Банки увидели риски мошенничества при самостоятельной сдаче биометрии

Национальный совет финансового рынка (НСФР), в который входят многие из крупных российских банков, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т.п. Законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных, которые могут быть использованы в мошеннических целях при получении банковских услуг через ЕБС, говорится в заключении НСФР (есть у РБК), направленном в Госдуму, Совет Федерации, Минкомсвязи, Минфин, ФСБ и в Управление делами президента.

Законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу, физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан, предполагается, что власти его утвердят впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, сказал РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.

Что не так с дистанционной сдачей биометрии

• Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. «Когда сдают биометрию в банке, то сотрудник банка проверяет, что именно эти биометрические данные принадлежат именно этому клиенту. При сдаче биометрии физлицом напрямую в ЕБС, такая проверка не предусмотрена», — поясняет замруководителя Национального совета финансового рынка Александр Наумов.
• Этой уязвимостью могут воспользоваться злоумышлениики. Например, при получении доступа к смартфону жертвы (с помощью хакерского взлома или физическим путем) мошенник может сдать в ЕБС свой голос и лицо, а остальные персональные данные ввести от имени потерпевшего. В результате преступники смогут оформлять в банках кредиты на чужое имя.
• Законопроект не устанавливает ответственность за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным является прямым нарушением антиотмывочного законодательства и меры будут применятся в отношении самих банков, опасаются в НСФР.

Самостоятельная сдача биометрии содержит риски подмены данных, говорит Алексей Панферов, заместитель председателя правления Совкомбанка, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемых данных не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.

Что предлагают участники рынка

• Сообщать кредитной организации о том, как были сданы биометрические данные: самостоятельно или в отделении банка, МФЦ и т.п.
• Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если они считают, что это не тот человек, который сдавал биометрию. Хотя, по мнению Камзеева, даже повторная проверка по видеосвязи не может гарантировать достоверность сведений, из-за невозможности гарантировать единые стандарты и параметры качества биометрических данных.
• Установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС. Ответственность может быть как административная, так и уголовная в зависимости от тяжести последствий, говорит адвокат, партнер адвокатского бюро «Бишенов и партнеры» Даханаго Нагоева.
• Разработать механизм корректировки биометрических персональных данных в случае выявления недостоверного или ошибочного внесения таких данных в ЕБС физическим лицом.

Представитель «Ростелекома» сообщил РБК, что перечень услуг, доступных через зарегистрированную в банке («подтвержденную») и на мобильном устройстве («стандартную») биометрию, планируется разграничить.

Альтернатива биометрии

«Главная проблема данного законопроекта в том, что он вносится как необходимая мера, которая должна обеспечить доступность финансовых услуг во время пандемии коронавируса. Однако сдача данных самостоятельно резко не повысит популярность ЕБС у россиян», — отмечает Наумов. Поэтому совместно с предложениями по улучшению законопроекта о биометрии НСФР направил в Госдуму и другие органы власти свой законопроект по организации проверки личности с использованием системы видеосвязи, который предлагает рассмотреть параллельно.

Видеоидентификация для удаленного открытия счета может стать более эффективным способом, считает партнер группы консультирования в области ИТ КПМГ в России и СНГ Оксана Борисова. Ранее ЦБ разрешил банкам открывать счета для социально значимых платежей (ипотечные платежи, пенсии, социальные выплаты и т.п.) удаленно с помощью современных средств связи, однако за месяц действия послабления им не воспользовался ни один крупный банк, выяснил ранее РБК.

Президент Владимир Путин 11 мая поручил правительству и ЦБ к 1 июня подготовить план перевода в дистанционный формат части банковских услуг, в том числе идентификацию клиента. Свои предложения (есть у РБК) в правительство уже направила Ассоциация участников рынка электронных денег и денежных переводов (АЭД) — в них также предлагается проводить идентификацию клиента с помощью видеосвязи.

«Ее внедрение не требует существенных затрат, в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек», — отмечают в АЭД. По словам Борисовой, комплект для одного банковского отделения для сбора ЕБС стоит примерно 2-3 млн руб.

Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытие счета (например, при заключении договоров эквайринга).

Для прохождения идентификации банк должен связываться с потенциальным клиентом по видеосвязи и попросить его в режиме реального времени показать свой паспорт. объясняет Наумов. Сотрудник банка сверяет фотографию в документе с личностью клиента, а затем направляет ему СМС с кодом, который клиент должен назвать во время сеанса связи. Поскольку такой способ установления отношений более рискованный, чем личная явка в банк, ЦБ может установить ограничения на использование счета, открытого по видеосвязи, отметил Наумов, если есть возможность проверить биометрические данные клиента, то ограничения на счет можно будет снять.

Евгения Чернышова