Клиенты «Тинькофф Банка» обнаружили свою биометрию на «Госуслугах». Для многих из них это стало неприятным сюрпризом. Люди не понимают, как такое произошло — ведь согласие на передачу персональных данных они не давали. Оказалось, что разрешения брали неочевидными способами, например, во время входа в приложение или ввода пин-кода в банкомате. Рассказываем, какие именно данные банк передал в базу государственной платформы и как их оттуда удалить, если есть сомнения в сохранности.
«У половины коллег есть эти уведомления»
Летом прошлого года мы писали, что российские банки будут передавать биометрические данные клиентов государству. Именно тогда начали приходить первые уведомления на «Госуслугах». Но сейчас история, похоже, приобрела массовость. Уведомление о регистрации биометрии на «Госуслугах» через «Тинькофф Банк» получили сразу несколько пользователей. Их первая реакция — непонимание и подозрение на утечку данных.
— После того, как три года назад я погасил ипотечный кредит, никакими новыми услугами, продуктами банка не пользовался и биометрические данные не передавал, — рассказал нашим колегам из 74.RU читатель Вячеслав. — 15 февраля пришло уведомление о регистрации биометрии, но согласия я не давал, у меня его и не спрашивал никто.
Вячеслав написал в службу поддержки клиентов банка, чтобы выяснить, каким образом было получено его согласие на сбор и передачу данных на «Госуслуги». Выяснилось, что согласие было получено «при входе в мобильное приложение» в ноябре прошлого года.
Читательница Наталья тоже обнаружила свои биометрические данные на портале государственных услуг.
— Практически у половины коллег, у кого есть приложение «Тинькофф Банка», есть эти уведомления о биометрии на «Госуслугах». Я знаю, что в банках уже давно спрашивают о биометрии — делают запись голоса, фотографируют лицо, ссылаясь на безопасность. Но я каждый раз отказывалась, опасаясь того, что и их базу взломают: столько историй про мошенников, имитирование голоса и так далее. Теперь же мои данные появились на «Госуслугах» явно без моего согласия, — пришла к выводу клиентка банка.
Журналисты 74.RU спросили в службе поддержки «Тинькофф Банка», как они получают согласие на передачу биометрических данных. Способов оказалось несколько.
— Мы обработаем биометрию и передадим ее в Единую биометрическую систему только после того, как вы дадите согласие. Есть несколько способов, как это можно сделать: подписать договор на встрече по новому продукту. Про биометрию будет написано в пункте 2.24 условий обслуживания. Перейти в сторис [приложения] и нажать «Разрешить». Открыть баннер в приложении Тинькофф и нажать «Разрешить». Ввести пин-код в банкомате. На экране, где это нужно сделать, будет уведомление «Продолжая, вы соглашаетесь...». Если нажмете «Отказаться», обработать вашу биометрию и передать ее в ЕБС (Единую биометрическую систему. — Прим. ред.) не сможем, — сообщили в службе поддержки.
Еще согласие на передачу биометрии получают при входе клиента в приложение на Andoid c версией 6.25 и выше. В нижней части экрана там появляется сообщение «Продолжая, вы соглашаетесь...». Не исключено, что читатель Вячеслав не заметил это сообщение, написанное мелким шрифтом.
Какие дают гарантии безопасности
На сайте банка размещены подробные ответы на вопросы клиентов о биометрии. Там ссылаются на закон №572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных», принятый в 2022 году и обязывающий кредитные учреждения передавать биометрические данные своих клиентов в ЕБС.
— Чтобы банк мог и дальше использовать изображение и голос клиента для подтверждения личности, клиент должен дать на это разрешение. Тогда банк сможет передать информацию в ЕБС и затем сверяться с ней, если заподозрит мошенничество против клиента. Но в любом случае вы не останетесь без защиты: в случае подозрений свяжемся с вами по телефону и зададим вопросы, ответы на которые может знать только владелец счета, — говорится на сайте «Тинькофф банка». — Такой способ проверки личности может занимать десятки минут, в то время как на проверку по биометрии обычно уходит гораздо меньше времени — иногда всего 15 секунд.
На «Госуслугах» тоже размещена информация о ЕБС и передаче биометрии пользователей. Сообщается, что оператором системы является АО «Центр Биометрических Технологий», который обеспечивает сбор, хранение, обработку и проверку полученных данных.
При этом из пяти самых распространенных видов биометрии (отпечаток пальца, изображение лица, сетчатка глаза, рисунок вен и запись голоса) на «Госуслугах» используют только два: изображение лица и голос. Защищенность этих данных гарантирует сертификат ФСБ, говорят на «Госуслугах»:
— Работа с биометрией ведётся с соблюдением всех требований информационной безопасности, а защищённость самой системы подтверждена сертификатом ФСБ.
Если уровень защищенности «Госуслуг» или Единой биометрической системы вам кажется недостаточным, можно отказаться от предоставления этих данных, либо отозвать свое согласие, данное ранее.
Такой алгоритм действий на сайте «Госуслуг» позволит удалить биометрические данные из системы:
перейдите в личный кабинет → профиль → биометрия;
выберите биометрию, которую хотите удалить, и нажмите «Удалить».
Напомним, по задумке, единая биометрическая система вместе с «Госуслугами» позволит идентифицировать человека при предоставлении государственных и коммерческих услуг. На официальном сайте ЕБС указано, что биометрия будет применяться не только при оказании государственных услуг и финансах, но и в ритейле, онлайн-покупках и образовании.
Тот факт, что биометрические данные всех россиян будут собраны в одном месте, не может не настораживать. Беспокойства добавляют регулярные утечки данных: слитыми оказывались данные пользователей «Яндекс.Еды», персональные данные клиентов лаборатории «Гемотест» и даже информация о покупателях «Леруа Мерлен» и «Ашана». Также в прошлом году распространялась информация об утечках данных из «Госуслуг», но позже Минцифры это опровергло.