Как используют биометрию в финтехе

По данным Transparency Market Research, объем рынка биометрии на основе технологий искусственного интеллекта (ИИ) достигнет $50,5 млрд к концу 2031 г. В России отрасль активно развивается: в метрополитене Москвы оплатой проезда по биометрии воспользовались уже более 90 млн раз, X5 Group и «Сбер» запустили сервис оплаты с помощью улыбки. «Ведомости&» разбирались, где сегодня используют биометрию и ИИ в финтехе, что это дает и насколько это безопасно для пользователей.

Селфи вместо кредитки

Лучший пример использования ИИ в биометрии в финтехе – это биоэквайринг (оплата покупок при помощи биометрических данных, например по фото лица и голосу), уверен советник гендиректора по искусственному интеллекту Ассоциации «ФинТех» Алексей Сидорюк. По его словам, эта технология позволяет упростить процесс оплаты в торговых точках, когда под рукой нет ни карты, ни смартфона.

В перспективе такая технология может применяться практически везде, где нужно что-то оплатить, считают в ассоциации. «Например, при заселении в гостиницу с помощью биометрии человек сначала оплачивает пребывание, затем автоматически регистрируется и получает доступ в номер (без паспорта, без карты, без ключа)», – поясняет Сидорюк. Аналогично, по его словам, клиент может оплачивать продукты с помощью биометрии: «Не пользуясь кредитной картой, картой лояльности и не показывая паспорт при покупке отдельных категорий товаров».

Сейчас среди крупных банков биоэквайринг активно использует «Сбер» – в виде сервиса «Оплата улыбкой», запущенного в 2021 г. В июле 2024 г. банк сообщал, что клиент сделал самую большую покупку с помощью этого сервиса – на 2,2 млн руб., оплатив автомобиль в одном из московских автосалонов.

Национальная система платежных карт (НСПК) в 2024 г. начала делать платформу биометрических сервисов, которая должна выступить связующим звеном между локальными решениями банков по биоэквайрингу. В мае этого года в НСПК сообщали «Ведомостям», что приглашают банки подключиться к тесту. Гендиректор НСПК Дмитрий Дубынин в начале июля заявил, что проект планируется завершить до конца месяца, но компания еще не объявляла итоги эксперимента.

Пока в рамках проекта НСПК по биоэквайрингу ввели только оплату по лицу (FacePay) в Казани – с 30 августа, при поддержке банка «Ак барс». FacePay действует так же, как в Москве, где этот способ используется с 2021 г. По данным отчета Ассоциации «ФинТех», московским FacePay за четыре года воспользовались 90 млн раз, сейчас к системе подключено 330 000 пользователей. В 2024 г. кроме Казани систему планируется распространить еще в пяти городах: Санкт-Петербурге, Нижнем Новгороде, Екатеринбурге, Самаре и Новосибирске.

Ладонь вместо паспорта

Собранные биометрические данные банки обязаны передавать в государственную Единую биометрическую систему (ЕБС), созданную в 2018 г. Большинство банков запрашивают у клиентов (по их желанию) только фото лица и записи голоса. Один из самых крупных участников рынка – ВТБ, по данным пресс-службы банка, собирает такие данные более чем в 1200 отделениях. Фото и аудиозаписи обрабатываются автоматически, с использованием ИИ. На сегодня биометрию сдали уже почти 1,3 млн человек, уточняют в пресс-службе.

Некоторые, как Газпромбанк, используют и другие данные. «В ряде отделений по желанию клиентов оказывается услуга доступа к банковским ячейкам с помощью аутентификации по рисунку вен ладони», – рассказывает вице-президент Газпромбанка Павел Салугин. Обработка биометрических образцов, их преобразование в векторы и сравнение этих векторов с эталонными задействует специальные обучаемые алгоритмы (ИИ), отмечает топ-менеджер.

Биометрия (изображение лица и запись голоса, которые передаются в ЕБС), по словам Салугина, используется для удаленной идентификации граждан, которые пока не являются клиентами банка. После успешного входа на сайте или в мобильном приложении человек может открыть счет и получить полный доступ к дистанционному банковскому обслуживанию без посещения офиса.

В Россельхозбанке в отличие от коллег заявляют, что обходятся без ИИ. По данным пресс-службы, «банк проводит сбор только тех биометрических данных, которые установлены действующим законодательством (фотоизображение лица и запись голоса), и только для целей размещения этой биометрии в ЕБС. Для обработки такой биометрии на стороне банка используются только регламентированные государством и оператором ЕБС решения и технологии, применение ИИ в данном процессе не предусмотрено».

Мошенники против технологий

Современные технологии ИИ применяются и злоумышленниками. Новым типом угроз, как отмечается в отчете Ассоциации «ФинТех», стало использование дипфейков (deepfake) – синтезированных с помощью ИИ видео, изображений, звука и других данных. Банки, которые используют биометрию, впрочем, не боятся угрозы.

«Нейронные сети, которые используются сейчас для проверки биометрии, успешно выявляют различные типы фейков, обнаруживая редактирование изображений и невидимые человеческому глазу артефакты. Более того, именно биометрическая аутентификация позволяет предотвратить мошенничество, подтверждая, что именно этот клиент находится сейчас перед экраном мобильного устройства или предъявляет паспорт в отделении банка», – поясняет Салугин из Газпромбанка.

Сами банки при этом не хранят данные клиентов, ответственность за защиту биометрии возлагается на государство. По закону сбор и хранение биометрии где-либо, кроме государственной системы ЕБС, с 1 июня 2023 г. запрещены, уточнили в пресс-службе ВТБ. Сбор биометрии в банке проводится «с применением типового решения, сертифицированного аттестованной ФСБ лабораторией по защите биометрических персональных данных», указали в пресс-службе.

В НСПК дипфейки не считают чем-то новым и более опасным, чем прежде. «Deepfake – это лишь генерация изображения человека. Для атак мошенники могут использовать и простое фото человека, поэтому создание deepfake-подделок не создает дополнительных угроз», – поясняет директор операционно-технологического департамента НСПК Максим Крукелис.

«Чтобы мошенники смогли использовать deepfake или оригинальное изображение лица для обмана биометрических систем, им нужно показать их, например, с экрана устройства. Для отражения таких атак используют алгоритмы проверки живого присутствия – Liveness-алгоритмы. Они подтверждают, что перед камерой действительно находится живой человек», – рассказывает Крукелис.

По его словам, сейчас мошенники могут также пытаться подменить данные в канале передачи данных на deepfake-подделку. Для защиты от такого рода угроз используется защищенный канал передачи информации. «Дополнительно в контурах биометрических систем могут быть установлены deepfake-детекторы, они выявляют наличие признаков подделки на изображении», – отмечает эксперт.

Затраты против выгоды

В первые годы после запуска ЕБС некоторые крупные банки жаловались, что затраты на сбор и обработку биометрических данных себя не оправдывают. В частности, Альфа-банк в 2019 г. сообщал, что потратил на создание соответствующей инфраструктуры $1,5 млн, но это «недешевое удовольствие» не окупается, спроса у клиентов нет и инфраструктура простаивает. Впрочем, ситуация быстро изменилась: в 2021 г. доля клиентов, сдавших биометрию, по данным банка, выросла до 25%.

В ВТБ к затратам на внедрение биометрии относятся спокойно. «На начальных этапах такие проекты всегда требуют значительных инвестиций. Мы вкладываемся в это направление, так как в будущем технология позволит оптимизировать многие банковские процессы, а также защитит клиентов от операций с их финансами без их ведома», – сообщили в пресс-службе банка.

Как уточняют в Россельхозбанке, действующее законодательство обязывает банк создать и поддерживать актуальность собственной биометрической системы (для сбора биометрии и предоставления услуг клиентам. – «Ведомости&»). Инвестиции банка в эту сферу, по данным пресс-службы, «носят многослойный характер»: они включают «исполнение регуляторных требований, вложения в развитие передовой технологии, предложение клиентам новых форм дистанционного обслуживания и банковских услуг посредством биометрических сервисов».

Чтобы внедрить оплату по биометрии, банкам нужно создавать инфраструктуру не только у себя, но и у партнеров – например, торгово-сервисных предприятий, отмечает сооснователь консалтинговой компании Futureproof Егор Кривошея. Пока в развитие POS-терминалов (портативных электронных терминалов для оплаты. – «Ведомости&») с биометрией инвестировали только крупнейшие банки, например «Сбер». В итоге пока не ясно, какой тренд победит: уменьшенные версии платежных карт, которые можно носить с собой, такие как стикеры и брелоки, или биометрия (оплата по лицу и т. д.). Но у биоэквайринга хорошие шансы – «его можно использовать и на смартфоне, и в терминалах», считает эксперт.

Пока клиенты банков оценивают соотношение выгод и рисков как не очень приемлемое, для самих банков финансовые затраты на внедрение [биометрии] тоже играют сдерживающую роль, отмечает председатель правления Ассоциации «Финансовые инновации» Роман Прохоров. Сам термин «биоэквайринг», по его мнению, неверен: «Эквайринг – уходящая технология. Скорее это био-СБП (система быстрых платежей. – «Ведомости&»)». Биометрическую идентификацию, по его словам, «вполне безопасно использовать для проведения операций на небольшие суммы – например, до 10 000 руб. Свыше лучше применять многофакторную аутентификацию, сочетающую биометрию и что-то еще, например старые добрые пароли». &