ЦБ увидел угрозу при идентификации банковских клиентов по видео
Среди рисков — использование дипфейков и профессионального гримаИспользование видеосвязи для удаленного открытия счетов новым банковским клиентам влечет существенные риски, среди которых — подделка паспорта, применение технологии DeepFake (подмена изображения человека) или использование профессионального грима. Об этом говорится в отзыве Центрального банка на законопроект Ассоциации банков России, предлагающий внести изменения в антиотмывочное законодательство, чтобы у банков появилась возможность удаленно открывать счета новым клиентам для выдачи ипотечных кредитов.
Похожие отзывы направили Минфин и Росфинмониторинг. РБК ознакомился с документами (они были подготовлены в апреле), их подлинность подтвердили два участника финансового рынка, а также вице-президент АБР Алексей Войлуков. Эксперты говорят, что преодолеть риски можно — для этого следует использовать видеосвязь одновременно с другими способами подтверждения личности клиента.
«В настоящий момент мы продолжаем работу с заинтересованными участниками рынка по поиску приемлемых решений, которые позволят сделать сервисы видеоидентификации безопасными, надежными и удобными», — сообщил РБК представитель ЦБ.
Какие услуги банки хотят оказывать по видео
Участники рынка начали экспериментировать с видеоформатом больше полугода назад: осенью 2020 года Национальный совет финансового рынка (НСФР), объединяющий крупные банки, направил заявку в ЦБ на пилотирование проверки личности клиентов по видеосвязи в «регуляторной песочнице» (такой механизм используется для тестирования новых технологий без риска нарушить закон). НСФР предлагал внедрить такую опцию для открытия счетов людям с ограниченными возможностями, а также счетов для получения зарплат и социальных выплат.
Остаток по таким счетам, согласно инициативе, не должен превышать 100 тыс. руб., а ежемесячный объем операций — 60 тыс. руб. В пилотировании проекта должны были принять участие 18 кредитных организаций. Участники отмечали, что существующая Единая биометрическая система (ЕБС), которая создана для удаленной идентификации граждан, не пользуется популярностью, поэтому нужны альтернативные варианты удаленной работы. Идея Ассоциации банков России схожа с этим экспериментом, но касается другого сегмента — ипотеки.
Какие риски обнаружил ЦБ:
- риски мошенничества, связанного с полной или частичной подделкой документа (например, подмена фотографии), удостоверяющего личность гражданина, и отсутствием механизма проверки паспорта;
- риски мошенничества из-за невозможности проверить, принадлежит ли использующийся номер телефона клиенту, а не злоумышленнику, который себя за него выдает;
- высокие риски в сфере информационной безопасности и противодействия отмыванию доходов, полученных преступным путем, а также в сфере финансирования терроризма;
- риск подмены изображения во время сеанса видеосвязи (технологии DeepFake, FaceSwap);
- риск подмены личности клиента «с использованием технологичной маски лица» (2D- и 3D-маски, профессиональный грим, фотографии).
Минфин и Росфинмониторинг перечислили схожие риски. При этом Минфин отметил, что для развития механизма удаленной идентификации Минцифры совместно с Минфином, ФСБ и ЦБ планируют провести эксперимент, предусматривающий возможность самостоятельной регистрации физическими лицами их биометрических данных в Единой биометрической системе (ЕБС), развитием которой занимается «Ростелеком». Для этого они смогут использовать защищенное мобильное приложение. Пресс-служба Минцифры подтвердила РБК, что сейчас «прорабатывается возможность саморегистрации биометрии в ЕБС без личного посещения офисов банков». В ЦБ добавили, что «такой подход позволит увеличить количество граждан, которые могут получать финансовые и нефинансовые услуги дистанционно».
Сейчас, чтобы сдать образцы голоса и изображения лица, нужно посетить банковское отделение, — регистрация в ЕБС позволяет получать банковские услуги дистанционно в любой кредитной организации. Большой популярностью ЕБС не пользуется: в ней содержится около 200 тыс. биометрических образцов, а в Сбербанке, который собирает биометрию самостоятельно, в том числе через свое мобильное приложение, — около 34 млн. Чтобы ускорить наполнение ЕБС, Сбербанк и «Ростелеком» в апреле объявили о планах создать специальное совместное предприятие: они получат в нем по 49%, еще 2% СП будет принадлежать государству.
НСФР ознакомился с отзывами на законопроект АБР и ждет финальное решение Банка России по итогам пилотного проекта, сообщил РБК председатель совета Андрей Емелин: «Перечисленные риски очевидны, и они изначально были оценены и в нашей заявке на пилот, и в ответах на вопросы ведомств. Они успешно нивелируются за счет комплексной проверки клиентов, которую мы предлагаем проводить (идентификация по паспорту, проверка по номеру телефона, сверка личности с фото в документах) в сочетании с базовыми ограничениями (открытие только одного счета с небольшим лимитом на платежи и остаток по счету)».
Вердикт ЦБ пока не окончательный — в своем отзыве он пояснил, что сейчас совместно с заинтересованными государственными органами готовит заключение о работе данного сервиса. «Вопрос применения систем видеосвязи или иных технических средств, помимо ЕБС, для удаленной идентификации клиентов требует существенной проработки», — написал регулятор. Представитель Минфина в ответе на запрос лишь подтвердил проведение пилота. Росфинмониторинг перенаправил вопросы по проекту в ЦБ.
Почему «пилот не взлетел»
Источник в одном из крупных банков, который участвовал в пилоте НСФР в «регуляторной песочнице» ЦБ, говорит, что описанные риски реальны, «поэтому пилот не взлетел». По словам начальника департамента финансового мониторинга банка «Зенит» Людмилы Соколовой, уже подготовлены меры по их минимизации, а в целом идентификацию по видео «планируется использовать в регионах удаленной доступности, где нет отделений кредитных организаций».
Проблема биометрической идентификации в том, что смартфоны и веб-камеры в нормальных условиях (помещение со слабой освещенностью, фоновые шумы) не позволяют проводить надежную биометрическую идентификацию человека, что и создает возможности для дипфейков, говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов: это приводит к тому, что «банк в действительности не знает, общается ли он со своим клиентом или со сгенерированным цифровым двойником клиента».
Подделать данные по видео достаточно дешево и это может привлечь ненужное внимание злоумышленников, говорит генеральный директор компании «Код безопасности» Андрей Голов: «Мошенники смогут заменять видеоизображение на желаемое и получать доступ к банковским операциям как авторизованные клиенты». Однако данные способы идентификации можно применять с дополнительными факторами авторизации либо использовать ее только для низкорискованных операций, продолжает эксперт.