Не считайте сервисы банками
Со вчерашнего дня в украинских чатах сдержанная буря — американский финансовый стартап Mercury, которым многие пользовались как заменой банковскому счету, направил всем украинским клиентам, что перестает их обслуживать в связи с изменениями в политике банка. Изменения заключаются в том, что компания включила Украину в список подсанкционных стран наравне с РФ, Венесуэлой, Ираном, Северной Кореей и так далее. Общение с саппортом приводит к детализации — мол, часть территории Украины находится под санкциями (имеется в виду Крым и ОРДЛО), как их отличить от остальных, компания не знает, чтобы не рисковать, забанили всех, заберите деньги.
Ну, что можно сказать по этому поводу?
Во-первых, никогда не путайте “финансовые сервисы” с банками. Mercury не является банком, аккаунт в нем не является банковским счетом. А клиенты Mercury не являются клиентами банков со всеми вытекающими проблемами для их прав. Например, деньги на аккаунте там не застрахованы, как это происходит с деньгами на банковских счетах.
Кроме того, статус банка обязывает организацию формировать соответствующие резервы, регулярно проходить аудит, в том числе от регулирующего банка и так далее. Например, немецкий N26 как раз является банком, поскольку получил соответствущую лицензию от европейского Центробанка (ECB). Revolut получил банковскую лицензию от Банка Литвы, её действие распространяет на всю Европейскую Экономическую Зону, но не распространяется на Великобританию — и это отдельная сложная задача, которую они решают уже не первый год, при том, что именно там они и размещены.
А Wise (бывший Transferwise) банком не является — это платежная система, которая имеет статус системы денежных переводов (Money Transmitter). Они не могут принимать депозиты, не могут предоставлять кредиты, не могут выпускать кредитные карты. Они могут только принимать деньги от клиентов, переводить их в другую валюту и отправлять получателю. Конечно, люди в итоге хранят какие-то суммы на аккаунте, но, если они их потеряют, то это их проблемы.
Во-вторых, в силу того, что это финансовый сервис, а не банк, он страшно боится всего регуляторского. Они могут сколько угодно говорить о новом банкинге и отсутствии ограничений, но по факту сильно напуганный регуляциями финсервис требует от клиентов дней переписки на любую незначительную операцию. В данном случае он боится, что за один аккаунт крымчанина ему прилетит от партнерских банков, а пауза даже на день с одним из банков может оказаться смертельной для сервиса.
В-третьих, задумайтесь сами — сервис, который хвастается своей непревзойденной безопасностью, защитой от фрода и увеличенным страховым лимитом, но при этом не может отличить Крым/Донбасс от остальных областей Украины, srsly? Этим санкциям 10 лет, никакой связности давно не существует, с реализацией санкций справились практически все сервисы даже в развивающихся странах — а стартап выпускника Кембриджа не может? Вы хотите, чтобы ваши деньги продолжали быть подконтрольными этим ребятам?
У меня нет ответа на вопрос “А как же быть красивым стартапам, которые хотят нормально работать в мире?”. Я только знаю, что ответ “Пользоваться сомнительными финансовыми сервисами, не являющимися банками и не несущими никакой ответственности перед клиентами” ответом не является.
P.S. В дискуссии о Mercury в телеграм-канале вдруг появились аргументы «Сервисы определяют людей на санкционных территориях по IP, вот и банят». В подтверждение даются скриншоты разнообразных сервисов, которые действительно показывают геолокацию по IP, запрашивая информацию неизвестно где. Например, ip-адрес, относящийся к украинскому оператору Lifecell, соотносится с геолокацией в Луганской области.
Аргументы вида «А вот такой сервис вот так-то показывает» выдают людей, которые не разбираются, как такая информация вообще может быть получена, но слепо доверяют любой информации в интернете.
Все мобильные операторы, как правило, не имеют привязки адресов к геолокации. Хотя бы потому, что вы можете получить IP в Киеве, поехать на машине, доехать до Кировоградской области — что вам, IP в каждой области менять?
Укртелеком — это отдельная история, там исторически ОДИН DHCP сервер на всю Украину, который раздает IP просто подряд. Я в свое время общался и с ними, и с сотовыми операторами — единственное, что смогли предложить, это Киевстар сказал, что могут тегать трафик CellID.
Как выходят из положения все эти базы? Разной эвристикой. Например, если это мобильное устройство, то можно получить геолокацию по GPS+WiFi. Если это десктоп и что-то портальное — можно посмотреть, погоду в каком регионе смотрит пользователь.
Проблема в залипании — если тот или иной IP выдан пользователю, который явно уточнил свое положение, а потом попадает к другому, о котором ничего больше не известно, то, скорее всего, эвристика и его припишет к региону предыдущего пользователя.
Проблема еще и в том, что есть самые разные базы — например, существующий 20 лет MaxMind, — которые довольно дешево дают доступ и этим показаниям верят, как Библии, — ну, это же сервис в интернете показал. Это уже проблема возраста — знаете, как в анекдоте «Рабинович, вы Библию читали? — Мы её писали»? Поскольку я помню первую супер кривую версию MaxMind, вышедшую 20 лет назад, которая ошибалась страной, мне невозможно понять пиетет людей, которые везде приводят результат MaxMind, не зная, откуда он берется.