Правила игры снова меняются: новые поправки в закон изменят весь финтех

Финансовая отрасль вступает в фазу глубокой трансформации, в которой контроль, прозрачность и прослеживаемость решений становятся обязательными. В 2023—2025 годах сразу несколько нормативных документов изменили подход к идентификации клиентов, анализу их рисков и принятию решений о кредитовании. Среди ключевых нововведений — стандарт Банка России БФБО‑1.7‑2023, регламентирующий работу с цифровыми отпечатками устройств, и развитие цифрового профиля гражданина, через который уже в 2026 году будет проверяться официальная занятость и уровень доходов заявителя.

Это не косметические инициативы. По оценкам самих банков и МФО, после внедрения цифрового профиля до 25% граждан могут быть исключены из кредитной воронки — просто потому, что не смогут подтвердить «белый» доход. Более того, сами процессы принятия решений в банках должны будут учитывать нормативно закреплённые источники данных — в том числе верифицированные сведения от ФНС и Соцфонда — и при этом соответствовать требованиям по защите, трассировке и обоснованности решений.

В этих условиях простая автоматизация заявок или поверхностная проверка по скорингу больше не работают. Изменения требуют пересмотра архитектуры логики, которая лежит в основе всех комплаенс и кредитных процедур. Причём в первую очередь — в разрезе нормативного соответствия.

Цифровые отпечатки устройств: новая норма для антифрода и идентификации

С марта 2023 года в России официально действует стандарт Банка России СТО БР БФБО‑1.7‑2023, который устанавливает обязательные требования к цифровым отпечаткам устройств при выполнении финансовых операций. Это не рекомендация, а нормативно закреплённый технический стандарт, который банки, МФО и платёжные сервисы обязаны учитывать при построении систем противодействия мошенничеству.

Суть подхода в том, что каждый клиент, взаимодействующий с финансовым продуктом, должен быть распознан не только по логину и паролю, но и по уникальному цифровому профилю устройства. В этот отпечаток входят десятки параметров: модель и тип устройства, ОС, язык, регион, версия браузера, IP-адрес, геолокация, наличие подключённых модулей, и даже характеристики экрана и клавиатуры. Вся эта информация превращается в хеш, сформированный по алгоритму ГОСТ Р 34.11‑2018.

Для антифрод-систем это усиление защиты. Но для бизнеса в целом это означает следующее:

• требуется централизованный учёт, хранение и обновление цифровых отпечатков;
• необходимо выстраивать логику, которая различает «подозрительное» и «нормальное» поведение на основе профиля устройства;
• необходимо обеспечивать прозрачность и обоснованность решений — особенно в случае отказа в обслуживании или блокировки.

Отсутствие поддержки БФБО‑1.7‑2023 уже сейчас может привести к вопросам со стороны регулятора и проблемам при проверках — особенно в случае инцидентов. Но самое важное — это необходимость связать логику работы с устройствами с логикой принятия решений, а не держать их в изолированных антифрод-блоках.
Следующее крупное изменение — это внедрение цифрового профиля гражданина, который должен стать универсальным источником проверенной информации для оценки заемщиков. Согласно дорожной карте Банка России, уже к 2026 году банки и МФО получат автоматизированный доступ к следующим данным через защищённый канал:

• официальное трудоустройство;
• уровень дохода, с которого уплачиваются налоги;
• данные из Социального фонда России (бывший ПФР и ФСС);
• сведения из ФНС.

На практике это означает жёсткую связку между возможностью получить кредит и официальным статусом занятости. Банки уже готовятся к тому, что доступ к продуктам будет ограничен только гражданами с «белым» доходом, а все остальные — включая самозанятых, фрилансеров, владельцев малого бизнеса — рискуют быть исключёнными из массового скоринга.

По оценкам участников рынка, до 25% потенциальных заёмщиков могут оказаться вне кредитного сектора. И это не вопрос отказа от рисков, а необходимость соответствовать новым нормативным требованиям. Это также означает, что любая система, участвующая в принятии решений, должна:

• учитывать данные из официальных реестров;
• быть способной быстро адаптироваться под изменения в доступных полях или алгоритмах доступа;
• обеспечивать логирование, верификацию и объяснимость принятых решений.

Банки и МФО, которые не смогут вовремя перестроить свою инфраструктуру, рискуют не просто потерять клиентов, а столкнуться с невозможностью соответствовать будущим регуляторным нормам. Особенно это касается игроков, где логика скоринга или KYC всё ещё зашита в код или распределена между несколькими неинтегрированными системами.

Почему текущие процессы не выдерживают нормативной нагрузки

Большинство банков и микрофинансовых организаций подошли к эпохе цифрового профиля и обязательных цифровых отпечатков с разрозненной, фрагментарной архитектурой принятия решений. Внутри компаний до сих пор сосуществуют:

• устаревшие rule-based системы без поддержки версионности и логирования,
• ручные сценарии анализа, реализованные через Excel, почту и скрипты,
• дублирующие процессы в комплаенсе, антифроде и скоринге, не синхронизированные между собой.

Такая архитектура не способна адаптироваться к новому нормативному давлению. Например:

• Триггеры по подозрительным операциям или по доходу клиента часто невозможно быстро обновить без доработки кода;
• при проверке по цифровому профилю невозможно объяснить, почему клиент получил отказ, если логика не централизована и не логируется;
• при получении новых полей из ФНС или Соцфонда нельзя внедрить A/B-проверку или временно протестировать влияние правила без риска сломать основной процесс.

Кроме того, неформализованная логика приводит к потере управляемости. В условиях, когда решения должны быть прозрачными, воспроизводимыми и проверяемыми в рамках аудита или проверки от ЦБ, компании сталкиваются с невозможностью обосновать, почему было принято то или иное решение — особенно если оно привело к блокировке, отказу или сбою в обслуживании.

Это не только источник рисков санкций и предписаний, но и прямая угроза клиентскому доверию. По статистике, 43 % клиентов меняют банк после необоснованной блокировки или отказа в обслуживании.

Как адаптировать логику принятия решений к новым требованиям?

Регуляторное давление растёт, но суть вызова не в количестве новых требований, а в неспособности быстро и надёжно на них реагировать. Чтобы выдержать нормативную нагрузку, банкам и МФО необходимо пересмотреть подход к управлению логикой.

Всё это требует перехода от наборов скриптов и изолированных модулей к архитектуре, где логика становится частью управляемой системы принятия решений — со связью между событиями, правилами и действиями. Не просто цифровизация процесса, а платформенная зрелость.