Многоразовая цифровая идентификация всё чаще рассматривается как базовый элемент онбординга и комплаенса в Web3. По мере того как концепции self-sovereign identity и пользовательского контроля над идентификационными данными переходят из теории в реальную инфраструктуру, на первый план выходят практические вопросы: кто управляет доступом к данным, кто несёт ответственность за проверки, как проводить санкционный скрининг и как предотвращать захват аккаунтов.
В интервью для CoinsPaid Media директор по развитию Sumsub Илья Бровин рассказывает, как на практике устроена многоразовая цифровая идентификация, где проходят границы пользовательского контроля и почему Web3 не может существовать без баланса между децентрализацией и регуляторной ответственностью.
Кто контролирует многоразовую цифровую идентичность в Web3
Если многоразовая идентификация станет стандартом, не заменят ли провайдеры идентичности банки — с теми же рисками зависимости от платформ?
Если многоразовая цифровая идентификация станет стандартом, основной риск заключается не в том, что «провайдеры идентичности заменят банки». Куда важнее другое — не воспроизведёт ли индустрия закрытые системы, которые одновременно контролируют и данные, и правила их использования, без прозрачности и понятных механизмов ответственности.
В отличие от банков, у провайдеров идентичности нет вторичных стимулов использовать данные пользователей. Их функция — дать человеку возможность повторно применять уже проверенную информацию. В Web3 большинство сервисов изначально не владеют пользовательскими данными так, как это принято в традиционном финансовом секторе. Поэтому провайдер идентичности, выступающий в роли нейтрального инфраструктурного слоя, скорее усиливает контроль пользователя, чем ограничивает его.
Характерно, что для доступа пользователей к банковским данным государствам пришлось вводить регулирование open banking. В Web3 же контроль над данными заложен в архитектуру по умолчанию.
Что на самом деле означает «владение цифровой идентичностью» — ключи, аттестации или юридические права?
В Web3 владение цифровой идентичностью нельзя свести к одному фактору — например, к тому, у кого находятся приватные ключи. На практике оно состоит из трёх взаимосвязанных уровней:
- Хранение (custody). Владение приватными ключами или кошельком, к которому привязаны ончейн-аттестации. В self-sovereign моделях это зона ответственности пользователя.
- Контроль (control). Возможность решать, какие атрибуты раскрываются и в каком контексте: возраст, страна проживания, доказательство «человечности». Здесь критичны выборочное раскрытие данных и отзывное согласие, а не полная передача информации.
- Ответственность (accountability). Понимание того, кто стоит за верификацией: кто проводил KYC, в рамках какого регулирования и где хранится аудит-трейл. Для регуляторов анонимные аттестации не заменяют полноценный AML-процесс.
С практической точки зрения владение цифровой идентичностью означает следующее: пользователь контролирует распространение и повторное использование верифицированных данных, а регулируемые провайдеры несут ответственность за то, как эти данные были проверены изначально. При этом провайдеры идентичности хранят данные исключительно в интересах пользователя и для обеспечения их повторного использования.
Кому нельзя давать право выпускать или отзывать многоразовые цифровые удостоверения — даже под давлением регуляторов?
Ни один участник экосистемы не должен обладать возможностью в одностороннем порядке выпускать или отзывать многоразовые цифровые удостоверения так, чтобы это автоматически меняло комплаенс-статус пользователя во всей экосистеме.
Даже под регуляторным давлением ни частная компания, ни государственный орган не должны иметь возможности «одним кликом» де-факто де-платформировать человека везде и сразу — без проверки контекста и процессуальных гарантий.
В Web3 выпуск и отзыв удостоверений должны быть привязаны к понятным правилам. Провайдер может отозвать доверие к собственным аттестациям. Регулятор — потребовать повторный скрининг или ограничение доступа на уровне конкретной платформы. Но каждое приложение или сервис всё равно обязаны принимать собственное риск-ориентированное решение, а не полагаться на универсальный флаг «разрешено / запрещено», который невозможно обосновать пользователю или аудитору.
При этом важно сохранять реализм: юридическая идентичность по-прежнему формируется государством. Полностью самосуверенная идентичность остаётся скорее идеалом, чем практической реальностью.
Риски, сбои и ответственность в системах многоразовой идентификации
Какой риск в многоразовой и self-sovereign идентичности сегодня недооценивают чаще всего?
Один из самых недооценённых сценариев отказа в системах многоразовой идентичности — это дрейф комплаенса. Удостоверение может оставаться технически валидным, но перестать соответствовать актуальным требованиям AML.
Санкционные списки, факторы риска и регуляторные ожидания меняются постоянно. В результате удостоверение, корректное на момент выпуска, может незаметно устареть и при этом продолжать использоваться на разных платформах, создавая ложное ощущение безопасности — как у бизнеса, так и у пользователя.
Именно поэтому в Sumsub ID многоразовые документы отделены от проверок живости. Пользователь может повторно использовать проверенные документы, снижая трение при онбординге, но liveness-проверка обновляется при каждом новом взаимодействии. Sumsub ID позволяет пройти верификацию один раз и затем использовать её более чем в 4 000 компаниях экосистемы Sumsub. В среднем это сокращает время онбординга на 50% и повышает конверсию на 30%.
Кто несёт ответственность, если пользователя блокируют на нескольких платформах?
Многоразовая цифровая идентификация повышает удобство и снижает риск мошенничества, но не снимает ответственность с платформ. Каждая из них обязана принимать собственное комплаенс-решение.
Если возникают вопросы к удостоверению, это лишь один из факторов в процессе оценки риска. В экосистеме Sumsub блокировка пользователя на одной платформе не означает автоматический отказ на всех остальных. Пользователь может представить тот же профиль Sumsub ID другой платформе, которая примет независимое решение на основе собственных политик и проверок.
Как выглядит реальный failsafe для многоразовой цифровой идентичности?
Реальный failsafe — это не универсальная кнопка «отменить всё», а архитектура, которая изначально предполагает ошибки и делает их обратимыми, проверяемыми и локализованными.
На практике это означает:
- повторное использование доказательств, а не решений;
- возможность отзыва удостоверений пользователем;
- постоянный мониторинг на разных этапах пользовательского пути, чтобы одно устаревшее удостоверение не распространялось бесконтрольно.
Приватность и псевдонимность в многоразовой цифровой идентичности
Совместима ли многоразовая цифровая идентичность с псевдонимностью в Web3?
С помощью ончейн-аттестаций и zero-knowledge-технологий можно привязать кошелёк к доверенному офчейн-профилю, раскрывая только необходимые атрибуты: «человек и уникален», «не из ограниченной юрисдикции», «старше 18 лет». При этом паспортные данные и юридическое имя не публикуются в блокчейне.
Sumsub использует Sumsub ID для создания Web3-представления офчейн-идентичности пользователя. Для некейси-сценариев — например, подтверждения «человечности» или уникальности — компания может выступать эмитентом ончейн-удостоверений. Такие интеграции уже реализованы с блокчейнами Solana и Linea.
Какой приватностный компромисс чаще всего недооценивают пользователи?
Даже без утечки чувствительных данных многократное использование одного и того же идентификатора или аттестации в кошельках, DeFi-протоколах и dApp’ах позволяет третьим сторонам связывать поведение пользователя и формировать детализированные профили.
Это во многом та же проблема, что и у любой ончейн-активности: публичность и трассируемость. Поэтому приватная многоразовая идентичность должна поддерживать контекстные и псевдонимные представления, минимальное раскрытие атрибутов и чёткую фиксацию согласия пользователя.
KYC-усталость и влияние на онбординг
Почему повторный KYC сильнее всего бьёт по конверсии?
KYC-усталость особенно заметна в сценариях, где пользователь взаимодействует сразу с несколькими регулируемыми сервисами: кошельками, он- и офф-рампами, торговыми платформами. Каждый из них часто запускает процесс верификации с нуля.
По данным Sumsub, каждый третий пользователь уже проходил верификацию через их систему ранее. Повторяющийся KYC создаёт трение, повышает отток и напрямую снижает конверсию.
Для решения этой проблемы Sumsub запустил линейку Reusable Digital Identity — Reusable KYC и Sumsub ID. Эти решения позволяют безопасно хранить и повторно использовать проверенные документы на более чем 4 000 платформах экосистемы. В результате время онбординга в среднем сокращается на 50%, а конверсия растёт на 30%.
Будущее многоразовой цифровой идентичности
Что может сделать многоразовую цифровую идентичность массовой в 2026 году?
Ключевым шагом стало бы официальное признание многоразовой верификации в AML/KYC-фреймворках. Это позволило бы аккредитованным провайдерам выпускать стандартизированные удостоверения, на которые могли бы опираться другие участники рынка — при сохранении принципа индивидуальной оценки рисков.
Обратный сценарий — попытка навязать централизованный «универсальный KYC» — скорее подорвёт доверие и вытолкнет инновации в нерегулируемую зону.
Станет ли цифровая идентичность «живым» удостоверением со временем?
В долгосрочной перспективе цифровая идентичность будет всё больше напоминать живой, обновляемый инструмент. Она будет синхронизироваться с изменениями в статусе пользователя и регуляторной среде — санкциями, PEP-статусом, новыми риск-сигналами — без необходимости каждый раз проходить полный KYC с нуля.
Именно к этой модели Sumsub стремится: связать надёжный и комплаентный офчейн-профиль с многоразовой, приватной Web3-идентичностью, которой бизнес может доверять, а пользователь — полностью управлять.
