Как финорганизации будут проводить биометрическую аутентификацию клиентов: новые правила

Сегодня, 11:53
Автор материала: Эльмира Караева
Биометрическая идентификация, биометрия, идентификация Фото: freepik

АРРФР и Нацбанк приняли совместное постановление от 26 июня 2026 года об утверждении Правил проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования, сообщает prosud.kz.

Правила определяют порядок проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального банка РК (ЦОИД).

Принципы использования и защиты биометрических данных:

  • сбор и хранение биометрических данных проводится в соответствии с главой 2 Правил;
  • биометрические данные защищаются от несанкционированного доступа и распространения;
  • документирование процессов сбора, хранения и уничтожения биометрических данных.

Биометрическая аутентификация проводится по изображению лица аутентифицируемого.

Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:

  • получение достоверного текущего изображения лица аутентифицируемого;
  • получение эталонного изображения лица аутентифицируемого из доступных источников и (или) базы биометрических данных НСБА или изображения лица аутентифицируемого из базы данных верифицированных изображений провайдера биометрической аутентификации (верифицированное изображение);
  • сличение текущего и эталонного изображения лица аутентифицируемого или текущего и верифицированного изображения лица аутентифицируемого (сличение изображений).

Получение достоверного текущего изображения лица аутентифицируемого, а также ИИН осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере.

При этом в программном обеспечении реализуются как минимум следующие меры защиты:

  • контроль собственной целостности,
  • проверка на запуск в эмулируемой среде,
  • защита от подмены встроенной камеры устройства или компьютера.

При получении достоверного текущего изображения лица аутентифицируемого, с целью предотвращения подмены текущего изображения лица аутентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление аутентифицируемому не менее трех сигналов или команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.

По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки формируется электронный документ, содержащий:

  • результат проверки достоверности текущего изображения лица;
  • ИИН;
  • перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений с указанием использованных сигналов и (или) команд;
  • реквизиты заказчика биометрической аутентификации (наименование, БИН, адрес);
  • дату и время проведения проверки достоверности изображения;
  • реквизиты провайдера биометрической аутентификации (наименование, БИН, адрес).

Электронный документ удостоверяется ЭЦП провайдера биометрической аутентификации, осуществлявшего проверку, и хранится у заказчика биометрической аутентификации.

Подключение финансовых и платежных организаций к ЦОИД и получение указанными организациями сведений о результатах биометрической аутентификации посредством ЦОИД осуществляется в соответствии с Правилами ЦОИД.

Финансовая или платежная организация передает в ЦОИД ИИН аутентифицируемого либо БИН юридического лица, от имени которого действует аутентифицируемый, и изображение аутентифицируемого, полученное из сеанса видеоконференции либо с помощью технологии проверки достоверности изображения в процессе биометрической аутентификации.

ЦОИД посредством программного обеспечения определяет степень соответствия по биометрическим показателям изображения, полученного из сеанса видеоконференции либо при использовании технологии проверки достоверности изображения, с эталонным изображением лица аутентифицируемого из доступных источников и (или) из базы данных НСБА.

Видеозаписи обращений аутентифицируемых хранятся в финансовой или платежной организации не менее пяти лет со дня прекращения деловых отношений с клиентом.

Изображения лиц аутентифицируемых, переданные финансовыми и (или) платежными организациями в ЦОИД из сеанса видеоконференции либо с помощью технологии проверки достоверности изображения, используются ЦОИД для целей биометрической аутентификации и (или) наполнения базы данных НСБА.

Изображения лиц аутентифицируемых, полученные ЦОИД от финансовых и (или) платежных организаций, и прошедшие проверку с результатами соответствия не менее 95% достоверности и не менее 95% соответствия эталонному изображению лица, используются для наполнения базы данных НСБА.

Банками передаются в ЦОИД согласия аутентифицируемого:

  • на сбор, обработку его персональных данных, в том числе биометрических данных;
  • на проведение биометрической аутентификации аутентифицируемого с использованием ЦОИД;
  • на создание ключей электронной цифровой подписи и выдачу сертификата электронной цифровой подписи, в том числе, полученное при личном присутствии аутентифицируемого в банке (с 19 июля 2026 года).

ЦОИД осуществляет сбор и регистрацию согласий аутентифицируемого, с возможностью их отзыва аутентифицируемым.

Микрофинансовыми организациями услуги ЦОИД по биометрической аутентификации аутентифицируемых используются при превышении размеров суммы микрокредита.

Платежными организациями, являющимися операторами систем электронных денег, обеспечивается биометрическая аутентификация владельцев электронных денег посредством ЦОИД.

Постановление вводится в действие с 12 июля за исключением норм, которые вводятся с 19 июля.