Не плутайте фінансові сервіси з банками

В українських чатах стримана буря – американський фінансовий стартап Mercury, яким багато хто користувався як заміною банківського рахунку, направив всім українським клієнтам повідомлення, що перестає їх обслуговувати через зміни в політиці. Зміни полягають у тому, що компанія включила Україну до списку підсанкційних країн нарівні з РФ, Венесуелою, Іраном, Північною Кореєю тощо. Спілкування з техпідтримкою розкриває деталі – мовляв, частина території України перебуває під санкціями (мається на увазі Крим та ОРДЛО). Як їх відрізнити від інших, компанія не знає. І тому, щоб не ризикувати, вирішили заблокувати всіх, заберіть гроші.

Що можна сказати з цього приводу?

По-перше, ніколи не плутайте фінансові сервіси з банками. Mercury не є банком, обліковий запис у ньому не є банківським рахунком, а клієнти Mercury не є клієнтами банку з усіма витікаючими проблемами для їх прав. Наприклад, гроші на обліковому записі там не застраховані, як це відбувається з грошима на банківських рахунках.

Крім того, статус банку зобов'язує організацію формувати відповідні резерви, регулярно проходити аудит, у тому числі від регулюючого банку тощо. Наприклад, німецький N26 є банком, оскільки отримав відповідну ліцензію від європейського Центробанку (ECB). Revolut отримав банківську ліцензію від Банку Литви, її дія поширює на всю Європейську економічну зону, але не поширюється на Велику Британію – і це окреме складне завдання, яке вони намагаються вирішити уже не перший рік, при тому, що саме там вони розміщені.

А Wise (колишній Transferwise) банком не є – це платіжна система, яка має статус системи грошових переказів (Money Transmitter). Вони не можуть приймати депозити, надавати кредити та випускати кредитні картки. Вони можуть приймати гроші від клієнтів, переводити їх в іншу валюту і відправляти одержувачу. Звичайно, люди зрештою зберігають якісь суми на акаунті. Але якщо вони їх втратять, то це їхні проблеми.

По-друге, через те, що Mercury – це фінансовий сервіс, а не банк, він страшенно боїться всього регуляторського. Вони можуть скільки завгодно говорити про новий банкінг та відсутність обмежень. Але за фактом сильно наляканий регуляціями фінсервіс вимагає від клієнтів багатьох днів листування на будь-яку незначну операцію. В цьому випадку він боїться, що за один акаунт кримчанина йому прилетить від партнерських банків, а пауза навіть на день з одним із банків може виявитися смертельною для сервісу.

По-третє, подумайте самі – сервіс, який хвалиться своєю неперевершеною безпекою, захистом від фрода та збільшеним страховим лімітом, але при цьому не може відрізнити Крим/Донбас від інших областей України. Srsly? Цим санкціям 10 років, ніякої зв'язності давно не існує, з реалізацією санкцій впоралися практично всі сервіси навіть у країнах, що розвиваються – а стартап випускника Кембриджу не може? Ви справді хочете, щоб ваші гроші продовжували бути підконтрольними цим хлопцям?

У мене немає відповіді на запитання «А як же бути гарним стартапам, які хочуть нормально працювати у світі?». Я тільки знаю, що варіант «користуватися сумнівними фінансовими сервісами, які не є банками й не несуть жодної відповідальності перед клієнтами», відповіддю не є.

P.S. У дискусії про Mercury в телеграм-каналі раптом з'явилися аргументи «Сервіси визначають людей на територіях санкцій по IP, от і блокують». На підтвердження даються скріншоти різноманітних сервісів, які дійсно показують геолокацію IP, запитуючи інформацію невідомо де. Наприклад, IP-адреса, що відноситься до українського оператора Lifecell, співвідноситься з геолокацією в Луганській області.

Аргументи виду «А ось такий сервіс ось так показує» видають людей, які не розбираються, як такі дані взагалі можуть бути отримані, але сліпо довіряють будь-якій інформації в інтернеті.

Усі мобільні оператори, зазвичай, не мають прив'язки адрес до геолокації. Хоча б тому, що ви можете отримати IP у Києві, поїхати машиною, доїхати до Кіровоградської області – що вам, IP у кожній області міняти?

Укртелеком – це окрема історія, там історично ОДИН DHCP-сервер на всю Україну, який роздає IP просто поспіль. Я свого часу спілкувався і з ними, і зі стільниковими операторами – єдине, що змогли запропонувати, це Київстар сказав, що можуть тегати трафік CellID.

Як виходять зі становища всі ці бази? Різною евристикою. Наприклад, якщо це мобільний пристрій, можна отримати геолокацію по GPS+WiFi. Якщо це десктоп і щось портальне – можна переглянути, погоду в якому регіоні дивиться користувач.

Проблема в залипанні – якщо той чи інший IP виданий користувачеві, який явно уточнив своє становище, а потім потрапляє до іншого, про якого нічого не відомо, то швидше за все евристика і його припише до регіону попереднього користувача.

Проблема ще й у тому, що є різні бази – наприклад, MaxMind, що існує 20 років – які досить дешево дають доступ і цим свідченням вірять, як Біблії, – ну це ж сервіс в інтернеті показав. Це вже проблема віку – знаєте, як в анекдоті «Рабіновичу, ви Біблію читали? – Ми її писали? Оскільки я пам'ятаю першу супер криву версію MaxMind, що вийшла 20 років тому, яка помилялася країною, мені неможливо зрозуміти пієтет людей, які скрізь наводять результат MaxMind, не знаючи, звідки він береться.

Не плутайте фінансові сервіси з банками

Стратегія охолодження ЦОД для епохи AI