Минцифры планирует расширять число ситуаций с обязательной биометрической идентификацией. В России уже накоплено более 100 млн образцов биометрической информации, около 40 млн из них связаны с голосом. Биометрические платежи стали одним из самых массовых форматов применения технологии, и россияне более 320 млн раз использовали биоэквайринг для оплаты без карты через распознавание лица.
О планах расширения биометрических требований рассказала представитель Минцифры Татьяна Скворцова. По её словам, государство уже обеспечило несколько способов сдачи биометрии. Передать данные можно через мобильное приложение или при личном визите в банк. Теперь Минцифры собирается развивать новые каналы сбора биометрии для дистанционной передачи данных.
Татьяна Скворцова заявила о расширении обязательных ситуаций с биометрической идентификацией. Один из примеров связан с поправками в закон «О связи». Они обязывают иностранных граждан сдавать биометрию при заключении договора с мобильным оператором. Для рынка связи это означает более строгую идентификацию абонентов и дополнительную нагрузку на процессы оформления услуг.

Интересно, что более 320 млн биометрических платежей в России уже совершено без единой банковской карты, только улыбкой в камеру.

В этом году также вступают в силу антифрод-поправки с обязательной биометрической идентификацией для маркетплейсов. Логика регулятора понятна. Площадки сталкиваются с растущим объёмом мошенничества и злоупотреблений в платёжных процессах. Биометрия в такой модели рассматривается как способ привязать действие к конкретному человеку и снизить риск обмана.
С 1 марта уже введена обязательная аутентификация клиентов микрофинансовых организаций. Через год похожая процедура станет обязательной для микрокредитных компаний. Финансовый сектор страдает от мошеннических заявок особенно сильно, и биометрия здесь должна стать дополнительным барьером.
По подсчётам ведомства Максута Шадаева, инфраструктура биометрии в России выглядит так:

188 банков уже регистрируют биометрию граждан;
более 40 сервисов оказывают услуги с биометрической идентификацией;
32 млрд транзакций прошло с применением биометрии;
320 млн операций пришлось на биоэквайринг;
69 млн граждан являются пользователями системы.

По словам Татьяны Скворцовой, среди 69 млн пользователей 6 млн имеют подтверждённую биометрию после личного визита, 24 млн получили стандартное подтверждение, а 7 млн сдали данные дистанционно. Самые популярные направления применения биометрии понятны без лишних объяснений:

биоэквайринг и оплата без банковской карты;
проход в метро через распознавание лица;
оформление договоров связи иностранцами;
второй фактор на «Госуслугах» и в банках;
доступ к государственным сервисам и услугам.

Биометрия в транспорте набирает масштаб. По данным Минцифры, в метро технология сработала более 17 млн раз. Ещё 13 млн раз биометрия использовалась при заключении договоров связи с иностранцами и как дополнительный фактор идентификации в государственных и банковских сервисах. Технология перестала быть экспериментом и стала обычным элементом цифровой инфраструктуры.
Чем шире применение биометрии, тем выше требования к её защите. Пароль можно поменять, карту можно перевыпустить, номер телефона можно заменить. Лицо и голос заменить намного сложнее, поэтому компрометация биометрических данных оборачивается куда более тяжёлыми последствиями для человека.
В подобной обстановке заметно недавнее исследование Which?. Эксперты британской организации проверили 208 смартфонов с функцией распознавания лица за 3,5 года. Результаты неутешительны:

133 модели можно было разблокировать обычной фотографией;
доля уязвимых устройств составила 64% выборки;
среди уязвимых смартфонов оказались Samsung и Xiaomi;
проблемы зафиксировали у Nokia и Honor;
iPhone и новые Pixel показали более высокий уровень защиты.

Интересно, что обычная распечатанная фотография владельца смогла обмануть 64% протестированных смартфонов с функцией распознавания лица.

Пример Which? значим не как описание государственной биометрии, а как иллюстрация разницы между уровнями защиты. Простое распознавание лица через фронтальную камеру и защищённая биометрическая идентификация работают по-разному. При отсутствии анализа глубины, объёма лица и признаков живого человека систему можно обмануть сравнительно простыми средствами.
Защищёнными в исследовании оказались в основном iPhone, новые поколения Google Pixel и часть дорогих Android-флагманов. Подобные устройства используют инфракрасные сенсоры, точечные проекторы и анализируют не картинку лица, а его объём с другими признаками, сложными для подделки.
Для российской биометрической инфраструктуры это создаёт прямой вопрос доверия. Пользователям нужно понимать применяемый уровень распознавания в каждом сервисе, способ защиты от подделок, порядок отзыва согласия и сценарии при спорной идентификации.
Расширение обязательной биометрии означает для бизнеса новые процессы и расходы. Банкам, маркетплейсам, операторам связи, МФО и другим сервисам предстоит интегрировать идентификацию, обучать сотрудников, перестраивать пользовательские сценарии, обрабатывать отказы и решать спорные случаи.
Сама по себе биометрия не решит все проблемы антифрода. Мошенники атакуют не только вход в сервис, но и самого пользователя через социальную инженерию, подмену устройств, вредоносные приложения и обман при подтверждении операций. Поэтому биометрия должна быть частью многоуровневой проверки, а не единственной ставкой защиты.
Редакция CISOCLUB убеждена, что расширение обязательного применения биометрии выглядит закономерной попыткой укрепить цифровую идентификацию и снизить мошенничество в массовых сервисах. По мнению редакции, чем сильнее государство и бизнес опираются на лицо и голос граждан, тем дороже обходится любая ошибка, утечка или ложное срабатывание системы. В CISOCLUB уверены, что главный вопрос для рынка лежит не в скорости развития биометрии, а в технической зрелости хранения, проверки, аудита и ответственности за использование подобных данных. Без прозрачных правил массовое применение биометрии способно создать риски посерьёзнее тех, которые сейчас пытаются устранить.