Высокий спрос на лицо
Крупные банки хотят работать с биометрией из единой системы
Как выяснил “Ъ”, в ближайшее время несколько крупных банков могут войти в реестр Минцифры по аккредитации для работы с данными из единой биометрической системы (ЕБС). Это дает возможность использовать биометрические данные для предоставления удаленных услуг. Но требования для включения в реестр довольно жесткие. К тому же банкам потребуется получать согласие клиентов, которых они раньше не обслуживали, на получение их данных из ЕБС.
По данным источников “Ъ” на финансовом рынке, ВТБ и Почта-банк подали заявку на получение аккредитации при Минцифры для работы с биометрией, планы аккредитоваться есть и у Тинькофф-банка. «ВТБ уже подал пакет документов в Минцифры,— подтвердили в банке.— ИТ-системы банка полностью соответствуют всем требованиям по безопасности и законодательству о процедуре передачи биометрии в ЕБС».
В Почта-банке также подтвердили подачу заявки «для возможности дальнейшего использования биометрических шаблонов в рамках векторной модели ЕБС для защиты клиентов от мошенничества и запуска новых сервисов на основе биометрии». В Тинькофф-банке и Минцифры не ответили на запросы “Ъ”. Согласно правилам, решение об аккредитации или отказе в ней принимается не более чем за 50 рабочих дней.
Уже известно, что заявку подал и крупнейший банковский игрок на рынке биометрии — Сбербанк. Там “Ъ” уточнили, что планируют получить статус аккредитованного оператора коммерческой биометрической системы до конца ноября.
Для работы с ЕБС по векторной модели (векторы — это математический код, в котором зашифрованы данные о человеке) необходима аккредитация. Реестр ведет Минцифры. На текущий момент в нем находятся два российских банка — Россельхозбанк и Альфа-банк.
В Центре биометрических технологий (ЦБТ; оператор ЕБС) отметили, что аккредитация позволяет продолжить оказывать услуги по лицу и голосу своим клиентам, а также другим компаниям, которые хотят использовать биометрические технологии, но не планируют самостоятельно получать аккредитацию. «Цель аккредитации — гарантировать максимальную сохранность и безопасность биометрических персональных данных, исключить возможность их недобросовестного использования»,— подчеркнули в ЦБТ.
Вместе с тем, как отметили в компании, если организация не планирует проходить аккредитацию в Минцифры, но хочет продолжать оказывать услуги по биометрии, она может подключиться к системам уже аккредитованных компаний или же работать напрямую с ГИС ЕБС. В последнем случае предполагается транзакционная модель взаимодействия с ЕБС, когда участник платит каждый раз за одну операцию сравнения, но не получает при этом вектор, а лишь результат сравнения.
Модель действует для идентификации клиентов, то есть при удаленном открытии счета, и по ней уже работают более 100 банков. Что касается сервисов банков, которые, как правило, предполагают регулярную основу (обслуживание без паспорта в отделении, оплата по лицу и т. д.), то логично использование векторной модели взаимодействия, говорит собеседник “Ъ”. Это становится коммерчески выгоднее на больших объемах клиентских операций, нежели предполагает транзакционная модель, считает он.
Максут Шадаев, глава Минцифры, 14 декабря 2022 года:
«Нам кажется очень важным именно в ближайшее время обеспечить сохранность биометрических данных, свести все это в одну большую государственную систему».
Важным ограничением может стать то, что банки должны получить согласие новых клиентов на работу с векторами из ГИС ЕБС. Это касается всех случаев, если клиент для банка новый. От уже существующих клиентов, чьи данные импортированы банком в ЕБС, новые согласия не требуются.
Правила аккредитации разработаны в начале 2023 года. Среди требований для попадания в реестр аккредитованных организаций самыми проблематичными исходно считались финансовые, отмечает консультант по информационной безопасности Positive Technologies Алексей Лукацкий. В частности, речь идет о необходимости подтверждения финансового обеспечения в размере не менее 100 млн руб. за потенциальные убытки, связанные с обработкой биометрии, а также минимального размера капитала не менее 500 млн руб.
В профильном постановлении правительства нет четких критериев относительно того, что может считаться причиной возможного убытка. По мнению господина Лукацкого, это может быть любая компрометация данных со стороны банка, в том числе утечки информации. В частности, в самом постановлении упоминаются «убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации» на основе биометрии, осуществленной организацией. Именно эти финансовые требования, считает эксперт, могут сильно сужать потенциальный круг организаций, которым доступна работа с ЕБС и которые будут заинтересованы в попадании в реестр.