Новые правила аутентификации BSP: переход на биометрию и риск-скоринг к июню 2026
Парадокс, знакомый любому продуктологу: регулятор требует одновременно ускорить онбординг и закрыть клиента от новых видов фрода — и эти две задачи тянут в противоположные стороны.
Что меняется в правилах входа
Под регулирование попали банки и e-wallet-операторы, обрабатывающие больше ₱75 млн онлайн-платежей в месяц, — на практике это почти все универсальные и коммерческие банки, все цифровые банки страны и часть кооперативных/сберегательных структур. Для операций с высоким риском — крупный перевод новому получателю, вход с незнакомого устройства — обязательны отпечаток пальца, распознавание лица, анализ поведения или беспарольные методы; привычные мелкие операции банк может оставить на SMS-OTP, если его собственная оценка риска это позволяет. Заместитель управляющего BSP Лин Хавьер подчеркнула, что регулятор намерен продвигать инновации и одновременно защищать клиентов от технологического мошенничества — банки, по её словам, активно работают на обоих фронтах.
Куда движется рынок и что мы отслеживаем
Сдвиг принципиальный: логика «есть верный OTP — значит, это клиент» уступает логике «операция похожа на обычное поведение этого человека — значит, пропускаем». BSP отдельно требует, чтобы системы фрод-мониторинга ловили аномалии вроде сверхбыстрых транзакций, платежей незнакомым получателям и активности с неизвестных устройств — это переносит часть ответственности за фрод с клиента на банк и меняет экономику онбординга. В ближайший год мы будем смотреть на три вещи. Первая — конверсия: если биометрия включается по умолчанию на каждом шаге, рынок получит отток на активации и рост стоимости привлечения; если только на крупных переводах — модель ближе к европейской и конверсия устоит. Вторая — конкуренция вендоров риск-движимой биометрии и поведенческой аналитики: BSP создаёт гарантированный спрос в Юго-Восточной Азии, и это окно для глобальных игроков, которые давно продают решения подобного класса банкам в Европе и Латинской Америке. Третья — каскадный эффект: параллельно похожие нормы защиты от цифрового фрода финализирует RBI в Индии, и в течение года мы увидим, как риск-движимая модель становится де-факто стандартом в странах с массовым проникновением мобильных платежей. Для нас как пользователей это значит одно: привычка «пришёл код в SMS — значит, всё хорошо» окончательно уходит, а банкам придётся спорить не о том, нужна ли биометрия в принципе, а о том, на каком именно шаге воронки её включать, чтобы не убить LTV нового клиента.