15 июля 2026, 17:40

Могут ли украсть вашу биометрию. Фактчек реальных и выдуманных рисков

Биометрия сейчас повсюду. Вы сдаете ее для загранпаспорта, подключаете в сервисах, чтобы оплачивать лицом или отпечатками пальцев, используете для Face ID и Touch ID в гаджетах. Вместе с удобством приходят сомнения: а насколько защищена вся эта история? И может ли кто-то украсть ваши биометрические данные и использовать их без вас? Больше половины россиян доверяют биометрии, другие опасаются: решайте, на какой стороне вы. А мы вместе с экспертами разобрали самые спорные и наболевшие вопросы и теории вокруг этого способа аутентификации.
Могут ли украсть вашу биометрию. Фактчек реальных и выдуманных рисков

© Коллаж: «Теперь вы знаете», создано при помощи нейросети

Что такое биометрическая оплата и как она устроена

Биометрическая оплата — способ подтвердить, что платите именно вы, а не кто-то с вашей картой. Вместо PIN-кода или подписи система проверяет ваше лицо, отпечаток пальца или другой уникальный физический признак.

Недавний опрос ВЦИОМа показал: о биометрии знают уже три четверти россиян — почти в полтора раза больше, чем три года назад. Индекс поддержки технологии вырос, а старшие поколения поддерживают ее даже активнее молодежи. 75% опрошенных уверены: биометрия позволяет точно подтвердить личность. Технология окончательно перешла из разряда новинок в категорию понятных повседневных практик.

Какая биометрическая система есть в России

Количество пользователей Единой биометрической системы (ЕБС) достигло 10 млн человек, причем 70% зарегистрировались в 2025 году. Ежедневно в системе регистрируется до 40 тыс. человек.

За январь — март через QR и биометрию совершили около 1 млрд покупок — в 1,7 раза больше, чем год назад. В денежном выражении объем альтернативных платежей удвоился до 1,5 трлн рублей.

С 1 марта 2026 года биометрия стала обязательной для получения онлайн-микрозаймов в микрофинансовых компаниях. Гражданам доступны 20 биометрических услуг: бесконтактная оплата покупок, проезд в транспорте, дистанционное открытие бизнеса, обслуживание в МФЦ, заселение в гостиницу без паспорта.

Регистрация в ЕБС добровольная. Зарегистрироваться можно в отделениях уполномоченных банков или дистанционно в приложении «Госуслуги биометрия». Каждый пользователь самостоятельно управляет своими данными: на портале «Госуслуги» можно проверить срок действия биометрии или отозвать согласие на ее обработку.

По данным Минцифры, биометрические данные в ЕБС защищены от краж и попыток копирования. Банк или МФО при запросе не видит изображение лица и не считывает голос — только результат сравнения.

Какие биометрические технологии применяются для платежей

Распознавание лица — самая распространенная технология. Камера терминала сканирует геометрию лица, строит математическую модель (шаблон) и сравнивает с тем, что хранится в системе.

Отпечаток пальца используется в смартфонах и некоторых терминалах. Это самая старая и изученная технология среди всех биометрических методов.

Сканирование ладони (рисунок вен) — технология, которую тестируют российские банки. ВТБ на форуме «Финополис-2025» презентовал решение для оплаты по рисунку вен ладони. Пользователю достаточно поднести руку к инфракрасному сканеру — устройство считывает сосудистый узор и списывает сумму с привязанного счета. По мнению экспертов, утечка шаблона ладони менее критична, чем утечка фото лица: рисунок вен сложнее воспроизвести.

Голос используется реже, в основном для удаленной идентификации в банковских приложениях и контакт-центрах.

Что происходит с данными в момент оплаты

В момент оплаты терминал не передает ваше фото или видеозапись. Он работает с математическим шаблоном — набором чисел, по которому нельзя восстановить ваше лицо. Система сравнивает этот шаблон с эталоном, который хранится в защищенной базе. Совпало — платеж подтвержден.

Биометрические образцы хранятся в зашифрованном виде отдельно от других персональных данных и никогда не покидают периметра системы. Когда банк или МФО отправляет запрос на подтверждение личности клиента, он не видит изображение лица и не считывает голос из системы.

Под словом «биометрия» скрываются разные технологии и разные модели защиты. В Face Pay хранится не фотография, а необратимый математический шаблон, а платежные данные находятся отдельно — в банковской инфраструктуре, соответствующей стандарту PCI DSS. В смартфонах отпечаток пальца вообще не покидает устройство: наружу передается лишь криптографическое подтверждение успешной проверки.

Сергей Карпенко

Главный вопрос: могут ли украсть ваши биометрические данные

Самый частый страх — что кто-то скопирует ваше лицо, отпечаток или голос и опустошит счет либо завладеет всеми вашими аккаунтами, где подключена биометрическая авторизация. Насколько это реально?

Что говорит официальная статистика

По данным МВД России, случаев кражи денег через биометрию в стране не наблюдается. Мошенники используют тему биометрических данных для фишинга и социальной инженерии, но не для прямого взлома систем.

В МВД отметили, что биометрические данные внедряются в платежные системы относительно недавно — чтобы завладеть конфиденциальной информацией, мошенники сообщают гражданам о якобы взломе из личных данных.

Сегодня биометрические платежи не выглядят более рискованными, чем привычная оплата банковской картой, и статистика это подтверждает. Число подтвержденных мошеннических операций с использованием биометрии остается близким к нулю. Для сравнения: ущерб от классического мошенничества с картами и переводами в 2025 году составил около 300 млрд рублей.

Сергей Карпенко

Возможные сценарии кражи биометрии

  • Утечка базы данных — это произойдет, если хакеры получат доступ к хранилищу биометрических шаблонов. Современные системы хранят не фото, а зашифрованные математические модели. Но даже шаблон могут использовать для подделки, чтобы получить доступ к устройствам и сервисам с биометрической аутентификацией. Утечка таких данных особенно опасна, так как их невозможно восстановить, в отличие от пароля.
  • Подделка биометрии — это делается с помощью 3D-масок, дипфейков или высококачественных видео. Эксперты отмечают: для обмана системы с помощью дипфейка нужна голограмма, неотличимая от живого человека. Банковские биометрические сервисы устойчивы к дипфейкам, даже если они сделаны на основе собранных данных. Мошенники не могут получить доступ к онлайн-банку по видеозаписи или образцу голоса. Но они могут использовать фейки для других целей.
  • Кража через видеозвонок — мошенники звонят по видеосвязи, записывают лицо и голос жертвы. Это один из самых реальных сценариев. Собранные биометрические данные преступники используют для создания поддельных документов, профилей в соцсетях, а также для шантажа или дискредитации жертв с помощью дипфейков.
  • Фишинговые сайты — жертву просят подтвердить личность через камеру на поддельном сайте. Биометрию могут собирать через массовые рассылки сообщений со ссылками на фишинговые сервисы — копии «Госуслуг», банковских платформ или интересных приложений.

Кража данных в момент оплаты — из самых маловероятных сценариев при условии, что система реализована корректно. Банковские реквизиты хранятся отдельно, поэтому даже перехваченный набор данных не даст злоумышленнику доступа ни к изображению человека, ни к его счету. На практике основные риски возникают совсем в других местах. Во всех крупнейших мировых инцидентах злоумышленники атаковали не отдельные платежи, а централизованные хранилища данных.

Сергей Карпенко

По словам эксперта, один из самых распространенных сценариев — заражение устройств пользователей вредоносным ПО. Именно через дистанционное банковское обслуживание с использованием скомпрометированных смартфонов и компьютеров в России был нанесен основной ущерб: в 2024–2025 годах он составил 9,6 млрд рублей.

По это причине регулятор усиливает защиту не платежных терминалов, а всей сопутствующей инфраструктуры. С 1 января 2026 года Банк России расширил перечень признаков мошеннических операций с шести до двенадцати, а с сентября банки обязаны обеспечивать дополнительную защиту мобильных приложений от вредоносного кода.

Утечки данных биометрии уже происходили

В 2023 году хакеры взломали базу генетической компании, скомпрометированы данные почти 7 млн клиентов. Хакеры подобрали старые пароли клиентов, украденные во время предыдущих утечек, и получили доступ к аккаунтам.

Компанию оштрафовали на £2,31 млн за неспособность защитить данные пользователей.

Что защищает от кражи

Современные системы используют технологии, которые отличают живого человека от фото, маски или видео. Точность распознавания лиц в терминалах достигает высоких значений. Многие системы требуют не просто лицо, а движение, моргание, изменение освещения.

В МВД пояснили, что банковские системы не доверяют простой видеозаписи.

При подтверждении операций изображение клиента проходит проверку на «живость» — алгоритм анализирует микродвижения, естественность мимики и глубину изображения. Простые фото и видео такую проверку не проходят.

Но эксперты предупреждают мошенники постепенно учатся обходить базовые проверки «живости». Особенно уязвимы сервисы с упрощенной 2D-верификацией. Самый опасный сценарий — инъекционные атаки, когда поддельное видео подается в систему напрямую, минуя камеру устройства. Такие атаки делают стандартные средства защиты против спуфинга малоэффективными. Однако подтвержденных случаев взлома счетов через биометрию в России пока нет.

Что будет, если биометрию все-таки украдут

Биометрические данные не пароль. Их нельзя поменять. Поэтому последствия кражи могут быть даже серьезнее, чем утечка номера карты или паспорта.

Почему биометрия ценнее пароля

Ключевое отличие кражи биометрии от утечки пароля или PIN-кода — в ее необратимости. Если злоумышленники узнали ваш пароль, вы его меняете — и проблема решена. Если скомпрометировали отпечаток пальца или изображение лица, сделать то же самое не получится.

Последствия могут быть разными — например, для создания дипфейков для шантажа. И если утек номер карты — его можно перевыпустить. С лицом такой номер не пройдет.

© Коллаж: «Теперь вы знаете», создано при помощи нейросети

Чем грозит утечка биометрических данных

  • Подделка личности — мошенники могут использовать вашу биометрию для оформления кредитов, микрозаймов или доступа к госуслугам.
  • Шантаж — мошенники могут шантажировать граждан украденной биометрией.
  • Создание цифровых копий — с помощью ИИ на основе биометрии можно создавать дипфейки для дальнейших афер. Мошенники собирают персональные данные — фотографии и голоса. Такие аудио или видеозаписи злоумышленники используют для обмана близких, друзей и коллег потенциальных жертв.

А как защищает закон?

Данные биометрии хранятся на территории России, ответственность за их безопасность несут организации-операторы. В случае утечки предусмотрены штрафы и уголовная ответственность.

С 30 мая 2025 года незаконная передача биометрических сведений влечет штрафы:

  • для физических лиц — от 400 тысяч до 500 тысяч рублей;
  • для должностных лиц — от 1,3 млн до 1,5 млн рублей;
  • для организаций — от 15 млн до 20 млн рублей.

В 2025 году в Уголовный кодекс ввели статью 272.1 — до шести лет лишения свободы за незаконное обращение с информацией, содержащей персональные данные. Если нарушения касаются биометрии, наказание — штраф до 700 тысяч рублей или лишение свободы на срок до пяти лет.

За повторную утечку грозят оборотные штрафы: от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн руб. Утечка биометрических данных может повлечь штраф до 20 млн рублей.

Как защитить свои биометрические данные

Полностью избежать использования биометрии в 2026 году почти невозможно. Но снизить риски — можно.

Базовые правила безопасности:

  • Сдавайте биометрию только через официальные приложения государственных и банковских систем. Никаких сторонних сервисов и «удобных» предложений в мессенджерах.
  • Не проходите биометрическую верификацию по ссылкам из сообщений и на подозрительных сайтах.
  • Не включайте камеру по просьбе незнакомцев в видеозвонках. Если звонят из «банка» и просят показать лицо — кладите трубку.
  • Включайте двухфакторную аутентификацию во всех сервисах, где это возможно. Даже если биометрию украдут, без второго фактора мошенники не пройдут.
  • Внимательно читайте, на что даете согласие при сборе биометрических данных.

Мифы о биометрической оплате

Вокруг биометрии сложилось много страхов, которые не всегда соответствуют реальности. Разберем основные.

Миф 1: «Биометрию можно украсть из терминала в магазине»

Терминал не хранит ваши биометрические данные. Он только передает зашифрованный шаблон в систему. Перехватить этот шаблон и использовать его для другого платежа невозможно: он привязан к конкретной сессии.

Миф 2: «Если украдут фото лица — смогут оплатить моей биометрией»

Современные системы распознают живого человека. Фото, маска или видео не пройдут проверку. Банковские биометрические сервисы устойчивы к дипфейкам. Тем не менее технологии дипфейков постоянно совершенствуются, и защита вынуждена догонять угрозы.

Миф 3: «Биометрия менее надежна, чем PIN-код»

В системах, где биометрия используется для идентификации, а PIN-код — для подтверждения, кража биометрических данных не дает мошеннику полного доступа. Без второго фактора аутентификации биометрия бесполезна.

Так что это не совсем миф: просто не стоит игнорировать все доступные вам способы защитить свои аккаунты.

Миф 4: «Мошенники могут взломать счет по видеозаписи»

В МВД России заявили, что мошенники не могут получить доступ к банковским счетам граждан, имея лишь видеозапись их лица или образец голоса.

Украсть «лицо» прямо во время оплаты значительно сложнее, чем перехватить код из СМС или данные карты. Современные биометрические системы используют шифрование, проверку живого человека и токены. Но полностью исключать риск нельзя. Слабое место обычно не камера на кассе, а фишинг, поддельные приложения, утечки из баз и плохая защита инфраструктуры. Главный риск информационной безопасности не связан непосредственно с моментом оплаты. Он в том, где и как хранится биометрический шаблон, кто имеет к нему доступ и можно ли быстро отозвать согласие.

Константин Рензяев
генеральный директор CorpSoft24

Что в итоге

Биометрическая оплата — это технология, которая уже стала частью повседневной жизни. Она удобна и, вопреки распространенным страхам, достаточно безопасна — при условии, что вы соблюдаете базовые правила цифровой гигиены.

Взломы с помощью биометрии остаются скорее страшилкой, чем реальным сценарием атак. Основные угрозы связаны не с технологией, а с человеческим фактором — социальной инженерией и неосторожностью самих пользователей.

И хотя биометрию нельзя в случае чего сменить, как пароль, но ее можно защитить. Благо технологии безопасности не стоят на месте. Главное, понимайте, где основанная на слухах паранойя превращается в справедливые опасения.