Какие биометрические данные собирает сбербанк
Перейти к содержимому

Какие биометрические данные собирает сбербанк

  • автор:

Биометрия в СберБанке: что это, зачем она нужна, можно ли отказаться?

В данной статье разберемся, что такое биометрия, для чего один из крупных банков страны использует биометрию клиентов и надо ли на нее соглашаться.

Что такое биометрические данные?

Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности.

К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.

Зачем Сбербанк собирает биометрические данные?

С 2018 года Сбербанк все больше уходит в цифру, начав сбор биометрических данных. Биометрия в Сбербанке позволит клиентам получать доступ к большему количеству банковских услуг дистанционно. Цифровая идентификация выгодна как банку, так и пользователям:

  • для банков — это прежде всего снижение издержек и возможность предоставлять услуги удаленно;
  • для клиентов — это возможность получать услуги удаленно после первичной идентификации в одном из офисов любого банка

До 1 июля 2019 года каждый первый счет в каждом новом банке необходимо было открывать с помощью очной явки. Теперь достаточно однократно явившись в отделение:

  • сделать фото;
  • записать голос, — чтобы все отставшее время взаимодействовать с банком удаленно.

К слову сказать, Тинькофф Банк с 2011 года собирает биометрические данные:

  • голосовые данные через сотрудников колл-центра, принимающих телефонные звонки от клиентов;
  • базу фотографий через курьерскую службу, доставляющую банковские продукты.

Требования к качеству информации, которая будет использоваться в Сбербанке более жесткие:

  • голос в отличие от стандартного процесса, когда представители Тинькофф банка отцифровывали телефонный трафик, здесь записывается с помощью микрофона;
  • изображение лица проверяется по множеству заданных параметров;
  • применяется двойная идентификация.

Главное преимущество для клиента — удобство обслуживания в банках, которое сводится к общению по телефону. Кроме того, так как банк снижает затраты, то можно надеяться на снижение кредитных ставок и увеличение депозитных ставок.

В настоящее время при звонке в контактный центр, оператор запрашивает паспортные и личные данные, кодовое слово. Иногда люди опасаются в телефонном разговоре передавать собственные данные. Кроме того, эта процедура передачи данных занимает много времени. К тому же можно допустить ошибку.

Благодаря биометрии, система мгновенно распознает по голосу и безошибочно идентифицирует клиента. Даже если голос изменился в результате болезни, индивидуальный тембр сохранится.

Какие данные собирает Сбербанк?

Чтобы открыть счет или воспользоваться другими услугами, клиентам необходимо было приходить в отделение банка и писать заявку лично. Однако с 1 июля 2019 года стало достаточно однократного визита, во время которого специалист:

  • делает высококачественное фото клиента;
  • записывает его голос для дальнейшего удаленного взаимодействия.

СБ РФ выдвигает крайне жесткие требования к качеству собираемых сведений. Голос должен быть записан на хороший микрофон, без помех и искажений, а фотография делается по особой технологии – цифровым слепком лица. Кроме того, обязательно применение двойной идентификации.

Чем опасно предоставлять биометрические данные?

Традиционно россияне воспринимают сбор любой персональной информации с насторожённостью, и даже среди тех, кто передал свои биометрические данные добровольно, сейчас появилось много сомневающихся в правильности такого решения.

И не без оснований. Проблема в том, что неясно, как именно в дальнейшем будут использованы эти данные. Особенно это актуально после того, как столичные суды в период самоизоляции стали штрафовать по данным камер наблюдения, хотя оштрафованные вовсе не давали разрешения на сбор и обработку своих биометрических данных банку. Кроме того, существует риск, что по биометрическим данным смогут получить кредиты мошенники.

Можно ли отказаться от использования ваших биометрических данных с Сбербанке?

В интернете в последнее время появилось множество отзывов, в которых пользователи жалуются, что им отказали в оказании услуг, если они не согласились сдать свою биометрические данные. Стоит заострить внимание, что в Сбербанке сдача биометрических данных официально носит исключительно добровольный характер. Поэтому, если вам отказывают в предоставлении услуг, нужно сразу звонить на горячую линию или писать жалобу. Ведь внутренние документы не отменяют право на получение любых услуг при предоставлении паспорта.

При этом если вы уже сдали свою биометрию, но по каким-то причинам решили отозвать свое разрешение, тогда нужно подать письменное заявление непосредственно в офис Сбербанка или отправив его из личного кабинета. Право на отзыв биометрических данных закреплен ФЗ №152 «О персональных данных».

Стоит заметить, что в письме с ответом банка вы прочтете, что помимо биометрии лица и голоса банк может в одностороннем порядке получить и другие ваши биометрические данные: образцы лица, голоса, рисунка кровеносных сосудов, ладоней, глаз, отпечатков пальцев, радужки сетчатки глаза, поведенческих характеристик и иных физиологических биометрических персональных данных для оказания банковских услуг.

После отзыва биометрии вы не сможете получить банковские услуги предложенным бесконтактным способом. Однако вы точно обезопасите себя от передачи ваших данных третьим лицам, что прямо прописано в условиях соглашения. Право на передачу ваших данных банку дает федеральная программа по созданию ЕБС с целью предоставления доступа к большинству услуг в различных организациях и банках, сдав единожды свои данные.

Пока что система сбора биометрических данных находится на начальном этапе. Она не всегда быстро и качественно работает, в ней ещё крайне мало информации, не все банки подключены к ней, население либо о ней ещё не слышало, либо мало доверяет.

Но точно понятно, что проект будет развиваться. И развиваться быстро. Особенно сейчас, когда он уже запущен. Торопиться сдавать свои данные в резерв государственной компании не стоит, лучше подождать, когда систему подкрутят, но готовиться к тому, что сделать это придётся. Не исключается такой вариант, что в будущем это станет обязательной процедурой. Либо перестанут существовать условия, которые позволят без этого обойтись. Будем надеяться, что всё делается только ради удобства.

Почему оплата по биометрии — это безопасно

Оплачивать покупки по Face ID или Touch ID — это удобно. Минимум взаимодействий: не нужно вводить номер карты и CVV. Но даже биометрические данные можно подделать. Выяснили, как компании и банки борются с таким мошенничеством.

Как работает биометрия и как её обманывают

Биометрические данные — это ваши уникальные биологические и физиологические характеристики: лицо, голос, рисунок отпечатка пальца или радужной оболочки глаза. Их используют для идентификации пользователя при оплате или оказании услуг удалённо. Например, с помощью биометрических данных вы можете оплачивать покупки картой, не прикладывая пластик к терминалу, полностью бесконтактно.

Чтобы система начала вас узнавать, нужно согласиться на обработку биометрических данных и сдать их. Каждый раз при использовании ваше изображение будут сравнивать с контрольными данными, которые вы сдавали впервые. Аналогично айфон при первой активации запоминает мимику вашего лица и отпечаток пальца, а потом каждый раз ищет сходства с первой версией.

Обмануть биометрию сложнее, чем получить доступ к контрольным вопросам или кодам из СМС для подтверждения оплаты. Самый простой и дешевый способ — подменить реального человека его фотографией или спроектировать 3D-модель лица, но это дорого и долго.

Мошенничество такого рода называется спуфингом.

Как компании защищают от взлома

Перед тем, как одобрить операцию, система проверяет, кто перед ней — реальный человек или его фотография. Такие методы защиты называются «liveness detection». Они бывают аппаратные и программные.

Аппаратные методы — значит с использованием дополнительного оборудования: инфракрасных, термальных, 3D-камер, дополнительных датчиков. Это дорого, но эффективно. Их внедряют производители мобильных телефонов, от чего цена устройств растёт и становится доступна не всем. В этом минус таких методов.

Есть и другие способы — программные. Не требуют дополнительного оборудования и работают на всех устройствах с Face ID. Чтобы отличить реальное лицо от поддельного, система просит пользователя что-нибудь сделать: моргнуть, повернуть голову, улыбнуться. Она анализирует человеческое лицо как 3D-объект, поэтому фотография проверку не пройдёт.

Программные методы называются «активными», потому что требуют участия пользователя. Их можно обойти, используя видеозапись или 3D-имитацию лица и мимики, но такие реплики дороги в производстве. Минус программных методов в том, что они всегда требуют дополнительного пользовательского участия.

В других случаях система использует плоское изображение и анализирует текстуры, тени и свет. Эти методы называются «пассивными», потому что незаметны пользователю.

Какие методы используют банки

Банки подходят к проблеме комплексно — используют и аппаратные, и программные средства защиты. На каждом устройстве с биометрией есть специальное оборудование:

  • Бесконтактный датчик расстояния. Оплата с помощью биометрии происходит только когда клиент стоит прямо перед устройством.
  • 3D-камера. Создаёт объёмное изображение и анализирует микромимику. Благодаря ей оплата по фото не пройдёт.
  • NIR-камера ближнего инфракрасного диапазона. Она видит даже при плохом освещении, определяет температуру тела и подтверждает, что перед устройством действительно живой человек.

Расскажем на примере Сбербанка. На программном уровне он использует около 15 методов проверки. Часть из них реализована в приложении Сбербанк Онлайн. При сдаче биометрии в мобильном приложении вас попросят, например, повернуть голову влево, вправо, моргнуть.

Кроме основных liveness-методов, Сбербанк пользуется дополнительной защитой: шифрует данные (использует двустороннее TLS-шифрование) и проверяет подозрительные операции (фрод-мониторинг). Оплата всегда проходит через защищённый канал связи. Это исключает перехват данных от устройства до внутренней системы банка. Подозрительные операции по месту, времени и сегменту рынка строго контролируются и проверяются службой безопасности — банк связывается с клиентом, чтобы убедиться, что карта не захвачена мошенником.

Подробнее о том, какие ещё способы безналичной оплаты существуют, читайте в нашем спецпроекте.

Банки начинают передавать биометрию клиентов государству. От этого можно отказаться

Михаил Носков, руководитель направления новостного контента Банки.ру

Российские банки начали уведомлять клиентов, сдавших биометрию, о передаче их данных в государственную Единую биометрическую систему: с 22 июня сообщать об этом начал Сбербанк. В общей сложности государство может получить 75 млн биометрических образцов, пишет «Коммерсант».

Банки обязаны передать данные из своих систем в ЕБС до 30 сентября, уведомив клиента за месяц. Гражданин, однако, вправе отказаться от передачи своих данных в Единую биометрическую систему. Для этого необходимо уведомить банк об отказе, и тогда данные будут удалены из системы банка, пояснили в «Сбере».

Биометрические персональные данные — это изображение лица и запись голоса. Собирать эти данные в коммерческие системы в настоящее время запрещено. Данные можно сдать в ЕБС в отделениях 177 банков либо через мобильное приложение «Госуслуги биометрия».

Единственное удобство Единой биометрической системы состоит в том, что все данные будут храниться в одном месте, но одновременно это же — «слабое звено всей этой схемы», пояснил «Коммерсанту» консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Пока в ЕБС мало данных, ее никто не взламывал. Но когда там будут храниться сведения о десятках миллионов россиян, ситуация может кардинально измениться, предупредил эксперт.

\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

\n\t\t\t \n\t\t\t\t\u0412\u043e\u0439\u0434\u0438\u0442\u0435\n\t\t\t \n\t\t\t\u0438\u043b\u0438\n\t\t\t \n\t\t\t\t\u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0439\u0442\u0435\u0441\u044c.\n\t\t\t \n\t\t \n\t»>’ >

Как Сбербанк собирает согласие на обработку биометрии

TL;DR: Сбербанк собирает согласие на сбор и обработку биометрических данных без нормального информирования своих клиентов об этом.

Вступление

Если говорить о биометрических данных, то пока самым интересным сектором для их применения в частном бизнесе является банкинг. Суть простая — биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом, тем самым отрезав ряд совсем глупых мошенников.

Однако, законодательное регулирование отрасли пока слегка пробуксовывает — из-за величины Сбербанка, складывается ситуация, похожая на рынок переводов между картами: то есть, есть Сбербанк, который держит 80% рынка, и есть система от ЦБ РФ, присоединяться к которой Сбербанк не торопится без должной мотивации.

С биометрией дело обстоит так: есть Единая биометрическая система (ЕБС), ей управляет Ростелеком. Сбербанк против ЕБС, потому что у него есть своя система, в которой сбор данных — проще и уже «миллионы» клиентов.

Но минуточку.

Да, внезапно возникает вопрос — а что, действительно миллионы клиентов Сбербанка в России дали осознанное согласие на предоставление своих биометрических данных?

А что, действительно миллионы знают, что они его дали?

Поскольку я его недавно «дал» (разумеется, не осознанно), давайте я расскажу, как это выглядело.

Процедура

Началось все с того, что приложение «Сбербанк.Онлайн» стало предлагать ту самую биометрию предоставить. Я нажимал кнопочку «Не сейчас», но я не отказывался совсем. Я хотел больше узнать, что будет собираться и как.

Потом я пришел в отделение банка, прямиком в кассу, снять денег с карточки. И дальше произошло чудесное.

Кассир попросила вставить карту для подтверждения операции снятия. Я посмотрел на экран терминала, а там мелким шрифтом было написано что-то про биометрию.

Это и было мое мотивированное и осознанное согласие: кассир говорит «вставьте карточку».

То есть, еще раз: в замечательной системе Сбербанка («блокчейн», «бигдата», «машин лернинг») просто зажглась галочка «Пусть подпишет согласие». Информация об этом появилась у кассира, а та, не объясняя ничего, просто говорит: оставьте карту, введите ПИН-код и согласитесь.

Для снятия денег окошко терминала выглядит, разумеется, иначе.

Мог ли я полностью прочитать то, на что я соглашаюсь, с экрана терминала? Нет, конечно. Это маленький экран, а согласие, думаю, достаточно длинное. Можно ли вообще так собирать согласие? Конечно, нет. Это не может быть мотивированное и осведомленное согласие.

Обращение в Сбербанк

«Блокчейн», «бигдата», «машин лернинг» не помогли ассистенту в чате банка узнать, давал ли я согласие на обработку биометрии. Меня отправили звонить на горячую линию.

На горячей линии подтвердили, что я действительно дал согласие, но как конкретно и когда — такой информации у них нет. Еще бы.

Выводы
  1. Сбербанк собирает согласие на обработку биометрических данных при помощи терминала и Вашей карты с вводом ПИН-кода.
  2. Не надейтесь, что Вы сможете прочитать это согласие целиком в таком случае. Максимум 2-3 строчки текста.
  3. Разумеется, что сама кассир не объясняет (и не факт, что знает) о том, что Вы подписываете.
  4. Именно поэтому Сбербанк обладает биометрией миллионов клиентов.
Подробнее

→ Статья от The Bell про ситуацию с биометрией и Сбербанком
→ Интервью Германа Грефа (там про биометрию совсем чуть-чуть)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *