Для чего банкам нужна биометрия? Какие способы защиты персональных данных клиентов наиболее надежны? Как развиваются цифровые банковские сервисы, и что нам ждать в будущем?
Об этом «Аргументам недели» рассказал Михаил Кравец — Product Manager, который специализируется на цифровой идентификации в сфере финансовых технологий.
— Михаил, почему банки инвестируют в системы распознавания?
— Банки массово переходят в онлайн: кредиты, депозиты, открытие счетов, переводы — все становится доступно дистанционно. На рынке финтех-решений очень жесткая конкуренция. Компании, которые не успевают перестроиться, остаются без клиентов, поскольку им очень просто сменить один банк на другой. Это вынуждает всех переводить все свои процессы в онлайн-формат.
Например, в моей практике, если банк не выдал решение по кредиту клиенту за определенный промежуток времени после получения заявки, клиент с большой вероятностью уйдет за кредитом в другой банк. Что уж говорить про банки, которые вообще не умеют работать с онлайн-заявками.
Проект по цифровой идентификации, использующий данные из цифрового профиля гражданина, который я возглавлял в ВТБ, позволил банку в режиме онлайн получать самые свежие данные об имуществе и доходах гражданина и предоставлять кредитное решение клиентам в кратчайшие сроки полностью в дистанционном формате. Все это, безусловно, производится с согласия клиента и соблюдением строжайших требований по безопасности данных.
Чтобы обеспечить удобство и безопасность, банкам нужны быстрые, точные и защищенные способы идентификации личности клиента без его визита в отделение.
Обратная сторона медали перевода процессов в онлайн-формат — это уязвимость перед мошенниками. Они похищают деньги со счетов, используя подмену личности. Поэтому надежные средства для идентификации — ключевой компонент любого современного финтеха.
Одним из самых надежных способов идентификации личности является использование биометрии. Такой проект я реализовал в МТС. Команда под моим руководством разработала продукт, который позволил дистанционно подтверждать личность абонентов, используя селфи и фото паспорта. Мы изначально его проектировали таким образом, чтобы его можно было встроить в любое приложение или сайт. Совсем недавно я узнал, что созданный когда-то с нуля продукт используется уже не только в МТС. Коллеги упаковали его в коробочное решение и предлагают его как SaaS-сервис. Очень приятно наблюдать за развитием своего продукта и компании, в которой я когда-то работал.
— Расскажите о методах идентификации, которые помогают обеспечить безопасность данных клиентов банков.
— Таких способов довольно много:
- пароли и PIN-коды — базовый уровень, но часто недостаточный для безопасности из-за утечек данных и фишинга;
- OTP по SMS или push-уведомлениям — временное решение, и оно уязвимо перед атаками через социнженерию;
- Face ID и Touch ID — встроенные средства биометрии на смартфонах, уже привычны клиентам и удобны для быстрых операций.
- Единая биометрическая система (ЕБС) — государственный сервис, который позволяет банкам подтверждать личность клиентов по фото лица;
- идентификация через «Госуслуги» — способ быстро подтвердить личность через уже существующий аккаунт в госпортале.
Каждый из этих методов идентификации останется недостаточно надежным, если будет использован без комбинации с другим. Банки, в зависимости от риска той или иной операции, используют различные комбинации методов идентификации. Например, при переводе небольшой суммы денег тому, кому вы их ни разу не переводили, вам могут отправить код через СМС. А для перевода более крупной суммы могут попросить сделать селфи. При этом важным фактором остается не только безопасность данных клиента, но и удобство использования сервисов — «безопасность без трения».
Россия одна из немногих стран, где средства идентификации развиваются на государственном уровне. К примеру, ЕСИА (единая система идентификации) и ЕБС (единая биометрическая система). Это позволяет законодательно закрепить юридическую значимость таких средств идентификации. Благодаря этому открывается большой простор для цифровизации сложных и рисковых процессов. Например, электронная сделка по купле-продаже недвижимости опирается на идентификацию в ЕСИА. Я в своей практике идентификацию в ЕСИА использовал для цифровизации банковских процессов — например, управления данными клиентов, оформления различных заявок в банк: на кредиты, пособия, загрузке данных о доходе, недвижимости, автомобилях. Это позволило предоставить пользователям сервис полностью онлайн, сохранив его надежность и безопасность.
Когда я разрабатывал Цифровой профиль, одной из главных задач было создать сервис, позволяющий клиентам безопасно управлять своими данными через приложение. Основной вызов при создании такого сервиса в том, что мошенники могут воспользоваться им, чтобы подменить личность и похитить деньги клиентов. Поэтому мы реализовали, фактически, 5-уровневую систему, обеспечивающую безопасность таких операций. На первом уровне используется аутентификация в приложении, потом уже при запросе на изменение данных мы высылаем уникальный код через СМС, а также дополнительно просим клиента аутентифицироваться в «Госуслугах», чтобы подтвердить его личность. Есть также 4-й и 5-й уровни, которые незаметны для пользователя.
— В создание новых технологий идентификации банки инвестируют достаточно крупные суммы. Насколько это оправдано?
— Во-первых, современные технологии помогают в борьбе с мошенничеством: производится защита от хищений персональных данных клиентов, а также от поддельных документов и незаконного доступа к счетам.
Снижаются затраты на обслуживание. Становится меньше необходимости в очных визитах клиентов, автоматизируются проверки.
Новые технологии помогают и с юридическими вопросами: идентификация заменяет личную подпись и подтверждает согласие на операции.
Помимо прочего, банкам необходимо соответствовать требованиям регуляторов (например, требования ЦБ РФ и 115 ФЗ).
Обеспечивается удобство для клиентов, которые могут быстро, без визитов в офис, в режиме 24/7 произвести свои операции.
Банкам сегодня приходится работать в очень конкурентной среде. Банк, не трансформировавшийся в финтех, скорее всего, безнадежно отстанет в этой технологической гонке и проиграет конкурентам борьбу за клиента. Поэтому они и инвестируют в технологии — автоматизируют и переводят все процессы в дистанционный формат.
В ходе исследования мы выяснили, что 30% всех сервисных операций банка в отделениях так или иначе связаны с управлением клиентскими данными. Реализация проекта по управлению данными позволила высвободить 40 тысяч человеко-часов операторов в отделениях в месяц. Это не только повлияло на операционные расходы банка, но и безусловно улучшило клиентский опыт.
— О каких рисках и вызовах в Вашей сфере важно помнить?
— С развитием искусственного интеллекта мы сталкиваемся не только с новыми и надежными способами идентификации, но и со средствами их обхода. Это гонка, и, к сожалению, мошенники пока в ней выигрывают. Сейчас дипфейками в соцсетях уже никого не удивишь. При этом наиболее продвинутые дипфейки могут обмануть и надежные средства идентификации — даже те, которые используют liveness-проверку. Поэтому часто наиболее надежные системы идентификации могут быть неудобны в использовании, поскольку они требуют очень тщательной проверки. Например, чтобы вывести деньги с криптовалютного кошелька используется комбинация из трех факторов.
— Каким Вы видите будущее в этой сфере?
— Будущее за многофакторной и поведенческой идентификацией. К примеру, возможность использования комбинации факторов: геолокация, поведенческая биометрия клиента (как он держит телефон, как печатает), устройство, которым он пользуется.
Мы постепенно уйдем от одноразовых паролей в пользу более продвинутых механизмов — например, пассивной идентификации без участия клиента.
Что касается международных трендов, то в мире сейчас растет интерес к «безбумажному банкингу», где идентификация — основа всего.
В России уникальная ситуация с «Госуслугами» и ЕБС, которые создают «единый вход» для взаимодействия с банками и государством.
Михаил Кравец в ВТБ руководил направлением Цифровой профиль клиента, и одним из его проектов была трансформация банковских сервисов с целью сокращения времени обслуживания клиентов с нескольких часов до 2-3 минут за счет перевода 30-40% операций в онлайн-формат.
В МТС создал биометрическую платформу, которая позволила компании оптимизировать расходы на обслуживание клиентов и усилить защиту от мошенничества.