Как проверить пользователя на действительность – Алибек Наримбай о биометрии для МФО

Основатель биометрической компании Biometric.Vision и эксперт в области цифровой идентификации Алибек Наримбай – о том, что изменит биометрия для МФО, что это даст, что усложнит, и почему это важно.

Уже с 20 апреля этого года в силу вступили новые правила проведения биометрической аутентификации, утвержденные АРРФР. В этот раз изменения коснулись не только банков, но и микрофинансовых организаций.

Что принципиально изменилось

Главные изменения, на первый взгляд, скорее терминологические, однако закрывать глаза на это не стоит – по факту новое содержание принципиально отличается от прежней версии. Согласно обновленным правилам, мы переходим от идентификации к аутентификации. Идентификация отвечает на вопрос "кто этот пользователь", а аутентификация в свою очередь проверяет действительно ли пользователь является тем, за кого себя выдаёт. Второй вопрос технически сложнее и требует значительно более строгих процедур верификации.

Для меня эти изменения не стали неожиданностью, точно так же, как и не должны были стать для большинства компаний, непосредственно имеющих отношение к закону. В условиях высокого развития генеративных ИИ такая проверка пользователя является критически важным этапом в любой идентификационной системе и новый закон унифицирует это требование.

Требования к "живости" стали жЁстче

Самое технически значимое нововведение – обязательная процедура проверки достоверности изображения, полученного во время идентификации клиента. Система обязана направить пользователю не менее трёх команд, направленных на визуальное изменение кадра, и проанализировать видеопоток на соответствие. Повторяющиеся неудачные проверки приведут к провалу всей операции в целом.

То, что проверять реальность пользователя стали строже, – вполне логичный ответ на угрозу дипфейков, которая сейчас актуальна как никогда. Мошенники имитируют лица пользователей с помощью силиконовых и бумажных масок, подставляют заранее записанные или сгенерированные фото и видео и даже пользуются виртуальными камерами. Рынок давно знал об этой уязвимости, а регулятор дополнительно закрепил защиту на уровне обязательных требований. Для добросовестных провайдеров это просто фиксация тех технологий, которые уже должны были быть. Для остальных – весомый повод для обновления системы.

Кроме того, ПО должно иметь как минимум три уровня защиты: контроль собственной целостности, проверку на запуск в эмулируемой среде и защиту от подмены камеры. Это создает серьезную преграду для атак, направленных на устройство пользователя.

Что это значит для МФО

Мы в Biometric.Vision работаем с микрофинансовыми организациями давно, и честно скажу: настолько детально прописанные требования в нормативном документе – большая редкость. Обычно регулятор ограничивается фразой вроде "обеспечить надлежащую защиту", а дальше каждый трактует это по-своему. Здесь же прописаны и liveness-сигналы, и ЭЦП, и требования к SDK. И это, конечно, хорошо.

Главное здесь то, что МФО, наравне с банками, теперь прямо включены в периметр регулирования. Это и правильно, ведь объем онлайн-займов через МФО просто огромен, и именно здесь традиционно происходило большинство мошеннических действий.

Для МФО практические последствия следующие. Прежде всего, нельзя больше работать с провайдером, который не обеспечивает полный цикл идентификации и аутентификации. Помимо этого, все результаты, как проверки достоверности, так и сличения, должны храниться у заказчика, то есть у самой МФО, с ЭЦП провайдера. Это, конечно, увеличивает операционную нагрузку на IT-инфраструктуру и добавляет требований к хранению данных.

Что теперь делать?

Первый шаг – это провести аудит текущего или будущего решения. Новый закон, по сути, создал базовый чек-лист для выбора решения по биометрической аутентификации. Раньше МФО нередко выбирали провайдера по цене, но сейчас это стало значительным риском. В первую очередь следует обращать внимание на следующие три вещи.

• Умеет ли система провайдера проводить три и более проверки на живость?
• Есть ли у провайдера доступ к государственной базе изображений?
• Хранит ли провайдер результаты с ЭЦП?

Новый закон обязывает грамотнее подходить к выбору решения для цифровой идентификации и его провайдера. И в такой среде намного актуальнее становятся наши локальные решения, которые оперативно адаптируются под местные законы и требования, а также не имеют проблем с доступом к необходимым базам.

Второе – не затягивайте. Закон уже вступил в силу, и времени на адаптацию просто нет.

Третье – воспринимайте это не как бремя, а как возможность. МФО, которые выстроят надежную биометрию, получат конкурентное преимущество: у них будет меньше невозвратов по мошенническим займам, меньше рисков судебных разбирательств, и они заслужат больше доверия как у регулятора, так и у порядочных клиентов.