта).

Главное отличие ПЭП от квалифицированной электронной подписи как раз в том, что если КЭП – это, в первую очередь, инструмент, то ПЭП – это процедура, которая регламентируется очень мало. Кстати, может быть именно этим связано безусловное проникновение ПЭП во все сферы жизни, в отличие от зарегулированной квалифицированной подписи на токенах, сим-картах и прочее.

Справедливости ради надо сказать, что мы видим и множество злоупотреблений, обмана, введений в заблуждение с помощью простых электронных подписей. Наверняка, вы тоже сталкивались со «случайно» навязанными вам дополнительными услугами из-за незаметной кнопки «отказаться». Поэтому сейчас регуляторы пытаются нащупать подходы к регулированию именно процедур использования ПЭП. Пока эти требования ситуативны и разобросаны по многочисленным нормативным актам. К счастью, многое уже придумано. Например, еще в начале 2000-х Американская юридическая ассоциация разработала принципа подписания электронных соглашений. На что здесь стоит обратить внимание?

✅ Согласие должно быть явно выраженным. То есть недопустимы проставленные заранее «галочки», нельзя делать согласие автоматическим (например, открыл приложение – списались деньги).

✅ Потребителю необходимо показывать все условия договора до момента присоединения к нему (вы удивитесь, как часто происходит наоборот).

✅ Согласие должно быть конкретным. Это значит, что следует избегать «контрактов-матрешек», когда заключение одного договора автоматически ведет к согласию с условиями десятков других.

✅ Потребителю необходимо сообщить, что именно произойдет после нажатия кнопки «согласен» (например, будет открыт счет или оформлена подписка).

✅ У потребителя должен быть постоянный доступ к подписанному соглашению (на сайте или отправленный по электронной почте).

✅ У потребителя должна быть возможность расторгнуть договор тем же способом, каким он был заключен. Причем эта возможность должна быть свободно
доступна.

✅ При этом уровень идентификации подписанта должен быть сообразен обстоятельствам. То есть полностью идентифицировать клиента при оформлении подписки на Нетфликс очевидно излишне (как и использование КЭП).

✅ Факт использования ПЭП должен логироваться – чтобы потом это можно было предъявить в суде.

16 января ЕЦБ представил абсолютно позорную презентацию ни о чем по цифровому евро на заседании Еврогруппы. Сути там почти ноль, зато есть слова типа

The digital euro as a monetary anchor would preserve public access to central bank money in the digitalised world by being widely accessible to prospective users.

В таких случаях регулятора всегда хочется спросить - а вы онлайн-банк видели? А карточкой случалось платить?

Очень поднатужившись, можно решить, что речь идет о необходимости бесшовной системы с быстрыми платежами, qr кодами и app’ ами, но регулятор несется дальше.

The digital euro design will ensure privacy of personal data and payments...
• The ECB will not have information on people’s holdings, their transaction histories or payment patterns.

Это как? Слепая подпись, миксеры или что? Как ЦБ может не знать транзакционных историй в ЦВЦБ? И так далее.

Из вменяемого: приватность таки будет, окрашенных и прочих программируемых денег не будет, дизайн выкатят через полгода.

Истории про аналоги собственноручной подписи, которые мы активно обсуждаем, обрели неожиданное продолжение. Верховный суд признал недействительным договор, заключенный через SMS подтверждения. Мы изучим документы и вернёмся с более подробным анализом аргументации

https://www.kommersant.ru/doc/5774899

Решение Верховного суда отправить дело о «кредите по смс» на повторное рассмотрение (кстати, без гарантии, что решение в первой инстанции будет иным) действительно довольно любопытное. Пока мы ждем собственно пересмотренное судебное решение. Но уже можно обратить внимание на три слоя этой сложной проблемы.

Первый – это мошенничество. Возможно, клиентку действительно обманули. Есть ли здесь вина банка? Только если будет доказано, что банк намеренно создал условия для такого мошенничества и ему такое мошенничество было выгодно. Это кажется сомнительным. В другой ситуации - расчете наличными – центробанк не несет ответственности за мошенничество. Кстати, интересно подумать, как решение суда повлияет и на цифровой рубль: будет ли эмитент нести издержки, связанные с мошенничеством третьих сторон?

Второй – использование электронной подписи. Судя по всему, в суде пытались намекать вот на что: ситуация с кодом в смс похожа на то, когда клиенту предлагают подписать чистый лист бумаги. Это к тому, что раскрытие информации и информирование о последствиях ввода пароля (очень важно!) – должно быть неотъемлемой частью использования простой электронной подписи.

Третья – двухфакторная аутентификация и переход к КЭП. Дескать, если бы требовалась более серьезная аутентификация и квалифицированная подпись, то проблемы бы не было. Ожидания здесь, как нам кажется, завышены. Что мешает клиенту точно так же использовать КЭП по инструкции мошенников? Более того, если бы при подписании кредитного договора использовалась квалифицированная подпись, то шансы его оспорить были бы как раз почти нулевые.

Пока рано делать какие-то далеко идущие выводы пока не увидим результаты повторного рассмотрения дела. Да и оно – не гарантия, все-таки не прецедентное право. Но, как кажется, это еще один звоночек в пользу регулирования процесса использования электронных подписей (в противовес регулирования конкретных инструментов).

Грустная новость, хотя и предсказуемая. Напомним, что исчезновение кэшбеков мы прогнозировали еще несколько лет назад. С жестким регулированием, особенно ценовым, они плохо совмещаются.