comibank.

Анатомия цифрового банкинга и финтех-трендов

Безопасность и идентификация

Удаленная идентификация: безопасны ли KYC-сервисы

«Пройдите проверку личности за две минуты» — любимая фраза необанков, криптобирж и финтех-приложений. Звучит как сервисная победа над очередью в отделении.

Удаленная идентификация: безопасны ли KYC-сервисы

Безопасность удаленной идентификации KYC в необанках держится не на одном «селфи с паспортом», как принято думать, а на связке биометрии, проверки документов, антифрода, защищенной аутентификации и инфраструктуры хранения данных. И вот здесь начинается самое интересное: чем сильнее банк закрывает дверь для мошенника, тем больше персональных данных он собирает о нормальном клиенте. Регулятор аплодирует. Рынок делает вид, что это исключительно забота о пользователе. Ну конечно.

Как необанки проверяют паспорт онлайн — и почему это не просто фотография

Удаленная идентификация в нормальном необанке устроена как последовательность взаимных подозрений. Клиент подозревает банк в избыточном сборе данных. Банк подозревает клиента в том, что он не клиент. Регулятор подозревает всех сразу — это у него должностная инструкция.

Обычно KYC-сценарий собирается из нескольких слоев:

1. Проверка документа.

Приложение просит сфотографировать паспорт, ID-карту или другой документ. Алгоритмы смотрят на структуру документа, читают MRZ-зону там, где она есть, сверяют шрифты, поля, признаки редактирования, качество ламинации, блики, геометрию. Поддельный документ сегодня — не обязательно кривой Photoshop из 2012 года. Это может быть аккуратная синтетическая сборка, которую человек-оператор на потоке пропустит быстрее, чем признается в усталости.

2. Биометрическая проверка лица.

Пользователь делает селфи или короткое видео. Система сопоставляет лицо с фотографией в документе. В идеальных условиях современные системы распознавания лиц могут показывать точность выше 99%. Ключевое слово — «идеальных». А жизнь, как назло, состоит из плохого света, старых камер, дрожащих рук, бород, очков, косметики, травм, возрастных изменений и клиентов, которые открывают счет ночью на кухне.

3. Liveness Detection — проверка на живость.

Это слой, который должен понять: перед камерой живой человек, а не распечатанная фотография, запись с другого экрана, маска или дипфейк. Без него KYC превращается в театральный реквизит: покажи картинку — получи доступ.

4. Проверка устройства и сессии.

Необанк смотрит, с какого телефона идет регистрация, не используется ли эмулятор, VPN с подозрительной историей, массовый IP, автоматизированный сценарий. Иногда анализируются скорость ввода, переключения экранов, повторяемость движений. Финтех любит называть это «поведенческой аналитикой». По-человечески — слежка за тем, как вы нервно тыкаете в экран.

5. Многофакторная аутентификация.

После идентификации аккаунт нужно защищать. И здесь многие банки до сих пор цепляются за SMS, хотя 2FA через SMS считается менее безопасной, чем аппаратные ключи или push-подтверждения в защищенном приложении. SIM swapping — не городская легенда, а рабочая мошенническая дисциплина.

KYC в необанке — это не вопрос «узнали ли лицо». Это вопрос, сколько независимых подозрений совпало в одну приемлемую версию личности.

С точки зрения пользователя всё выглядит как одно окно: паспорт, селфи, код. С точки зрения банка это конвейер рисков. И на каждом участке есть цена ошибки: пропустить мошенника, заблокировать живого клиента, собрать слишком много данных, потерять их, получить штраф, испортить конверсию. В этом порядке у бизнеса, разумеется, бывают разные приоритеты.

Liveness Detection: где заканчивается селфи и начинается борьба с театром

Liveness Detection — критический компонент KYC, потому что атаки на удаленную идентификацию давно вышли за пределы «поднесли фото к камере». В индустриальной терминологии это называется Presentation Attack Detection, PAD: защита от атак презентации. То есть от попытки предъявить системе не живого человека, а его заменитель.

Стандарт ISO/IEC 30107, принятый в первой части в 2016 году, как раз задает рамку для тестирования биометрических систем на устойчивость к таким атакам. Регуляторный язык сухой, но смысл простой: если система не умеет отличить лицо от спектакля с лицом, ей рано доверять деньги.

Методы Liveness Detection обычно делят на активные и пассивные.

ПодходКак работаетСильная сторонаСлабое место
Активная проверкаПросит повернуть голову, моргнуть, улыбнуться, произнести фразуЛегко объяснить пользователю, удобно для базового антифродаДействия можно воспроизвести на видео или сгенерировать, если сценарий предсказуем
Пассивная проверкаАнализирует микродвижения, текстуру кожи, глубину, отражения, признаки съемки с экранаМеньше трения для клиента, сложнее понять правила игрыТребует качественных моделей и хорошей камеры, чувствительна к условиям
Комбинированная проверкаСмешивает активные задания, анализ изображения, риск сессии и устройстваЛучше против массовых атакДороже, сложнее, чаще дает спорные отказы на «пограничных» пользователях

Парадокс такой: чем удобнее KYC, тем меньше пользователь замечает защиту. Чем заметнее защита, тем сильнее падает конверсия. Финтехи годами продавали рынку идею «банк без отделений», а теперь вынуждены доказывать, что отсутствие человека за стойкой не означает отсутствие контроля.

И это не только банковская история. Физические офисы уходят из повседневной финансовой рутины, что хорошо видно по европейскому рынку: обсуждение перехода банковских клиентов в цифровые каналы на фоне закрытия отделений — уже не про недвижимость, а про новую модель доверия. Если раньше личность подтверждалась присутствием у стойки, теперь её подтверждает стек из камеры, API, биометрии и риск-моделей.

Государству эта модель нравится. Она масштабируема. Она оставляет следы. Она стандартизируется. И, что особенно удобно, ответственность можно распределить по цепочке: банк, KYC-провайдер, облачная платформа, телеком-оператор, пользователь, который «сам передал код мошенникам». Все при деле, никто полностью не виноват.

Дипфейки, поддельные документы и социальная инженерия: кто реально ломает KYC

Риски удаленной верификации KYC принято описывать как техническую гонку: алгоритм против дипфейка, антифрод против бота, биометрия против маски. Это правда, но только наполовину. Вторая половина скучнее и опаснее: человека ломают не кодом, а сценарием разговора.

Основные атаки на KYC-системы сегодня крутятся вокруг трех направлений.

1. Синтетические медиа и дипфейки

Дипфейк для KYC — не обязательно голливудское видео. Мошеннику часто достаточно сгенерировать лицо, анимировать фотографию, подменить видеопоток или использовать запись реального человека. Чем слабее проверка на живость, тем дешевле атака.

Здесь у банков неприятная развилка. Если они ужесточают биометрический фильтр, растет число ложных отказов. Клиент с плохой камерой или нестандартной внешностью получает «попробуйте снова» десять раз и уходит. Если фильтр мягкий — в систему заходят синтетические личности. Красиво, быстро, цифровизация победила.

2. Поддельные документы и ID fraud

Подделка документов — старая профессия, просто теперь она получила API-обвязку. Документ может быть полностью фальшивым, частично измененным или настоящим, но украденным. KYC-система должна поймать не только грубую правку, но и несостыковки между документом, лицом, страной выдачи, возрастом, устройством, номером телефона и поведением в сессии.

Самый неприятный тип — синтетическая личность. Это когда фрагменты реальных данных смешиваются с выдуманными. На бумаге человек вроде существует. В реальности — финансовый Франкенштейн с хорошей фотографией.

3. Манипуляция сессией через социальную инженерию

Классика: мошенник убеждает жертву пройти «верификацию», «подтвердить безопасность счета», «обновить данные», «получить выплату». Жертва сама показывает паспорт, сама делает селфи, сама вводит код. Технически KYC прошел настоящий человек. Экономически счет достался не ему.

Вот почему заявления «у нас есть биометрия, значит безопасно» звучат как корпоративная колыбельная. Биометрия подтверждает тело в кадре. Она не подтверждает, что человек понимает, на чье имя, в чьих интересах и для какой операции он проходит проверку.

Система может узнать ваше лицо и всё равно не понять, что вами в этот момент управляет чужой сценарий.

Поэтому зрелая KYC-защита смотрит не только на лицо и документ, но и на контекст: новый ли номер телефона, были ли недавние смены SIM, совпадает ли устройство с историей клиента, нет ли удаленного доступа к экрану, не повторяется ли паттерн массовых регистраций. Это уже зона антифрода, где безопасность незаметно превращается в поведенческую досье-машину.

Утечка данных при KYC-верификации: главный риск не в камере, а в хранилище

Вопрос «безопасность селфи с паспортом в банке» обычно задают так, будто самый опасный момент — это сама съемка. Камера, лицо, документ, неловкое выражение. Но куда важнее другой вопрос: где потом живет этот набор данных и кто имеет к нему доступ.

KYC-данные токсичны. В нормальном смысле слова. Их нельзя «поменять», как пароль. Если утек пароль — неприятно, но его можно заменить. Если утек шаблон лица, скан паспорта, дата рождения, адрес, номер документа и история идентификации — поздравляю, вы теперь пожизненный актив для мошеннического рынка.

ENISA в отчетах по угрозам кибербезопасности указывала, что в финтех-секторе утечки часто связаны с уязвимостями API и недостаточной защитой облачных инфраструктур, где хранятся чувствительные данные. Перевод с бюрократического: необанк может иметь красивый экран регистрации и дырявый черный ход для интеграций.

Типовые инфраструктурные риски выглядят так:

  • Слабые API между банком и KYC-провайдером.

Удаленная идентификация редко живет целиком внутри одного банка. Документы проверяет один сервис, биометрию — другой, санкционные списки — третий, хранение — четвертый. Чем больше стыков, тем больше мест, где токен доступа превращается в ломик.

  • Избыточное хранение исходных изображений.

Бизнес любит хранить «на всякий случай»: для аудита, споров, регулятора, переобучения моделей. Регулятор тоже любит, когда всё можно поднять задним числом. Пользователь в этой любви — расходный материал.

  • Недостаточная сегментация доступа.

Если сотрудник поддержки, подрядчик или внутренний сервис может видеть больше, чем нужно для задачи, это не сервис — это приглашение к будущему инциденту.

  • Ошибки в облачной конфигурации.

Облака сами по себе не зло. Зло — бакеты, ключи, роли и логи, настроенные в режиме «потом поправим». Потом обычно приходит расследование.

  • Слабая криптографическая дисциплина.

Шифрование данных «в покое» и «в передаче» давно стало обязательной гигиеной. Но гигиена отличается от здоровья: если ключи лежат рядом, доступы не ротируются, а логи содержат лишнее, шифрование превращается в красивую наклейку на двери.

GDPR и локальные режимы защиты персональных данных требуют минимизации, правовых оснований обработки, контроля доступа, уведомлений об инцидентах. На презентациях это выглядит стройно. В реальности финтех живет между двумя противоречивыми командами: «собирай меньше данных» и «докажи регулятору, что ты всё проверил». Как совместить? Обычно — расширенной политикой конфиденциальности, которую никто не читает, кроме юристов и пострадавших после утечки.

2FA после KYC: почему SMS — это слабая подпорка для сильной идентификации

После успешного KYC начинается вторая серия: как банк защищает уже созданный аккаунт. И здесь рынок часто умудряется испортить приличную биометрическую верификацию слабой аутентификацией.

SMS-код исторически удобен: дешево, привычно, работает почти у всех. Но безопасность SMS зависит от телеком-инфраструктуры и контроля над SIM-картой. SIM swapping — атака, при которой мошенник получает контроль над номером жертвы через перевыпуск SIM или перенос номера. После этого SMS-2FA превращается из фактора защиты в фактор доставки ключа злоумышленнику.

Более устойчивые варианты:

МетодЧто защищает лучшеГде неудобен
SMS-кодБазовый барьер для массовых атакУязвим к SIM swapping, перехвату и социальной инженерии
Push в защищенном приложенииПривязан к устройству и контексту операцииВозможны атаки через усталость от подтверждений и удаленный доступ
Аппаратный ключСильно снижает риск фишинга и перехватаНе массовый сценарий для розничного необанка, требует дисциплины пользователя
Биометрия на устройствеУдобна, не передает пароль в явном видеЗависит от безопасности устройства и корректной реализации

Самый здравый вариант для необанка — не молиться на один фактор, а связывать подтверждение операции с ее контекстом. Не просто «введите код», а «подтвердите перевод такой-то суммы такому-то получателю». И не где-нибудь в SMS, которое можно прочитать поверх экрана, а внутри защищенного приложения.

Но и здесь не надо впадать в рекламный экстаз. Push можно подтвердить машинально. Пользователя можно вывести на удаленный доступ. Устройство можно заразить. Любая аутентификация ломается не только криптографией, но и усталостью, спешкой, страхом, обещанием «срочно защитить деньги». Мошенники давно поняли: банковская безопасность сильнее всего в лаборатории, слабее всего — в понедельник утром у человека с кредитом и тремя звонками подряд.

Что отличает зрелый KYC от декоративного

Безопасность KYC нельзя оценить по тому, просит ли приложение моргнуть. Это уровень витрины. Зрелая система отличается не одним эффектным элементом, а связностью защиты.

Признаки более зрелого подхода:

1. Liveness Detection встроен как обязательный слой, а не как маркетинговая опция.

Проверка на живость должна работать против фотографий, видео, экранных повторов и более сложных синтетических медиа. И да, желательно тестироваться по понятным методикам вроде ISO/IEC 30107, а не по внутреннему документу «у нас всё хорошо».

2. Документы проверяются не только визуально.

Система должна искать несостыковки между документом, биометрией, устройством, страной, номером телефона и поведением. Фрод редко приходит в одном признаке. Он приходит в странной комбинации мелочей.

3. Данные минимизируются и сегментируются.

Если необанк хранит исходные изображения дольше, чем нужно, и раздает доступы шире, чем нужно, он строит не безопасность, а будущую новость об утечке.

4. API защищены как продукт, а не как техническая труба.

KYC-интеграции должны иметь строгую авторизацию, мониторинг, лимиты, аудит, ротацию ключей. Самая дорогая биометрия бессмысленна, если соседний API позволяет выгрузить результаты проверки пачкой.

5. 2FA не сводится к SMS.

SMS может быть запасным или переходным механизмом, но не венцом банковской безопасности. Защищенный push, привязка устройства, анализ риска операции и, для продвинутых сценариев, аппаратные ключи — более взрослый набор.

6. Антифрод смотрит на социальную инженерию.

Если клиент проходит KYC под диктовку мошенника, система должна ловить косвенные признаки: удаленный доступ, необычное устройство, резкую смену поведения, подозрительную цепочку действий. Иначе биометрия просто подтверждает, что жертва действительно жива.

Проблема в том, что зрелый KYC дорогой. Он увеличивает трение, требует сильной инфраструктуры, регулярного тестирования, работы с ложными отказами, нормальной поддержки. А декоративный KYC дешевле и лучше выглядит в метриках роста. До первого крупного инцидента, разумеется. Потом все внезапно вспоминают слово «комплаенс» с лицом человека, который только что нашел пожарный выход.

Так безопасны ли KYC-сервисы в необанках?

Короткий ответ, если без пресс-релизной пудры: да, современные KYC-сервисы могут быть достаточно безопасными для массового цифрового банкинга, но они не являются неуязвимыми и не отменяют человеческий фактор. Их надежность зависит от реализации, тестирования, хранения данных и честности банка в вопросе рисков.

Биометрия и Liveness Detection действительно подняли стоимость атаки. Поддельная фотография уже не проходит там, где система настроена не для галочки. ISO/IEC 30107 дал индустрии язык, на котором можно обсуждать устойчивость к атакам презентации. GDPR и локальные нормы заставили банки хотя бы формально думать о минимизации и защите данных. 2FA стала базовым стандартом, пусть SMS и остается слабым компромиссом.

Но рынок любит подменять безопасность ощущением безопасности. «Селфи с паспортом» продается как быстрый вход в финансовую систему. Для банка это еще и способ снизить стоимость обслуживания, закрыть отделения, масштабировать онбординг и удовлетворить регулятора. Для государства — способ сделать финансовую личность наблюдаемой. Для мошенника — новый набор поверхностей атаки. Для клиента — удобство с отложенным риском.

Удаленная идентификация не плоха сама по себе. Плоха сказка, что цифровой KYC магически заменяет доверие. Он заменяет личную встречу инфраструктурой подозрения: камерами, моделями, API, облаками, журналами доступа и юридическими согласиями.

И главный вопрос здесь уже не технический. Если каждый вход в финансовую систему требует всё более детального биометрического и поведенческого профиля, кто в итоге получает большую власть — пользователь, который «открыл счет за две минуты», или институты, которые теперь знают, как именно он доказывает, что он существует?

Частые вопросы

Почему селфи с паспортом недостаточно для защиты аккаунта?
Одного селфи недостаточно, так как мошенники используют дипфейки, синтетические личности и поддельные документы. Для реальной безопасности необходима проверка на живость (Liveness Detection), анализ устройства и поведенческая аналитика.
Что такое Liveness Detection и зачем он нужен?
Это технология защиты от атак презентации, которая позволяет отличить живого человека перед камерой от распечатанной фотографии, маски или видеозаписи. Без этого слоя идентификация уязвима для простых подделок.
Почему SMS-коды считаются небезопасным методом защиты?
SMS-аутентификация уязвима для атак типа SIM swapping, при которых мошенники перехватывают контроль над номером телефона. Более надежными альтернативами являются push-уведомления в защищенном приложении или аппаратные ключи.
В чем главная опасность хранения KYC-данных?
KYC-данные, такие как биометрия и сканы документов, являются «токсичными», так как их невозможно заменить в случае утечки. Если база данных банка скомпрометирована, пользователь рискует стать объектом мошенничества на всю жизнь.
Может ли мошенник пройти проверку, если у банка есть биометрия?
Да, если мошенник использует социальную инженерию, чтобы заставить жертву пройти верификацию под его диктовку. В этом случае система подтверждает личность реального человека, но доступ к счету получает злоумышленник.