Между удобством и безопасностью: дилеммы риск-менеджмента в финтех-компании

Финтех как зона повышенного риска

Цифровые экосистемы за последние 20 лет трансформировали многие отрасли — от ритейла до финансов. С одной стороны, диджитализация становится драйвером рынка, а с другой — несет новые риски.

По оценкам Deloitte, в любой digital-экосистеме есть как минимум 10 уязвимых сегментов — это регуляторные и операционные риски, проблемы с утечками данных и приватностью, а также уязвимости более глубокого уровня, например, стратегические.

Избежать их полностью пока никому не удавалось: с проблемами сталкиваются даже такие гиганты, как Apple, Microsoft и Google. Но наиболее высокому фактору риска подвержены компании, которые управляют не только пользовательскими данными, но и финансами клиентов.

В первую очередь это касается сферы финтеха, которая соединяет в себе функции кредитно-банковского учреждения и IT-бизнеса с характерными для обеих категорий рисками.

Так, компаниям приходится одновременно решать вопросы кибербезопасности и приватности, при этом развивая и совершенствуя свои платформы. Также нужно создавать простые и удобные с точки зрения UX сервисы, которые в то же время будут достаточно защищенными.

Необходимо учитывать кредитные, операционные, рыночные и регуляторные риски, мониторить действия клиентов, персонала и третьих лиц, в том числе партнеров и сотрудников на аутсорсе.

В финтехе спектр уязвимостей постоянно расширяется и эволюционирует: появляются регуляторные требования, к которым нужно быстро адаптироваться, возникают новые форматы кибермошенничества.

В QIWI мы отслеживаем такие тенденции и стараемся обновлять и запускать продукты с учетом меняющихся пожеланий пользователей. Например, в пандемию мы предложили новые продукты и услуги в рамках удаленного обслуживания. Это денежные переводы внутри приложения без посещения офиса, снятие наличных с виртуальных карт.

Стремление к удобству и эффективности изменило характер конкуренции на рынке финансовых услуг: преимуществом банка или платежного сервиса становятся не тарифы и не спецпредложения, а UX и UI.

По данным Business Insider, улучшение пользовательского опыта — вторая по значимости сфера развития для банковских организаций, а на первом месте инвестиции в инновации.

В результате перед финтех-компаниями встает дилемма: сделать сервис еще более удобным, но повысить риски, или сделать ставку на усиление безопасности, но снизить уровень привлекательности продукта для клиента.

Многие категории риска особенно четко проступили в период пандемии, когда миллионы пользователей начали пользоваться онлайн-платежами и совершать покупки в интернете.

Фактически, пандемия заставила людей научиться пользоваться цифровыми приложениями и их возможностями.

При этом, несмотря на усилия, прилагаемые финтех-отраслью к обеспечению безопасности транзакций и повышению уровня финансовой грамотности своих клиентов, такое увеличение доли онлайн-операций все же стимулировало рост случаев кибермошенничества.

Кроме того, увеличилась нагрузка на сервера компаний, а ускоренное внедрение новых технологий создало дополнительные риски. Обстоятельства требовали от бизнеса решений, которые бы защитили клиентов и в то же время удовлетворили спрос на удобные сервисы.

Например, вырос спрос на упрощенную идентификацию — опцию, которая помогает системе распознать пользователя за несколько секунд и в то же время обеспечить безопасность на должном уровне.

В QIWI мы начали развивать ее еще в прошлом году: удобным аналогом очной идентификации стала интеграция Кошелька с «Госуслугами».

Методы противодействия

Поскольку финтех — это гибридная отрасль, компании используют гибридные приемы риск-менеджмента, позаимствованные в банковской отрасли и в IT-сегменте.

Большинство из них направлены на профилактическую борьбу с уязвимостью, а также антикризисные меры в случае, если инцидент все-таки произошел.

Например, необходимо особенно жестко подстраиваться под регуляторные требования, а также максимально детально просчитывать вероятность рисков: какие потери возможны, где сосредоточены точки уязвимости, как новые технологии и тренды влияют на безопасность.

Шаги для решения вопроса о риск-менеджменте:

• Минимизация. Этот метод подразумевает собой самый очевидный и простой вариант – сведение всех возможных рисков к минимуму путем форсированного наверстывания пропущенных этапов развития сервиса и купирования потенциальных проблем в будущем.

Впрочем, предусмотреть все невозможно — чтобы полностью исключить риски, нужно свернуть бизнес. Поэтому главная задача: изучение, анализ и минимизация на всех уровнях.

• Смягчение. Исходя из того, что риски неизбежны, компания должна предусмотреть возможные потери и сократить их, насколько это возможно.

Если киберпреступники получат доступ к одной из систем, все остальные должны быть максимально защищены.

• Делегирование. Фактически, речь идет о страховке — часть задач перекладывается на плечи банка или ответственного подрядчика.

Финтех-стартапы часто не располагают достаточными ресурсами, чтобы самостоятельно заниматься процессингом или кредитованием — для этого они могут привлекать партнеров.

В какой-то степени подобное делегирование — это тоже минимизация рисков, а также экономия ресурсов.

• Принятие подразумевает объективную оценку ситуации и осознанное решение пойти на риск.

Такое решение может быть продиктовано только разумным расчетом, а опираться оно должно только на надежную доказательную базу. Тем не менее, в ряде случаев (например, когда компания временно оказалась единственным поставщиком дефицитной услуги), подход может оправдать себя.

Здесь можно использовать принцип из медицины — если потенциальная польза перевешивает риски, значит, продукт или услугу стоит внедрить.

• Гибридный подход. Сложная комбинация и жонглирование всеми упомянутыми выше опциями, которая требует постоянного контроля ситуации и готовности оперативно реагировать на изменения внешней среды.

Ставка на устойчивость

Все эти тактики предусматривают действия в условиях стабильной ситуации на рынке, но в кризис перед компаниями встают новые вызовы: сокращение выручки, ухудшение финансовых показателей, срыв сделок и договоренностей с партнерами, урезание расходов и сокращение бюджета на инновации.

На этом этапе обычно приходится подключать приемы кризис-менеджмента. В отличие от стратегии работы с рисками, они направлены не на предотвращение угроз, а на устранение последствий.

Например, создают платформы и экосистемы, которые позволяют диверсифицировать бизнес.

Это касается и финтех-организаций — для компаний в этой сфере 2020 год стал самым масштабным испытанием на устойчивость. Некоторым пришлось впервые столкнуться с комплаенс-рисками или пересмотреть текущие бизнес-модели.

Выбор подходящей тактики зависит в первую очередь от сложившейся на рынке и в компании ситуации, доступных ресурсов и стратегии на будущее.

Универсальных решений нет в том числе и потому, что финтех-отрасль постоянно эволюционирует — возникают новые технологии и регуляторные инициативы, меняются привычки и паттерны поведения клиентов.

Это доказывает и опыт пандемии: в некоторых странах популярность финтех-приложений выросла на 55%, а в России оборот только по виртуальным картам вырос на 44% в сравнении с докризисными показателями.

Российский рынок финансовых онлайн-услуг продолжает расти — и, вероятно, к 2021 году перед компаниями откроются новые возможности, а с ними возникнут и новые вызовы.