Цифровые валюты центральных банков (CBDC) будут происходить. Более 90% мировых центральных банков работают над ними.Вопрос сейчас в том, как остановить слишком много наблюдения, при этом все еще обеспечивая финансовое включение, которое они обещают. Эта статья выходит за рамки обсуждения «государства надзора» против «финансовых инноваций» и вводит трехслойную модель, которая сочетает CBDC с благоприятными для конфиденциальности кредитными системами. Модель угрозы (сбалансированная) Чтобы разработать эффективные системы, начните с понимания угроз и уязвимостей, которые нужно защитить от, например, несанкционированного доступа и нарушений данных. Идентифицируйте риски и оцените их влияние. Определите цели, пользовательский опыт, интеграцию и масштабируемость. Балансируйте защиту с возможностями системы, чтобы создать надежные системы, которые отвечают целям безопасности и эксплуатации. Что CBDC делают хорошо CBDC отличается тем, что предоставляет социальные льготы, стимулирующие выплаты и экстренную помощь непосредственно гражданам. Во время пандемии COVID-19 страны боролись за быстрое распределение средств помощи. Government-to-Person (G2P) payments: В отличие от коммерческих платежных систем, которые зависят от частных компаний, CBDC обеспечивают общественную выгоду, которую нельзя закрыть корпоративными решениями.Когда финтех-компания, такая как Synapse, рухнула в 2024 году, клиенты потеряли доступ к депозитам в размере $265 млн. Resilience: Для 1,4 миллиарда взрослых во всем мире, не имеющих банковских счетов, CBDC предоставляют способ доступа к официальным финансовым услугам.Портфель центрального банка не нуждается в кредитной истории, минимальном балансе или ежемесячных сборах, которые являются препятствиями, которые удерживают бедных от традиционного банковского дела. Financial inclusion: CBDC риски Государственная цифровая валюта дает эмитенту окно в покупки каждого гражданина. e-CNY Китая демонстрирует этот риск: все транзакции проходят через системы Народного банка Китая (PBOC), делая их отслеживаемыми по дизайну. Panopticon: Власти могут налагать ограничения на расходы на определенные товары (алкоголь, предметы роскоши), устанавливать даты истечения срока действия, которые вынуждают расходы в течение определенного срока, или замораживать счета мгновенно без судебного надзора. Programmable coercion: Что хорошо делают открытые буквы Публичные блокчейн-системы, такие как Creditcoin, создают фальсифицированные записи, которые любой может проверить.Эта прозрачность создает доверие и позволяет осуществлять проверку без необходимости доступа к централизованным базам данных. Transparency: Кредитная история, записанная в открытых реестрах, может следить за людьми через границы и учреждения. Заемщик в Нигерии, который переезжает в Гану, может нести с собой свою историю платежей, а не начинать с нуля. Portability: Это распределяет власть и уменьшает риск того, что один участник, будь то правительство или корпорация, может односторонне манипулировать записями или отказать в доступе. Decentralization: Открытые риски Ledger Если суммы транзакций, сроки и контрагенты являются публичными, сложный анализ может деанонимизировать пользователей и вывести чувствительную информацию о их поведении. Metadata leakage: В некоторых системах блокчейн валидаторы могут перенастроить транзакции, чтобы извлечь прибыль, потенциально неблагоприятствуя пользователям. MEV (Maximal Extractable Value): Трехслойная модель Решение заключается не в том, чтобы выбирать между CBDC и открытыми кредитными реестрами, а в том, чтобы объединить их в слойную архитектуру, которая использует сильные стороны каждого из них, одновременно смягчая их слабости. 1 слой: слой расчетов (CBDC Rails for Fiat Finality) Базовый слой использует инфраструктуру CBDC для окончательного урегулирования. Когда кредитор выплачивает кредит или заемщик производит погашение, фактическая передача стоимости происходит через кошельки CBDC. Это предусматривает: Мгновенный расчет: нет ожидания банковских переводов или корреспондентских банковских сетей Соответствие нормативным требованиям: Центральные банки могут применять требования по борьбе с отмыванием денег (AML) и Know-your-Customer (KYC) на этом уровне Стабильность Fiat: кредиты и погашения в национальной валюте устраняют валютный риск для внутренних сделок Критически, слой CBDC обрабатывает Центральный банк видит, что «Wallet A перевел 1000 единиц в Wallet B», но не автоматически знает, что это представляет собой погашение кредита, покупку или подарок. Усадьба Layer 2: Credit Layer (Кредит как публичный кредитный реестр) Средний слой записывает доказательства кредита и погашения на Creditcoin, публичной блокчейне, разработанной специально для кредитной истории. Неизменные записи: после выдачи кредита и погашения, данные не могут быть изменены или удалены Псевдонимные кредитные истории: Заемщики создают проверяемые записи, не раскрывая своей юридической личности Трансграничная переносимость: кредитная история, записанная на Creditcoin, доступна во всем мире, что позволяет предоставлять международные кредиты Кредитный слой хранит хеши кредита (криптографические отпечатки пальцев условий кредита), сроки погашения, суммы погашения и флаги по умолчанию. хранить имена заемщиков, адреса или другую личную информацию (PII). Не Уровень 3: Уровень конфиденциальности (селективное раскрытие, шифрование, доказательства ZK) Верхний слой реализует технологии сохранения конфиденциальности, которые позволяют проверку без раскрытия: Заемщик может видеть, что «этот заемщик сделал 12 срочных платежей в общей сложности 5 000 долларов», не узнав имени или адреса заемщика. Selective disclosure: Чувствительные данные, хранящиеся у кредиторов, шифруются с использованием ключей, контролируемых заемщиком. Даже если база данных кредитора нарушена, злоумышленник не может прочитать зашифрованные данные без ключа заемщика. Encryption at rest: Например, регулятор может проверить, что «все кредиты в этом портфеле отвечают минимальным стандартам кредитоспособности», не видя отдельных деталей заемщика. Zero-knowledge proof attestations: Архитектурная ссылка Вот как три слоя работают вместе на практике. Диаграмма последовательности (илюстрация) 1. Lender disburses loan from CBDC wallet → CBDC layer: Transfer 1,000 units from Lender Wallet to Borrower Wallet → Credit layer: Record loan hash on Creditcoin 2. Borrower makes repayment → CBDC layer: Transfer 250 units from Borrower Wallet to Lender Wallet → Credit layer: Record repayment timestamp and amount on Creditcoin 3. Regulator/auditor verifies compliance → Privacy layer: Request ZK-proof that loan meets regulatory standards → Lender generates proof without revealing borrower PII → Regulator verifies proof confirms compliance Ключевое управление Каждый заемщик держит частный ключ, который контролирует свой CBDC кошелек и авторизует обновления к своей кредитной истории. Этот ключ может храниться на смартфоне, аппаратном кошельке или управляться доверенным хранителем (для пользователей, которые предпочитают не управлять ключами сами). Borrower keys: Кредиторы держат ключи, которые разрешают выплаты кредитов и подписывают обновления кредитных записей.Схемы с несколькими подписями могут потребовать, чтобы сотрудники нескольких кредиторов одобряли крупные транзакции, уменьшая риск мошенничества. Lender keys: Регуляторы держат ключи только для чтения, которые позволяют им проверять кредитные записи и проверять соответствие без возможности модифицировать данные или получить доступ к зашифрованным PII. Regulator keys: Ролевой доступ Заемщики: могут просмотреть свою кредитную историю, уполномочить кредиторов на доступ к ней и отозвать доступ в любое время Заемщики: могут просматривать кредитную историю заемщиков, которые дают разрешение, регистрировать новые кредиты и погашения, а также генерировать доказательства соответствия Регуляторы: могут проверять совокупную статистику, проверять доказательства соответствия и исследовать конкретные случаи с надлежащим юридическим разрешением Публичный: может проверить целостность кредитного реестра (с которым записи не подвергались манипулированию) без доступа к данным отдельных заемщиков События Logs Все действия системы регистрируются: выплаты кредитов, погашения, гранты на доступ, отзывы доступа и проверки соответствия.Эти журналы подписываются криптографически и закреплены временем, создавая аудиторский след, который может быть пересмотрен в случае возникновения споров. Управление и надзор Технология сама по себе не может обеспечить конфиденциальность и подотчетность.Управляющие структуры должны определить, кто владеет властью и как она может быть проверена. Кто держит ключи? Контролирует слой расчетов CBDC, включая возможность замораживать счета для законных целей правоохранительных органов (с судебным надзором) Central bank: Децентрализованная сеть валидаторов поддерживает кредитный реестр.Ни один валидатор не может односторонне изменять записи; изменения требуют консенсуса между несколькими независимыми сторонами. Creditcoin validators: Контроль доступа к собственной кредитной истории и может отозвать доступ кредитора в любое время Borrowers: Многосторонний совет (включая защитников конфиденциальности, группы по защите прав потребителей и представителей отрасли) оценивает дизайн системы, отслеживает случаи злоупотреблений и рекомендует изменения политики. Independent oversight board: Отзыв и реакция на инцидент Если ключ доступа кредитора компрометирован, надзорный совет может проголосовать за его отмену, предотвращая доступ компрометированного ключа к данным заемщика или запись новых займов. How revocation works: Если происходит нарушение конфиденциальности (например, раскрываются зашифрованные данные), система запускает автоматическое уведомление пострадавшим заемщикам. Incident response: Отчеты о публичной прозрачности Ежеквартально система публикует отчет о прозрачности, показывающий: Общее количество выданных кредитов Общая сумма возврата Ставки по типу продукции Количество запросов регулирующего органа о доступе и результатов Количество инцидентов с конфиденциальностью и резолюций Эти отчеты обеспечивают подотчетность без ущерба для частной жизни отдельных лиц. Политический чек Политики, разрабатывающие системы CBDC-plus-credit, должны обеспечить следующие минимальные стандарты: Минимальная жизнеспособная конфиденциальность [ ]Транзакции по умолчанию являются псевдонимическими (нет автоматической ссылки на юридические личности) [ ]PII шифруется и контролируется пользователями, а не хранится в простом тексте поставщиками услуг [ ]Регулирующие органы могут проводить аудит соответствия без рутинного доступа к отдельным деталям транзакций [ ] Пользователи могут отозвать доступ третьих лиц к своим данным в любое время Открытый API [ ]Системные интерфейсы публично документированы, что позволяет сторонним разработчикам создавать совместимые услуги [ ]No vendor lock-in: пользователи могут переключаться между поставщиками услуг, не теряя своей кредитной истории [ ]Совместимость с другими финансовыми системами (традиционные банки, мобильные деньги, международные переводы) Тесты на аудитность [ ]Независимые аудиторы могут проверять совокупную статистику, соответствующую данным по цепочке [ ]Доказательства соответствия могут быть проверены без доступа к сырым данным [ ]Системные журналы являются дефектно очевидными и сохраняются в течение определенного периода времени Red-Team тренажеры [ ]Регулярные оценки безопасности независимыми экспертами, пытающимися нарушить защиту конфиденциальности [ ]Симулированные атаки на ключевые системы управления [ ]Стресс-тесты процедур реагирования на инциденты Публичные Bug Bounties [ ] Rewards for security researchers who discover vulnerabilities [ ] Clear disclosure process that protects researchers from legal liability [ ] Rapid patching of discovered issues Пилотный Blueprint Теория важна, но реализация раскрывает реальные вызовы. Городская пара денежных переводов Разрешите мгновенные денежные переводы между двумя городами (например, Лагосом и Аккра) с помощью расчетов CBDC и проверки кредита Creditcoin. Scope: 1000 пользователей в каждом городе, набранных через местных агентов мобильных денег Participants: 6 месяцев Duration: Evaluation metrics: Время доставки p95 (95-й процентиль): Цель <5 минут Количество нарушений конфиденциальности: Цель = 0 Коэффициент жалоб: целевой показатель <2% транзакций Стоимость транзакции: Цель < 0,50 $ Программа кредитования MSME Предоставление кредитов для малого бизнеса (до $5,000) микро-, малым и средним предприятиям с использованием кредитной истории Creditcoin и расчетов CBDC. Scope: 500 предприятий в Нигерии, Гане и Сьерра-Леоне Participants: 12 месяцев Duration: Evaluation metrics: Время финансирования p95: Цель <24 часа Ставка по умолчанию: сравнительный показатель по сравнению с традиционным микрофинансированием (цель: равная или лучше) Удовлетворенность заемщика: Цель >80% рекомендовали бы другим Кредитная линия коэффициент окончания: Цель >60% заемщиков получают увеличение лимита Оценочная рамка Оба пилота должны быть независимо оценены исследовательским учреждением (например, MIT J-PAL, IPA) с использованием рандомизированных контролируемых испытаний, где это возможно. Does the system actually improve financial inclusion (measured by new credit access for previously unbanked individuals)? Are privacy protections effective (measured by user surveys and technical audits)? Is the system cost-effective compared to alternatives (measured by cost per user served)? What are the unintended consequences (measured through qualitative interviews and complaint analysis)? Замените страх дизайном В дебатах CBDC преобладал страх: страх перед наблюдением, страх перед потерей денежного суверенитета, страх перед технологическими потрясениями. Если мы создадим архитектуру для конфиденциальности и аудита с первого дня, используя слоированные конструкции, которые разделяют функции расчетов, кредитования и конфиденциальности, мы можем иметь включение Свобода. CBDC могут предоставлять преимущества мгновенных платежей и финансового доступа, не становясь инструментами угнетения.Открытые кредитные реестры могут обеспечивать прозрачность и переносимость без раскрытия конфиденциальной личной информации. и Трехслойная модель, представленная здесь, не является единственным возможным дизайном, но она демонстрирует, что компромиссы не являются бинарными.Мы не должны выбирать между конфиденциальностью и включением, между инновациями и регулированием, между централизованной эффективностью и децентрализованной устойчивостью. Институты и граждане должны требовать, чтобы системы цифровой валюты были разработаны с конфиденциальностью, прозрачностью и подотчетности как основные принципы, а не последующие. Вопрос в том, есть ли у нас политическая воля использовать ее мудро.