ФСБ, Греф и проект по оцифровке россиян
29.03.2020 11:51«Разнарядка банкам по введению похожа на разнарядку по вступлению в комсомол», — сетовал заместитель министра финансов Алексей Моисеев на совещании в Совете Федерации 18 декабря 2019 года. Речь шла о подключении банков к Единой биометрической системе (ЕБС). О ее создании во всероссийском масштабе ЦБ объявил осенью 2016 года и три года строил ее вместе с Минкомсвязи, «Ростелекомом» и ФСБ. Cистему планировалось ввести к концу 2019 года: граждане должны были получить возможность сдать биометрию в любом отделении любого банка, но проект забуксовал и почти встал.
Как начинался один из самых громких финтех-проектов ЦБ, какую роль в нем сыграла ФСБ и почему даже спустя почти четыре года он вызывает ожесточенные споры?
Динамическая модель человека
В мае 2016 года глава Сбербанка Герман Греф, возможно, устав от мемов «где карту получали, туда и идите», объявил, что банк в ближайшие два-три года откажется от пластиковых карт, заменив их двумя технологиями — распознаванием лица и голоса. И уже в июле 2017 года в офисе Сбербанка Agile home на Кутузовском проспекте появился первый банкомат со встроенной биометрией, клиенту нужно было всего лишь показать лицо, карта для совершения операций не требовалась.
В том же 2016 году о создании ЕБС объявил ЦБ. Ее обсуждали и раньше, но летом 2016 года как будто куда-то заторопились, говорит источник Forbes, близкий к «Ростелекому»: «Буквально за три месяца прошли все совещания, была разработана идея. Это было самое быстрое согласование в госорганах в моей карьере». Такая спешка была нужна, чтобы не допустить появления монополии Сбербанка на рынке биометрии, объясняет источник.
К тому моменту, когда ЦБ объявил о создании ЕБС, власти занимались вопросом удаленной идентификации граждан уже не первый год. Минсвязи и «Ростелеком» работали над системой электронного правительства, которое позволило бы гражданам получать госуслуги удаленно, без визита в присутственные места. Система носила сложносочиненное название «Единая система идентификации и аутентификации», или ЕСИА. В какой-то момент появилась идея расширить ЕСИА, подключив банки, рассказывает бывший замминистра связи Алексей Козырев, курировавший в министерстве эту тему. Он вспоминает, что в начале 2016 года лично пришел к первому зампреду ЦБ Ольге Скоробогатовой с идеей применить удаленную идентификацию к банкам, но выяснилось, что простую идентификацию здесь использовать нельзя. Банки подчиняются Федеральному закону No115-ФЗ о противодействии отмыванию доходов, по которому нельзя открывать счет клиенту удаленно по логину и паролю, так как их можно украсть или передать третьему лицу. «Нужно было найти инструмент удаленной идентификации, который нельзя было бы передать третьему лицу. И единственное, что подходило, — это биометрия», — говорит Козырев.
Эта идея легла на благодатную почву, ведь банки как раз думали о том, чтобы сокращать издержки за счет предоставления части услуг удаленно. И ЦБ взялся за этот проект. Обсуждали разные варианты развития системы, рассказывает Козырев, например, биометрию радужной оболочки глаза, но она требовала дорогостоящего оборудования. В итоге решили, что будут собирать голос и лицо и использовать их вместе. «Так у нас получается динамическая модель человека. Ее подделать почти невозможно», — уверяет директор по цифровой идентичности «Ростелекома» Иван Беров.
К обсуждению довольно быстро подключились сотрудники ФСБ, так как речь шла о персональных данных значительной части россиян, говорит собеседник Forbes, знакомый с деталями проекта. «Силовики заинтересовались этой историей, решив, что было бы неплохо иметь базу данных россиян, собранную руками банков», — рассказывает источник в правительстве. По его словам, банки предлагали хранить собранные данные у себя, но силовики сказали, что база данных должна быть в одном месте и под их контролем. «У силовиков не пошел проект со всеобщей дактилоскопией, так что биометрия, то есть цифровой отпечаток личности, им оказалась очень кстати», — говорит собеседник Forbes, знакомый с деталями проекта. На одном из совещаний в кабмине позицию ФСБ поддержал первый вице-премьер Игорь Шувалов. «Он сказал: ребята, вы не понимаете политического момента. Надо, чтобы было все под контролем», — вспоминает чиновник правительства. Собирать и хранить базу поручили «Ростелекому». За пять лет госкомпания должна потратить на проект 1,5 млрд рублей, а окупить его при помощи взимания комиссий с банков, вспоминает Козырев. Сейчас банки платят «Ростелекому» за обращение к ЕБС 200 рублей за одного клиента, 100 рублей идет банку, который снял биометрию и добавил ее в систему.
Проект задумывался легким и удобным для банков, но в итоге получился дорогим и тяжелым из- за требований по безопасности от ФСБ. «Сдохнуть можно было, — описывает работу с силовиками источник Forbes в ЦБ. — ФСБ вообще никогда помощь не оказывает. Они приходят и говорят: будет вот так. И все». ФСБ хотела максимально защитить данные ЕБС, например, обезопасить не только внешние каналы передачи биометрических данных, но и внутренние в любом банке, который бы к ней подключился, рассказывает один из источников Forbes. Переговоры шли долго. В итоге ФСБ сняла часть требований: отказалась от идеи защищать внутренние каналы передачи данных в банке так же, как и при передаче биометрии от банка в «Ростелеком».
Сбербанк против ЦБ
Система была технически готова летом 2018 года, тогда же вступило в силу требование для банков о создании инфраструктуры для сбора биометрии. В декабре того же года в Госдуму внесли законопроект, который должен был упорядочить все вопросы, связанные с ЕБС. Он же вводил требование к банкам оказывать клиентам финансовые услуги через удаленную идентификацию. Летом 2019 года законопроект дошел до первого чтения, но там и остался. Банки выступили резко против, а правительство в отзыве написало, что принять законопроект можно только при условии существенной доработки. Банки пользоваться системой не хотят. Главным публичным критиком проекта стал Сбербанк. «Все эти технологии — они пока сыроваты, поэтому мы говорим: пока не нужно распространять в обязательном порядке на всю ЕБС вот эти самые юридически значимые действия», — рассказывал Герман Греф на встрече с клиентами премиального сегмента «Сбербанк Первый» в ноябре 2019 года.
Осенью 2019 года Греф вместе с главой Ассоциации банков России Георгием Лунтовским и предправления Альфа-банка Андреем Соколовым написал письмо главе ЦБ Эльвире Набиуллиной. Еще одно письмо, на этот раз только за подписью Германа Грефа, Сбербанк направил в декабре на имя председателя Госдумы Вячеслава Володина. Банкиры просили дать банкам право самим составлять перечень услуг, которые они будут предоставлять, используя биометрию. Еще они указывали на угрозу государственной монополизации рынка биометрических данных и выступали против того, чтобы ЦБ сам определял угрозы безопасности в системе биометрии. Письмо произвело эффект разорвавшейся бомбы. Возмущению ЦБ не было предела. Отдельное совещание с банками и представителями ЦБ собрали у главы комитета по финансовым рынкам Госдумы Анатолия Аксакова. На него приехали представители ВТБ, Почта-банка, Альфа-банка, Сбербанка и др. От ЦБ приехала Ольга Скоробогатова. «Должны были обсуждать что-то другое, но в итоге все обсуждали письмо», — говорит один из участников того совещания. Он вспоминает, что Скоробогатова очень эмоционально реагировала на критику.
В письме к Володину Греф указывал на дыры в системе безопасности. Например, ЕБС уязвима в случае мошеннических атак, когда применяются такие методы, как Liveness — подмена человека с видео, и Deepfake — созданные на базе нейронных сетей копий лиц и голосов. Подмена может происходить в момент регистрации биометрии или распознавания. Кроме того, в случае с распознаванием лица в ЕБС возможность ошибки составляет 1:100 000, а в случае с голосом — лишь 1:1000, поэтому использовать голос опасно.
Еще один камень преткновения между Сбербанком и ЦБ — это собранные данные. Для Сбербанка участие в ЕБС будет фактически означать, что другие банки получат доступ к его клиентской базе. «Какой смысл вкладываться в систему, если есть риск потерять клиентов?» — вопрошает собеседник Forbes из Сбербанка. По данным на конец 2018 года, Сбербанк собрал миллионы образцов биометрических данных — слепков голосов и изображений лиц, говорил Греф. Более свежие данные в Сбербанке предоставить отказались. В ЕБС сейчас зарегистрировано более 130 000 человек. С позицией Сбербанка солидарен и крупнейший частный банк страны. «Чтобы пользоваться биометрией нормально, там должны быть все наши клиенты. Но отдавать их другим банкам через ЕБС мы не хотим», — говорит источник в Альфа-банке. По его словам, Альфа-банк даже вынужден создать собственную биометрическую систему, так как ЕБС не отвечает его потребностям.
Депутаты Госдумы работают над тем, чтобы смягчить требования к банкам по внедрению биометрии, сказал Forbes Анатолий Аксаков. Уже договорились, что банки не должны будут устанавливать оборудования во всех отделениях: «Сейчас мы пытаемся определить, в каких офисах будет осуществляться прием биометрических данных. Требования еще прописываются».
Создатели биометрической системы Центробанка и «Ростелеком» параллельно ищут, каким образом расширить применение биометрии. В феврале 2020-го, к примеру, в кафе Coffee Bean в столичном районе Замоскворечье начали принимать оплату по биометрии. Чтобы заплатить за кофе, нужно приблизить лицо к планшету у кассы. Проект биометрического эквайринга совместно запустили «Ростелеком» и банк «Русский стандарт». Банк собирает биометрию и для ЕБС, но других услуг по биометрии пока не предоставляет. «На финансовой сфере ограничивать применение биометрии нельзя, она интересна и другим отраслям и предприятиям. Когда они начнут ею пользоваться, появится и спрос», — уверен Иван Беров из «Ростелекома». Сейчас, например, тестируют возможность покупки бензина на заправке (над этим проектом работают «Ростелеком», «Открытие» и «Лукойл») или проезда в метро (ВТБ и Сбербанк) при помощи биометрии.
Банкомат с встроенной биометрией в офисе Сбербанка Agile home на Кутузовском проспекте так и продолжает работать в тестовом режиме.