Не исключено, что от сбора биометрических данных граждан для последующего дистанционного представления доступа к банковским услугам могут освободить небольшие банки. Многие из них активно не работают с физлицами и не имеют специального оборудования для проверки подлинности паспортов. В таких банках предлагают сбор биометрических данных доверить только крупным игрокам, оставив мелким возможность дистанционной верификации клиентов. ЦБ пообещал проработать этот вопрос.
Вопрос об освобождении небольших банков от сбора биометрических данных и передачи их в единую систему (ЕБС) был поднят на международном форуме «Вся банковская автоматизация». В частности, руководитель службы информационной безопасности Златкомбанка Александр Виноградов отметил, что у небольших игроков есть единственный способ проверить подлинность представленного паспорта — это просветить на ультрафиолете. «Ту же вклейку определить невозможно»,— добавил он. Банками было оглашено предложение допустить к сбору биометрии лишь тех игроков на рынке, которые обладают необходимым оборудованием для проверки подлинности документов. По словам участников дискуссии, это крупные кредитные организации и розничные игроки, активно работающие с физлицами. Небольшие же банки будут заниматься исключительно верификацией клиентов (то есть подтверждением их личности) при обращении к ним дистанционно за услугами. Заместитель руководителя управления департамента информационной безопасности ЦБ Ольга Краева заверила рынок, что данное предложение вполне логично и будет проработано.
Эксперты считают, что, если предложение будет реализовано, это повысит защищенность граждан от противоправных действий мошенников. «Не стоит забывать, что сейчас много липовых кредитов выдается именно по поддельным документам,— рассуждает управляющий партнер "Ренессанс-Lex" Георгий Хурошвили.— По липовой биометрии за короткий срок можно набрать множество кредитов в различных банках, поэтому крайне важно максимально защищать клиента от возможности попадания чужих биометрических данных от его имени в ЕБС». Небольшие игроки не скрывают свой интерес к подобному подходу, поскольку он позволит сократить им расходы на закупку оборудования для сбора биометрии. Сейчас минимальная стоимость комплекта — от 4 млн руб. на закупку всего оборудования, из которых 1,5 млн руб. приходится на HSM-модуль (позволяет дистанционно передавать данные в зашифрованном виде).
Впрочем, есть и другой вариант решения проблемы — аутсорсинг, когда съем биометрических данных и/или верификацию за небольшого игрока будет делать его более крупный партнер. На недавней встрече с банковским сообществом «Ростелеком» заявлял, что вопрос передачи сбора и верификации биометрии на аутсорсинг «технологически решается легко, но не юридически и регуляторно». В частности, к такому подходу крайне настороженно относится ЦБ. «Предоставление банкам возможности делегировать обязанность по сбору биометрических персональных данных иным организациям влечет риски подмены персональных данных и снижения достоверности идентификации граждан,— сообщили в пресс-службе ЦБ.— В настоящий момент данный вопрос не рассматривается». В «Ростелекоме» на запрос “Ъ” сообщили, что также не рассматривают возможность реализации сбора биометрических данных методом аутсорсинга. «Ростелеком» будет совершенствовать систему и готов учитывать пожелания банков, однако изменения в системе, связанные с риском для персональных данных пользователей, неприемлемы, отметили там.
Впрочем, реализовать компромиссный вариант и освободить небольшие банки от непосильной обязанности проводить сбор и передачу биометрических данных быстро не удастся. Потребуются поправки к законодательству, поскольку сейчас банки обязаны по требованию клиента снять биометрию и передать его данные в ЕБС. Тем временем, согласно действующим нормам, уже к концу года все банки должны обеспечить сбор данных и передачу в ЕБС в 20% своих отделений, а к концу 2019 года — в 100%. Помимо готовности рассмотреть предложение со стороны ЦБ потребуются согласие заинтересованных ведомств, подготовка законопроекта и рассмотрение его Госдумой.
Почему предоставление услуг на основе биометрии с помощью смартфонов до сих пор невозможно
Банки уже три месяца собирают биометрические данные граждан. Но, как выяснил “Ъ”, предоставление на их основе услуг с помощью мобильных устройств до сих пор невозможно. Проблема во многом заключается в действующих требованиях к уровню криптографической защиты. В ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.