Военная ипотека
26.06.2020

Имеют ли право заставить получать биометрический паспорт. Заявление на отзыв и уничтожение биометрических данных с банка

В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы.

Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.

Фигуры умолчания

Из существующих технологий создания биометрического профиля — считывание карты вен, радужки глаза, отпечатка пальца, сканирование лица, запись голоса и множество других — выбраны две: сканирование лица и запись голоса. Главная проблема всех без исключения технологий, связанных с биоидентификацией, проста: их можно обмануть. Для лица делается маска, голос синтезируют. Причем для обмана того же Face ID на iPhone не требуется делать полную копию лица, достаточно только копии областей вокруг глаз. А синтезатор голоса уже массово доступен.

Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.

Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.

У одного из крупнейших бюро кредитных историй в нашей стране биометрия используется для выявления загримированных мошенников или переклеенных фотографий. Система FPS. Биометрия делает это с вероятностью всего лишь около 80%, что гарантирует вычистку массы жуликов (умеренно низкая вероятность ошибки первого рода), но эта вероятность означает, что вас крайне редко (вероятность — 0,0000001) ошибочно могут принять за мошенника, поскольку последствия такой ошибки слишком велики (сдадут под белы руки в полицию). В этом примере решается специфическая задача. Но достаточно ли такой надежности (80%) для доступа к вашим счетам? Конечно, нет. Вам требуется более высокая вероятность, а значит, сложность взаимодействия с системой, при обеспечении безопасности, возрастает многократно.

По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.

О чем они даже не задумывались

Сегодняшние системы биометрической идентификации работают совместно с традиционными «паролями» или обеспечивают доступ относительно небольшого числа людей к каким-то не столь важным функциям (разблокировке смартфона, например).

Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.

А вот еще сюрприз

Преступник, прежде чем совершить преступление, может сколь угодно тщательно тестировать свою «модель идентифицируемого лица» на движках распознавания лица и голоса. Эти движки широкодоступны. Именно они лягут в основу строящейся системы удаленной идентификации. Если даже будет создана специальная версия движка для государственной системы биоидентификации, то можно будет или применить похожий движок (все современные системы схожи), или использовать версию для коммерческого применения.

По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?

Что же вам делать

Презентуемая в 2018 году система удаленной идентификации должна рассматриваться вами как еще одна «калитка» для мошенников к вашим деньгам. С простеньким замком. Сами решайте, надо ли вам это. Конечно, вы можете быть заинтересованы в простом доступе к кредитам или услугам и полагать, что терять вам нечего. Но как насчет использования вашего биометрического профиля для открытия счетов с целью отмывания денег или использования кредитных средств без вашего ведома? В многочисленные черные списки сегодня легко попасть, но очень сложно из них выйти.

Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).

Спецслужбам пригодится

Объективно разработчики систем удаленной идентификации могут рассчитывать только на массово используемые идентификаторы. Скажем, кроме биопрофиля, можно использовать электронный паспорт. Или информацию из кредитной истории, как в США. В Бельгии давно стали использовать электронный паспорт. Главная его ценность в том, что, докупив буквально за несколько евро считыватель информации, подключаемый к компьютеру по USB, вы приобретаете возможность удаленной идентификации физического лица. Да, это немодно и, главное, недорого. В нашей стране чиновники выбирают биоидентификацию.

Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.

г. Балашов, 01.03.2019г.


Обслуживаюсь в одном и том же отделении сбербанка. При последнем обслуживании в январе-феврале мне задали вопрос, давала ли я согласие на биометрию, затем трижды требовали ввести пин-код от карты, не объясняя, зачем это нужно.


Сегодня звоню в колл-центр по номеру 900.

Я: – Есть ли у сбербанка мое согласие на обработку биометрических персональных данных?

Оператор колл-центра: – Да, есть.

Я: – Каким образом банк его получил?

Оператор колл-центра: – Вы подтвердили его через мобильное приложение.

Я: Я этого не делала (ибо внимательно читаю все, на что тыкаю). Как я могу отозвать согласие на эту ОПД?

Оператор колл-центра: …Вам нужно обратиться в ближайшее отделение банка и написать заявление.

Я: На чье имя мне его писать?

Оператор колл-центра: Вам распечатают бланк, и Вы его заполните.

Иду в то самое отделение, в котором обслуживаюсь.

В отделении оператор (скажем, оператор № 1) делает круглые глаза и переспрашивает мой запрос. Повторяю, что нужен бланк для отзыва согласия на обработку биометрических данных. Звонит кому-то, выясняет, как это сделать. Среди сотрудников наблюдает легкое оживление.


Подходит администратор и спрашивает, что у меня случилось. В двух словах объясняю, что банк имеет согласие на ОПД, которое я ему не давала. Администратор уверяет, что достаточно написать заявление, и все решится.

ПОПЫТКА ПЕРВАЯ: Оператор № 1 просит вставить карту и ввести пин-код. На экране мини-терминала отображается текст о том, что я отказываюсь от биометрической ОПД. Проверяю данные и указываю оператору № 1, что паспортные данные введены неверно. Оператор исправляет данные в системе и распечатывает мне на подпись уведомление об этом. После чего сообщает, что мое заявление принято и удовлетворено.


Требую предоставить мне подтверждение ее слов, оператор № 1 разводит руками и говорит, что это невозможно, т.к. подобные вещи системой не предусмотрены.

ПОПЫТКА ВТОРАЯ: Требую дать бланк заявления на запрет банку впредь собирать и использовать мои биометрические персональные данные. Оператор № 1 снова звонит кому-то за информацией.


В этот момент (самый интересный для читателей) появляется (ну, скажем) оператор №2, подходит к оператору № 3 и выдает: «Чё за проблема? Я всем молча оформляю (согласие на биометрию), я что, у каждого спрашивать должна? А как она вообще узнала об этом?» Оператор № 3 толкает локтем оператора № 2 и глазами указывает на меня. Оператор № 2 молча ретируется.


Оператор № 1 распечатывает некий документ, в котором не очень внятно излагается мое желание отказаться от биометрии. В конце документа на 3 абзаца мелким шрифтом – «я, ФИО, подписывая данный документ, даю согласие на обработку ВСЕХ моих персональных данных…. и т.д.».


Я: – То есть, я, подписывая отказ от ОПД, даю согласие на ОПД?

Оператор № 1: – Это стандартная форма заявления.

Я: – Она меня не устраивает. Я не могу ее подписать.

Оператор № 1: – Подождите, пожалуйста. Звонит кому-то.

ПОПЫТКА ТРЕТЬЯ: Ко мне вновь подходит администратор и приглашает к себе в кабинет. Уточняет нюансы моего запроса, пытается убедить, что биометрию можно сдать только добровольно. На мой вопрос: «Если банк получил мое согласие без моего ведома, что мешает ему также получить скан лица и образец голоса?» ответа не находит. А после фразы о том, что я работала в банковской системе и не нуждаюсь в разъяснениях, предлагает написать заявление от руки и отправить мой запрос в форме скана.

Пишу, указав паспортные данные, дату рождения, ФИО, запрещаю впредь даже предлагать мне биометрию. Администратор по моей просьбе дает мне копию заявления с отметкой о приеме, извиняется, обещает наказать виновных (ага, это же не инструкция руководства). Оператор № 1 сканирует заявление, паспорт, тот документ, что я отказалась подписать. Мне приходит смс с номера 900 о том, что мой запрос принят и будет рассмотрен до 14.03.2019 г. Ответ обещали прислать почтой.
Случайные статьи

Вверх