​Смотрите в камеру

Представьте себе: вы пришли в магазин, но забыли бумажник дома. Сходили зря? Вовсе нет: можете расплатиться, приложив палец к считывающему устройству. Или взглянув в камеру. Удобно? Быстро? Безопасно (кошелек лежит дома)?

Лицо без передачи третьим лицам

Еще год назад мало кто верил в популярность технологий Apple Pay и Android Pay. По Интернету гуляли рассказы о том, как продавцы вызывали полицию при виде клиентов, прикладывающих телефоны к терминалам приема карт. Сегодня возможность оплатить покупку с телефона есть в большинстве торговых сетей, сетевых АЗС, аптек и других массовых точек купли-продажи.

На днях Сбербанк первым в России объявил о запуске технологии распознавания лиц при входе в интернет-банк для корпоративных клиентов на Windows 10. На прошлой неделе коллеги из розничного блока объявили о поддержке технологии Face ID (распознавание лиц на iPhone). Еще не закончится ноябрь, как вы услышите, что мобильный «Сбербанк Бизнес Онлайн» на iPhone тоже поддерживает эту технологию.

Эта инновация, как ни одна другая, вызывает вопросы в том числе и у наших непосредственных клиентов — сотрудников компаний и индивидуальных предпринимателей. Зачем банкам доступ к биометрическим данным клиентов? Кому выгоден такой объем больших данных? Не ударят ли сбор, хранение и обработка биометрических данных по кошелькам конечных пользователей? И тому подобные вполне резонные вопросы. Постараюсь ответить на самые распространенные из них.

Однако сначала давайте определимся с базовыми понятиями.

Поддержка операционных систем, использующих биометрию, — это не биометрия в чистом виде. Если вы входите в «Сбербанк Бизнес Онлайн» на Windows 10 по лицу и ПИН-коду, все данные обрабатываются на вашем собственном устройстве. С технической точки зрения банк на своей стороне получает от вашего гаджета такие же логин и пароль, как до внедрения распознавания по лицу. По этому же принципу работают большинство онлайн-банков, поддерживающих биометрию от Microsoft, Apple и Android.

В этом есть свои плюсы и минусы. Из плюсов: ваши биометрические данные всегда хранятся только у вас и не передаются третьим лицам. Из минусов: при смене (утрате, пропаже) планшета/компьютера ваши данные просто исчезнут. А еще они не помогут вам получить кредит или подтвердить операцию без звонка в банк.

Ваш голос имеет значение

Биометрические технологии в банках — это данные, которые записываются единожды и передаются на хранение в банк. Они позволяют вас идентифицировать по мере необходимости для самых разных целей и уже на протяжении нескольких лет используются российскими банками.

Например, еще три года назад Тинькофф Банк внедрил в контактном центре технологию распознавания клиентов по голосу. Это позволило коллегам сократить время обслуживания в среднем до 40—60 секунд за звонок. А время в банках — это в первую очередь деньги. Очевидно, что эта мера выгодна как банку, так и клиенту: контактный центр качественнее и быстрее обрабатывает звонки, а клиенты могут быстрее и проще дозвониться и решить возникший вопрос.

Пионером среди российских банков в технологии распознавания лиц стал Почта Банк: в 2016 году он ввел эту систему в промышленных масштабах, заранее проведя пилот на собственных сотрудниках. Эффекты этого решения сложно переоценить: банк официально озвучил, что только в течение первых девяти месяцев работы системы благодаря ей удалось предотвратить проведение потенциально мошеннических сделок на сумму 1,5 млрд рублей и выявить более 9 тыс. мошеннических кредитных заявок.

Распознавание лиц и голосов стало одним из самых модных трендов в банкинге. И это понятно: несмотря на то что прибыли пока иллюзорны, эффективность и удобство этих решений очевидны. Так, группа ВТБ уже анонсировала внедрение распознавания лиц в декабре этого года и планирует благодаря технологии заработать до 1,8 млрд рублей в течение пяти лет.

Помимо предотвращения мошенничества и повышения удобства использования, биометрия — это решительный шаг в сторону омниканального банковского обслуживания. На практике это могло бы выглядеть так: единожды записав «эталонные данные», клиент может забыть про пароли, карточки, токены и ключи. В любых каналах он сразу идентифицируется банком, и банк «ведет» его по так называемому customer journey.

При этом к биометрическому портфолио может привязываться всё: кредитная история, покупки, история платежей… Это и есть портрет клиента, который дает достаточно данных для того, чтобы интернет-банк мог упредить любые нужды и потребности своего пользователя: предложить и предварительно одобрить кредит на нужную сумму. Но это все еще — «горизонт». Пока вопрос использования биометрии — это в первую очередь шаг навстречу улучшению клиентского опыта и усилению безопасности.

А теперь перейдем к основным вопросам, которые возникают у клиентов.

Зачем нужны биометрические данные и в чем смысл их использования в интернет-банкинге?

Первое и основное — безопасность. Это прекрасная возможность защитить сохранность средств. Например, если вы владелец компании, ваш финансовый директор или бухгалтер не сможет зайти под вашим логином и паролем и подписать что-то без вашего ведома и непосредственного участия.

Использование биометрии позволяет отказаться от физических ключей (магнитный код или чип на пластиковой карте, токен, физическая подпись на документе и пр.) для проведения операции. Чисто физически надежность биометрических данных значительно выше, чем у электронного ключа — токена. Токены имеют свойство выходить из строя в самый неподходящий для этого момент, в отличие от сетчатки глаза, уникальных контуров лица или отпечатков пальца. При этом токен защищает в целом лучше, чем биометрия, — пока этот токен не попал в «плохие» руки.

Биометрические данные пока что не рассматриваются как единственная и всеобъемлющая альтернатива привычным логинам и паролям пользователя. Они используются как дублирующая возможность для авторизации или подтверждения операции. Грубо говоря, если ваша биометрия по каким-то причинам не сработала, всегда есть запасной вариант (ввести пароль или позвонить в контактный центр). При этом биометрия не снижает уровень защищенности приложения, а увеличивает его.

Второй плюс биометрии. Чтобы обучить клиента подтверждать действие или авторизовываться в системе «по глазу», «по пальцу» или «по лицу», нужно меньше времени, чем донести до него необходимость перепрошивать токен, ходить в банк для подтверждения электронной подписи или выполнять многоходовые операции в системе «Банк — клиент».

Третий аргумент в пользу биометрии — юридическая значимость ваших данных. Законопроект, который в настоящее время находится на рассмотрении Думы, устанавливает правовые основы для удаленной идентификации клиента по биометрическим данным.

Однако это еще только проекты. Пока закон не принят, говорить о его положениях преждевременно.

Насколько безопасно передавать свои биометрические данные банкам?

В случае с «не совсем биометрией» (например, распознаванием лиц в «Сбербанк Бизнес Онлайн» на Windows 10) вам не придется ничего передавать в банк. В технологической схеме Windows Hello вся биометрия локально хранится на вашем устройстве в зашифрованном виде и не передается никому. То же самое с технологией Face ID (для устройств Apple).

Банк — и это важно — не получает доступ к вашей биометрии и не контролирует ваши данные ни в каком виде. И потому пункты статьи 11 закона 152-ФЗ «О персональных данных» к данным технологиям попросту неприменимы.

Что же касается «настоящей» биометрии, когда держателем ваших данных становится банк, это зависит в первую очередь от банка. Если вы доверяете ему свои средства, почему не доверить и данные?

Можно ли обмануть камеру (устройство считывания отпечатка пальца) и прочие устройства для работы с биометрией?

Как и любые системы защиты, алгоритмы распознавания биометрических данных имеют свои уязвимости. Мы регулярно слышим о том, что очередной хакер объявил о взломе той или иной технологии — например, распознавания лиц. И внимательно изучаем все эти методы с целью защиты клиентов.

На сегодняшний день все существующие способы обмана биометрии (по понятным причинам я не стану их озвучивать) настолько неочевидны, изощренны и требуют такой трудоемкости, что в абсолютном большинстве случаев злоумышленники, скорее всего, просто откажутся возиться с вашим аккаунтом (если вы не директор Форт-Нокс). Сымитировать лицо пользователя практически невозможно. В Сети легко найти ссылки на опыты по распознаванию близнецов: Windows Hello, работающая уже несколько лет, умеет отличать «правильного» близнеца от другого.

Гораздо проще найти пользователя без биометрических данных и украсть у него логин и пароль. История с биометрическими данными в интернет-банках очень похожа на механические противоугонные средства в автомобилях: зачем угонщику вскрывать машину с блокиратором на руле или педалях, который придется пилить, если можно найти такую же без блокиратора?

Сколько это стоит для клиента?

Наши решения для корпоративных клиентов («Сбербанк Бизнес Онлайн» для Windows 10, «Сбербанк Бизнес Онлайн» для iPhone) задействуют технологии от компаний — производителей гаджетов. Поэтому речи о росте цен из-за включения биометрии в процесс идентификации не идет.

Что касается создания единой базы биометрических данных (чему и посвящен рассматриваемый в Думе законопроект), об этом говорить пока рано. Стоимость внедрения биометрии в отдельно взятых банках — тайна за семью печатями. Но очевидно, что эта инновация окупается, иначе она не стала бы настолько массовой.

А как у них?

Использование биометрических данных, в частности распознавание лиц и сканирование сетчатки глаза, для идентификации пользователей в настоящее время считается одним из ключевых трендов в мировом интернет-банкинге. До недавнего времени самым распространенным видом биометрической идентификации был отпечаток пальца. Несмотря на то что дактилоскопические признаки человека уникальны, данная технология имеет свои недостатки.

Согласно исследованию Microsoft, коэффициент ложного пропуска (показатель, определяющий частоту предоставления решения для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий) по отпечатку пальца выше, чем аналогичный показатель у технологии распознавания лиц: он составляет <0,002% против <0,001% соответственно. Что касается коэффициента ложного отказа в доступе (когда система не может распознать пользователя), то он сопоставим для обоих методов идентификации и составляет 5%.

Так, уже сейчас Mastercard использует технологию распознавания лиц для подтверждения платежа (selfie pay). Wells Fargo применяет распознавание сетчатки глаза (EyeVerify) для авторизации в приложении CEO Mobile biometrics authentication solution. Barclays Wealth использует биометрию для идентификации пользователей как в интернет-банке для частных лиц, так и для предпринимателей. Банк ING применяет технологию распознавания голоса (Nuance).

Аналитики Biometrics Research Group прогнозируют, что в 2018 году с помощью биометрии в мире будет заработано свыше 9 млрд долларов США.

По оценкам другого исследовательского бюро, Grand View Research, капитализация рынка биометрических технологий к 2025 году увеличится до 59,3 млрд долларов США.

Все это говорит о том, что применение биометрических данных в банках и платежных системах уже совсем скоро получит широкое распространение и станет таким же привычным, как оплата с использованием телефона или PayPass.

Евгений КОЛБИН, директор «Цифрового корпоративного банка» Сбербанка, для Banki.ru