Агентство по регулированию и развитию финансового рынка и Национальный банк Республики Казахстан утвердили новые правила биометрической аутентификации.
Документ вводит обязательную проверку через Центр обмена идентификационными данными (ЦОИД) для банков, микрофинансовых и платежных организаций.
Теперь кроме лица можно использовать и отпечаток ладони, а успешные фото клиентов с высоким совпадением автоматически пополнят национальную систему биометрической аутентификации (НСБА).
Постановление вступает в силу 12 июля 2026 года. Оно касается всех финансовых и платежных организаций и заметно расширяет требования к онлайн-операциям.
Что теперь обязательно
Банки (включая филиалы иностранных банков и организации отдельных банковских операций) должны применять услуги ЦОИД при:
- дистанционном открытии банковского счета;
- выдаче электронной цифровой подписи (если клиент раньше не проходил биометрию очно или через ЦОИД);
- выдаче займов выше установленного регулятором лимита;
- первой регистрации клиента в мобильном приложении или на сайте банка;
- периодическом обновлении данных клиента по правилам противодействия отмыванию доходов;
- других случаях, которые банки сами определяют в своих внутренних правилах комплаенса.
Микрофинансовые организации, в свою очередь, обяжут использовать ЦОИД при выдаче микрокредитов выше лимита, установленного регулятором. А платежные организации – операторы электронных денег – будут проводить биометрическую аутентификацию владельцев электронных денег строго по статье 42 Закона о платежах и платежных системах.
Как это работает на практике
Аутентификацию теперь будут проводить двумя способами. Один из них – по лицу, с помощью камеры телефона или компьютера (офлайн или онлайн). Система будет проверять, что это живой человек: отправит минимум три сигнала или команды (например, «поверните голову», «моргните»).
Если результат не совпадет с ожидаемым, запрос повторят. Три неуспешных повтора – и проверку признают неудачной.
В случае же успешной проверки фото и ИИН будут отправляться в ЦОИД, который сравнит их с эталонным изображением из государственных баз или НСБА. Все результаты будут фиксировать в электронных документах с электронной цифровой подписью.
Второй вариант – по отпечатку ладони (проводится только офлайн). Сканер отпечатка должен проверять объемность, тепло и сосуды руки, чтобы исключить муляжи. Три неудачные попытки – и проверка также будет считаться безуспешной. Кроме того, в обоих случаях каналы связи будут шифровать, а все действия документировать.
Особые правила для ЦОИД
При обязательной проверке финансовая или платежная организация сначала получает от клиента согласие на биометрию, обработку персональных данных и на выпуск ЭЦП. Эти согласия будут хранить минимум пять лет. Сам банк тоже обязан хранить записи видео, фото и результаты аутентификации пять лет после окончания отношений с клиентом.
Для людей с инвалидностью предусмотрена гибкость: либо сеанс видеоконференции, либо технология проверки достоверности изображения – по выбору клиента.
Если фото клиента, полученное через видео или liveness (технология, подтверждающая, что перед камерой находится настоящий человек), показывает не менее 95% достоверности и не менее 95% совпадения с эталоном, ЦОИД будет использовать его не только для текущей проверки, но и пополнит им национальную базу биометрических данных.
Все процессы обязаны тщательно защищать: от подмены камеры, запуска в эмуляторе и несанкционированного доступа. Финансовые организации также обяжут вести подробную документацию по сбору, хранению и уничтожению биометрии.
Ранее «Курсив» писал, что Home Credit Bank проигрывает суды из-за фиктивных счетов, оформляемых на казахстанцев. Сразу в нескольких случаях злоумышленникам удавалось обойти систему безопасности банка.
