Компания Brex Treasury LLC согласилась выплатить штраф в размере 900 000 долларов США в рамках урегулирования с Управлением по регулированию финансовой отрасли (FINRA).
Казначейство Brex в первую очередь полагалось на автоматизированный алгоритм проверки личности, который не был разработан в целях обеспечения соответствия применимым требованиям ПОД.
В соответствующей части алгоритм проверки личности казначейства Brex пытался сопоставить определенную информацию о бенефициарном владельце, предоставленную клиентом через онлайн-заявку на счет, с известными личностями в файлах различных поставщиков удостоверений. Если было совпадение, которое алгоритм считал достаточным, то он проводил серию проверок на мошенничество на основе риска.
С начала 2021 года алгоритм включил в себя модель машинного обучения для присвоения каждому клиенту баллов, которые помогли определить, как оценивать результаты определенных проверок на мошенничество.
Если алгоритм посчитал, что соответствующие проверки на мошенничество пройдены, то счет может быть автоматически одобрен. В противном случае алгоритм может либо автоматически отклонить счет, либо запросить и проанализировать дополнительную информацию (например, удостоверение личности с фотографией, если оно еще не было запрошено), либо перевести заявку на ручное рассмотрение.
Алгоритм проверки личности Brex Treasury не был разумно разработан для достижения соответствия применимым требованиям AML. Алгоритм имел существенные недостатки, включая то, что он не собирал всю идентификационную информацию, требуемую от клиентов, и что он позволял открывать счета без разумного обзора информации из проверок фирмы на мошенничество, которые могли бы вызвать подозрения относительно истинной личности клиента юридического лица или бенефициарного владельца.
Алгоритм проверки личности Brex Treasury частично опирался на сопоставление информации о предполагаемых бенефициарных владельцах с известными личностями. Однако изначально фирма не собирала всю идентификационную информацию, требуемую для бенефициарных владельцев в соответствии с правилами внедрения BSA.
Вместо этого фирма собрала только имена и номера телефонов бенефициарных владельцев у потенциальных клиентов, а не даты рождения, адреса или идентификационные номера. Используя только эту ограниченную информацию, фирма запросила у стороннего поставщика схожую личность.
Если файлы поставщика содержали личность, которую он считал по крайней мере «сильным» совпадением с именем заявителя и «возможным» совпадением с номером телефона заявителя, то фирма запрашивала оставшиеся части идентификационной информации, требуемой для бенефициарных владельцев, косвенно у поставщика. Если поставщик мог предоставить эту информацию, то алгоритм проверки личности фирмы считал, что бенефициарный владелец заявителя совпадает с личностью в файле у поставщика.
В январе 2021 года фирма начала собирать имя, дату рождения, адрес и идентификационный номер каждого бенефициара напрямую у клиентов-юридических лиц. Затем фирма отправляла эту информацию своему поставщику удостоверений личности. Если у поставщика в файлах была совпадающая личность с тем же именем и идентификационным номером, фирма считала личность бенефициара проверенной, при условии, что либо дата рождения, либо адрес также точно совпадали.
Однако в этом случае фирма не приняла разумных мер по рассмотрению вопроса о том, является ли несовпадение даты рождения или адреса существенным несоответствием или требует иного разрешения для того, чтобы фирма могла прийти к обоснованному убеждению в том, что ей известна истинная личность бенефициарного владельца или клиента — юридического лица.
Казначейство Brex также проводило автоматизированные проверки на мошенничество новых счетов, некоторые из которых включали внешнюю «оценку мошенничества», предоставленную сторонним поставщиком. Эта внешняя оценка мошенничества была призвана отражать относительный риск потенциального мошенничества с идентификацией, связанный с информацией о бенефициарном владельце, представленной для проверки, и варьировалась от нуля до единицы, где единица представляла самый высокий риск.
Оценка сопровождалась «кодами причин», показывающими конкретные несоответствия или индикаторы потенциального мошенничества с идентификацией, которые присутствовали или способствовали оценке мошенничества. Например, был код причины, указывающий на то, что представленная идентификация ранее была заявлена как украденная.
Алгоритм проверки личности казначейства Brex не смог обоснованно оценить информацию, полученную фирмой в ходе проверок на предмет мошенничества, которая могла поставить под сомнение истинную личность клиента или бенефициарного владельца юридического лица.
К началу 2021 года казначейство Brex разрешило приложениям обходить ручную проверку некоторых результатов проверки на мошенничество на основе результатов модели риска счетов с машинным обучением, которая генерировала «оценку ARM» для потенциальных счетов, используя в качестве входных данных различные атрибуты потенциальных клиентов и бенефициарных владельцев.
Оценка ARM была призвана примерно соответствовать риску мошенничества в целом, включая риск мошенничества с новыми счетами, связанными с украденной или синтетической личностью бенефициара. Иногда в течение соответствующего периода, если оценка ARM потенциального клиента опускалась ниже пороговых значений, которые фирма считала признаком счета с низким уровнем риска, то алгоритм проверки личности фирмы не требовал ручного просмотра для определенных проверок на мошенничество.
Однако изначально фирма разработала модель риска счета, взяв данные в первую очередь из своей исторической клиентской базы компаний с венчурным капиталом и компаний среднего рынка и попытавшись применить ее к более широкой потенциальной клиентской базе, которая включала клиентов малого бизнеса. Эти клиенты были относительно более рискованными, поскольку, например, малые предприятия с меньшей вероятностью получали финансирование от профессиональных инвесторов и с меньшей вероятностью были направлены в фирму через ее сеть стратегических партнеров в стартап-сообществе.
Однако поскольку у фирмы не было разумных политик и процедур, регулирующих разработку, тестирование и проверку модели риска счета или алгоритма проверки личности в целом, технология не могла быть распространена на более широкую аудиторию.
Из-за недостатков алгоритма проверки личности казначейство Brex проверило некоторые личности и одобрило новые счета, несмотря на существенные расхождения и тревожные сигналы о возможном мошенничестве с персональными данными.
Казначейство Brex также использовало ручной процесс проверки клиентов, который не был разработан в целях обеспечения соответствия применимым требованиям ПОД.
С 2020 по 2021 год казначейство Brex одобрило сотни потенциально мошеннических счетов, которые пытались провести транзакции на сумму более 15 миллионов долларов с использованием депонированных средств, которые не были урегулированы. В этих инцидентах новые счета, которые были одобрены с использованием необоснованных процессов проверки личности фирмы, инициировали депозиты ACH или чеков с внешних счетов, а затем снимали или тратили средства, которые фирма предоставила.
Впоследствии эти депозиты были отозваны как несанкционированные, отклонены из-за недостатка средств или отклонены по другим причинам. После отмены таких депозитов фирма в большинстве случаев не могла вернуть средства или подтвердить истинные личности клиентов.
Таким образом, казначейство Brex нарушило правила FINRA 3310(b) и 2010.
Помимо штрафа в размере 900 000 долларов, фирма согласилась на порицание.