Банки смогут законно применять биометрию в 2017 году

Уже в следующем году российские банки смогут на законных основаниях применять биометрические технологии для подтверждения операций. Правда, для начала это коснется только уже идентифицированных по паспорту клиентов. Для внедрения новых технологий кредитным организациям придется создать локальные базы биометрических данных и сертифицировать их в ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Об этом «Известиям» рассказал источник, близкий к Центробанку. По словам экспертов, банкам будет несложно справиться с задачей технически, но экономическая целесообразность ее решения вызывает вопросы.

По словам близкого к ЦБ источника, правительственная комиссия по IT, которую возглавляет премьер Дмитрий Медведев, в начале лета поручила Минкомсвязи разработать концепцию по различным способам идентификации клиентов (в том числе повторной) с использованием биометрии.

— В феврале 2017 года эта концепция должна быть представлена на заседании правительственной комиссии, а уже к декабрю этого года правительство должно ознакомиться с проектами нормативных актов на тему, — отметил собеседник «Известий». — Вопрос разработки концепции в настоящее время прорабатывается ЦБ, ФНС, деловым сообществом.

Замминистра связи и массовых коммуникаций Алексей Козырев заявил «Известиям», что «применение биометрии с согласия клиента в целях дополнительной аутентификации, в том числе в качестве дополнительного фактора аутентификации вместе с вводом пароля, существенно повышает безопасность электронной транзакции».

— Такой способ аутентификации будет очень востребован на рынке, — полагает Алексей Козырев. — Для развития цифровой экономики важно обеспечить надежную и безопасную электронную идентификацию и аутентификацию граждан, взаимодействующих через интернет как с органами власти, так и между собой.

По словам близкого к Росфинмониторингу источника, для полноценного применения биометрических технологий в России должна быть создана федеральная база биометрических данных.

— В ее отсутствие банки могут использовать биометрию для подтверждения трансакций, но для сверки биометрических параметров кредитные организации в любом случае должны создать локальные базы (чтобы убедиться, что именно этот клиент в данный момент заходит в личный кабинет на сайте банка или в мобильное приложение, что именно этот клиент хочет подтвердить трансакцию в отделении), — пояснил источник, близкий к Росфинмониторингу.

По словам собеседника, базы должны быть легальны, и банкам предстоит сертифицировать их.

— Описываемая схема, по сути, представляет собой авторизацию, то есть подтверждение личности ранее идентифицированного клиента, — заявили «Известиям» в пресс-службе ЦБ. — Вместе с тем в настоящее время в действующем законодательстве термин «авторизация» отсутствует, вопросы подтверждения личности ранее идентифицированных клиентов решаются кредитными организациями самостоятельно.

Фактически все риски, связанные с применением биометрических технологий, банки должны взять на себя.

Крупнейшие российские банки — в том числе Сбербанк и Бинбанк — в марте этого года заявили о планах внедрить биометрические технологии в деятельности до конца 2018 года. Банки собираются применять биометрию для подтверждения операций уже идентифицированных по паспорту клиентов в отделениях, а также для их авторизации при входе в интернет- и мобильный банк (если клиент — владелец смартфона). Сбербанк также заявлял о планах по созданию базы биометрических данных (до 80 млн образцов). По требованиям FATF, сумма операций, которая будет подтверждаться с помощью биометрических параметров, не должна превышать €15 тыс., клиент предварительно должен дать согласие на подобный способ авторизации (если речь идет о дистанционном обслуживании) или аутентификации (то есть повторной идентификации). В июне на сессии FATF озвучивалось, что использовать биометрию для идентификации клиентов (то есть при приеме на обслуживание) нельзя.

По мнению гендиректора Zecurion Алексея Раевского, технических сложностей при создании баз биометрических данных у банков не возникнет.

— Крупномасштабные проекты по сбору биометрической информации и последующему ее использованию для аутентификации пользователей уже существуют, например, уже давно используют сбор отпечатков пальцев при выдаче визы в ряд стран, — поясняет Алексей Раевский. — Все подводные камни изучены, и при надлежащем выборе исполнителей и производителей программного обеспечения и оборудования проблем быть не должно. Но про сертификацию баз в Минкомсвязи слышу в первый раз.

По мнению руководителя блока электронного бизнеса группы Бинбанка Алексея Дегтярева, создание локальных баз биометрических данных каждым банком в отдельности — довольно затратный процесс, экономическая целесообразность которого неочевидна.

— В данном случае правильней было бы создавать единую федеральную базу биометрии небанковской организацией (возможно, государственной) и предоставить банкам доступ к этой базе за определенную комиссию — по аналогии с работой бюро кредитных историй, — считает он.

Гендиректор Zecurion уверен, что главное — решить вопрос защиты биометрической информации. По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, в случае утечки значимых массивов биометрических признаков граждан будет создана угроза госбезопасности.