Законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему.
Национальный совет финансового рынка (НСФР), куда входят многие крупные российские банки, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе (ЕБС) самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т. п., пишет РБК. Законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему, говорится в заключении НСФР, направленном в Госдуму, Совет Федерации, Минкомсвязь, Минфин, ФСБ и Управление делами президента. Согласно документу, физлица смогут самостоятельно сдавать свои биометрические данные в ЕБС в случаях, определенных правительством по согласованию с ЦБ.
Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. Этой уязвимостью могут воспользоваться злоумышленники.
Также законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР. Самостоятельная сдача биометрии содержит риски подмены данных, а при удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных, достоверность предоставляемой информации не верифицируется.
Участники рынка предлагают сообщать банку, каким образом были предоставлены биометрические данные — самостоятельно, в отделении банка, МФЦ. Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если считают, что это не тот, кто сдавал биометрию. Также предлагается установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС и разработать механизм корректировки биометрических персональных данных в случае выявления их недостоверного или ошибочного внесения в ЕБС физическим лицом.
Ассоциация участников рынка электронных денег и денежных переводов (АЭД) предлагает проводить идентификацию клиента с помощью видеосвязи — ее внедрение не требует существенных затрат в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек, отметили в АЭД. Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытия счета.