Недовольство регуляторов по поводу облачных систем обычно обусловлено соображениями безопасности. Однако при грамотной реализации облачные системы типа AWS не менее, а гораздо более надежны – в основном потому, что их значительно проще защитить. IT-системы традиционных банков имеют множество слабых мест, потому что каждая точка доступа является потенциальной уязвимостью, а точек доступа – хоть отбавляй: многочисленные серверные; разношерстное программное обеспечение (часто в устаревших версиях); незащищенные каналы связи между системами с дефектами безопасности, из-за чего данные могут быть утеряны или украдены. Похитить данные могут как хакеры, так и многочисленные банковские сотрудники, которым нельзя закрыть доступ просто потому, что кто-то должен обслуживать все эти системы.
Еще важнее, что облачные провайдеры, такие как AWS или Microsoft Azure, развивались в суровой среде, в постоянной борьбе с хакерством, и их работу обеспечивают лучшие в мире специалисты по информационной безопасности. Со временем крупные облачные платформы обзавелись своего рода иммунной системой, благодаря которой они защищены не менее надежно, чем военные объекты[69], и далеко превосходят IT-системы банков по критериям безопасности и производительности.
В облачной системе данные хранятся онлайн, то есть им не грозит физическое уничтожение (например, в результате пожара) и их можно эффективно защитить. Регуляторам нужно сосредоточиться не на формате мер по обеспечению безопасности, а на их результативности. Если банк и регуляторы исправно тестируют средства защиты от несанкционированного доступа и проверяют безопасность среды, то не имеет значения, как именно обеспечивается безопасность, – главное, что клиентским данным ничто не угрожает.
Регуляторы постепенно отказываются от недоверия к новым технологиям, но им еще предстоит в полной мере осознать необходимость разрешать и даже поощрять применение систем на основе облачных вычислений. В выигрыше будут все: и банки, и их клиенты, и сами регуляторы, ведь это позволит контролировать соблюдение требований банками посредством регуляторных технологий (regulatory technology, RegTech)[70], анализирующих легкодоступные данные.
Обычное для регуляторов требование обрабатывать данные внутри организации приведет к созданию изолированных «островов» в технологической архитектуре финансовых систем будущего. Это помешает банкам беспрепятственно сотрудничать с другими провайдерами услуг.
Вероятность того, что в будущем нас ожидает рост числа провайдеров финансовых услуг на основе облачных технологий, выше, чем вероятность обратного. Вполне возможно, что облачная составляющая появится у большей части функционала, формирующего клиентский опыт. Ограничивая использование облачных платформ как базы для деятельности поднадзорных учреждений, регуляторы добьются только того, что подконтрольные им банки утратят конкурентоспособность в борьбе с новыми финтех-компаниями и технологическими лидерами. Кроме того, запрет облачных сервисов сделает саму площадку по представлению финансовых услуг менее эффективной – и в конечном счете, опять же, менее конкурентоспособной. В целом ограничение использования облачных технологий приведет к росту отставания финансового сектора страны от самых прогрессивных финансовых рынков мира.
Еще одна область, в которой растет разрыв между традиционным регулированием и новыми технологиями, – оценка кредитных рисков и, следовательно, доступность финансовых услуг. Сегодня кредиторы могут использовать новые виды данных и возможности машинного обучения, чтобы произвести тонкую настройку моделей оценки риска, разработанных в эпоху дефицита сведений и вычислительных мощностей. Наряду с распространением мобильных телефонов, открывающих доступ к финансовым сервисам для миллиардов людей, которые не могли получить обслуживание в обычных отделениях банков, эта революция данных оказывается самой мощной демократизирующей силой в истории финансов. К сожалению, ее потенциал может быть ограничен особенностями государственной политики и склонностью регуляторов решать любые вопросы в пользу крупных кредитных институтов, особенно в таких странах, как США, где позиции кредитных агентств очень сильны.
Хотя американские регуляторы позволяют использовать разнообразные сведения для оценки кредитного риска, усилиями политиков применение новых видов данных в потребительском кредитовании оказалось сопряжено с немалым риском для кредитора. Законы против кредитной дискриминации обязывают его не допускать возникновения «несопоставимого влияния» (disparate impact) – ненамеренной дискриминации защищаемых групп населения, таких как женщины и представители меньшинств, в форме статистически отклоняющихся от среднего шансов на получение кредита. Практика кредитования, в которой выявлены подобные статистические закономерности, – если только кредитору не удастся доказать ее необходимость для бизнеса и обосновать невозможность применения недискриминирующего подхода— считается противозаконной.
Кредитование всегда в разной степени доступно для разных групп заемщиков, и различия часто не в пользу расовых и этнических меньшинств с более низкими доходами и уровнем жизни, менее надежной занятостью и прочими признаками, которые влияют на кредитоспособность. Когда-то давно регуляторы разрешили использовать определенные модели оценки рисков как статистически надежные и предсказуемые, не обращая внимания на дискриминирующий эффект. В таких моделях большой вес имеют кредитные рейтинги, и поэтому клиенты с хорошими кредитными историями пользуются благосклонностью банков. Однако люди без опыта кредитования, со скудными или сложными кредитными историями, которые непросто оценить на основе имеющихся данных (например, в случае финансовых трудностей в прошлом из-за проблем со здоровьем), автоматически лишаются доступа к кредиту или получают менее выгодные условия. Такой подход к оценке рисков отправляет в потенциально проблемную категорию и тех клиентов, кто вполне кредитоспособен и мог бы это доказать, если бы кредитор принял во внимание дополнительную информацию.
С развитием технологий такая возможность появилась. Сегодня кредитное учреждение может с легкостью узнать о людях намного больше, чем их кредитную историю и кредитный рейтинг – именно это обычно и делается для выявления мошенничества и выполнения требований процедуры «знай своего клиента» в рамках борьбы с отмыванием денег. Однако в сфере кредитования большинство кредиторов опасаются использовать дополнительные сведения, потому что регуляторы не уточнили, не будут ли подобные действия рассматриваться как дискриминирующие.
В США от 80 до 130 миллионов граждан живут на задворках финансовой системы и вынуждены пользоваться дорогими небанковскими сервисами[71]. Если регулирующие органы согласятся дать шанс новым технологиям, миллионы людей получат доступ к существенно более адекватному по стоимости стандартному кредитованию[72].
Формат и функции регулирования в будущем
Следуя подходу на основе первых принципов, давайте разберемся, зачем вообще нужно регулирование. По сути, это функция, а не формат. Однако сегодня, если мы говорим о финансовом сегменте, она заключена в оболочку консервативных структур, которые всё хуже справляются со своей основной задачей.
Старейший из ныне действующих центральных банков, Риксбанк (Riksbank)[73] Швеции, работает с 1668 года и формально считается первым государственным регулятором денежного оборота. Впрочем, административный контроль за движением денежных средств существовал и до этого. Самые древние свидетельства государственного регулирования относятся к Египту, где примерно в 2750 году до н. э. выпускаемая государством валюта «шат» была привязана к золоту. В 1694 году, вскоре после Риксбанка, был учрежден Банк Англии (Bank of England), но его создали, чтобы собрать средства на войну с французским королем Людовиком XIV.
Сначала центральные банки были частными банками, принадлежащими правительству или королевскому семейству. Их функционал по регулированию финансовой системы складывался постепенно в XVIII–XIX веках. До 1844 года коммерческие банки Великобритании имели право выпускать собственные банкноты. Затем право на выпуск новых банкнот, обеспеченных золотом, стало принадлежать только центральному банку («сеньораж»[74]). Со временем центральные банки начали управлять банковской деятельностью вообще, в том числе выдавать банкам лицензии на проведение коммерческих операций. Позднее к компетенции центральных банков и органов кредитно-денежного регулирования стало относиться формирование экономической политики как инструмента управления экономическим ростом. После мирового финансового кризиса 2007–2008 годов стало ясно, что центральные банки уже не в состоянии эффективно стимулировать экономический рост с помощью одной лишь кредитно-денежной политики.
Регулирование деятельности банков предполагало, что центральный банк контролирует эмиссию валюты: право выпускать банкноты или принимать вклады имели только лицензированные банки. Всё изменилось в 1930-х годах во время Великой депрессии, когда масштаб регулирования был значительно расширен, чтобы защитить потребителей от последствий краха банков и фондовых рынков.
Итак, регулирование деятельности институтов, принимающих вклады или выпускающих валюту, – традиционная задача центральных банков; но в мире, где группа программистов может выпустить свою криптовалюту, а технологические компании типа Ant Financial или Microsoft (через счета в учетных записях Xbox) и даже сеть кофеен Starbucks способны привлечь больше средств (читай: денег) клиентов, чем современный банк, инструменты и механизмы централизованного регулирования начинают сбоить.
Уже в ближайшем будущем всерьез встанет вопрос о ценности обладания банковской лицензией, ведь разные способы хранения средств становятся всё более взаимозаменяемыми, а нужные функции всё чаще предлагают небанковские игроки. Следует ли обязать Microsoft стать участником государственной системы страхования вкладов в связи с хранением средств на счетах в учетных записях пользователей? Следует ли требовать от компаний Ant Financial, Facebook или Amazon получения лицензии на осуществление банковских или платежных операций, чтобы они могли и дальше перемещать деньги между разными секторами экономики?
И как быть, например, компании Alipay, если она получит платежную лицензию в Китае, при этом обслуживая пользователей и за его пределами? Нужно ли требовать, чтобы Alipay получила лицензию в каждой стране, где работает? Существующие нормы предполагают, что да. А как быть с депозитами и средствами на счетах клиентов – компании Ant Financial надо получить банковскую лицензию во всех странах, где живут ее клиенты? Думаю, регуляторы – единственные, кто сочтет подобное требование обоснованным; акционеры Ant Financial скажут, что оно лишено смысла. Вполне возможна ситуация, когда китайские законы запрещают компании наподобие Ant Financial работать в США или когда требования регуляторов противоречат друг другу. Небанковская организация в Великобритании, имеющая лицензию на ведение электронных кошельков или лицензию альтернативного банка (challenger bank), не вправе принимать вклады от клиентов из Соединенных Штатов. Но что, если она предложит резиденту США разместить трансграничный депозит в биткойнах и затем выпустит на его имя дебетовую карту в Великобритании? Такое действие нарушит законодательство США, однако его будет очень непросто выявить и предотвратить.
Поскольку экономика становится всё более глобальной, а движение денег всё меньше зависит от географии, центральный банк сможет выполнять свою задачу по допуску технологических игроков к работе в привязке к традиционной банковской системе только в том случае, если последняя функционирует эффективно. Однако с экономической точки зрения существующие процедуры лицензирования банков и требования к владельцам банковских счетов просто не сработают применительно ко множеству характеризующих мир будущего способов хранения средств и обмена ими.
Возьмем, к примеру, виртуального ассистента на базе искусственного интеллекта или «умного» помощника типа Siri и Alexa, который через несколько лет сможет проводить коммерческие операции от вашего имени: «Алекса, забронируй столик на пятерых в китайском ресторане на вечер пятницы. Проверь, чтобы они подавали на ужин димсамы и имели оценку не ниже четырех звезд».
Если у нужного нам ресторана будет система обработки бронирования на базе искусственного интеллекта, то в какой-то момент процесс оплаты будет полностью автоматизирован и передан агентам. Они будут взаимодействовать друг с другом, чтобы совершить платеж, но способ хранения средств не будет иметь значения: искусственный интеллект не остановит сделку потому, что к вашему аккаунту Alexa не привязана карта MasterCard. Если вы – турист из Китая, ужинающий в нью-йоркском Чайна-тауне, ваш AI-агент, скорее всего, будет распоряжаться деньгами на облачных счетах WeChat или Alipay, привязанных к вашему телефону. К тому моменту, как вы закончите трапезу, AI-агент ресторана уже успеет запросить оплату у вашего AI-агента, а некая клиринговая система обеспечит перевод средств со счета Alipay на счет ресторана в банке Citibank, открытый в Нью-Йорке.
Продолжим аналогию: что если ресторан получает продукты от робота-доставщика и должен заплатить ему за доставку? Такой робот должен иметь возможность хранить средства, чтобы быть в состоянии принять оплату; но какой банк разрешит роботам, не имеющим номера социального страхования, открывать традиционные банковские счета и получать банковские карты с 16-значными номерами? Намного вероятнее, что средства будут храниться не на традиционном банковском счете, а на пополняемой предоплаченной карте общего назначения или в так называемом электронном кошельке (PayPal, Venmo, Alipay, WeChat и т. д.). В ситуации, когда значительная доля операций проходит через небанковские счета, мы будем лицензировать каждого провайдера и по-прежнему требовать гарантий по депозитам? Или мы предпочтем просто следить за деятельностью рыночных игроков, чтобы защищать потребителей?
Неэффективность регулятора может вызвать целую серию негативных явлений сразу в нескольких сферах.
Во-первых, избыточное регулирование неизбежно застопорит внедрение нужных и полезных инноваций: регуляторы не замечают потенциального положительного эффекта, зато отлично видят все риски и негативные стороны. Инновации, особенно разработанные небольшими стартапами, в принципе предполагают определенные деловые и технологические риски. Некоторые инноваторы потерпят неудачу и понесут убытки, а их клиенты останутся ни с чем, включая тех, кто отважился инвестировать средства в незастрахованные инструменты. Также инновационные продукты не всегда будут безопасны в использовании. Конечно, утечки данных сегодня нередки и в банках, находящихся под пристальным контролем регулятора, но общественность и сами регуляторы будут куда острее реагировать на проблемы новых и непривычных организаций. Кроме того, многие политики постараются заблокировать внедрение инноваций, поддавшись давлению крупных участников рынка, заинтересованных в законодательной защите от более маневренных конкурентов.
Во-вторых, недостаточное регулирование и пробелы в нормативно-правовой базе сделают возможным появление и распространение новых рисков. В их числе: утечки персональных данных клиентов и нарушения кибербезопасности, активизация «прачечных» по отмыванию денег, предвзятость и неточность алгоритмов принятия решений, а также неустойчивость финансовой системы. Положение дел таково, что инновационные финансовые услуги появляются быстрее, чем успевает реагировать регулятор, и число пробелов будет только расти.
В-третьих, непоследовательность регулирования может вызвать нарушения функционирования рынка, а также усилить неопределенность, что остановит приток инвестиций в перспективные направления. В большинстве стран полномочия и юрисдикции разных регуляторов пересекаются, а механизмы сотрудничества и координации неповоротливы и неэффективны. Особенно остро эта проблема стоит в США, где есть пять национальных агентств, непосредственно осуществляющих надзор за финансовыми институтами, пара десятков других структур, в полномочия которых входят вопросы финансового регулирования, и органы власти в пятидесяти штатах, также контролирующие банки и небанковские финансовые компании. Несмотря на усилия нескольких координирующих органов, такая разрозненность делает регулирование чрезвычайно непоследовательным, что способствует нормативной неопределенности и возникновению дополнительных рисков и, опять же, блокирует развитие инноваций.