Биометрия в банках: сдавать или не сдавать?

биометрия в России

Открыть счет или взять кредит — в любое время дня или ночи, в любом банке, при помощи мобильного приложения. «Ходить в банк больше не нужно», а если по какой-то причине и придется, то не понадобится даже паспорт — банк узнает посетителя «в лицо». 

Такую картину будущих отношений банков со своими клиентами рисуют создатели Единой биометрической системы (ЕБС). Это общая для российских банков база данных, которая должна заработать по всей России до конца года. Предполагается, что система упростит жизнь клиентов российских банков, однако они пока не спешат делиться своими биометрическими данными.

биометрия

Почему россияне не хотят сдавать биометрию?

К концу 2018 года, через шесть месяцев после запуска проекта, по всей России собрали информацию всего о 3 тыс. человек. Более актуальные данные в Ростелекоме, который занимается разработкой ЕБС, предоставить отказались.

Во многом такие цифры связаны с тем, что пока не все банковские отделения в России имеют техническую возможность собирать биометрические данные. По информации Ростелекома, к концу марта этого года к системе были подключены 4,1 тыс. отделений российских банков — это примерно пятая часть от их общего числа.

где сдать биометрию
Карта банков, где можно сдать биометрию. Источник: ЦБ РФ

Однако есть и другая, более важная, причина — россияне традиционно воспринимают сбор любой персональной информации с настороженностью. По данным исследования PwC, 88% россиян готовы отказаться от покупок товаров и услуг в интернете в случае неуверенности в безопасности своих данных. При этом среди отраслей, наиболее подверженных утечкам данных, банковская сфера оказалась на третьем месте, пропустив вперед только социальные сети и онлайн-ритейл.

По этим причинам сбор биометрии — пока не слишком распространенное в России явление — может вызывать у жителей страны серьезные опасения. Мы пообщались с представителями крупных российских банков и постарались выяснить, насколько обоснованы эти страхи.

Как сдать биометрию?

Банки получили разрешение собирать собственные базы биометрических данных своих клиентов в 2006 году — такую возможность им дал закон «Об информации, информационных технологиях и о защите информации». Через 12 лет, в начале июля 2018 года, в России при поддержке Центробанка начала работать Единая биометрическая система (ЕБС). Свое имя она получила по названию компании, которая занялась ее разработкой — «Ключ Ростелеком».

Для регистрации в ЕБС клиенту банка необходимо совершить несколько простых действий: завести профиль на сайте «Госуслуг», прийти в банк и предъявить там паспорт и СНИЛС. После этого сотрудник банка сделает фотографию и запишет голос пользователя, а затем отправит эти данные в ЕБС.

Выдержка из постановления о сборе биометрических данных.
Выдержка из постановления о сборе биометрических данных.

С этого момента клиент получит возможность удаленно пользоваться услугами любого из подключенных к системе банков: например, открывать в них дополнительные счета или оформлять кредит. Делать это можно при помощи мобильного приложения, доступного, правда, только пользователям Android. По словам заместителя директора по операционной деятельности Росбанка Марины Фроловой, подобное стало возможным после принятия поправок в закон «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма».

«Изменения коснулись самого чувствительного пункта — необходимости личной явки гражданина для открытия счета в банке, где он раньше не обслуживался. Использование портала «Госуслуг» и ЕБС позволят заменить необходимость такой явки процедурой удаленной идентификации, что станет драйвером цифрового развития для всей отрасли», — отметила она.

Стать участником ЕБС может любой российский банк, который участвует в системе страхования вкладов, соблюдает нормы законодательства о противодействии отмыванию доходов и не находится в состоянии банкротства. По состоянию на 23 марта 2019 года этим критериям соответствовали 393 из 478 российских кредитных организаций.

Какие данные могут собирать банки?

Перечень биометрических данных, которые могут собирать банки в рамках работы ЕБС, установлен постановлением правительства и содержит всего два пункта:

  • изображение лица человека, полученное с помощью фото- и видеоустройств;
  • голос человека, полученный с помощью звукозаписывающих устройств.

Две модальности — голос и лицо человека — собираются не отдельно друг от друга, а хранятся в ЕБС вместе. Именно их сочетание позволяет определить «живого человека», а не имитацию его биометрических данных в цифровом канале.

«Сегодня лицо и голос – самые распространенные и доступные для массового использования биометрические модальности, другие требуют специального считывающего оборудования», — рассказала Bloomchain Марина Фролова.

В Ростелекоме называют крайне низкой вероятность того, что кто-то сможет обмануть систему. «Цифровой образ нельзя подделать с помощью записи голоса или фотографии: система использует специальную технологию распознавания подделки», — отмечают в компании.

По словам представителей Ростелекома, алгоритмы могут отличить близнецов, узнать простуженного человека или распознать чужой паспорт. По оценкам компании, вероятность ошибки составляет примерно 1 на 10 млн.

Могут ли банки собирать свои базы данных?

Положение о двух модальностях — голосе и фотографии — касается только взаимодействия банков с системой ЕБС. Это важный момент: по словам директора департамента технологий и сопровождения розничного бизнеса МКБ Виталия Полякова, в рамках работы с Единой биометрической системой банки не могут расширять перечень собираемых данных самостоятельно.

сдать биометрию

При этом закон не запрещает банкам собирать собственную биометрическую базу, но они должны проинформировать об этом клиентов. «Для собственных нужд банки могут собирать и другие виды биометрических данных, например, отпечатки пальцев для предоставления услуги по хранению ценностей в сейфовых ячейках», — пояснили Bloomchain в пресс-службе банка «Уралсиб».

Основные типы биометрических данных содержатся в ГОСТе. Банки начинают использовать сбор более сложной биометрии: к примеру, «Альфа-банк» недавно начал распознавать своих клиентов по рисунку вен на ладони. Для корпоративных клиентов «Альфа-банк» недавно запустил услугу подтверждения платежа с помощью отпечатка пальца. 

Кто на этом заработает?

Самый яркий пример банка, активно собирающего собственную биометрическую базу, — это Сбербанк. Он начал делать это только осенью прошлого года, однако уже в декабре глава банка Герман Греф заявил, что в базе находятся «миллионы» образцов биометрических данных клиентов. Каким образом Сбербанку удалось за такой короткий срок собрать такую внушительную базу, он не уточнил. По данным «Ведомостей», это может быть связано с агрессивными продажами банка, менеджеры которого активно порой едва ли не принуждают клиентов сдавать биометрию.

Сбербанк не только планирует создать и использовать собственную биометрическую систему, получившую название СКУД, но и запустить ее промышленное производство. По словам зампреда правления Сбербанка Станислава Кузнецова, она будет представлять из себя систему пропускного режима без физических пропусков и карточек. Идентифицировать сотрудников будут по лицу.

Разработчики ЕБС также намерены заработать на своей биометрической базе. Помочь в этом им сможет законопроект, разработанный Минкомсвязи. По информации «Ведомостей», бизнес будет платить за некоторые запросы из цифровых профилей граждан, базу которых собирает Ростелеком. Их концепция только разрабатывается, но уже известно, что в них войдут юридически значимые электронные документы и актуальные данных из государственных информационных систем, в том числе биометрия.

Bloomchain узнал ответы еще на несколько вопросов, которые связаны со сдачей биометрии. 

Сдавать биометрию — это обязательно?

Один из самых главных моментов в работе ЕБС связан с добровольностью предоставления биометрических данных. Важно помнить, что их сдача совершается исключительно на добровольной основе и с письменного согласия. «Передавать банку или в ЕБС свои биометрические персональные данные — это право, а не обязанность клиента», — отметили в пресс-службе «Уралсиба».

В ЦБ РФ на запрос Bloomchain о сдаче биометрии также ответили, что это исключительно добровольный процесс.

«Банк России не ставил и не ставит перед собой цель связывать оказание банковских услуг с обязательной сдачей биометрии. Это происходит только с добровольного согласия гражданина. У человека должен быть выбор: получать услуги дистанционно с помощью удаленной биометрической идентификации, либо лично в офисе банка», рассказали Bloomchain в ЦБ.

Нужно ли за это платить?

Разработку Единой биометрической системы полностью финансирует Ростелеком — по словам руководителя направления B2B/B2G компании Инны Губаревой, объем инвестиций составит около 1,5 млрд руб.

Для клиентов удаленная идентификация будет бесплатной — все расходы по сбору и передаче данных банки возьмут на себя.

Могут ли банки собирать данные без ведома клиентов?

Согласно законодательству, сбор биометрических данных может осуществляться только в дополнительных офисах банка с помощью специального программного обеспечения, а также камеры и микрофона, требования к которым установлены Минкомсвязи. Возможно, в ближайшее время сбор данных будет запущен во многофункциональных центрах — с такой инициативой выступил Ростелеком.

Во всех опрошенных нами банках категорически опровергли возможность сбора биометрии без ведома клиентов — например, с помощью камер в банкоматах.

«Во-первых, банки действуют только в соответствии с регуляторной базой, а во-вторых, камеры в банкоматах не отвечают установленным требованиям к качеству биометрических образцов», — заявили Bloomchain в пресс-службе «Открытия».

Как будут храниться биометрические данные?

Согласно законодательству, банки не могут хранить у себя биометрию, которая собиралась для ЕБС. Разработчики системы поясняют, что биометрические данные находятся в защищенном хранилище Ростелекома, а доступ к ним будет иметь только клиент банка, чьи данные уже внесены в ЕБС, и только в момент получения услуги. Таким образом в компании хотят исключить вероятность того, что банки смогут каким-то образом «сливать» базы данных с биометрией — у них просто не будет доступа к этой информации.

Также для обеспечения безопасности данных создатели ЕБС используют систему распределенного хранения данных.

«Биометрический контрольный шаблон хранится в обезличенной форме отдельно от персональных данных — имени и фамилии, паспортных данных, СНИЛС и других, включенных в базы портала «Госуслуг», — отметила Марина Фролова.

У кого еще будет доступ к данным?

В будущем доступ к ЕБС может появиться не только у банков: готовится законопроект о порядке передачи биометрических данных по запросу МВД и ФСБ без уведомления клиента. Предполагается, что норма поможет силовикам бороться с терроризмом.

Участие силовиков в проекте не скрывают и в Ростелекоме — в середине февраля компания сообщила о том, что системный проект типового решения по информационной безопасности при работе с биометрией согласовывается с ФСБ. Директор по цифровой идентичности Ростелекома Иван Беров назвал это событие «важным шагом».

Биометрия-2019: кто защитит безопасность данных?

О возможных проблемах с защитой данных в ЕБС и банковских базах, а также о необходимости разработки мер безопасности для исключения утечки данных, эксперты говорили еще перед запуском системы. В частности, речь шла о возможности сдачи фальшивой биометрии, когда мошенник действует от имени другого человека по поддельному или украденному паспорту, а сотрудник банка не может выявить эту подделку. В ответ на это в Центробанке заявляли, что «проработка возможных вариантов защиты осуществлялась с самого начала проекта и на всех его стадиях, а реализованные меры адекватны возможным рискам».

биометрия в РФ

Тем не менее в феврале 2019 года Центробанк выпустил 19-страничный документ с рекомендациями «по нейтрализации банками угроз безопасности» при работе с биометрией, прежде всего при хранении данных.

Главные риски, по мнению регулятора, связаны с тем, что мошенники могут попытаться не только украсть данные из ЕБС, но и подменить или удалить их.

Еще одна опасность связана с возможными попытками перехвата данных на этапе обмена информацией между банками и хранилищем данных.

Рекомендации Центробанка содержат подробный перечень действий, которые должны минимизировать риски при работе с ЕБС. Однако документ до сих пор носит рекомендательный характер — в ЦБ сообщили, что пока не собираются проверять банки на соответствие их баз данных требованиям безопасности. Как отметили в регуляторе, сначала финансовым организациям необходимо провести технологическую реорганизацию для соответствия этим условиям.

В это же время в Ростелекоме заявили, что его партнерами по проекту ЕБС станут компании «КриптоПро» и «Инфосекьюрити». Первая из них выступит в роли разработчика средств криптографической защиты информации и испытательной лаборатории, вторая будет отвечать за поставку, внедрение и сопровождение программно-аппаратного комплекса, предназначенного для защиты биометрических данных граждан. Обе компании работают на рынке больше десяти лет, в числе их клиентов — банки ВТБ, «Открытие», Credit Suisse, «Альфа-банк», аппарат правительства России и «ЛУКОЙЛ».

Создатели Единой биометрической системы говорят о высокой степени ее надежности, однако в ситуации, когда речь идет об информационной безопасности, никто не сможет дать стопроцентной гарантии защиты данных. У тех, кто не хочет рисковать, остается возможность перестраховаться и, например, не предоставлять свою биометрию банкам, либо полностью удалить ее из ЕБС — сделать это можно через портал «Госуслуг».