Клиентская аутентификация в финтехе: практика и перспективы

8 минут

Банки все активнее используют биометрию для аутентификации клиентов. В России одновременно внедряются сервис Центробанка, цифровой профиль гражданина, электронный паспорт, а также отдельные банковские системы. Какой вариант для отечественных банков обретет обязательный статус, увидим не раньше 2021 года.

Как «цифра» убивает «бумагу»

По мере превращения традиционных банковских сервисов в цифровые возрастает роль процесса подтверждения личности при авторизации в приложении банка или проведении транзакции. Традиционные пароли и пин-коды уступают место системам бесконтактного подтверждения платежей с помощью смартфона или по отпечатку пальца. По мере распространения устройств с биометрическим сенсором и модулем NFC, которые позволяют проводить платежные транзакции прикосновением гаджета или пальца, размывается даже классическое определение банковской карты.

Эволюция технологии безопасных платежей

Источник: Mastercard, 2011

Поступательная цифровизация банков уже привела к закрытию тысяч физических банковских отделений по всему миру. Так, британские банки сократили 2868 банковских отделений всего за три года.

Схожая динамика в России: у Сбербанка на 1 марта 2019 года осталось всего 89 филиалов и 13 226 дополнительных офиса, хотя на 1 января 2012 года было 524 филиала и 18 588 офисов.

Как и во всем мире, в России растет число банков, никогда не открывавших ни одного «физического» отделения. Происходит это в силу бурного развития дистанционных банковских услуг. Всего за пять лет число клиентов «физических» отделений уменьшилось на 40%, в то время как число банковских транзакций на мобильных устройствах увеличилось на 73%. В мире выросло первое поколение пользователей банков, которые пользуются мобильными устройствами с рождения и совершенно не заинтересованы в посещении отделений.

Основной акцент на безопасность

Современные глобальные тенденции финансовой отрасли направлены на укрепление кибербезопасности, в том числе в области клиентской аутентификации. В ближайшие пять лет, считают аналитики Gartner, банки и финансовые организации почти полностью откажутся от паролей и кодовых слов в пользу биометрии. Биометрия облегчит и в то же время повысит надежность аутентификации клиентов банка.

Тренд характерен не только для банковского сегмента. Согласно прогнозу аналитиков Spiceworks, идентификация с помощью биометрии будет внедрена к 2020 году в 86% компаний Северной Америки и Европы.

Биометрическая аутентификация в бизнесе

Spiceworks: биометрическая аутентификация в бизнесе

Источник: Spiceworks, 2018

Согласно итогам опроса ИТ-специалистов, проведенного Spiceworks в компаниях различной величины, наиболее популярным способом идентификации в организациях является сканирование отпечатков пальцев – его назвали 57% респондентов. Первое место методу обеспечило распространение технологии на мобильных устройствах.

Популярность методов биометрической аутентификации в бизнесе

Spiceworks: популярность методов биометрической аутентификации

Источник: Spiceworks, 2018

Проект ООН

Наиболее известной во всем мире системой цифровой идентификации личности считается «Проект ID2020» под эгидой ООН. Основная цель проекта — предоставить всем жителям планеты цифровые ID до 2030 года в рамках глобального проекта ООН «Цели устойчивого развития 2030» (2030 Sustainable Development Goals).

Международный цифровой паспорт, разрабатывается при поддержке Microsoft, Accenture, PwC и Cisco. В паспорте, бета-версия которого будет представлена в 2020 году, будет содержаться информация о личности, включая биометрию для аутентификации (отпечатки пальцев, снимок радужной оболочки глаза). Право открыть частичный доступ к личным данным будет только у владельца паспорта. Полного доступа к данным не будет ни у организаций, ни даже у государства.

По данным ООН, в настоящее время более 1 млрд жителей планеты вовсе не имеют никаких удостоверений личности. Запуск универсального цифрового паспорта призван решить эту проблему, а также дать малоимущему населению и беженцам из разных стран доступ к распределению продуктов питания, образованию и здравоохранению.

Глобальные цифровые паспорта

Другим крупным мировым проектом в области персональной цифровой аутентификации является инициатива MasterСard и Microsoft по разработке глобальных «цифровых паспортов» для финансовых транзакций, взаимодействия с властями и онлайн-сервисами. В конце 2018 года корпорации предложили сформировать универсальный способ идентификации личности – цифровой ID, или «электронный паспорт», с информацией о ФИО, месте и дате рождения, национальном и заграничном паспорте, водительском удостоверении и других персональных данных. В цифровом документе также предполагается хранение различных цифровых идентификаторов, включая логины и пароли от цифровых сервисов. Пока что идея находится на ранней стадии разработки, но уже подверглась всесторонней критике за якобы попытку вмешательства крупного бизнеса в частную жизнь.

Индийский проект AADHAAR

Индия начала внедрение единой государственной платформы «цифровой личности» раньше России, и уже столкнулась с рядом проблем. Так, индийский проект по сбору биометрических данных AADHAAR с присвоением уникального идентификатора и выдачей удостоверения личности был раскритикован за очень слабую защиту персональных данных.

Скандал разразился после того, как корреспонденты The Tribune в ходе журналистского расследования получили доступ к биометрической базе с данными на более чем 1 млрд жителей страны всего за 500 рупий ($8). Еще за 300 рупий ($5) они приобрели ПО для самостоятельного изготовления биометрической ID-карты. Код и карта используются их владельцами, в частности, для получения дотаций от правительства, идентификации в банке, на работе и т.д.

Летом 2018 года система AADHAAR была признана Верховным судом Индии «не нарушающей конституцию страны, однако недостаточно защищающей права человека». Суд счел необязательным предъявление цифровых карт AADHAAR для доступа к банковскому счету, учебные учреждения или приобретения сим-карт. В итоге Агентству Индии по уникальной идентификации (UIDAI) пришлось признать проблему и усилить меры защиты. Так, например, с марта 2019 года уникальный код AADHAAR сменил 12-разрядный цифровой формат на 16-разрядный.

Проекты отдельных банков

Цифровой паспорт может быть полезен при подаче налоговых деклараций, заявлений на получение паспорта, пособий, в любых других процессах взаимодействия с госучреждениями. Он ускорит общение с финансовыми организациями, авторизацию в онлайн-магазинах и соцсетях, идентификацию и оплату транспортных услуг. Но это в будущем. Пока же появляются нишевые частные финансовые проекты с собственными технологиями идентификации. Например, представленный в марте 2019 года сервис выпуска цифровых кредитных карт Apple Card логично продолжает развитие Apple Pay и впервые будет запущен в США. Любопытно, что проникновение платежного сервиса Apple Pay среди принимающих карточные и безналичные платежи предприятий в России достигло 85%, при этом в США, по данным самой Apple, составляет скромные 70%. Хотя впервые сервис был запущен именно в США еще в 2013 году.

Идентификацию клиентов по отпечаткам пальцев уже практикуют такие крупные финансовые институты как Bank of America Merrill Lynch и Royal Bank of Scotland. Есть примеры использования другой биометрии в финансовом секторе. Банки Citibank и Standard Chartered Bank успешно используют для идентификации голосовой «отпечаток», в банке Barclays принята на вооружение технология определения клиента по рисунку вен, а в банке HSBC идентифицируют пользователей по селфи-фото.

Проторенной дорожки пока нет

Сегодня в банковской сфере происходит настоящий «информационный взрыв» идей и технологий. Онлайн, мобильность, блокчейн, биометрия, большие данные, машинное обучение, искусственный интеллект и множество других разработок проходят неизбежный этап взрывного и даже хаотичного роста. После проб и ошибок приходит время стандартов, и – что не менее важно, отказ от уже обнаруженных на практике тупиковых вариантов развития.

В России одним из таких «тупиков», в частности, стала попытка разработки и внедрения УЭК (универсальной электронной карты) – цифрового документа для подтверждения личности. Планы запуска проекта, изначально заложенные на 2013 год, неоднократно переносились, пока по факту на декабрь 2018 года идея УЭК была «похоронена».

Как это делается в России

В России в качестве базы для федеральной системы удаленной идентификации служит Единая биометрическая система (ЕБС). Ее создание началось в 2016 году по инициативе Центрального банка России. Уже сформированы все законодательные условия для функционирования ЕБС в качестве платформы для сбора биометрических данных и удаленной идентификации. После всестороннего тестирования ЕБС запущена в федеральном масштабе с 30 июня 2018 года. Ожидается, что к концу 2019 года система охватит 100% отделений российских банков.

Принцип работы Единой биометрической системы

Принцип работы Единой биометрической системы

Источник: «Ростелеком», 2018

ЕБС является компонентом Единой системы идентификации и аутентификации (ЕСИА). Она позволяет гражданам пользоваться услугами банков и госучреждений после сдачи биометрических данных без необходимости личного посещения.

Биометрия для распознавания личности по уникальным параметрам – чертам лица и голосу, сокращает время идентификации и повышает защиту данных от мошенников. В будущем в ЕБС не исключено использование других параметров биометрической идентификации, таких как радужная оболочка глаза, рисунок вен и даже поведенческая биометрика – типичная мимика или манера произношения слов.

Способы биометрической идентификации

Способы биометрической идентификации

Источник: Hearst Shkulev Digital, 2017

Данные ЕБС конфиденциальны. Банкам разрешено делиться этой информацией только с МВД и ФСБ по запросу от ведомств в случае обоснованной необходимости. В целях безопасности биометрия граждан хранится в ЕБС отдельно от других персональных данных ЕСИА.

Сдача биометрических параметров (шаблоны лица и голоса) производится в уполномоченном банке. Сейчас ЕБС поддерживают более 150 российских банков, включая Сбербанк, ВТБ, Тинькофф, Почта-банк, «Хоум кредит», Россельхозбанк, банк «Ак-барс», Совкомбанк, Промсвязьбанк, Альфа-банк, СКБ-банк, Райффайзенбанк.

По мнению председателя Банка России Ольги Скоробогатовой, одной из главных трудностей со сбором биометрии является длительность процесса: «В среднем граждане, согласно проведенному Банком России опросу, готовы регистрироваться в Единой биометрической системе, если это занимает не больше 5 минут. Сейчас, по нашей статистике, в зависимости от банка он занимает от 10 до 25 минут».

Согласно данным самих банков, в настоящее время процедура сбора биометрии занимает:

  • в Альфа-Банке: 5 минут;
  • в банке «Ак Барс»: 5 минут;
  • в Совкомбанке: 5-7 минут;
  • в Промсвязьбанке: 10 минут.

Биометрические данные хранятся в зашифрованном и защищенном виде в хранилище «Ростелекома» в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных». Оператор предоставляет для удаленной идентификации граждан мобильное приложение «Ключ Ростелеком». При создании шлюза для идентификации каждый банк может выбрать «Ключ Ростелеком» в качестве базовой платформы или создать собственное приложение с другой технологией.

Сбор и применение биометрии граждан РФ

Сбор и применение биометрии граждан РФ

Источник: RSpectr.com, 2018

Карта точек банковского обслуживания, где желающие могут сдать биометрические данные, есть на сайте Банка России и постоянно обновляется.

Как цифровая идентификация поможет клиенту банка

По мнению аналитиков рынка, повсеместное распространение биометрической идентификации уравняет возможности крупных игроков финансового сектора с небольшими компаниями. Так, потребители смогут выбрать понравившиеся им банковские и финансовые услуги без оглядки на величину и позицию банка в рейтинге.

По словам Андрея Шурыгина, руководителя дирекции биометрических технологий Почта Банка, интерес к сдаче биометрических шаблонов проявляют как жители «миллионников», так и небольших городов.

Возможности удаленной идентификации (открытие вклада, подача заявок на кредит, переводы, платежи) используют в основном люди из так называемой экономически активной категории: от 20 до 50 лет, но также есть пенсионеры и молодые люди, отметил Шурыгин.

Биометрическая идентификация нивелирует роль географического расположения банка при работе на розничном рынке с физлицами. Гибкие предложения цифровых услуг помогут бороться за клиентов даже небольшим организациям. Поэтому с распространением биометрии отечественныый рынок финансовых услуг может очень измениться.

В перспективе биометрия может выйти за рамки финансового сектора. По мнению аналитиков, биометрия может пригодится для любой процедуры, совершаемой сегодня очно, будь то покупка товара, услуг, билетов, получение документов и выписок. Со временем биометрию можно будет использовать для подобных транзакций с мобильного устройства.

Система «цифровых паспортов» в России

Параллельно с ЕБС в России развивается Национальная система управления данными (НСУД) – всероссийская база данных со сведениями о каждом жителе и каждом действующем предприятии. НСУД также предполагается использовать для цифровой идентификации граждан и компаний, в том числе, в финансовых сервисах.

Переход с бумажных паспортов на электронные запланирован в России на 2021 год. Разработкой и реализацией проекта занимаются Минэкономики и АНО «Цифровая экономика». Финансирование осуществляется за счет госпошлин при выдаче соответствующего документа.

Электронный паспорт в виде пластиковой карты со встроенным чипом содержит стандартные паспортные данные, дополненные тремя фотографиями, отпечатками пальцев и электронной цифровой подписью владельца.

Правительство России также рассматривает дополнительные нормативные акты для создания и хранения в мобильных устройствах цифровых документов, удостоверяющих личность, включая цифровую копию паспорта и водительских прав.

Цифровой профиль гражданина

Государственную платформу «Цифровой профиль гражданина» планируется запустить в России до конца 2020 года. Платформа на базе ЕСИА разрабатывается в рамках федерального проекта «Цифровое государственное управление» национальной программы «Цифровая экономика».

Цифровой профиль будет хранить имеющиеся в распоряжении госорганов и государственных информационных систем данные о гражданине, вместе с техническими средствами управления этими данными.

Сейчас прообраз цифрового профиля доступен в сведениях портала «Госуслуги» и ЕСИА, которая используется для входа на этот ресурс. По данным на конец 2018 года, не менее 90 млн граждан – то есть более 60% жителей РФ – уже являются пользователями портала и ЕСИА, при этом 52 млн из них имеют подтвержденную учетную запись. С помощью учетной записи ЕСИА в 2018 году было совершено более 1,5 млрд авторизаций.

Схема работы порталов «Госуслуги» и ЕСИА

Схема работы «Госуслуг» и ЕСИА. Инфографика Минкомсвязи

Источник: Минкомсвязи, 2018

Старт пилота

Обкатка цифрового профиля на финансовом рынке начнется в апреле-мае 2019 года при участии 16 банков и трех страховых организаций. Список поставщиков информации включает МВД, ПФР, ФНС и Росреестр. Эксперимент будет проводиться по двум направлениям: заполнение анкеты на кредит и предоставление данных для получения страховых услуг (ОСАГО, КАСКО).

По итогам пилота специалисты проведут анализ данных из различных ГИС, качество обработки данных и степень автоматизации процесса. Уже к октябрю-ноябрю 2019 года ожидается, что все эти данные будут связаны в единый цифровой профиль. Цифровой профиль разрабатывается параллельно с НСУД. Оба проекта разрабатываются как площадки единого цифрового поля с взаимодополняющими данными.

В разработке цифрового профиля активное участие принимает ассоциация «Финтех» (АФТ). В заявлении Ассоциации по итогам 2018 года отмечено, что «наравне с Единой биометрической системой создание цифрового профиля является инфраструктурной основой цифровой трансформации и развития экономики. Его реализация в дополнение к удаленной идентификации сформирует новые возможности для всех участников финансового рынка».

Банки-участники ассоциации работают над проектом вместе с Центробанком и Минкомсвязи РФ. На 2019 год совет АФТ согласовал планы развития по пяти направлениям: удаленная идентификация и менеджмент цифровой идентичности; развитие розничного платежного пространства; открытые API; развитие технологии распределенного реестра; регулирование больших данных и электронное взаимодействие с ГИСами.

Цифровая Россия: ближайшие перспективы

Запуск цифрового профиля позволит гражданам просматривать свою личную информацию в государственных информационных системах (ГИС), предоставлять эти данные бизнесу или отказывать в доступе. В цифровом профиле также будет собран личный архив документов с возможностью просмотра на ПК или мобильных устройствах.

Цифровой профиль станет площадкой для предоставления государственных услуг, оказываемых без подачи заявления. Кроме того, профиль сможет подсказать гражданину об истечении срока действия того или иного документа, и необходимости его обновления. Цифровой профиль также станет инструментом облачной квалифицированной цифровой подписи и шлюзом для доступа к другим системам для получения услуг с высоким уровнем защищенности.

Сферы применения биометрической идентификации

Сферы применения биометрической идентификации

Источник: «Ростелеком», 2018

Для банков, страховых компаний, пенсионных фондов и других организаций финансового сектора цифровой профиль станет «единым окном» для доступа к достоверной информации. Получение актуальных и заведомо подтвержденных данных позволит ускорить предоставление услуг, снизить риски и издержки.

ЕБС или цифровой профиль?

Какое-то время цифровые документы будут действовать наряду с традиционными. Так, в России с подачи Минобороны уже действует программа обмена классических военных билетов на электронные, при этом каждый военнообязанный может отказаться от такой замены.

Но в перспективе встает вопрос возможного конфликта нескольких систем биометрической идентификации, параллельно внедряемых в России. Эта потенциальная проблема оказалась в центре внимания властей и финансового сектора еще на этапах разработки новых технологий.

Так, например, большинство крупных банков страны сразу начали подключаться к ЕБС после начала ее работы. И только Сбербанк продолжал параллельное развитие своей собственной системы. В декабре 2018 года президент Сбербанка Герман Греф аргументировал  эту позицию тем, что в биометрической системе Сбербанка уже собраны миллионы биометрических образцов клиентов, в то время как в ЕБС собраны данные «лишь нескольких тысяч человек».

Центробанк РФ в своих указаниях по поводу сбора и использования биометрических данных в финансовом секторе дал четкие рекомендации для предотвращения конфликта между Единой биометрической системой и аналогичной системой каждого банка.

Особый пункт в рекомендациях ЦБ гласит: «В целях исключения случаев введения клиента в заблуждение о факте его регистрации в ЕБС информировать клиента о том, в какую биометрическую систему передаются его данные (в ЕБС или собственную информационную систему банка, обрабатывающую биометрические персональные данные)».

В настоящее время у участников финансового рынка России нет однозначных ответов на вопрос, какой вид в конце концов примет биометрическая идентификация в нашей стране.

С большой вероятностью некоторое время ряд сервисов удаленной цифровой идентификации будет действовать параллельно – это и ЕБС с приложением от «Ростелекома», и собственные разработки банков, и цифровой профиль гражданина.

На каком-то этапе эффективность того или иного метода станет очевидной. Но также велика вероятность того, что государственные регуляторы по итогам тестирования всех этих цифровых инструментов найдут сбалансированное решение и закрепят законодательными актами использование только окончательно одобренных методов. Произойдет это, скорее всего, уже после запуска всего комплекса цифровых платформ в стране, то есть не раньше 2021-2023 годов.

Фото в шапке — кадр из к/ф «Пятый элемент»

Group 40Group 44Group 43Group 46Group 41Group 27Group 42Group 39