Российские банки начали собирать биометрические данные россиян. Со слов чиновников, делается это для блага и удобства самих же людей. Но многих уже терзают сомнения: насколько безопасно делиться с банком личной информацией, да еще какой — чертами лица и записью голоса. Проект только запускается и заработает в полную силу к концу следующего года. Пока же вопросов у россиян больше, чем ответов. Чего ждать от нововведения, упростит ли оно жизнь и какие подводные камни в себе таит, — разбиралась «Лента.ру».
После долгой подготовки — технологической и правовой — в России вступил в силу закон об удаленной идентификации клиентов банков. На первых порах в проекте участвуют всего 400 точек банковского обслуживания в 140 городах, причем среди них нет ни одного отделения Сбербанка, который подключится только осенью. До конца года к проекту должно присоединиться около 20 процентов всей отечественной банковской системы. Ожидается, что в полную силу он заработает через полтора года — к концу 2019-го.
Впервые об удаленной банковской идентификации в нашей стране заговорили еще два года назад, когда темой заинтересовались ЦБ, Минкомсвязь и Росфинмониторинг. Смысл затеи прост: находясь в любом месте (даже в другой стране), клиент получает доступ к основным услугам — вкладам, кредитам, счетам и переводам. Притом что не только в своем банке (в котором имеет счет), но и в любом, в котором только захочет. Для этого нужно заранее сдать образцы биометрии в отделении кредитной организации.
С тех пор проект дорабатывался и шлифовался, пока не приобрел окончательный вид. Главный вопрос, который мучил законодателей, — какую технологию применять для распознавания клиентов. Чаще всего говорили про отпечатки пальцев, но в итоге от них решили отказаться в пользу сразу двух биометрических параметров: голоса и образа лица. Чтобы собрать их, сотрудник банка сфотографирует клиента и запишет его голос на компьютер.
Дальше данные попадут в две системы: Единую систему идентификации и аутентификации (ЕСИА) и Единую биометрическую систему (ЕБС). Причем первая уже давно существует — на ее основе работает портал госуслуг. ЕСИА нужна пользователям (чтобы быстро подтверждать свою личность), ЕБС — банкам (чтобы так же быстро проверять ее). Центробанк утверждает, что пройти авторизацию в ЕСИА можно будет с помощью любого гаджета или компьютера.
Примечательно, что на пути к цифровому миру власти немного запутались в терминологии. Идентификацией принято называть первичную регистрацию пользователя в системе, присвоение ему индивидуального номера или ключа — идентификатора. В нынешнем виде она, вопреки названию, просто не может быть удаленной (ведь прийти в офис банка все же придется). Когда же чиновники говорят о том, что взять кредит теперь можно будет, не вставая с дивана, они имеют в виду аутентификацию, или подтверждение личности при уже повторном обращении. На Западе разобрались верно, там технология называется биометрической аутентификацией и активно используется уже несколько лет.
Пионером в новой области стали США, а самой первой инновационные на тот момент технологии внедрила Apple, в 2013 году представившая платежный сервис Apple Pay. В нем был реализован принцип двухфакторной аутентификации, и одним из факторов служил отпечаток пальца на специальном слоте смартфона. Чуть позже подключились и банки, проявившие недюжинную изобретательность. Каждая кредитная организация придумывала собственный способ распознавания клиентов. Наравне с традиционными (отпечаток пальца, голос, черты лица), можно встретить и экзотические (частота пульса и сердцебиения, сосудистый рисунок пальца или глазного яблока). В последнем случае человеку нужно сделать селфи и отправить на банковский сервер, аналог российской ЕБС.
Сделать ставку на удаленную аутентификацию американские банки заставило взрывное распространение смартфонов. Вместе с ним неуклонно растет и число людей, предпочитающих совершать привычные операции именно через них. По подсчетам аналитиков, уже к 2019 году таких пользователей по всей земле будет 1,8 миллиарда. Причем лидировать будут не США с Европой, а страны Юго-Восточной Азии.
Российские банки не сильно отстали от западных коллег. Еще в 2016 году они активно осваивали удаленную аутентификацию. Первым делом предложили клиентам заходить в мобильное приложение при помощи отпечатка пальца, затем стали распознавать всех желающих по селфи и голосу. Некоторые начали использовать фотографии клиентов для защиты от мошенников (их сравнивали с внутренней базой данных).
Теперь же процесс будет контролировать государство в лице ЦБ. Благодаря новому закону Россия сможет пойти дальше, чем весь остальной мир. Ведь зарубежные банки предоставляют доступ только к своим услугам и счетам. Россияне же получат возможность обслуживаться почти где угодно, пройдя идентификацию всего один раз.
Чтобы совершить такой прорыв, пришлось внести изменения в один из самых важных законов банковской отрасли — о борьбе с отмыванием денег и финансированием терроризма, более известный как 115-ФЗ. Поправки готовили два видных парламентария: главы профильных комитетов Госдумы и Совета Федерации Анатолий Аксаков (по совместительству руководит Ассоциацией банков России) и Николай Журавлев. До сих пор антиотмывочный закон запрещал банкам регистрировать новых клиентов без их личного присутствия.
На первый взгляд нововведение сулит сплошные плюсы как банкам, так и их клиентам. Первые смогут экономить на помещениях и персонале, а значит предлагать более выгодные условия по своим продуктам. По подсчетам ЦБ, экономия на обслуживании клиентов может достигать 60 процентов. Зарубежный опыт показывает, что в банках, использующих биометрическую авторизацию, ставки по кредитам ниже, иногда на целый процент.
Но есть и обратная сторона. Во-первых, безопасность. Еще до принятия закона банкиры, внедрявшие удаленную авторизацию, подчеркивали: новые технологии не заменяют старые, они работают параллельно. Во многом это связано с их небезупречностью, которую признают разработчики и эксперты. Даже несмотря на то, что 82 процента клиентов считают их более безопасными по сравнению с традиционными способами авторизации. У злоумышленников есть достаточно возможностей, чтобы обойти защиту и получить доступ к банковским счетам жертвы. Для этого сгодится запись чужого голоса или просто умело подставленная в кадр фотография. Возможное решение — все та же многофакторная аутентификация, которая уже была использована в Apple Pay.
В законе Аксакова и Журавлева она предусмотрена за счет сочетания голосового и визуального способов авторизации. В дальнейшем могут добавиться и другие параметры, например, радужная оболочка глаза. В Центробанке утверждают, что обмануть систему практически невозможно — специальный алгоритм будет следить за тем, чтобы перед камерой сидел нужный человек. Для пущей уверенности его попросят произнести определенный набор чисел. К тому же, мобильное приложение для общения граждан с банками разработано ЦБ и сертифицировано ФСБ.
Но даже если проблем с безопасностью удастся избежать, существуют и другие сложности, с которыми может столкнуться законный владелец счета. Например, системе трудно распознать голос при простуде или в шумном месте. Решений на этот счет ни законодатели, ни Центробанк пока не предложили.
К тому же, есть опасения, что завладеть персональными данными смогут не только мошенники, но и спецслужбы. Анатолий Аксаков еще в прошлом году утверждал, что «доступ ФСБ и МВД к этой информации ограничен законом». Но недавняя история с Telegram, когда ФСБ через суд добилась права читать приватную переписку россиян, говорит об обратном.
Сама по себе процедура удаленной идентификации встанет банкам в копеечку. Как объяснял на презентации проекта представитель «Ростелекома» (выступает разработчиком и оператором ЕБС), доступ к данным каждого клиента обойдется кредитной организации в 200 рублей. Половина этой суммы пойдет банку, первоначально снявшему с гражданина образец биометрии, вторая половина — самому «Ростелекому», порталу госуслуг и другим посредникам, обеспечивающим работу системы. Из-за больших оборотов эти 200 рублей грозят обернуться солидными расходами, которые в конечном счете лягут на клиентов (правда, сами банки говорят, что это меньше, чем траты на привлечение клиентов через обычные каналы). Не говоря уже о том, что базу данных придется обновлять каждые три года.
Еще один нюанс — собирать данные россиян при первичной идентификации смогут не все банки, а только уполномоченные. Таких на сегодняшний день 438, притом что вся банковская система насчитывает 530 участников. Разрешение не удалось получить мелким региональным игрокам, которым теперь будет сложнее бороться за клиентов. Остальным периферийным банкам будет не легче. На них лягут траты по регистрации местных жителей, которые затем будут уходить к крупным игрокам (позволяя им дополнительно экономить).
В случае успеха инициатива ЦБ может заметно облегчить жизнь многим россиянам, особенно неискушенным в финансах. Как нельзя кстати придется и финансовый маркетплейс, который ЦБ собирается запустить в следующем году. Благодаря ему потенциальному вкладчику или кредитору не нужно будет даже заходить на сайты разных банков — все предложения будут собраны в одном месте. То есть общаться с большинством банков страны сразу можно будет через один-единственный портал. Однако властям придется проявить терпение, а также потратить силы и время на то, чтобы убедить граждан и участников финансовой системы в удобстве и безопасности своей очередной инициативы.