Банки увидели риски мошенничества при самостоятельной сдаче биометрии
Законопроект, разрешающий россиянам для получения банковских услуг сдавать биометрию через личные смартфоны и компьютеры, не предусматривает защиту от злоумышленников, предупредили банки. Этим могут воспользоваться мошенники
Национальный совет финансового рынка (НСФР), куда входят многие крупные российские банки, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе (ЕБС) самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т.п. Этот законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему, говорится в заключении НСФР (есть у РБК), направленном в Госдуму, Совет Федерации, Минкомсвязь, Минфин, ФСБ и Управление делами президента.
Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, заявил РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.
Что не так с дистанционной сдачей биометрии
- Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. "Когда сдают биометрию в банке, то сотрудник банка проверяет, что именно эти биометрические данные принадлежат именно этому клиенту. При сдаче биометрии физлицом напрямую в ЕБС такая проверка не предусмотрена", - поясняет замруководителя Национального совета финансового рынка Александр Наумов.
- Этой уязвимостью могут воспользоваться злоумышленники. Например, при получении доступа к смартфону жертвы (с помощью хакерского взлома или физическим путем) мошенник может разместить в ЕБС свои голос и лицо, а остальные персональные данные ввести от имени потерпевшего. В результате преступники смогут оформлять в банках кредиты на чужое имя.
- Законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР.
Самостоятельная сдача биометрии содержит риски подмены данных, говорит заместитель председателя правления Совкомбанка Алексей Панферов, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемой информации не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.
Что предлагают участники рынка
- Cообщать кредитной организации, каким образом были предоставлены биометрические данные - самостоятельно, в отделении банка, МФЦ и т.п.
- Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если считают, что это не тот, кто сдавал биометрию. Хотя, по мнению Камзеева, даже повторная проверка по видеосвязи не может подтвердить достоверность сведений из-за невозможности гарантировать единые стандарты и параметры качества биометрических данных.
- Установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС. Она может быть как административная, так и уголовная в зависимости от тяжести последствий, говорит адвокат, партнер адвокатского бюро "Бишенов и партнеры" Даханаго Нагоева.
- Разработать механизм корректировки биометрических персональных данных в случае выявления их недостоверного или ошибочного внесения в ЕБС физическим лицом.
Представитель "Ростелекома" сообщил РБК, что перечень услуг, доступных через зарегистрированную в банке ("подтвержденную") и на мобильном устройстве ("стандартную") биометрию, планируется разграничить в зависимости от риска операции. Самыми высокорискованными услугами является открытие счета, вклада или кредита, сказал он, однако соответствующий акт с перечнем услугами еще не утвержден.
Альтернатива биометрии
"Главная проблема данного законопроекта в том, что он вносится как необходимая мера, которая должна обеспечить доступность финансовых услуг во время пандемии коронавируса. Однако сдача данных самостоятельно резко не повысит популярность ЕБС у россиян", - отмечает Наумов. Поэтому совместно с предложениями по улучшению законопроекта о биометрии НСФР направил в Госдуму и другие органы власти свой законопроект об организации проверки личности с использованием системы видеосвязи, который предлагает рассмотреть параллельно.
Видеоидентификация для удаленного открытия счета может стать более эффективным способом, считает партнер группы консультирования в области ИТ КПМГ в России и СНГ Оксана Борисова. Ранее ЦБ разрешил банкам открывать счета для социально значимых платежей (ипотечные платежи, пенсии, социальные выплаты и т.п.) удаленно с помощью современных средств связи, однако за месяц действия послабления им не воспользовался ни один крупный банк, выяснил ранее РБК.
Президент Владимир Путин 11 мая поручил правительству и ЦБ к 1 июня подготовить план перевода в дистанционный формат части банковских услуг, в том числе идентификацию клиента. Свои предложения (есть у РБК) в правительство уже направила Ассоциация участников рынка электронных денег и денежных переводов (АЭД): в них также предлагается проводить идентификацию клиента с помощью видеосвязи.
"Ее внедрение не требует существенных затрат в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек", - отмечают в АЭД. По словам Борисовой, комплект для сбора ЕБС для одного банковского отделения стоит примерно 2-3 млн руб.
Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытия счета (например, при заключении договоров эквайринга).
Для прохождения идентификации банк должен связаться с потенциальным клиентом по видеосвязи и попросить в режиме реального времени показать свой паспорт, объясняет Наумов. Сотрудник банка сверяет фотографию в документе с личностью клиента, а затем направляет ему СМС с кодом, который тот должен назвать во время сеанса связи. Поскольку такой способ установления отношений более рискованный, чем личная явка в банк, ЦБ может установить ограничения на использование счета, открытого по видеосвязи, отметил Наумов; если есть возможность проверить биометрические данные клиента, то ограничения на счет можно будет снять.
Источник: РБК https://www.rbc.ru/finances/14/05/2020/5ebbb5899a7947df318af46e
14.05.2020