Чем опасна биометрия лица в сбербанке

Обновлено: 16.05.2024

11 января Сбербанк сообщил, что с 31 декабря собирает биометрические данные россиян для государственной Единой биометрической системы (ЕБС) в 2700 своих отделениях, в том числе более чем в 100 офисах в Москве. Это соответствует 20% сети, заявил банк. Подключить к ЕБС к концу года именно такой процент отделений ЦБ требовал от всех банков. Полный список подразделений, работающих с ЕБС, Сбербанк опубликовал на сайте. Так же поступил и ЦБ, ставший одним из инициаторов создания системы. Оператор ЕБС — «Ростелеком».

ЕБС позволит россиянам, сдавшим биометрию — изображения лиц и слепки голосов — в одном банке, удаленно обслуживаться и в любом другом. Сбербанк не торопился начинать работу с системой, параллельно развивая свою собственную.

Журналисты газеты «Ведомости» решили проверить, как же собирают биометрические данные для ЕБС в Сбербанке и выяснилось, что никак.

В субботу корреспондент зашла в одно из отделений Сбербанка на юго-востоке Москвы, которое исходя из списков ЦБ и Сбербанка должно работать с ЕБС. На вопрос, можно ли сдать биометрию, консультант кивнул и проводил корреспондента к одному из окошек. Но на месте выяснилось, что сотрудники Сбербанка ничего не знают о ЕБС.

Для регистрации в ЕБС надо подписать согласие на обработку персональных данных, предоставить СНИЛС, сфотографироваться на веб-камеру и надиктовать последовательность чисел от 0 до 9 и наоборот на микрофон. Вместо этого операционист Сбербанка попросила паспорт и карту Сбербанка. Фото было сделано на веб-камеру, а голос пришлось записывать на терминал для приема карт. Не пришлось подписывать и согласие на обработку данных. Сняв данные, операционист объяснила, что с помощью биометрии можно получать услуги только Сбербанка, поскольку данные отправлены именно в его систему.

Второму корреспонденту тоже не повезло, его данные тоже отправлены в систему Сбербанка. А в чате поддержки ей сообщили, что в Москве сдать данные для ЕБС можно лишь в пяти отделениях, и предоставили их список.

Оборудование для сбора биометрии установлено на одном рабочем месте в офисе и, возможно, еще не все сотрудники знают о новом сервисе, прокомментировала пресс-служба Сбербанка. Информация о том, что биометрию можно сдать лишь в пяти офисах, не соответствует действительности, добавляет пресс-служба Сбербанка, – подготовлены все офисы, указанные на сайте.

Представитель ЦБ не ответил на вопрос о том, проверяет ли регулятор информацию от банков о подключении к ЕБС, перед публикацией у себя на сайте. Он также оставил без ответа вопрос, будут ли применены санкции к банкам, не подключившим 20% своих отделений к концу 2018 г. Из данных «Ростелекома» следует, что сдать данные для ЕБС сейчас можно лишь в 24 банках


В 2019 году большая часть российских банков, лидирующие позиции в которых занимает Сбербанк, заложили основы сбора биометрических данных граждан. Основная цель внедрения системы цифровой идентификации - оказывать большинство банковских услуг дистанционно. Рассмотрим преимущество новой технологии и рассеем безосновательные опасения граждан.

  1. Что такое биометрические данные?
  2. Зачем Сбербанк собирает биометрические данные?
  3. Какие данные собирает Сбербанк?
  4. Как отказаться от биометрии в Сбербанке?
  5. Прохождение биометрии
  6. Как использовать биометрию?
  7. Безопасность передачи данных

Что такое биометрические данные?

Биометрические данные включают в себя любые параметры человека, выраженные в абсолютных значениях. Данные могут быть:

  • уникальными, то есть полученными с рождения, такими как отпечаток пальца, радужная оболочка глаза, молекула ДНК, рисунок вен ладони;
  • динамическими, то есть приобретенными и меняющимися в течение жизни, такими как слепок лица и голоса, почерк, походка.

Биометрические данные - уникальные характеристики особенности внешности человека, позволяющие безошибочно установить личность.

Уже в скором времени привычно будет, пользуясь услугами Сбербанка, идентифицироваться в различных системах не с помощью бумажной фотографии и паспорта. А с использованием электронного снимка высокого качества и уникальных характеристик голоса.

Зачем Сбербанк собирает биометрические данные?

С 2018 года Сбербанк все больше уходит в цифру, начав сбор биометрических данных. Биометрия в Сбербанке позволит клиентам получать доступ к большему количеству банковских услуг дистанционно. Цифровая идентификация выгодна как банку, так и пользователям:

  • для банков - это прежде всего снижение издержек и возможность предоставлять услуги удаленно;
  • для клиентов - это возможность получать услуги удаленно после первичной идентификации в одном из офисов любого банка.

При этом, при удаленном получении услуг особенно это актуально для жителей страны, которые живут в труднодоступных местах и в малонаселенных пунктах.

До 1 июля 2019 года каждый первый счет в каждом новом банке необходимо было открывать с помощью очной явки. Теперь достаточно однократно явившись в отделение:

  • сделать фото;
  • записать голос, - чтобы все отставшее время взаимодействовать с банком удаленно.



К слову сказать, Тинькофф Банк с 2011 года собирает биометрические данные:

  • голосовые данные через сотрудников колл-центра, принимающих телефонные звонки от клиентов;
  • базу фотографий через курьерскую службу, доставляющую банковские продукты.

Требования к качеству информации, которая будет использоваться в Сбербанке более жесткие:

  • голос в отличие от стандартного процесса, когда представители Тинькофф банка отцифровывали телефонный трафик, здесь записывается с помощью микрофона;
  • изображение лица проверяется по множеству заданных параметров;
  • применяется двойная идентификация.

Главное преимущество для клиента - удобство обслуживания в банках, которое сводится к общению по телефону. Кроме того, так как банк снижает затраты, то можно надеяться на снижение кредитных ставок и увеличение депозитных ставок.

В настоящее время при звонке в контактный центр, оператор запрашивает паспортные и личные данные, кодовое слово. Иногда люди опасаются в телефонном разговоре передавать собственные данные. Кроме того, эта процедура передачи данных занимает много времени. К тому же можно допустить ошибку.

Благодаря биометрии, система мгновенно распознает по голосу и безошибочно идентифицирует клиента. Даже если голос изменился в результате болезни, индивидуальный тембр сохранится. Если система не распознает голос, то:

  • включится “модуль аномалий”, блокирующий мошенников;
  • идентификация будет происходить по стандартной схеме.

Какие данные собирает Сбербанк?

Центральный Банк РФ разработал законопроект, согласно которому российским банкам рекомендовано собирать биометрические данные россиян и вносить в Единую Биометрическую Систему (ЕБС), доступную всем кредитным организациям. Прежде всего:

Фотография производится по особой технологии - делается фотографический объемный слепок лица для безошибочной идентификации при личном обращении в банк.



Запись голоса производится при помощи микрофона. Все данные обрабатываются в высокотехнологичных программах.

Идентифицировать личность будет техника, а человек исключается из системы распознавания. Используют именно голос и изображение лица, потому что их при установлении личности посредством удаленных сервисов:

  • подделать сложнее;
  • использоваться легче.

Следует знать, что биометрию в любое время можно пересдать. Эксперты даже рекомендуют обновлять свою запись в базе данных с периодичностью один раз в три года.

Как отказаться от биометрии в Сбербанке?

После того как представитель Сбербанка разъясняет особенности системы, клиент дает добровольное согласие на предоставление собственных биометрических данных.

Отказаться от предоставления биометрических данных можно:

  • на начальном этапе никаким образом, не обосновывая собственный отказ;
  • после того как согласие было дано.

Потребуется выбрать любой способ:

Прохождение биометрии

Пройти биометрию можно при личном посещении банка или используя банкомат. Порядок, следующий:

  • Гражданин, являющийся клиентом, предъявляет паспорт гражданина РФ и карту, эмитированную Сбербанком.
  • Подача заявления происходит через сервис Госуслуги, поэтому потребуется открыть личный аккаунт на сайте Госуслуги.
  • Клиент дает согласие на сбор биометрических данных, подписывая собственноручно распечатанный документ или используя платежную карту.
  • Начинается сбор биометрии:
  • делается фотография в формате паспорта;
  • записывается голос, для чего произносятся вслух цифры от 0 до 9, от 9 до 0, а также в случайном порядке.
  • Клиент получает уведомление в СМС о том, что:
  • данные внесены в единую биометрическую систему;
  • получает право обслуживаться дистанционно.

По отзывам тех, кто уже прошел процедуру биометрии, процесс сдачи может занять значительное количество времени в связи с тем, что техника может подвести.

Как использовать биометрию?

После того как в системе ЕБС будет создана учетная запись, привязанная к паспорту, клиент может получать удаленный доступ к банковским услугам, притом не только в Сбербанке, но и в других кредитных учреждениях - участниках системы.

При звонке в колл-центр не нужно будет передавать какие-либо данные, сразу после произнесения первого слова, система распознает голос клиента и поприветствует его, назвав по имени и отчеству.

При желании получить кредит или открыть вклад дистанционно, потребуется:

  • Указать логин и пароль, полученный при регистрации в единой системе идентификации и аутентификации.
  • Показать в камеру лицо.
  • Назвать кодовое слово.
  • Дождаться результатов идентификации.
  • Оформить требуемый банковский продукт.

Безопасность передачи данных

Вопрос безопасности является для большинства пользователей ключевым. Но специалисты уверяют, что биометрические технологии сами по себе во много раз надежнее, чем действующие способы идентификации личности. Ведь, обмануть компьютер гораздо сложнее, чем человека - это проверено на практике.

К тому же разработчики программы учитывают все нюансы и возможные проблемы, и стремятся свести их к минимуму:

  • записывают биометрию без привязки к персональным данным;
  • голос и слепок лица проверяются одновременно по множеству параметров.

Биометрия в Сбербанке - это первый этап. Надо быть готовым к внедрению биометрической технологии в такие сферы, как медицина, образование, страхование, торговля.

Оплачивать покупки по Face ID или Touch ID — это удобно. Минимум взаимодействий: не нужно вводить номер карты и CVV. Но даже биометрические данные можно подделать. Выяснили, как компании и банки борются с таким мошенничеством.


Как работает биометрия и как её обманывают

Биометрические данные — это ваши уникальные биологические и физиологические характеристики: лицо, голос, рисунок отпечатка пальца или радужной оболочки глаза. Их используют для идентификации пользователя при оплате или оказании услуг удалённо. Например, с помощью биометрических данных вы можете оплачивать покупки картой, не прикладывая пластик к терминалу, полностью бесконтактно.

Чтобы система начала вас узнавать, нужно согласиться на обработку биометрических данных и сдать их. Каждый раз при использовании ваше изображение будут сравнивать с контрольными данными, которые вы сдавали впервые. Аналогично айфон при первой активации запоминает мимику вашего лица и отпечаток пальца, а потом каждый раз ищет сходства с первой версией.

Обмануть биометрию сложнее, чем получить доступ к контрольным вопросам или кодам из СМС для подтверждения оплаты. Самый простой и дешевый способ — подменить реального человека его фотографией или спроектировать 3D-модель лица, но это дорого и долго.

Мошенничество такого рода называется спуфингом.

Как компании защищают от взлома

Перед тем, как одобрить операцию, система проверяет, кто перед ней — реальный человек или его фотография. Такие методы защиты называются «liveness detection». Они бывают аппаратные и программные.

Аппаратные методы — значит с использованием дополнительного оборудования: инфракрасных, термальных, 3D-камер, дополнительных датчиков. Это дорого, но эффективно. Их внедряют производители мобильных телефонов, от чего цена устройств растёт и становится доступна не всем. В этом минус таких методов.

Есть и другие способы — программные. Не требуют дополнительного оборудования и работают на всех устройствах с Face ID. Чтобы отличить реальное лицо от поддельного, система просит пользователя что-нибудь сделать: моргнуть, повернуть голову, улыбнуться. Она анализирует человеческое лицо как 3D-объект, поэтому фотография проверку не пройдёт.

Программные методы называются «активными», потому что требуют участия пользователя. Их можно обойти, используя видеозапись или 3D-имитацию лица и мимики, но такие реплики дороги в производстве. Минус программных методов в том, что они всегда требуют дополнительного пользовательского участия.

В других случаях система использует плоское изображение и анализирует текстуры, тени и свет. Эти методы называются «пассивными», потому что незаметны пользователю.

Какие методы используют банки

Банки подходят к проблеме комплексно — используют и аппаратные, и программные средства защиты. На каждом устройстве с биометрией есть специальное оборудование:

  • Бесконтактный датчик расстояния. Оплата с помощью биометрии происходит только когда клиент стоит прямо перед устройством.
  • 3D-камера. Создаёт объёмное изображение и анализирует микромимику. Благодаря ей оплата по фото не пройдёт.
  • NIR-камера ближнего инфракрасного диапазона. Она видит даже при плохом освещении, определяет температуру тела и подтверждает, что перед устройством действительно живой человек.

Расскажем на примере Сбербанка. На программном уровне он использует около 15 методов проверки. Часть из них реализована в приложении Сбербанк Онлайн. При сдаче биометрии в мобильном приложении вас попросят, например, повернуть голову влево, вправо, моргнуть.

Кроме основных liveness-методов, Сбербанк пользуется дополнительной защитой: шифрует данные (использует двустороннее TLS-шифрование) и проверяет подозрительные операции (фрод-мониторинг). Оплата всегда проходит через защищённый канал связи. Это исключает перехват данных от устройства до внутренней системы банка. Подозрительные операции по месту, времени и сегменту рынка строго контролируются и проверяются службой безопасности — банк связывается с клиентом, чтобы убедиться, что карта не захвачена мошенником.

Подробнее о том, какие ещё способы безналичной оплаты существуют, читайте в нашем спецпроекте.

С наступлением 2021 года Центробанк России усилил давление на банки, настаивая на более активном сборе биометрических данных граждан РФ. И банки, чтобы выполнить требования регулятора, стали предлагать своим клиентам "сдать биометрию" под любым предлогом. Какие опасности могут возникнуть?

Фото © ТАСС / Владимир Гердо</p>

Фото © ТАСС / Владимир Гердо

Представители Центробанка не устают нахваливать биометрию. Мол, штука вполне удобная и позволяет россиянам без личного присутствия открыть счёт, оформить вклад, получить кредит в любом банке России, а в перспективе — и "оплачивать лицом" свои покупки. Для банков обязанность собирать биометрические данные для единого реестра закреплена прямо в статье 7 "антиотмывочного" закона № 115-ФЗ, но для граждан такой обязанности нет, отсюда и возникают коллизии. И поэтому иногда биометрические данные банки собирают без согласия или с помощью обмана.

— Конечно, несмотря на уверения Центробанка, многие россияне недовольны ситуацией со сбором биометрии, — рассказал старший юрист компании "Европейский дом права" Залимхан Магомедов. — Даже среди тех граждан, которые, в принципе, не против передать свои данные, присутствует негатив, связанный с тем, что выгоды от такого действия на данном этапе пока людьми широко не востребованы. Россияне как приходили в банк с паспортом, а в магазин — с кошельком, так дальше и приходят — и считают для себя это более понятными и контролируемыми действиями. Наверное, если бы технология, которую так "продавливает" ЦБ, предполагала сначала открытие всех сервисов во всех банках и магазинах, а уже после этого массовый сбор данных, эффект был бы положительным.

Фото © ТАСС / Олег Яковлев

Фото © ТАСС / Олег Яковлев

С мнением Магомедова согласен заведующий Западной коллегией адвокатов Москвы Александр Инютин.

Дети едут бесплатно: новые правила контроля в общественном транспорте

То, что опасения граждан небезосновательны, подтверждают и в банках. Как показал опрос Лайфа, специалисты разных кредитных учреждений с долей скептицизма относятся к тому, что доступ к Единой биометрической системе (ЕБС), в которой хранятся "слепки" лиц и голосов граждан, смогут получать операторы сотовой связи и другие компании, тем более что пока биометрические системы во многих банках несовершенны. Об этом на условиях анонимности рассказал руководитель отдела техбезопасности банка, входящего в топ-5.

Фото © ТАСС / Артём Геодакян

Фото © ТАСС / Артём Геодакян

И прочие ошибки, к сожалению, пока неискоренимы, так как связаны с человеческим фактором, например, с тем, как собирались данные и какие контуры безопасности предусмотрены при их использовании. Некоторые системы не отличают "живого" пользователя от его копии, и на этом дефекте давно паразитируют некоторые программы, позволяющие обмануть искусственный интеллект, например программа Hyperface, которая генерирует 3D-спам-изображения.

ЖКУ снова подорожают: как изменятся тарифы на коммунальные услуги

Тем не менее Центробанк требует от банков, чтобы в течение марта 80% их отделений, работающих с гражданами, собирали данные биометрии.

— Надо признать, что от интенсивности желания ЦБ собрать биометрические данные мало что зависит, — считает экс-советник президента РФ по развитию Интернета, глава Фонда развития цифровой экономики Герман Клименко. — Все, кто хотел, их уже сдали. То большинство, которое не торопится посетить банк с паспортом и СНИЛС, выжидает. Ведь мы неожиданно быстро (об этом предупреждали специалисты несколько лет назад) провалились в виртуальный мир дипфейков. Неотличим от оригинала виртуальный Том Круз. Обучение нейронной сети говорить голосом Мутко тоже не выглядит сложной задачей. Кому ж захочется рисковать своими деньгами? Лично я пока не испытываю необходимости в сдаче биометрии.

Фото © Shutterstock</p>

На что только не идут банки, чтобы официально получить биометрические данные своих клиентов. Например, Сбербанк на днях объявил о пилотном проекте — оплате в некоторых кафе по взгляду, без использования карты или телефона. Звучит очень продвинуто, но стоит ли доверять банку? Чем опасна биометрия и как запретить ему обработку вашего изображения и голоса.

Собственно, глава Сбербанка Герман Греф никогда не скрывал того, что в базе Сбербанка уже находятся "миллионы" образцов биометрических данных клиентов — без каких-либо официальных разрешений. Впрочем, даже он признаёт, что нынешние биометрические технологии недостаточно совершенны и 100% гарантий правильности идентификации пока не существует. Тем более что удобства дистанционной идентификации по видеоизображению, фотографии или голосу оценили не только банкиры, но и киберпреступники. Впрочем, несмотря на признание проблемы, в Сбербанке (как и других российских банках) от сбора биометрических данных не отказались, а наоборот — интегрировали эту опцию в большинство своих технологических процессов по работе с гражданами. И потихоньку легализуют данные, собранные ранее без всяких разрешений.

Например, нередко, вставив карту в терминал и подтвердив операцию, клиент даёт одновременно согласие на сбор своих биометрических данных. Это происходит, если клиент не удосужился прочитать текст, который выдал ему терминал в своём маленьком окошке (это и есть согласие), а введя ПИН-код, его подтвердил. Справедливости ради стоит уточнить, что согласие через терминал встречается нечасто, в большинстве случаев именно в Сбербанке граждане сами целенаправленно предоставляют свои биометрические данные в надежде на более удобное и простое обслуживание. Например, когда есть необходимость протестировать "будущие" технологии.

Чем опасно предоставлять биометрические данные

Традиционно россияне воспринимают сбор любой персональной информации с насторожённостью, и даже среди тех, кто передал свои биометрические данные добровольно, сейчас появилось много сомневающихся в правильности такого решения. И не без оснований. Проблема в том, что неясно, как именно в дальнейшем будут использованы эти данные. Особенно это актуально после того, как столичные суды в период самоизоляции стали штрафовать по данным камер наблюдения, хотя оштрафованные вовсе не давали разрешения на сбор и обработку своих биометрических данных столичному правительству. Кроме того, существует риск, что по биометрическим данным смогут получить кредиты мошенники.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: