Банки увидели риски мошенничества при самостоятельной сдаче биометрии

Национальный совет финансового рынка (НСФР), куда входят многие крупные российские банки, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе (ЕБС) самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т.п. Об этом сообщил РБК.

Этот законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему, говорится в заключении НСФР, направленном в Госдуму, Совет Федерации, Минкомсвязь, Минфин, ФСБ и Управление делами президента.

Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу, физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ.

Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, заявил РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.

Основные претензии к документу следующие.

  • Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. «Когда сдают биометрию в банке, то сотрудник банка проверяет, что именно эти биометрические данные принадлежат именно этому клиенту. При сдаче биометрии физлицом напрямую в ЕБС такая проверка не предусмотрена», — поясняет замруководителя Национального совета финансового рынка Александр Наумов.
  • Этой уязвимостью могут воспользоваться злоумышленники. Например, при получении доступа к смартфону жертвы (с помощью хакерского взлома или физическим путем) мошенник может разместить в ЕБС свои голос и лицо, а остальные персональные данные ввести от имени потерпевшего. В результате преступники смогут оформлять в банках кредиты на чужое имя.
  • Законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР.

Самостоятельная сдача биометрии содержит риски подмены данных, говорит заместитель председателя правления Совкомбанка Алексей Панферов, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемой информации не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.

Участники рынка предлагают следующее.

  • Сообщать кредитной организации, каким образом были предоставлены биометрические данные — самостоятельно, в отделении банка, МФЦ и т.п.
  • Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если считают, что это не тот, кто сдавал биометрию. Хотя, по мнению Камзеева, даже повторная проверка по видеосвязи не может подтвердить достоверность сведений из-за невозможности гарантировать единые стандарты и параметры качества биометрических данных.
  • Установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС. Она может быть как административная, так и уголовная в зависимости от тяжести последствий, говорит адвокат, партнер адвокатского бюро "Бишенов и партнеры" Даханаго Нагоева.
  • Разработать механизм корректировки биометрических персональных данных в случае выявления их недостоверного или ошибочного внесения в ЕБС физическим лицом.