Токенізація, цифрова ідентичність та безпечна аутентифікація
17 лютого, у другий день заходу, в готелі Radisson Blu Hotel, Dubai Deira Creek, розташованому на Baniyas Road, відбулася панельна дискусія під назвою «Tokenization, Digital Identity & Secure Authentication». Сесія розпочалася о 10:10 та об’єднала провідних експертів у сфері платежів, комплаєнсу, цифрових активів і фінансових технологій для обговорення майбутнього безпечних цифрових транзакцій.
Модераторкою виступила Зоя Білграмі, VP Sales MEA & SEA – Sales Leadership у Xoxoday. У панелі взяли участь Кріс Сміт, засновник і CEO BLOXX; Ангаж Бхандарі, SVP EMEA у Fime; Акшай Далал, Head of Regional Risk and Compliance for the Middle East, Turkey & Africa у Google (який очікувався, але міг бути відсутнім через хворобу); а також Альона Шевцова, CEO Sends.
Як токенізація та сучасні технології аутентифікації працюють разом, забезпечуючи безпечні й водночас безшовні цифрові платежі?
«Я розглядаю токенізацію та аутентифікацію як дві половини однієї обіцянки: ваші дані захищені, і ви — це справді ви», — зазначила Альона Шевцова.
Токенізація захищає безпосередньо платіжні дані. Замість передачі реальних номерів карток або рахунків через різні системи вони замінюються токенами, які є марними у разі викрадення. Саме тому токенізовані платежі вже становлять значну частку електронної комерції. За статистикою, токенізація знижує рівень платіжного шахрайства приблизно на 30%, а також суттєво зменшує кількість чарджбеків, пов’язаних із шахрайством.
Своєю чергою, сучасна аутентифікація захищає людину, яка стоїть за платежем. Поєднуються розпізнавання пристрою, біометрія та поведінкові сигнали з більш традиційними перевірками, причому більшість процесів відбувається непомітно у фоновому режимі. У результаті транзакція з низьким рівнем ризику проходить майже миттєво, тоді як підозріла операція ініціює додаткові етапи перевірки.
У Sends ці два елементи завжди проєктуються разом. Через інфраструктуру компанії передаються токени замість «сирих» платіжних реквізитів, а ризик-рушій у режимі реального часу визначає, який рівень аутентифікації потрібен у конкретному контексті. Саме так забезпечується реальна безпека платежів, які з точки зору клієнта виглядають майже «невидимими».
Токенізація активів, особливо on-chain, набирає популярності. Як у цьому контексті працює аутентифікація та яку роль відіграє KYC або верифікація особи?
У випадку токенізованих активів, особливо on-chain, цінність може переміщуватися дуже швидко — саме тому ідентифікація та аутентифікація не можуть бути другорядними.
Було виділено три ключові рівні. Перший — онбординг, де реалізуються процедури KYC (Know Your Customer) та AML (Anti-Money Laundering). Навіть якщо актив згодом рухається в ончейн-середовищі, необхідно знати, з ким саме компанія має справу на момент входу користувача в екосистему, особливо якщо діяльність регулюється нормами Великої Британії чи ЄС або передбачає співпрацю з банками та іншими регульованими партнерами.
Другий рівень — контроль акаунтів і ключів. Незалежно від того, чи користувач зберігає ключі самостійно, чи користується послугами кастодіана, аутентифікація має бути максимально надійною: апаратний захист, багатофакторна перевірка, обмеження операцій та безпечні механізми відновлення доступу. Продумана модель токена не допоможе, якщо доступ до акаунта захищений слабким паролем.
Третій рівень — постійний моніторинг. У токенізованому середовищі аналіз поведінки залишається критично важливим: незвичні перекази, нові контрагенти або юрисдикції з підвищеним ризиком повинні відстежуватися та пов’язуватися з ідентифікованою особою, перевіреною під час онбордингу.
У Sends під час роботи з токенізованими або цифровими активами перш за все ставлять питання: як зберегти чіткий та аудований зв’язок між активом, акаунтом і реальною верифікованою фізичною або юридичною особою? Лише після цього мова йде про швидкість і нові функції.
Дедалі частіше говорять про гаманці цифрової ідентичності (DI). Як вони можуть змінити підхід до аутентифікації платежів?
Гаманці цифрової ідентичності можуть стати великим кроком до одночасного посилення безпеки та спрощення аутентифікації.
Сьогодні кожен провайдер проводить власний KYC, зберігає документи та розробляє власні сценарії входу. Це створює повторюваність для клієнтів і додаткові витрати для компаній. Добре спроєктований DI-гаманець дозволив би користувачеві зберігати довірені ідентифікаційні дані, видані банками або державними органами, і надавати їх — за згодою — там, де потрібно підтвердити особу.
Для платежів це означає дві ключові зміни. По-перше, швидший онбординг, що вигідно обом сторонам і потенційно знижує витрати. По-друге, більш «чисту» аутентифікацію: той самий гаманець на захищеному пристрої з біометричним захистом стає основним способом підтвердження: «так, це я, і я схвалюю цей платіж».
У Sends системи вже проєктуються таким чином, щоб підтримувати цю модель. Компанія поєднує KYC, поведінкові та пристроєві сигнали; інтеграція з DI-гаманцями дозволить повторно використовувати якісну перевірену ідентичність, зберігаючи власні ризик-перевірки. Водночас наголошувалося, що успіх можливий лише за умови правильного впровадження стандартів усіма учасниками фінансової екосистеми.
Що означає «цифрова ідентичність» у найближчі роки та хто має нею володіти?
Цифрова ідентичність трансформується з одноразової перевірки у «живий» профіль, який постійно оновлюється. Йдеться не лише про те, ким є людина на момент реєстрації, а й про її поведінку на різних пристроях і платформах.
На думку спікерки, жодна окрема структура — ані банк, ані Big Tech, ані держава — не повинна повністю «володіти» цифровою ідентичністю. Концентрація в одних руках створює ризики залежності та централізації. Бажаним напрямком є модель, у центрі якої — користувач, який сам контролює свою ідентичність і ділиться нею за чіткими правилами з довіреними та регульованими установами. Водночас необхідно навчати користувачів правильному використанню DI.
В ідеальному сценарії, коли люди розумітимуть базові принципи цифрової ідентичності та ділитимуться даними лише з перевіреними організаціями, платежі стануть практично «невидимими» — безпечними за замовчуванням і максимально зручними.
Sends уже готується до такого майбутнього, розвиваючи багаторазові токенізовані ідентифікаційні облікові дані, які можна використовувати в різних провайдерів без розкриття «сирих» персональних даних. Системи компанії поєднують KYC, поведінкову аналітику та аналіз пристроїв із можливістю інтеграції з портативними схемами ідентичності.
Погляд на п’ять років уперед: що викликає найбільше занепокоєння та що додає впевненості?
Найбільше занепокоєння викликає те, що зловмисники часто навчаються швидше за організації. Діпфейки, фішинг із використанням ШІ та синтетичні особистості ускладнюють виявлення атак традиційними методами. Тому необхідна стратегія «хороший ШІ проти поганого ШІ», що потребує часу та інвестицій. Якщо ж і надалі сприймати ідентифікацію як одноразову форму KYC, а аутентифікацію — як статичний пароль або одноразовий код, відставання стане неминучим.
Водночас є підстави для оптимізму. Безпека ідентичності сьогодні розглядається як «новий периметр» кібербезпеки. Зростає впровадження безперервної верифікації, перевірок liveness та моделей zero trust, де жоден пристрій або сесія не вважаються довіреними автоматично. У Європі та регіоні MENA регулятори просувають більш інтероперабельні рамки цифрової ідентичності. Проте наразі ці підходи активніше впроваджуються у B2B-секторі, ніж серед кінцевих користувачів, що підкреслює необхідність ширшої освітньої роботи.
З точки зору Sends, привід для оптимізму полягає в тому, що компанія ще кілька років тому визначила ідентичність, токенізацію та аутентифікацію як основу своєї інфраструктури, а не як допоміжні проєкти. Попри початковий внутрішній спротив — адже попередні процеси були зрозумілими та ефективними — команда поступово впровадила цифрову ідентичність і токенізацію паралельно з існуючими механізмами.
Я щиро пишаюся тим, що маю таку сміливу й гнучку команду.Нам вдалося знайти час і ресурси, щоб рухатися вперед — паралельно підтримуючи наявні процеси аутентифікації та поступово впроваджуючи цифрову ідентичність і токенізацію. Цей баланс був непростим, але необхідним.
