Что опаснее: даркнет или регулятор, заставляющий хранить твой паспорт в сотне баз?

Каждый раз, когда ты проходишь верификацию на бирже или в банке, ты отдаёшь: паспорт, селфи, адрес, выписки, биометрию. Всё это хранится у подрядчиков, дублируется в тестах и бэкапах.

Фактически создаётся гигантская база «всего и сразу». И вопрос не в том, утечёт ли она, а когда.

Парадокс: чем строже регуляторика, тем больше твои данные копят и тем дороже они в даркнете.
Может быть, пора обсуждать не «где проходить KYC», а как его менять — на ZK-доказательства и selective disclosure?

Почему «собирать всё» ≠ «защищать»

1. Централизация рисков.Один KYC-вендор обслуживает десятки банков/бирж. Взломишь облако — получишь миллионы записей разом.
2. Человеческий фактор и аутсорс.Фото/видео, распознавание, ливнес — всё крутится через цепочку подрядчиков и саппортов. Самое слабое звено не у тебя в банке.
3. Повторное хранение.Один и тот же набор PII копируется: фронт-система → антифрод → «даталейк» → бэкапы → тестовые стенды с прод-данными.
4. Бесконечный срок жизни.Паспорта не «истекают» в базах. Утечка десятилетней давности всё ещё конвертируется в кредитное мошенничество, сим-свапы и ATO.
5. Экономика атак.Цена готового «KYC-пакета» в серых базарах смешная относительно урона. ROI у злоумышленников положительный по определению.

Что реально собирают под KYC

• Паспорт/ID, прописка, ИНН/SSN-аналоги, селфи + ливнес-ролики, адреса, номера карт/счетов, источники средств (SoF), происхождение капитала (SoW), иногда выписки и декларации.
• На стороне провайдера: биометрические шаблоныи метаданные устройства. Это почти невозвратимые данные: их нельзя «поменять», как пароль.

Основные сценарии злоупотреблений

• Synthetic identity.Сшивают твой паспорт из утечки с «чужим» номером и снимают кредиты/рассрочки.
• Account Takeover (ATO).Комбо KYC-пакета + SIM-swap → перехват 2FA → перевод активов.
• Deepfake-KYC.Селфи-видео подделывают, обходят слабую liveness-проверку и открывают счета на тебя
• Точечный шантаж и фишинг.«Мы знаем, где ты живёшь и у какой биржи проходил KYC» повышает конверсию атак.

Регуляторная ловушка

115-ФЗ и глобальные AML-режимы требуют «знать клиента», но не ограничивают жёстко, что именно можно хранить и как сокращать периметр. В итоге компании перекладывают регуляторный риск в сбор максимума данных, а киберриск — на пользователя.

Контраргумент: «Но без KYC настанет хаос»

Нет. Речь не об отмене проверки, а о минимизации раскрытия и смене архитектуры:

• Selective disclosure / ZK-подтверждения.Подтверждаем «18+», «не в санкционных списках», «резидентство», не раскрывая паспорт полностью(zk-SNARK/zk-STARK, BBS+).
• Verifiable Credentials (DID/VC).Разовая проверка у доверенного эмитента → дальше предъявляешь подписанную аттестацию, а не исходники паспорта/селфи.
• Threshold-подход.До N-лимитов — псевдоним + поведенческий AML; полная деанонимизация — только под конкретный риск-триггер.
• On-device KYC.Биометрию храним локально, наружу уходит только криптодоказательство прохождения проверки.
• Data minimization by design.Никаких прод-данных в тестовых стендах, агрессивные TTL и шреддинг медиа, токенизация реквизитов.

Что делать пользователю 

• Минимизируй след.Носи «операционный» e-mail и номер только для бирж/банков. Финансы не смешивай с личным облаком/маркетплейсами.
• Контролируй связь.Запрет удалённой перевыпуска SIM, eSIM-профиль под PIN, отдельный номер для 2FA, менеджер OTP (а не SMS).
• Разделяй резидентность/юрисдикции.Не разбрасывай одни и те же документы на десятки сервисов. Лучше 2–3 крупных провайдера с вменяемой безопасностью, чем 15 мелких.
• Мониторинг идентичности.Подпишись на алерты бюро кредитных историй/банков о новых заявках, включи «кредитные фризы» где доступно.
• Запросы на удаление.У провайдеров KYC и бирж требуй data deletion/retention-политику, зафиксируй тикеты.
• Управляй риском вывода.Крупные суммы — через проверенных провайдеров/банк-онрампы с прозрачной комплаенс-процедурой; P2P держи для мелких лимитов.

Безопасность — это не «собрать про клиента всё». Безопасность — это доказать необходимое минимумом данных и не хранить то, что не нужно. В нынешней архитектуре KYC системно поощряет обратное. Отсюда и парадокс: чем «строже» KYC, тем больше масштабы потенциальной утечки.

Если завтра появится массовый «zk-KYC», где биржа уверена, что ты взрослый, не под санкциями и источник средств чистый — но никогда не видит твоего паспорта и селфи, ты бы перешла? Что помешает — недоверие к криптодоказательствам или давление регулятора?