Банки и МФО будут сверять лицо клиента с госбазой: в Казахстане разработали правила биометрической аутентификации

Что произошло

Агентство по регулированию и развитию финансового рынка (АРРФР) разработало новые правила проведения биометрической аутентификации, обязательные для банков, организаций с отдельными видами банковских операций и микрофинансовых организаций. Документ заменяет прежние правила от августа 2024 года.

Биометрия – по новым стандартам

Теперь для подтверждения личности клиента необходимо не просто изображение лица, а "достоверное текущее изображение", полученное через защищённое программное обеспечение на смартфоне или компьютере. Важно, что такие изображения проходят дополнительную проверку: система отправляет клиенту сигналы и команды (например, моргнуть или повернуть голову), а затем анализирует реакцию на видеопотоке. Если человек трижды не справляется с заданиями – аутентификация считается неуспешной.

Сверка обязательна

После получения текущего изображения и ИИН клиента начинается следующий этап – сравнение с эталонным изображением. Эталон может быть взят либо из государственной базы изображений, либо из базы верифицированных снимков самого провайдера. Результаты сверки, включая все детали процесса, фиксируются в отдельном электронном документе, который подписывается ЭЦП и хранится у заказчика – банка или микрофинансовой организации .

Кто за что отвечает

В новой системе выделены ключевые роли:

• провайдер биометрической аутентификации – организация, получающая изображение и сравнивающая его с эталоном;
• заказчик – банк, МФО или организация, для которой проводится аутентификация;
• аутентифицируемый – клиент, проходящий проверку.

Каждый участник отвечает за хранение и защиту биометрических данных. Передача информации между системами осуществляется только через зашифрованные каналы связи, выходящие за пределы внутренней инфраструктуры сторон .

Ужесточение контроля и отмена старых правил

Прежние правила биометрической идентификации, утверждённые в августе 2024 года, будут признаны утратившими силу. Документ будет предписывать провести регистрацию новых правил в минюсте, а также разместить их на официальном сайте агентства.

Постановление вступит в силу через 10 календарных дней с момента первого официального опубликования.

Контекст

Эти правила разработаны в соответствии с требованиями Закона "О банках и банковской деятельности" и "О микрофинансовой деятельности" и будут применяться финансовыми организациями в случаях дистанционного предоставления клиентам финансовых услуг.

16 января президент Казахстана Касым-Жомарт Токаев подписал новый закон "О банках и банковской деятельности", а также сопутствующие поправки в законодательные акты по вопросам регулирования и развития финансового рынка, связи и банкротства. 

В новом Законе предусмотрены шесть основных направлений:

1. внедрение пропорционального регулирования банковской деятельности;
2. стимулирование развития финтех-сектора и регулирование цифровых финансовых активов;
3. развитие исламского банкинга;
4. внедрение риск-ориентированной системы поведенческого надзора;
5. введение нового механизма урегулирования неплатежеспособных банков;
6. совершенствование банковского регулирования.