Биометрическая революция откладывается

Биометрическая идентификация может обойтись нам очень дорого.

Крупнейшие финансовые структуры постепенно внедряют в практику биометрические технологии. Но пока они не отработаны, банки и финтех-компании продолжают применять традиционные механизмы платежей и противодействия мошенникам, одновременно осваивая новейшие методы идентификации. Рассказывает эксперт в области риск менеджмента международного платежного провайдера и эквайера компании ECOMMPAY Даниэль Шевский.

В начале октября ЦБ РФ представил карту точек сбора биометрических данных граждан (голосовых профилей и изображений) в систему ЕБС (Единую Биометрическую Систему) по всей России. Но новейшие технологии для большинства участников рынка – явление малознакомое и таящее несколько принципиальных рисков.

Потенциал на миллиарды

Сегодня более 80 государств мира внедрили собственные системы биометрической идентификации граждан – электронные паспорта, водительские права, миграционные и ID-карты. Биометрия все чаще требуется для получения виз и туристических услуг («умные гейты» в аэропортах, биометрические киоски самообслуживания пассажиров). Банковский сектор, страхование и торговля – еще один глобальный потребитель новых технологий распознавания.

Крупнейшая в мире индийская система биометрической информации – Aadhaar – в январе 2018 года содержала информацию о 1,2 млрд. человек. Возможно, скоро, конкуренцию ей составит китайская система социальной оценки граждан.

Объем мирового рынка биометрических систем в 2016 году оценивался почти в $14,45 млрд. По прогнозам консалтинговой компании J’son & Partners, рынок биометрии к 2022 году составит около $40,2 млрд. со среднегодовыми темпами прироста (CAGR) на уровне 18,6%.

В качестве государственной программы биометрия – удобный способ учета и идентификации. Для финансовых организаций внедрение новых технологий представляет определенную проблему. Во-первых, как показывает индийский опыт, массовый сбор биометрик хорош, если для граждан он полностью бесплатный и доступный. Во-вторых, такая идентификация особенно актуальна для молодого и экономически активного населения, которое живет вдали от банковских офисов. В России молодежь и бизнес в основном сосредоточены в городах, где с финансовым обслуживанием проблем нет, а основная масса населения имеет дело с банками далеко не каждый день и не видит смысла в дополнительной идентификации.

Испытано «третьим миром»

Возможно, поэтому сегодня локомотив внедрения биометрических финтех-технологий – беднейшие страны Азии и Африки. Там, где большинство населения не имеет не только банковских карт, но и обычных паспортов, это – едва ли не единственный способ финансового взаимодействия в обществе.

Известно, что первый биометрический банкомат с распознаванием по отпечатку пальца появился в Нигерии еще в 2011 году. А в Сомали, Кении или Уганде новейшие гаджеты с биометрическими функциями пользуются популярностью не потому, что граждане этих стран повально сидят в соцсетях. Мобильник с цифровым ID служит надежным кошельком, которым можно пользоваться хоть на овощном рынке, где к каждому товару приклеен нарисованный от руки QR-код, хоть для перевода денег родственникам в дальнюю деревню.

Страны третьего мира – идеальный полигон для испытания новейших технологий идентификации личности и хранения данных. Самый большой недостаток этого полигона – очень высокие риски компрометации. По информации СМИ, только в 2017 году около 135 млн. персональных ID с биометрической информацией индийской системы Aadhaar ушло в никуда. А на Филиппинах в том же году неизвестные хакеры украли персональные данные с отпечатками пальцев всех избирателей страны (около 55 млн. человек).

Части тела

По данным J’son & Partners Consulting, наиболее распространенные сейчас технологии биометрии применяют отпечатки пальцев: они занимают более 50% рынка. Другая половина – это системы, использующие изображение лица (около 22% рынка), геометрию ладони, ДНК (7%), радужную оболочку глаза (10%), голос (4%) и рисунок вен (3%). Последним трем системам предрекают самый быстрый рост в ближайшие 5-7 лет.

Пока основной недостаток любой системы распознавания – несовершенство механизма и высокая вероятность отказа из-за неверной интерпретации данных. К тому же, данные можно подделать с помощью продвинутых графических программ и синтезаторов речи. Но если технологические проблемы в ближайшие годы будут решены, остаются вопросы к дальнейшей обработке полученной информации. ем сложнее система, тем выше процент ошибок.

Например, по данным Росфинмониторинга на 2016 год, только 70% информации о гражданах во всех государственных базах России соответствовало действительности. Такую высокую погрешность можно компенсировать лишь одновременным использованием нескольких методов идентификации и гибкой антифрод-системой с возможностью применения целого ряда фильтров.

Двойная проверка

Любое совершенствование систем безопасности – это вызов для хакеров. Всякая электронная кража базируется на мельчайших ошибках защиты. Для успешной мошеннической операции хватит и 5% уязвимости системы. Последние испытания решений биометрической идентификации и аутентификации, работающих вместе со средствами антифрода, дают 90% обнаружения хакерских атак. При этом 0,1% заложен на ошибочное срабатывание.

К примеру, система FraudStop выявляет 97%+ фрода. Таких высоких показателей удается достичь, придерживаясь традиционных методов аутентификации и авторизации. Среди них технология 3D-Secure, которая позволяет установить личность владельца карты по нескольким показателям – номеру платежного инструмента и дополнительному коду, который банк высылает на мобильный телефон клиента. Еще один классический метод – авторизация по контрольной сумме/коду. Контрольная сумма представлена определенным количеством денег, зарезервированным на счете во время регистрации карточки в банке. В качестве дополнительного шага авторизации при совершении переводов может потребоваться прописать данную сумму в СМС, которое отправляется банку и, если сумма указана правильно, платеж подтверждается.

Авторизация с помощью таких протоколов уже отсеивает большинство мошенников. К тому же, она хорошо работает в связке с автоматическим мониторингом транзакций и ручным мониторингом всех мошеннический и подозрительных операций. Кстати, на рынке финтеха уже есть специалисты, умеющие отличить фрод от просто подозрительной транзакции. Введение биометрических технологий, конечно, выгодно дополнит существующие протоколы безопасности, но потребует от риск-менеджеров совершенно новых знаний и навыков. А они формируются не быстро.

* * *

Иными словами, на создание универсальных систем антифрода в комплексе с биометрическими технологиями уйдет как минимум несколько лет. А пока большинство банков, финансовых организаций и торговцев будут придерживаться проверенных способов защиты транзакций в рамках той платежной стратегии, которая учитывает специфику их бизнеса и индивидуальные особенности платежного поведения клиентов. Поскольку только ориентированность на конкретного пользователя дает максимальную отдачу и эффект синергии между безопасностью и конверсией.