Биометрия для банков, МФО и платежных организаций РК: новые требования
Теперь алгоритмы Liveness Detection для защиты от подмены обязаны требовать от пользователя выполнения не менее 3 визуальных команд.
Совместным постановлением правления Агентства РК по регулированию и развитию финансового рынка от 26 июня 2026 года № 99 и правления Национального Банка от 29 июня 2026 года № 72 утверждены правила проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального Банка РК, передает Uchet.kz.
Совместное постановление вводится в действие с 12 июля 2026 года, за исключением подпункта 2) и части второй пункта 24, подпункта 3) пункта 25, пунктов 26 и 27 правил, которые вводятся в действие с 19 июля 2026 года.
Процесс проводится по изображению лица аутентифицируемого и состоит из следующих этапов:
— Получение достоверного текущего изображения лица и ИИН посредством программного обеспечения (с защитой от подмены камеры и эмулируемой среды).
— Процедура проверки достоверности изображения (Liveness Detection) для предотвращения подмены. Аутентифицируемому направляется не менее трех сигналов или команд для создания визуальных изменений в кадре. Три неуспешных повтора означают отрицательный результат.
— Получение эталонного изображения из доступных источников (госбаз данных), НСБА или верифицированного изображения из базы провайдера.
— Сличение текущего изображения с эталонным или верифицированным.
По результатам проверки достоверности и сличения формируются электронные документы, которые удостоверяются ЭЦП провайдера и хранятся у заказчика (финансовой или платежной организации). Каналы связи за пределами цифровой инфраструктуры шифруются. Для лиц с инвалидностью обеспечивается возможность выбора между сеансом видеоконференции и технологией проверки достоверности.
Переданные организациями изображения лиц используются ЦОИД для аутентификации и наполнения базы данных НСБА. Для наполнения подходят изображения, прошедшие проверку с результатом соответствия не менее 95% достоверности и не менее 95% соответствия эталонному изображению.
Видеозаписи обращений и результаты биометрической аутентификации хранятся в финансовых организациях не менее пяти лет со дня прекращения деловых отношений с клиентом. В самом ЦОИД согласия и результаты хранятся также не менее 5 лет.
Банки обязаны использовать услуги ЦОИД при оказании электронных банковских услуг в случаях:
— дистанционного установления деловых отношений (открытия счета);
— создания ЭЦП и выдачи сертификата аккредитованным удостоверяющим центром банка (если клиент ранее не был аутентифицирован лично или через ЦОИД);
— превышения установленного размера суммы банковского займа;
— первичной регистрации в мобильном приложении или на интернет-ресурсе банка;
— в иных случаях в целях противодействия легализации доходов и финансированию терроризма.
Микрофинансовые организации — при превышении установленных размеров суммы микрокредита. Платежные организации (операторы систем электронных денег) — для аутентификации владельцев электронных денег.
Напомним — 9 апреля 2027 г. в Алматы пройдет конференция PROFIT Retail & Finance Day, посвященная новым технологиям в ритейле и финансовом секторе Казахстана.