Банки увидели риски мошенничества при самостоятельной сдаче биометрии
Они просят ввести дополнительные механизмы проверки клиентовНациональный совет финансового рынка (НСФР), куда входят многие крупные российские банки, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе (ЕБС) самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т.п. Этот законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему, говорится в заключении НСФР (есть у РБК), направленном в Госдуму, Совет Федерации, Минкомсвязь, Минфин, ФСБ и Управление делами президента.
Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, заявил РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.
ЕБС была запущена ЦБ и «Ростелекомом» в 2018 году для удаленного получения финансовых и иных услуг. Для подключения к ней нужно сдать образцы биометрии в банковских отделениях, а также быть зарегистрированным пользователем портала «Госуслуги». В системе собрано свыше 136 тыс. данных россиян, сообщали РБК в «Ростелекоме». За первые три недели марта, то есть незадолго до объявления в стране нерабочих дней и режима самоизоляции, количество регистраций в ЕБС упало на 10% по сравнению со средними показателями в январе и феврале, а прохождение верификации с помощью системы — на 5%.
Что не так с дистанционной сдачей биометрии
- Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. «Когда сдают биометрию в банке, то сотрудник банка проверяет, что именно эти биометрические данные принадлежат именно этому клиенту. При сдаче биометрии физлицом напрямую в ЕБС такая проверка не предусмотрена», — поясняет замруководителя Национального совета финансового рынка Александр Наумов.
- Этой уязвимостью могут воспользоваться злоумышленники. Например, при получении доступа к смартфону жертвы (с помощью хакерского взлома или физическим путем) мошенник может разместить в ЕБС свои голос и лицо, а остальные персональные данные ввести от имени потерпевшего. В результате преступники смогут оформлять в банках кредиты на чужое имя.
- Законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР.
Самостоятельная сдача биометрии содержит риски подмены данных, говорит заместитель председателя правления Совкомбанка Алексей Панферов, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемой информации не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.
Что предлагают участники рынка
- Сообщать кредитной организации, каким образом были предоставлены биометрические данные — самостоятельно, в отделении банка, МФЦ и т.п.
- Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если считают, что это не тот, кто сдавал биометрию. Хотя, по мнению Камзеева, даже повторная проверка по видеосвязи не может подтвердить достоверность сведений из-за невозможности гарантировать единые стандарты и параметры качества биометрических данных.
- Установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС. Она может быть как административная, так и уголовная в зависимости от тяжести последствий, говорит адвокат, партнер адвокатского бюро «Бишенов и партнеры» Даханаго Нагоева.
- Разработать механизм корректировки биометрических персональных данных в случае выявления их недостоверного или ошибочного внесения в ЕБС физическим лицом.
Представитель «Ростелекома» сообщил РБК, что перечень услуг, доступных через зарегистрированную в банке («подтвержденную») и на мобильном устройстве («стандартную») биометрию, планируется разграничить в зависимости от риска операции. Самыми высокорискованными услугами является открытие счета, вклада или кредита, сказал он, однако соответствующий акт с перечнем услугами еще не утвержден.
Альтернатива биометрии
«Главная проблема данного законопроекта в том, что он вносится как необходимая мера, которая должна обеспечить доступность финансовых услуг во время пандемии коронавируса. Однако сдача данных самостоятельно резко не повысит популярность ЕБС у россиян», — отмечает Наумов. Поэтому совместно с предложениями по улучшению законопроекта о биометрии НСФР направил в Госдуму и другие органы власти свой законопроект об организации проверки личности с использованием системы видеосвязи, который предлагает рассмотреть параллельно.
Видеоидентификация для удаленного открытия счета может стать более эффективным способом, считает партнер группы консультирования в области ИТ КПМГ в России и СНГ Оксана Борисова. Ранее ЦБ разрешил банкам открывать счета для социально значимых платежей (ипотечные платежи, пенсии, социальные выплаты и т.п.) удаленно с помощью современных средств связи, однако за месяц действия послабления им не воспользовался ни один крупный банк, выяснил ранее РБК.
Президент Владимир Путин 11 мая поручил правительству и ЦБ к 1 июня подготовить план перевода в дистанционный формат части банковских услуг, в том числе идентификацию клиента. Свои предложения (есть у РБК) в правительство уже направила Ассоциация участников рынка электронных денег и денежных переводов (АЭД): в них также предлагается проводить идентификацию клиента с помощью видеосвязи.
«Ее внедрение не требует существенных затрат в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек», — отмечают в АЭД. По словам Борисовой, комплект для сбора ЕБС для одного банковского отделения стоит примерно 2–3 млн руб.
Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытия счета (например, при заключении договоров эквайринга).
Для прохождения идентификации банк должен связаться с потенциальным клиентом по видеосвязи и попросить в режиме реального времени показать свой паспорт, объясняет Наумов. Сотрудник банка сверяет фотографию в документе с личностью клиента, а затем направляет ему СМС с кодом, который тот должен назвать во время сеанса связи. Поскольку такой способ установления отношений более рискованный, чем личная явка в банк, ЦБ может установить ограничения на использование счета, открытого по видеосвязи, отметил Наумов; если есть возможность проверить биометрические данные клиента, то ограничения на счет можно будет снять.