В последние несколько лет операторы сотовой связи (ОСС) обзавелись личными кабинетами (ЛК) через которые, в теории, клиент должен получить информацию или внести изменения оперативно. По факту так получается далеко не всегда. Поделюсь кейсом и опишу процедуру, как она могла бы быть, чтобы имела смысл.
Цель: Уйти от необходимости клиенту физически приезжать в офис ОСС. Т.е. экономия времени клиента и немалая. Особенно в случае, если представительство ОСС в одном городе, а генеральный директор — в другом.
Идеальная процедура проверки физлица
- Генеральный директор приезжает в офис компании.
- Предъявляет паспорт для верификации.
- Сотрудник в офисе сверяет паспортные данные с информацией в базе данных ОСС, полученные при заключении договора.
- Ести все ок, то производит необходимые изменения или подключает услугу.
На сегодня указанный способ — ЕДИНСТВЕННЫЙ надежный вариант определить, что физлицо именно то, за кого себя выдает.
Упрощенная процедура проверки физлица
Поскольку гендиректор далеко не всегда занимается вопросами мобильной связи и ездить по ОСС — не резон, вместо него к ОСС отправляются соответствующие сотрудники. В этом случае процедура такая:
- Сотрудник юрлица приезжает в офис компании.
- Предъявляет доверенность подписанную руководителем компании.
- Предъявляет паспорт для сравнения с доверенностью.
- Сотрудник в офисе сверяет паспортные данные с информацией в доверенности и смотрит, укладывается ли пункты доверенности для выполнения того, что просит клиент.
- Ести все ок, то производит необходимые изменения или подключает услугу.
Наверное, на взгляд многих компаний эта процедура от чего-то защищает. По факту — никакой защиты нет:
- Доверенность подписывается руководителем.
- У организации производящей проверку валидности доверенности нет образца подписи руководителя.
- Чтобы провести подчерковедческую экспертизу нужен графолог.
- Нередко за руководителей расписываются, например, офис-менеджеры, поскольку руководитель отсутствует, а работать надо.
- Наличие печати на доверенности ВООБЩЕ ни о чем не говорит. Печать в мастерской изготавливается за 500 руб. в течении нескольких десятков минут.
Итого получаем, что упрощенная процедура верификации ни от чего не защищает, а соответственно, смысла в ней немного.
Подписание договоров
Ровно также дела обстоят с подписанием договров, поскольку зачастую:
- Стороны никогда друг друга в глаза не видели.
- Общение по телефону, e-mail и пр. средствам дистанционного взаимодействия.
- Обмен подписанными договорами по почте.
- Стороны не знают как выглядят подписи подписантов. Эталона хранящегося в анналах на сайте налоговой нет.
- Даже если был-бы эталон, нет быстрой, простой, недорогой и надежной процедуры достоверного сравнения эталона с подписью на бумаге. Нужен графолог для проведения подчерковедческой экспертизы.
- Печать организации подделывается за 500 руб. и ни от чего не защищает.
Отсюда вывод, смысла в подписании договоров давно уже нет, если они проходят в дистанционном варианте. Да, когда это серьезный договор, подписание производится лично в помещении под присмотром юристов, но таких договоров в лучшем случае процентов 20 от общего количества.
Отсюда вопрос. Либо люди не понимают всю бессмысленность подписания договоров в таком виде, либо понимают, но делают, поскольку это надо налоговой. И тут встает вопрос, а спецы налоговой не понимают, что все это бумаготворчество лишено всякого смысла? Можно нарисовать любой договор на любую тему, но смухлевать проще простого.
Счета на оплату
Как нет процедуры верификации договоров, так и нет процедуры верификации финансовых документов. Например, счетов. Скажем, не сложно в счетах на оплату коммунальных услуг указать другой номер счета, сделав приписку «Внимание, изменились реквизиты!» или не делать. Раскидать массово по многоквартирным домам. Много ли людей начнут связываться с поставщиком услуг, увидев, что цифры счета отличаются от того, что было ранее? Что делать если ранее вообще не было счетов и сравнивать не с чем? Многие ли юрлица проверяют реквизиты в счете с теми, что указаны в договоре? Какая процедура верификации?
В банковском секторе есть трояны, которые при отправке платежа по реквизитам контрагента в процессе отправки заменяют введенные правильные банковские реквизиты на другие. В результате платеж уходит в неизвестном направлении. Как правило узнают об этом уже спустя несколько дней, когда контрагент говорит, что деньги до сих пор не пришли. В процессе «разбора полетов» выясняется, что бухгалтер отправлявший деньги ввел абсолютно левые цифры реквизитов для проведения платежа. И попробуй докажи, что это не злой умысел бухгалтера.
Какой выход?
На данный момент реальных вариантов обойти проблему с верификацией физлица при подписании документов или заказе услуг — нет. Была небольшая надежда на повсеместный ввод УЭК (универсальная электронная карта) в которой зашита ЭЦП. Однако, в силу сложности процедуры получения и ограниченной работоспособности (я тестировал сам) — УЭК не прижилась.
Сейчас пытаются строить некоторые системы электронных контрактов на базе блокчейна. Хайпа вокруг этой темы много, но реальных массовых проектов пока не встречал. Несомненно, это наиболее перспективное направление, хотя я с трудом себе представляю как эти технологии использовать с людьми далекими от ИТ. Все, что делалось в этом направлении с точки зрения клиентоориентации не выдерживало никакой критики. Даже ИТ подкованные люди, вроде меня, испытывают сложности.
Возможно, интересным был-бы вариант реализации двухфакторной аутентификации на чем-то вроде мобильных, поскольку в теории у SIM-ки всегда есть владелец с паспортом. По факту-же SIM-ка может быть у кого угодно.
Собственно поэтому довольно бредовая реализация верификации подключения к Wi-Fi точкам посредством получения SMS. Они добавляют массу мороки добропорядочным людям. Да, теперь их перемещение можно отслеживать точнее, хотя и раньше не проблема примерно оценить квадрат за счет триангуляции по базовым станциям ОСС. Однако задача идентификации криминальных элементов в эьтом случа НИКАК не решается. Купить симку на другое физлицо — не сложно.
Обслуживание у ОСС. Типичный вариант.
Приведу пример бессмысленной и неклиентоориентированной операции по верификации клиента у ОСС. Для примера возьму Теле2.
Ситуация:
- При заказе услуги от юрлица в #Теле2 возникает ошибка, что на счету не хватает денег. По информации через личный кабинет (ЛК) денег достаточно.
- Направляю запрос через личный кабинет и отдельно по e-mail техподдержки.
- По e-mail приходит ответ, что e-mail с которого отправлено сообщение не соответствует e-mail заданному для общения. Правильный e-mail (даже часть) не сообщают. В чем риск сообщить клиенту часть e-mail?
- Просят прислать выборочные цифры паспортных данных генерального директора. Странная процедура верификации, поскольку данные гендира «засвечены» много где. Как минимум офис менеджер в курсе, поскольку заказывает билеты, сотрудники бухгалтерии и т.д. Но не суть, они тоже не совпадают. Странно, но кто знает, что за паспортные данные указали сотрудники Теле2. Возможно, человека, доверенность которого была предъявлена.
- Для изменения паспортных данных просят переслать «протокол/решение, подтверждающее смену гендира». Смысла в этой операции с т.з. безопасности никакой. В скан можно вписать что угодно, в т.ч. ФИО «левого» человека.
- До этого в письме указываю, чтобы что-то сменить (e-mail, например) нужно гендиру ЛИЧНО приехать в #Теле2. Ну либо по доверенности кому-то. Как уже говорил ранее — это единственная достаточно надежная процедура верификации. Однако самая неклиентоориентированная.
- Доверенность которую руководитель компании выдает ответственному сотруднику — это профанация, поскольку её НИКАК невозможно верифицировать. См. выше.
В результате получаем, что безопасники ОСС придумали ряд неклиентоориетированных процедур, ни одна из которых не дает надежной верификации, кроме физического присутсвия, которое сложно/дорого реализовать на практике.
Обслуживание у ОСС. Разумный вариант.
Возможно ли увеличить вероятность того, что при дистанционном способе общения беседа идет с человеком, который указан в качестве генерального директора компании, при этом не обременяя его поездками? Да, возможно. Естественно, этот способ не подойдет для верификации по каким-то операциям, ущерб по которым может быть очень значительным. Однако в случае разрешения технических проблем — более чем достаточно.
- Чтобы узнать ФИО и ИНН (физлица) генерального директора в компании, достаточно зайти на сайт https://egrul.nalog.ru/ и посмотреть по ИНН юрлица. Это самый быстрый и гарантированный способ узнать ФИО генерального.
- Чтобы убедится, что человек с которым идет общение (по e-mal, мессенджеру и т.п.) скорее всего гендир — можно запросить скан ИНН. ИНН генерального есть в информации из налоговой. Есть с чем сверится. Понятно, что это не гарантия, поскольку скан ИНН можно подделать, кроме того он может быть в бухгалтерии. Чтобы исключить риски подобного рода у налоговой должно было быть некоторое API, когда можно было бы отправить номер свидетельства о постановке на учет, чтобы убедтится, что он соотвествует ИНН-у.
- Отправка скана «протокола о назначении» не может быть подтвержением того, кто сейчас генеральный, поскольку элементарно подделывается.
- В качестве дополнительного средства защиты могли бы отправить SMS на корпоративный номер, указанный в ЛК.
- В идеале интеграция средств верификации физлица с порталом госуслуг. Это наиболее надежный вариант, поскольку соответствие аккаунта на госуслугах с паспортными данными производится при физическом посещении специальных пунктов. Физлицо приходит с паспортом и после этого проставляется, что аккаунт верифицирован.
В общем, в процедуре верификации наворотов много, но они мало от чего защищают, усложняя жизнь клиента.
Например, в Иннополисе нет офиса Теле2. Т.е. чтобы подать запрос в техподдержку нужно генеральному директору съездить в Казань и лично изменить параметры у ОСС. На мой взгляд — перебор для процедуры, которая не несет финансовых и репутационных рисков ОСС. Безопасники перестарались.
