Что меняет MCP в финансовом контуре
Model Context Protocol (MCP) — открытый стандарт, который Anthropic представила в ноябре 2024 года. Он даёт LLM-агенту единый управляемый интерфейс к внешним системам: базам данных, API, файловым хранилищам и потокам данных в реальном времени. Для банка это означает, что агент перестаёт быть «генератором текста» и получает право выполнять конкретные операции — но не напрямую через эндпоинты, а через посреднический слой с правами и аудитом.
Принципиальное отличие от классической API-интеграции: обычный API открывает агенту весь эндпоинт и расширяет поверхность атаки. MCP работает на уровне задачи (task-level) — каждое действие проходит проверку прав и политик, а сам агент не получает «сырые» токены и учётные данные. По описанию Arcade, MCP-сервер выступает authorization proxy: «validating permissions and executing actions on behalf of agents without exposing underlying credentials» (Arcade).
Это статья-обзор открытых практик, а не кейс KT.Team. Ниже — что уже делают на рынке и какой бизнес-результат это даёт.
Риск-оценка и выявление фрода в реальном времени
Главный выигрыш — агент видит весь клиентский путь, а не отдельную транзакцию. Подключив через MCP потоки платежей и аналитику фрода, банк получает «real-time anomaly detection with automated controls»: система кросс-сверяет транзакцию с фрод-базами, ставит холд на рисковую операцию, уведомляет команду расследований и параллельно ведёт audit log для комплаенса (Arcade).
Для AML это собирается в мультиагентную схему с разделением ролей: один агент разбирает алерт и определяет нарушенное правило, второй анализирует текущие и исторические паттерны транзакций, третий документирует находки — и только после человеческой валидации формируется регуляторная отчётность (Arcade). KYC-онбординг при подключении к CRM и watchlist-платформам сокращается «from days to hours».
Бизнес-результаты, которые приводят отраслевые обзоры по пилотам: сокращение ручного труда в комплаенсе на 20–40%, операционных расходов — на 40–70%, ускорение циклов принятия решений до 90% (Codiste, Arcade). По отраслевым опросам, на выявление и предотвращение фрода приходится около 51% сценариев применения MCP в финансовых организациях.
Доступ к комплаенс-данным как к инструменту
Отдельный класс открытых решений — MCP-серверы поверх специализированных риск-баз. AML Watcher выпустил MCP-сервер, который даёт агентам прямой доступ к санкционным спискам, watchlists и базам PEP без «тяжёлых» legacy-интеграций. Заявленная частота обновления данных — «as fast as every 15 minutes», то есть модели работают на актуальных сигналах, а не на ночной выгрузке (AML Watcher).
Ключевая механика — обогащение: внутренняя риск-логика банка комбинируется со свежими внешними «хитами» из внешней базы. За счёт этого модель уточняет риск-скор, подавляет шум и эскалирует только то, что действительно важно (AML Watcher). Для риск-офиса это «intelligent risk monitoring, regulatory reporting и scenario analysis» поверх фрагментированных источников.
Это иллюстрация подхода KT.Team в чистом виде: не писать собственный санкционный движок, а использовать зрелый внешний стандарт доступа («read before you write»), оставляя бизнес-логику банка в своих сервисах рядом.
Архитектура доступа и контроли безопасности
Управляемый доступ — это не «дать агенту ключи от всего». Открытые материалы описывают трёхслойную модель: MCP-клиенты оркеструют подключения, MCP-серверы стоят за firewall как интеграционные эндпоинты, а слой Role and Policy Enforcement ограничивает, какой агент какое действие может вызвать (Arcade). Каждый вызов фиксируется: инициатор, действие и параметры, результат проверки политики, выполненная операция, к каким данным был доступ.
Без контролей MCP опасен. Академический обзор рисков (arXiv) выделяет prompt injection через пользовательский контент, tool poisoning от недоверенных серверов, over-permissioning и утечку credentials/PII. Рекомендуемые контроли для финансов:
- Least privilege — role-based allowlists инструментов (отчёты, но не удаление данных).
- Per-user OAuth — индивидуальная аутентификация вместо общего токена.
- Input/Output filtering (DLP) — блокировка номеров счетов, PII и секретов до обработки агентом.
- Audit & provenance — полный лог вызовов, параметров, ответов и таймстемпов для доказательства комплаенса.
- Human-in-the-loop — ручное подтверждение высокорисковых операций (переводы, экспорт данных, регуляторные подачи).
- Sandboxing и private registry — контейнеризация серверов и version-pinned, прошедшие code review MCP-серверы (arXiv 2511.20920).
Этот набор хорошо ложится на банковские требования: BSA/AML, GLBA, PSD2/PSD3 SCA и EU DORA — за счёт гранулярных прав, мониторинга доступа в реальном времени и сквозного аудита.
Схема процесса
Поток «событие — решение»: транзакция / новый клиент → MCP-клиент формирует задачу для агента → MCP-сервер (за firewall) проверяет права и политику (Role/Policy Enforcement) → агент через task-level вызовы читает транзакционный поток, фрод-базы и внешние санкционные/PEP-данные (refresh ~15 мин) → обогащение внутреннего риск-скора → ветвление: low-risk пропускается с записью в audit log; high-risk → холд транзакции + алерт + human-in-the-loop валидация → регуляторная отчётность. Сквозь все шаги идёт неизменяемый audit trail и DLP-фильтрация PII.
Вывод для бизнес-процесса
MCP превращает разрозненные интеграции «агент ↔ банковские системы» в один управляемый, аудируемый слой доступа. Бизнес-результат измерим: фрод-холды и AML-эскалации происходят в реальном времени на свежих данных (обновление до 15 минут), ручной труд комплаенса падает на 20–40%, онбординг сжимается с дней до часов — при этом каждое действие агента остаётся в рамках least-privilege и фиксируется для регулятора. Перестраивать стоит сам процесс принятия решения: вынести риск-логику и человеческую валидацию в явные шаги поверх MCP, а внешние санкционные и фрод-данные подключать как зрелый стандарт доступа, не строя собственные движки.
