Новости >>  Все новости >> 

РБК >> Банки увидели риски мошенничества при самостоятельной сдаче биометрии

Законопроект, разрешающий россиянам для получения банковских услуг сдавать биометрию через личные смартфоны и компьютеры, не предусматривает защиту от злоумышленников, предупредили банки. Этим могут воспользоваться мошенники.

Национальный совет финансового рынка (НСФР), куда входят многие крупные российские банки, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе (ЕБС) самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т.п. Этот законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему, говорится в заключении НСФР (есть у РБК), направленном в Госдуму, Совет Федерации, Минкомсвязь, Минфин, ФСБ и Управление делами президента.

Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу, физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, заявил РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.

ЕБС была запущена ЦБ и «Ростелекомом» в 2018 году для удаленного получения финансовых и иных услуг. Для подключения к ней нужно сдать образцы биометрии в банковских отделениях, а также быть зарегистрированным пользователем портала «Госуслуги». В системе собрано свыше 136 тыс. данных россиян, сообщали РБК в «Ростелекоме». За первые три недели марта, то есть незадолго до объявления в стране нерабочих дней и режима самоизоляции, количество регистраций в ЕБС упало на 10% по сравнению со средними показателями в январе и феврале, а прохождение верификации с помощью системы — на 5%.

Что не так с дистанционной сдачей биометрии

  • Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. «Когда сдают биометрию в банке, то сотрудник банка проверяет, что именно эти биометрические данные принадлежат именно этому клиенту. При сдаче биометрии физлицом напрямую в ЕБС такая проверка не предусмотрена», — поясняет замруководителя Национального совета финансового рынка Александр Наумов.
  • Этой уязвимостью могут воспользоваться злоумышленники. Например, при получении доступа к смартфону жертвы (с помощью хакерского взлома или физическим путем) мошенник может разместить в ЕБС свои голос и лицо, а остальные персональные данные ввести от имени потерпевшего. В результате преступники смогут оформлять в банках кредиты на чужое имя.
  • Законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР.

Самостоятельная сдача биометрии содержит риски подмены данных, говорит заместитель председателя правления Совкомбанка Алексей Панферов, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемой информации не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.

Что предлагают участники рынка

  • Сообщать кредитной организации, каким образом были предоставлены биометрические данные — самостоятельно, в отделении банка, МФЦ и т.п.
  • Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если считают, что это не тот, кто сдавал биометрию. Хотя, по мнению Камзеева, даже повторная проверка по видеосвязи не может подтвердить достоверность сведений из-за невозможности гарантировать единые стандарты и параметры качества биометрических данных.
  • Установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС. Она может быть как административная, так и уголовная в зависимости от тяжести последствий, говорит адвокат, партнер адвокатского бюро «Бишенов и партнеры» Даханаго Нагоева.
  • Разработать механизм корректировки биометрических персональных данных в случае выявления их недостоверного или ошибочного внесения в ЕБС физическим лицом.

Представитель «Ростелекома» сообщил РБК, что перечень услуг, доступных через зарегистрированную в банке («подтвержденную») и на мобильном устройстве («стандартную») биометрию, планируется разграничить.

Альтернатива биометрии

«Главная проблема данного законопроекта в том, что он вносится как необходимая мера, которая должна обеспечить доступность финансовых услуг во время пандемии коронавируса. Однако сдача данных самостоятельно резко не повысит популярность ЕБС у россиян», — отмечает Наумов. Поэтому совместно с предложениями по улучшению законопроекта о биометрии НСФР направил в Госдуму и другие органы власти свой законопроект об организации проверки личности с использованием системы видеосвязи, который предлагает рассмотреть параллельно.

Видеоидентификация для удаленного открытия счета может стать более эффективным способом, считает партнер группы консультирования в области ИТ КПМГ в России и СНГ Оксана Борисова. Ранее ЦБ разрешил банкам открывать счета для социально значимых платежей (ипотечные платежи, пенсии, социальные выплаты и т.п.) удаленно с помощью современных средств связи, однако за месяц действия послабления им не воспользовался ни один крупный банк, выяснил ранее РБК.

Президент Владимир Путин 11 мая поручил правительству и ЦБ к 1 июня подготовить план перевода в дистанционный формат части банковских услуг, в том числе идентификацию клиента. Свои предложения (есть у РБК) в правительство уже направила Ассоциация участников рынка электронных денег и денежных переводов (АЭД): в них также предлагается проводить идентификацию клиента с помощью видеосвязи.

«Ее внедрение не требует существенных затрат в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек», — отмечают в АЭД. По словам Борисовой, комплект для сбора ЕБС для одного банковского отделения стоит примерно 2–3 млн руб.

Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытия счета (например, при заключении договоров эквайринга).

Для прохождения идентификации банк должен связаться с потенциальным клиентом по видеосвязи и попросить в режиме реального времени показать свой паспорт, объясняет Наумов. Сотрудник банка сверяет фотографию в документе с личностью клиента, а затем направляет ему СМС с кодом, который тот должен назвать во время сеанса связи. Поскольку такой способ установления отношений более рискованный, чем личная явка в банк, ЦБ может установить ограничения на использование счета, открытого по видеосвязи, отметил Наумов; если есть возможность проверить биометрические данные клиента, то ограничения на счет можно будет снять.

Евгения Чернышова РБК

Дата публ./изм.
14.05.2020