comibank.

Анатомия цифрового банкинга и финтех-трендов

Безопасность и идентификация

Дипфейки при видеоидентификации: как банки распознают подмену

«Проверка живости» долго была любимым заклинанием финтеха. Моргните. Поверните голову. Произнесите цифры. Селфи прошло проверку — значит, перед банком живой клиент, а не фотография на экране. Удобная история для презентации продукта.

Дипфейки при видеоидентификации: как банки распознают подмену

И уже недостаточная для реальности, где лицо и голос можно сгенерировать, а видеопоток — подменить ещё до того, как он доберётся до камеры приложения.

Дипфейки в банковской видеоидентификации — это не один тип угрозы, а целая витрина биометрического фрода: от ролика с чужим лицом на втором телефоне до синтетического видео, инъекции фальшивого изображения в приложение и скомпрометированного устройства. Поэтому ответ банка не может сводиться к вопросу «живой ли человек перед камерой?». Настоящий вопрос звучит менее рекламно: «кто именно проходит проверку, откуда поступили данные, не были ли они подменены и можно ли доверять всей цепочке?»

Именно здесь заканчивается магия facial recognition и начинается скучная, дорогая, но необходимая инженерия безопасности.

Почему классический liveness больше не закрывает проблему

Liveness detection — технология, которая пытается установить, что камера видит живого человека в момент съёмки. Это может быть активная проверка с заданиями: улыбнуться, наклонить голову, произнести случайную фразу. Или пассивный анализ: система оценивает текстуру кожи, блики в глазах, движение губ, глубину кадра, поведение изображения.

Полезно? Да. Достаточно? Нет.

Liveness — только часть более широкого класса PAD, presentation attack detection, то есть обнаружения атак на биометрическое предъявление. PAD должен находить не только неподвижную фотографию или запись на планшете, но и другие способы скормить системе не того человека и не те данные.

Граница принципиальна. Человек может честно смотреть в камеру, выполнять задания и выглядеть вполне «живым». Но если его лицо в видеопотоке заменяет генеративная модель, а голос синтезирован в реальном времени, проверка моргания превращается в экзамен для технологии, которая уже умеет моргать.

Есть и более неприятный сценарий: не обманывать алгоритм в кадре, а подменить сам поток данных. Камера смартфона формально включена, интерфейс выглядит штатно, но приложение получает заранее подготовленный или синтетический видеосигнал. В такой ситуации даже сильный антиспуфинг, обученный искать дефекты изображения, работает не против фотографии на экране, а против фабрики, которая поставляет ему «правильные» пиксели.

На практике мошенничество с подменой лица раскладывается как минимум на четыре класса:

1. Простое предъявление артефакта. Фотография, видео на другом устройстве, распечатанная маска, запись голоса. Это старый рынок атак, но он никуда не делся: дешёвые схемы обычно масштабируются лучше эффектных.

2. Синтетическая подмена в реальном времени. Лицо и мимика одного человека накладываются на другого, а алгоритм получает убедительный видеоряд.

3. Повторное воспроизведение захваченных данных. Ранее записанный удачный сеанс пытаются использовать второй раз. Здесь решают не только признаки «живости», но и одноразовые задания, метки времени и связка конкретного запроса с конкретным ответом.

4. Инъекция на уровне устройства или канала. Подменяется не лицо перед камерой, а источник биометрических данных. Камера становится декоративным элементом, а разговоры о микродвижениях зрачка — красивой, но запоздалой аналитикой.

Дипфейк побеждают не распознаванием «фальшивого лица», а недоверием ко всей цепочке — от сенсора до решения о платеже.

Международные испытания это подтверждают без маркетингового оптимизма. ISO/IEC 30107-3 описывает, как оценивать эффективность механизмов PAD и как отчитываться о результатах. Но сам стандарт не выбирает «лучший алгоритм» и не объявляет систему в целом защищённой. В испытаниях NIST ни один алгоритм не выявил все типы атак на предъявление. Не потому что инженеры плохо старались, а потому что у атакующих нет обязанности пользоваться одной и той же уловкой.

Для необанка, который строит онбординг вокруг смартфона, это особенно болезненно. Его преимущество — отсутствие офиса — одновременно убирает физическую точку контроля. Любая ошибка в удалённой идентификации масштабируется быстрее, чем очередь в отделении.

Что требует Банк России: биометрия не может быть единственной дверью

В российской регуляторной конструкции есть важная деталь, которую часто прячут за словом «биометрия». СТО БР БФБО-1.8-2024 не рассматривает лицо или голос как самодостаточный ключ к деньгам. И это, пожалуй, один из самых здравых пунктов документа.

Стандарт Банка России прямо ограничивает использование биометрических характеристик как единственного фактора аутентификации при финансовых операциях. Исключения возможны лишь для операций, где закон отдельно ограничивает сумму при применении такого аутентификатора. Иными словами: лицо — это сигнал, но не индульгенция на перевод средств.

Стандарт выделяет три уровня доверия аутентификации — УДА 1, УДА 2 и УДА 3. На бумаге это классификация. На деле — признание банком того, что цена ошибки бывает разной.

ПараметрУДА 1УДА 2УДА 3
Уровень доверияНизкийСреднийВысокий
Многофакторная аутентификацияНе является базовым требованием уровняТребуетсяТребуется
Криптографический протоколНе задан как обязательный признак уровняЗависит от сценария защитыОбязателен
Взаимная аутентификация клиента и сервисаНе является обязательным признакомМожет применяться по модели угрозТребуется
Допуск к высокорисковым операциям физлицНедостаточенНедостаточенДопускается

Высокорисковая операция физического лица, согласно логике стандарта, должна проводиться при УДА 3. Это означает не просто «покажите лицо ещё раз». Нужны многофакторность, криптографический протокол, взаимная аутентификация клиента и поставщика услуг, а также как минимум один криптографический аутентификатор.

Звучит бюрократически. Но за этим канцеляритом стоит очевидная вещь: банк обязан удостовериться не только в клиенте, но и в себе самом для клиента. Иначе жертва фишинга может честно пройти биометрию в приложении-двойнике, а потом долго выяснять, чья именно цифровая дверь была открыта.

В модели удалённой идентификации через Единую биометрическую систему задействованы две биометрические модальности: изображение лица и голос. При этом есть ещё авторизация через ЕСИА. Это не просто набор галочек в интерфейсе, а попытка связать несколько независимых контуров. Именно независимых — в идеале. Если все факторы сводятся к одному заражённому смартфону, «многофакторность» быстро становится бухгалтерией рисков.

Важно не смешивать процессы, которые рынок охотно называет одним словом «верификация»:

  • KYC — более широкая процедура установления сведений о клиенте и оценки рисков.
  • Видеоидентификация — подтверждение личности по видеосвязи или видеопотоку.
  • Биометрическая аутентификация — проверка, что операцию совершает уже известный системе человек.
  • Удалённая идентификация через ЕБС — отдельный регулируемый механизм, в котором сочетаются биометрические данные и авторизация через ЕСИА.

Подмена этих понятий удобна для лендинга: «откройте счёт за две минуты по селфи». Для модели угроз — катастрофа. Открытие счёта, вход в приложение и подтверждение крупного перевода имеют разную цену компрометации. Значит, и защиту нельзя копировать одним шаблоном.

Не случайно Банк России в докладе осенью 2024 года отмечал, что личное присутствие для открытия банковского счёта всё ещё требуется, в том числе из-за риска подмены личности алгоритмами ИИ. Возможность идентификации по видеосвязи предполагалось прорабатывать в экспериментальном правовом режиме. Регулятор здесь не отстаёт от прогресса, как любят говорить криптоэнтузиасты. Он просто видит, что «полностью удалённо» — это не техническая фича, а перераспределение ответственности за ошибку.

Что именно тестирует ГОСТ и почему сертификат не заменяет защиту

С 1 января 2026 года действует ГОСТ Р 58624.4-2025 — профиль испытаний методов обнаружения атак на биометрическое предъявление на мобильных устройствах. Документ появился в момент, когда смартфон окончательно стал и офисом банка, и камерой наблюдения, и потенциальной точкой взлома.

Смысл ГОСТа не в том, чтобы выдать рынку талисман «защищено от дипфейков». Он задаёт требования к испытаниям PAD-методов в мобильных сценариях, где распознавание выполняется на устройстве. Это существенная оговорка.

Тестируемый детектор должен показывать, как он ведёт себя против известных классов атак в определённых условиях. Но между лабораторным профилем и реальной антифрод-системой лежит целая пропасть:

  • качество камеры и света у реального пользователя;
  • версия операционной системы и состояние устройства;
  • наличие root-доступа или вредоносного ПО;
  • защищённость API камеры;
  • возможность внедрить поддельный кадр до биометрического модуля;
  • скорость, с которой генеративные модели меняют артефакты изображения;
  • правила, по которым банк останавливает или пропускает спорный сеанс.

Вот почему фраза «мы соответствуем стандарту» сама по себе должна вызывать ровно один вопрос: какому именно сценарию угроз и что происходит за пределами лабораторного теста?

СТО БР БФБО-1.8-2024 требует применять методы обнаружения атак непосредственно во время предъявления биометрии и сбора параметров. То есть PAD не должен быть декоративным фильтром, который запускается после захвата ролика. Он должен участвовать в моменте, когда система получает лицо, голос или иной биометрический образец.

Но даже идеальный PAD не решает вопроса подмены в канале. Если атакующий сумел внедрить данные на уровне приложения, драйвера, виртуальной камеры или скомпрометированного устройства, банку нужно анализировать не только биометрию. Нужны сигналы целостности среды: состояние приложения, происхождение данных, цифровой отпечаток устройства, поведение сессии, привязка запроса к ответу.

Это уже не «искусственный интеллект против искусственного интеллекта». Это нормальная многослойная оборона, просто без эффектного ролика для конференции.

Почему защита строится вокруг сессии, а не вокруг селфи

Устойчивая защита от дипфейков в финтехе устроена скучнее, чем рекламируют поставщики KYC. Банк не должен принимать решение по одному кадру и одному скору. Он собирает контекст операции — и ищет несовпадения.

В сильном сценарии проверяются несколько разных плоскостей.

Биометрическое предъявление

PAD и liveness пытаются поймать признаки маски, экрана, записи, синтетического лица или аномального поведения видеоряда. Активное задание затрудняет простое воспроизведение заранее записанного ролика. Пассивный анализ уменьшает трение для пользователя, но становится особенно зависимым от качества модели и известности атак.

Это первый барьер. Не крепостная стена.

Свежесть и уникальность ответа

Стандарт Банка России предусматривает передачу метки времени и одноразовой алфавитно-цифровой последовательности, связывающих запрос и ответ параметра аутентификации. На человеческом языке: система должна понимать, что ответ создан сейчас, для этой конкретной попытки, а не вытащен из архива удачных входов.

Криптографическая целостность и шифрование аутентификационной информации здесь важны не меньше антиспуфинга. Они закрывают повторное воспроизведение и подмену в канале. Мошенник может сколько угодно генерировать безупречную улыбку, но если не может корректно ответить на свежий криптографически связанный запрос, операция должна остановиться.

Доверие к устройству и приложению

Дипфейк редко приходит один. Его часто сопровождают аномалии: новое устройство, нетипичная география, эмулятор, следы модификации ОС, смена SIM-карты, подозрительная скорость действий, попытка провести операцию сразу после восстановления доступа.

Ни один такой сигнал не доказывает мошенничество. Но и лицо, совпавшее с шаблоном, не доказывает добросовестность. Антифрод работает на пересечении слабых признаков: каждый по отдельности спорный, вместе — повод повысить риск-профиль и потребовать дополнительный фактор.

Поведение после идентификации

Ключевая ошибка — считать, что опасность заканчивается после зелёной галочки «личность подтверждена». Часто именно после неё начинается главное: выпуск виртуальной карты, смена номера, добавление нового получателя, перевод на свежий кошелёк, оформление кредита.

Поэтому биометрический фрод в необанках нельзя изолировать внутри одного экрана онбординга. Если система разрешает пройти видеоидентификацию, а затем немедленно опустошить счёт без дополнительной проверки, она не построила безопасный путь. Она просто перенесла кассу в приложение и поставила рядом дорогую камеру.

Уровень защиты определяется не тем, как эффектно банк распознал лицо, а тем, сколько денег можно увести после этого распознавания.

Инфраструктура: самое уязвимое лицо может быть не у клиента

Рынок любит обсуждать точность распознавания: ложные пропуски, ложные отказы, качество датасета. Это понятные метрики, их можно положить в презентацию. Гораздо менее фотогенична защита биометрической инфраструктуры — а зря.

СТО БР БФБО-1.8-2024 требует защищать от несанкционированного доступа хранилища биометрических образцов и векторов биометрических параметров, а также каналы между внутренними датчиками, системой извлечения признаков и прикладным программным обеспечением.

Здесь скрыта неприятная правда о биометрии: пароль после утечки можно сменить. Лицо — нет. Голос тоже не перевыпустишь по заявлению в поддержку. Поэтому банк обязан относиться к исходным образцам и к производным векторным представлениям не как к обычной пользовательской анкете.

Минимальная архитектурная дисциплина выглядит так:

  • биометрические данные и их шаблоны не должны гулять по внутренним системам как удобный файл для интеграций;
  • каналы между датчиком, модулем извлечения признаков и прикладной логикой должны быть защищены от перехвата и подмены;
  • для критичных сценариев нужна криптографическая привязка конкретной аутентификации к конкретной операции;
  • права доступа к хранилищам должны быть разделены: аналитика, поддержка и антифрод не обязаны видеть одно и то же;
  • расследование спорной операции должно опираться на защищённые доказательства сессии, а не на фразу «модель дала высокий скор».

Последний пункт особенно важен. При жалобе на неправомерную обработку или споре о результате аутентификации банку нужны материалы, которые позволяют восстановить ход решения. Но чем больше данных хранится «на всякий случай», тем жирнее становится цель для злоумышленника. Баланс между расследуемостью и минимизацией данных — не философский спор, а ежедневная задача службы безопасности.

И да, здесь государство и децентрализованный рынок снова смотрят друг на друга с привычным раздражением. Регулятор хочет доказуемую идентичность, журналирование и управляемый контур ответственности. Финтех хочет бесшовный вход и конверсию без лишнего шага. Крипторынок добавляет третью реплику: чем больше централизованных биометрических данных, тем привлекательнее сама база для атак.

Все трое по-своему правы. Но именно банк принимает на себя последствия, когда удобство побеждает контроль, а клиент узнаёт о «бесшовности» из уведомления о списании.

Видеоидентификация останется, но эпоха доверчивой камеры закончилась

Проверка личности по видеосвязи остаётся полезным инструментом. Она снижает стоимость обслуживания, открывает доступ к финансовым продуктам для людей вне крупных городов, ускоряет часть процессов. Отказываться от неё из-за дипфейков так же бессмысленно, как возвращать наличные из-за фишинга.

Но банкам придётся отказаться от другого — от мысли, что камера способна сама решить проблему доверия.

Защита строится на нескольких уровнях: PAD во время сбора биометрии, контроль «живости», защита каналов и хранилищ, одноразовые криптографически связанные вызовы, доверие к устройству, поведенческий антифрод и усиленная аутентификация для рискованных действий. Каждый слой закрывает чужую дыру. Ни один не получает права называться абсолютным.

Регулятор уже формулирует это языком уровней доверия и обязательной многофакторности. Рынок отвечает языком моделей, SDK и конверсии. Атакующие, как обычно, не читают ни стандартов, ни пресс-релизов: они выбирают самый дешёвый обход в конкретной реализации.

Главный вопрос теперь не в том, научатся ли банки отличать настоящий видеопоток от дипфейка. Научатся — частично, неравномерно и с неизбежными ошибками. Вопрос в другом: кто заплатит за следующую итерацию цифрового доверия, когда генерация личности станет дешевле, чем её проверка?

Частые вопросы

Почему проверка моргания или поворота головы больше не защищает от мошенников?
Современные генеративные модели способны имитировать моргание и другие движения в реальном времени, поэтому проверка «живости» превращается в экзамен для технологии, которая уже умеет имитировать человека.
Что такое PAD и зачем он нужен банкам?
PAD (Presentation Attack Detection) — это технология обнаружения атак на биометрическое предъявление, которая должна выявлять не только фотографии или записи, но и синтетические видео, а также подмену видеопотока.
Можно ли использовать только биометрию для подтверждения перевода денег?
Нет, стандарт Банка России СТО БР БФБО-1.8-2024 ограничивает использование биометрии как единственного фактора аутентификации, требуя многофакторности и криптографических протоколов для высокорисковых операций.
Что делать, если мошенники подменили видеопоток на уровне устройства?
В такой ситуации антифрод-система должна анализировать не только биометрию, но и сигналы целостности среды: состояние приложения, цифровой отпечаток устройства, поведение сессии и привязку запроса к ответу.
Гарантирует ли сертификация по ГОСТ Р 58624.4-2025 полную защиту от дипфейков?
Нет, ГОСТ лишь задает требования к испытаниям методов обнаружения атак на мобильных устройствах, но не является универсальным талисманом, так как реальная безопасность зависит от конкретной реализации защиты и сценариев угроз.