Риски применения биометрических технологий при оказании платежных услуг в Российской Федерации и методы их минимизации

Введение

Современная платежная индустрия переживает стремительную трансформацию, обусловленную развитием технологий, в том числе биометрии. Данная работа представляет краткий обзор применения биометрических данных в платежной сфере, высвечивая ее преимущества, риски и перспективы.

Использование биометрии в платежных системах обеспечивает значительное увеличение безопасности транзакций. Распознавание лица, отпечатка пальца или голоса делает невозможным использование украденных платежных карточек или поддельных документов. Кроме того, биометрическая аутентификация упрощает процесс оплаты, делая его более удобным и быстрым. Например, оплата проезда в общественном транспорте по лицу или оплата покупок в магазинах с помощью отпечатка пальца уже являются реальностью.

Однако вместе с преимуществами биометрических технологий возникают и новые риски, такие как безопасность и конфиденциальность данных (кража отпечатков пальцев, несанкционированный доступ к платежным аккаунтам), проблемы с доступностью (ограничения по состоянию здоровья у пользователя) и др.. Одним из наиболее серьезных является угроза утечки биометрических данных, что может привести к незаконному доступу к финансовым счетам и краже денежных средств. Кроме того, существует риск использования биометрических данных для слежки и контроля над гражданами.

В целом, биометрические технологии обладают огромным потенциалом для преобразования платежной индустрии, делая ее более безопасной и удобной. Однако для реализации этого потенциала необходимо устранить существующие риски и разработать эффективные механизмы защиты биометрических данных.

В статье рассматриваются исследования различных авторов, таких как И.С. Алихаджиева [5, с.22-30], Л.Г. Ахмаева [6, с.29-35], И.Н. Карцан [8, с.201-211], П.А. Лыкова [9, с.36-40], И.В. Новичков, Т.В. Николаева, И.А. Мензатюк [10, с.348-351] и Ю.А. Пахомова [11, с.198-212]. Данные научные работы содержат ценную информацию по проблемам и решениям в части применения биометрических технологий в современной платежной системе. Кроме того, в статье рассматриваются основополагающие государственные документы, такие как [1], [2].

Основной целью данной работы является выявление рисков использования биометрических технологий в платежной индустрии Российской Федерации, а также определение путей их минимизации.

Для достижения поставленной цели необходимо выполнить ряд задач:

1. Уточнить проблемы, с которыми сталкивается платежная индукция в части безопасности использования биометрических технологий в платежной индустрии.

2. Рассмотреть российскую практику регулирования использования биометрии в платежах.

3. Охарактеризовать содержание и потенциал применения биометрических технологий в платежной индустрии.

4. Сформировать оценку особенностям использования биометрии, используя данные платежной отрасли на конкретных примерах.

5. Выявить риски, которые в случае оплаты по биометрии принимают на себя стороны и предложить пути их сокращения.

Научная новизна статьи заключается в формировании ряда предложений по усовершенствованию российского законодательства в части использования биометрических данных на основе анализа рисков практического их применения биометрических данных в платежной индустрии в Российской Федерации.

Гипотеза исследования: в связи с достаточным количеством рисков, складывающихся в платежной индустрии при применении биометрических технологий с использованием соответствующего типа данных, необходимо усовершенствование текущего российского законодательства в целях исключения неблагоприятных последствий как для пользователей (платежных субъектов), так и для экономической системы в целом.

Методы включают анализ литературы и статистики, опросы и интервью с представителями компаний, кейс-анализ успешных и неуспешных практик, а также экспертные оценки.

Результаты исследования и их обсуждения

В последние годы особенное внимание уделяется новым методам распознавания личности. Одним из таких уникальных методов является биометрическая идентификация. Данный тип идентификации основан на использовании биометрических данных конкретного лица. Под биометрическими данными в соответствии со ст.11 №152-ФЗ «О персональных данных» подразумеваются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных» [2]. К физиологическим и биологическим особенностям человека, использующимися в процессе идентификации определенного лица, относят лицо, голос, рисунок отпечатка пальца или радужной оболочки глаза. Все перечисленные возможности фиксации факта достоверности определенного лица используются при оплате каких-либо товаров и услуг как, непосредственно, на территории той организации, где необходимо произвести транзакцию, так и удаленно.

Реализация механизма идентификации пользователя посредством использования биометрических данных основана, прежде всего, на сравнении данных, которые получаются и обрабатываются специальными устройства в момент необходимости оплаты пользователем за товар или услугу, с данными, которые были сданы данным пользователем ранее.

Приобретение товаров или услуг посредством биометрических данных на сегодняшний день является одним из наиболее безопасных вариантов оплаты для клиента. Иными словами, уровень безопасности клиента, формируемый системой биометрических данных, высок. Причиной подобной оценки является применяемая в подобном способе идентификации технология liveness detection. Суть данной фундаментальной для биометрических данных технологии заключается в том, что информация хранится в обезличенном формате, ее обработка и дальнейшее использование обеспечивается постоянно сменяемыми алгоритмами [7, с.214-216]. Информация проходит определенные процессы математической обработки, благодаря чему создается определенная модель, воспроизведение которой посредством создания копии практически невозможно. Однако, безусловно, имеются возможности обхода систем безопасности и подобного рода – мошенничество в данной среде называется «спуфинг».

Методы защиты liveness detection бывают аппаратные и программные. Аппаратные методы предполагают использование специального оборудования для идентификации пользователя. К такому оборудованию относят инфракрасные датчики, 3D-камеры и др. Главным недостатком данной группы методов является достаточно высокая стоимость необходимого оборудования. Программные методы являются более простым вариантов идентификации пользователей, поскольку не требуют оснащения техники дополнительным оборудованием. Система при таком подходе просит пользователя осуществить определенные дополнительные движения, чтобы точно определить достоверность пользователя. Недостатками программных методов является возможность подделки данных посредством, например, видеозаписи определенного пользователя, а также необходимость постоянной вовлеченности человека в дополнительное взаимодействие с системой. Кредитные организации на сегодняшний день активно используют перечисленные методы в комплексе.

Так, например, по информации Центрального банка РФ биометрия на текущий момент активно используется физическими лицами в целях удаленной идентификации. Под удаленной идентификацией в данном случае подразумевается определенная возможность получения необходимых финансовых услуг физическим лицам путем подтверждения своей личности посредством использования биометрических данных. Одними из ключевых особенностей данного механизма являются возможности получения финансовых услуг путем биометрической идентификации в любом месте и в любое время.

На сегодняшний день использование биометрии в качестве инструмента, посредством которого происходит идентификация пользователя в целях обеспечения требуемого уровня безопасности при проведении транзакции (оплаты) за товары, услуги, банковские переводы и др., имеет положительную тенденцию в отношении своего распространения в платежной индустрии. ПАО «Сбербанк» отмечает активный рост использования биометрических технологий в платежной индустрии физическими лицами: доля подобного рода оплаты в безналичных операциях растет год от года – в 2024 году количество операций, совершенных путем использования биометрии увеличилось в 1,5 раза по сравнению с предыдущим годом [14]. На рисунке 1 приведена статистика по долям транзакций в месяц в разрезе крупнейших городов России. Кроме того, Сбербанк отмечает, что количество терминалов, используемых для транзакций с использованием биометрических данных, составляет треть от общего числа терминалов, присутствующих в мире.

Рисунок 1. Удельные доли транзакций по биометрии в крупнейших городах России в среднем в месяц в 2024 году [14]

В целях наиболее полноценного понимания сущности технологии биометрической идентификации необходимо, в свою очередь, определить сферы ее применения в платежной индустрии.

Рисунок 2. Сферы применения технологии биометрической идентификации в платежной индустрии [Составлено автором]

На основании данных рисунка 2 можно сказать, что на сегодняшний день существует достаточное количество сфер применения биометрической идентификации в платежной индустрии. Так, например, биометрия активным образом используется в розничном сегменте. Оплата за товары, приобретаемые в розничных торговых точках, происходит посредством первоочередного процесса идентификации пользователя. После успешного соотнесения данных, полученных системой в магазине, с данными, которые хранятся в базе организации, денежные средства благополучно списываются со счета, которые соответствуют именно данному клиенту.

Кроме того, не менее значимым кейсом применения биометрии на текущий момент является оплата проезда в общественном транспорте. Методика функционирования рассматриваемой технологии в данном случае крайне проста: например, пассажир при входе в метро, подходя к турникету, смотрит в специально установленную камеру, далее система FacePay распознает лицо человека и турникет открывается. Списание денежных средств за проезд произойдет с той карты, которая прикреплена пользователем при регистрации в системе. Причем, карта в данном случае может быть не только банковская, но и транспортная («Тройка»).

Еще одним кейсом использования биометрии является банковский сегмент. Так, кредитные организации в качестве повышения уровня безопасности данных своих клиентов активным образом внедряют системы биометрической идентификации как в офисных отделениях своих филиалов, так и, непосредственно, в банкоматах.

Исходя из всего вышеизложенного, можно сделать вывод о том, что на сегодняшний день биометрическая идентификация крайне распространена в различных сферах платежной индустрии. Подтверждением данной динамики является кратное увеличение объема собранных биометрических данных пользователей финансово-кредитными организациями: например, в 2024 году кредитные организации зарегистрировали в 6 раз больше такого типа данных граждан РФ, чем за все предыдущие годы использования биометрии [13]. Такая тенденция, в свою очередь, характеризует данную технологию с положительной стороны – интерес к ней со стороны организаций и пользователей велик, что может свидетельствовать о благоприятном долгосрочном развитии данной платежной технологии в будущем.

В России история развития применения технологии биометрической идентификации берет свое начало в 2016 году. В одном из продовольственных магазинов «Азбука вкуса» была реализована система оплаты по биометрии совместно с ПАО «Сбербанк». Данный проект на тот момент являлся первым биометрическим проектом в ретейле. Спустя 3 года к данной системе было дополнительно подключено 20 сетевых магазинов «Азбуки вкуса». Оплата была организована посредством верификации отпечатков пальцев, оборудование для считывания которых были установлены в обычный POS-терминал. По результатам анализа итогов реализованного внедрения было выявлено полное отсутствие негативных отзывов пользователей в отношении использования подобного механизма оплаты, что стало одной из причин потребности в перезапуске данного технологического решения [12].

Перезапуск данной модели оплаты был организован в 2019 году. Руководством было принято решение по установке нового оборудования, оплата по которому была возможна не только по отпечаткам пальцев, но и по лицу. Однако проект имел ряд таких недостатков, как непривлекательный вид терминалов, долгая обработка биометрических данных клиентов, низкая скорость осуществления транзакции и др. Данный кейс иллюстрирует риск утраты лояльности клиентов по причине недостаточного качества внедрения технологии в бизнес-процессы организации.

Аналогичное применение биометрической идентификации было организовано между X5 Retail Group и ПАО «Сбербанком». Ответственной организацией за сбор биометрических данных является ПАО «Сбербанк» при наличии согласия клиента на обработку данного типа данных. Оплата производится с определенного счета, который прикреплен к соответствующему клиенту, осуществляющему оплаты в магазине.

За рубежом также крайне активно распространяется использование технологии биометрической идентификации пользователей в различных сегментах платежной индустрии в целом. Так, например технология PopPay, которая разработана американской компанией PopID, позволяет потенциальным пользователям данного решения осуществлять свою идентификацию в целях входа, оплаты и использования программ лояльности в определенных организациях. Пользователю прежде необходимо сделать селфи, которое перерабатывается системой в целях дальнейшей конвертации данного файла, как информационной единицы, и потенциального использования при идентификации клиента.

Одним из первых проектов по внедрению данной технологии в банковской индустрии была система, разработанная совместно такими кредитными организациями, как CaixaBank, Nestle España и Payment Innovation Hub. Биометрическая идентификация в данной разработке предусматривалась при операциях пользователей, непосредственно, с банкоматами в целях снятия, внесения наличных денежных средств без ввода PIN-кода.

Еще одним уникальным решением в рамках использования систем биометрической идентификации является российская разработка OPAY. Данное решение разработано IT-компанией Ovision. Особенностью OPAY является выпуск программного обеспечения и платежных терминалов, функционирование которых основано на технологии распознавания лиц. Немаловажно упомянуть, что в данном случае проект также поддерживается кредитной организацией ПАО «Банк ВТБ». По мнению разработчиков данной системы, технология предоставляет самые высокие скорости обработки данных пользователей, что позволяет наиболее оперативным образом произвести идентификацию субъекта при желании произвести оплату. Кроме того, стоит упомянуть, что данной командой разработчиков был создан алгоритм liveness detection. Его использование гарантирует не только наивысший уровень сохранности данных, но и оперативность их сравнения с получаемым массивом данных, которое получается системой идентификации в момент проведения оплаты пользователем.

Пользователь при решении совершить оплату по биометрии может быть подвергнут следующим рискам:

1. Защита биометрических данных еще несовершенна. Несмотря на построение десятилетиями системы хранения персональных данных, записанных традиционными символами, ежедневно становится известно об очередной хакерской атаке и об утечке персональных данных. Сбор биометрической информации стартовал относительно недавно, система их хранения на начальном этапе разработки, поэтому подвержена многочисленным уязвимостям.

2. Кража необратима. Если при компрометации PIN-кода карты его возможно оперативно изменить, то при краже биометрических данных невозможно что-либо предпринять.

3. Обработка данных непрозрачна для пользователя. Например, ГУП «Московский метрополитен» после внедрения возможности оплаты по биометрии предлагает пользователю согласиться дать согласие на обработку его изображения «организациям, подведомственным Департаменту транспорта Москвы» и «иным лицам» [4].

4. Использование биометрических систем распознавания в качестве инструмента слежки. При оплате с использованием банковской карты становится известно о месте совершения транзакции, но по-прежнему достоверно неизвестно о том, кто именно ее совершил – владелец карты или тот, кому он ее передал. При оплате по биометрии, напротив, достоверно известно и о месте, и о пользователе.

5. Законодательная защита на этапе формирования. На данный момент в России, в отличие от стран Запада, штрафы для компаний за утечку персональных данных составляют всего несколько десятков тысяч рублей и не зависят от ее оборота.

6. Утрата привычного способа оплаты из-за санкционного давления. Например, сегодня пользователям iPhone невозможно как раньше поднести телефон к POS-терминалу и подтвердить намерение совершить транзакцию при помощи биометрии (отпечатка пальца или лица).

Кредитная организация также принимает на себя риск, когда пользователь оплачивает что-либо по биометрии. Например, пользователь A воспользовался Face pay в метро, но система по тем или иным причинам посчитала, что действие совершил пользователь B. Кредитная организация, хотя в данном конкретном случае не имела доступа к персональным биометрическим данным (то есть не осуществляла распознавание), все равно обязана осуществить возврат денежных средств в случае операции без согласия клиента (ст. 8 и 9 Закона «О НПС») [1].

Принимающая оплату сторона может столкнуться с утратой лояльности в случае долгой идентификации или ошибок. Например, 12 января текущего года пользователи системы оплаты проезда по лицу Face pay пожаловались, что с их счетов списали деньги за поездки, которые они не совершали [3]. Несмотря на оперативный возврат средств, каждое такое происшествие заставляет действующих и будущих пользователей критически оценить потенциальные неудобства.

Таким образом, оплата по биометрии несет в себе риски для всех сторон процесса, но большинство из них принимает на себя именно пользователь.

В России к настоящему времени сформирована нормативная база, прямо или косвенно определяющая использование биометрических персональных данных, в том числе при оплате (Рисунок 2).

Рисунок 3. Основные нормативно-правовые акты, регулирующие использование биометрии [Составлено автором]

При этом органами, осуществляющими регулирование и надзор, являются Минцифры, Роскомнадзор и Банк России (Рисунок 3).

Рисунок 4. Контролирующие органы применения биометрии в РФ [Составлено автором]

Таким образом, отсутствует отдельный закон, регламентирующий использование биометрических данных, при этом регулирование осуществляется путем внесения изменений в существующие законы. По результатам анализа имеющихся на сегодняшний день рисков использования биометрических данных в Российской Федерации был сформирован ряд предложений по усовершенствованию законодательства, которые изложены в таблице 1.

Таблица 1. Предложения по усовершенствованию российского законодательства по использованию биометрических данных [Составлено автором]

Заключение

Охарактеризованы биометрические технологии, существо которых заключается в идентификации посредством собранных биометрических персональных данных (лицо, голос, рисунок отпечатка пальца или радужной оболочки глаза).

Определено применение биометрии в платежной индустрии: оплата покупки в магазине, оплата проезда в общественном транспорте, оплата через биометрический банкомат, оплата в офисе банка после идентификации по биометрии и оплата при помощи смартфона после подтверждения по отпечатку пальца или лицу.

Проанализирован опыт реализации возможности оплаты по биометрии: в России успешным оказалось внедрение оплаты по лицу в магазинах X5 Retail Group, а в США – использование технологии PopPay.

Выявлены риски, возникающие в случае оплаты по биометрии, при этом большинство из них принимает на себя пользователь: несовершенство защиты, необратимость последствий кражи, непрозрачность обработки данных и другие.

Рассмотрена российская практика регулирования использования биометрических данных, которая состоит во внесении изменений в существующие законы и распределение полномочий контроля среди существующих органов. Кроме того, в рамках работы сформирован ряд предложений по усовершенствованию текущего российского законодательства в части регулирования использования биометрических данных в целях минимизации рисков.