Изображение сгенерировано нейросетью DALL-E
На волне цифровизации финтех-компании рекламируют свои разработки, убеждают нас в ценности комфорта и быстрых услуг, но при этом тактично умалчивают о том, как получают всё больше возможностей использовать наши личные данные, вторгаться и менять их по своему усмотрению. Инновации финтеха — это наступившее прекрасное будущее или цифровой концлагерь, пытались разобраться эксперты и журналисты наш сайт.
Руку на отсечение
Цифровизация уже не только перешла из области фантастики в повседневную реальность, но и начала настойчиво вторгаться в нашу жизнь. Банковские переводы, кредиты и депозиты в мобильном телефоне, доступ к государственным базам данных и получение документов через банковские приложения.
Оплачивая доставку с маркетплейса, меняя валюту или получая справку, не вставая с дивана, никто не захочет думать о том, что всегда есть подвох.
Не так давно казахстанская финтех-компания Kaspi представила свои очередные инновации, которые обещают простоту и комфорт. Компания предлагает подтверждать платежи отпечатком ладони. То есть теперь не нужно даже иметь при себе мобильный для сканирования QR-кода и одобрения платежа.
Получается, что финтех-компания будет хранить у себя ещё один набор данных о нас — отпечаток ладони. Это уникальные данные, такие же, как отпечатки пальцев. Данные, которые мы передали Kaspi, как нам говорят, надёжно защищены.
Естественно, большинство казахстанцев не может это проверить. Только единицы обладают достаточными компетенциями, чтобы разобраться в системе защиты данных в банке. А из этих единиц к системе защиты данных финтех-компании может иметь допуск хорошо если всего один человек, и он, конечно же, никаких секретов нам не откроет.
Поэтому нам остаётся только один путь измерения надёжности — по внешним, косвенным данным, по тому, что происходило и происходит с данными казахстанцев, уже пользующихся услугами финтех-компаний.
Во-первых, как раз в день презентации «платы рукой» основательница и главный редактор наш сайт Гульнара Бажкенова вышла на акцию протеста. Причина — весьма неприятная история, которая произошла с её документами в базе данных «Правительства для граждан». Если коротко, то часть документов о создании «Орды» загадочным образом исчезла из базы данных, другие оказались взломаны и испорчены. И Гульнара Бажкенова утверждает, что в этом вторжении виноваты «мастера» из Kaspi.
Другая громкая история, характеризующая защиту данных клиентов банков, разворачивается в соцсетях депутата мажилиса Мурата Абенова. На прошлой неделе он выступил с заявлением и потребовал списать кредиты, которые оформили на казахстанцев мошенники:
«Недавно ко мне обратился один человек с жалобой на крупный банк. Банк уверял, что у них есть видео. Потом я пошёл в Нацбанк, мы запросили информацию, и там ответили: через них этот человек не проходил. Когда начали выяснять, банк ответил, что в 2014 году клиент приходил, они сняли копию его удостоверения и по ней сделали биометрию. Как банк мог проводить биометрию по старой фотографии из удостоверения 2014 года? Этот кредит должен быть списан хотя бы потому, что человека обманули, а мошенники этим пользуются».
Он заявил, что цифровизацию в стране проводят «поспешно и насильственно», у каждого казахстанца должно быть право отказаться от услуг цифровых сервисов, прийти в банк, оформить и лично подписать документы на бумажном носителе.
В соцсетях депутата десятки публикаций на тему мошенничества с кредитами. Среди них — истории незаконного использования биометрических данных, создания ЭЦП за клиентов, оформления кредитов на тех, у кого даже нет банковского приложения.
Мажилисмен предложил внести в Уголовный кодекс норму, согласно которой все сомнения по поддельной ЭЦП или биометрии трактовались бы в пользу гражданина и можно было списать все кредиты, оформленные с использованием фальшивых цифровых данных.
В своём инстаграме Мурат Абенов заявляет, что банки должны сами закрывать кредиты, взятые мошенниками, потому что их сотрудники замешаны в преступных схемах.
«В 100 % случаев банковского мошенничества онлайн соучастником преступления является сотрудник банка, так как именно в банке создают вашу подпись, открывают счёт, подписывают договор на кредит и пересылают деньги „дроперу“ (тот, кто на свой счёт получает украденные мошенниками деньги, а затем обналичивает или пересылает дальше за вознаграждение). Ни один мошенник не смог бы все эти операции провести сразу в течение пары часов, если бы его подельник не сидел внутри банка и не имел бы доступ ко всем данным», считает депутат.
Заблокировали Христа ради
Итак, финтех получил наши личные данные. После этого нам нужно знать, насколько мы можем быть уверены, что в нужный банку момент его «спецы» не воспользуются этой информацией против нас.
Ответом на этот вопрос можно считать яркий и даже забавный (если б всё не было так грустно) случай с юмористическим видео в тиктоке.
Астанчанин по имени Айдос сделал при помощи ИИ короткий ролик, в котором мужчина в длинной белой рубахе, с бородой и длинными волосами, босой, похожий на Иисуса Христа с Благовещенской иконы, приходит в отделение Kaspi. Он обращается к людям с призывом перестать брать кредиты. Потом необычного посетителя выпроваживает охранник.
В самом видео не было ничего обидного или оскорбительного, никакой ненормативной лексики или неприличных жестов. «Иисуса» никто не обижает, ему дают высказаться, а потом вежливо сопровождают на выход.
«Я сгенерировал это видео при помощи ИИ 15 октября, загрузил в тикток, оно постепенно начало набирать обороты. И когда число просмотров уже перевалило за 300 тысяч, на следующий день мне позвонил человек, представился сотрудником Kaspi, назвал мои имя и фамилию и спросил, я ли это. Когда я ответил утвердительно, он сказал: „Вы загрузили в тикток видео про Kaspi. Удалите его“. Я был ошарашен таким требованием, тем, что сотрудник Kaspi нашёл мой номер и звонит мне с требованием удалить неугодный им ролик», рассказал автор видео.
Но потом Айдос включил запись разговора и попросил звонившего представиться и объяснить подробнее, чего он хочет. Собеседник сразу сменил тональность, начал спрашивать: «Вы что, меня записываете? А зачем вы записываете?» А потом стал уже вежливо просить удалить видео. Айдос несколько раз отказался удалять ролик по запросу неизвестного из телефона, на том беседа и завершилась.
«В тот же день ближе к ночи я зашёл в приложение Kaspi и увидел, что моя учётная запись заблокирована. И пазл в голове сложился. А после того, как я рассказал об этом случае в Threads, под постом в комментариях они ответили мне и всё это подтвердили», добавил Айдос.
Его учётная запись в системе Kaspi, а значит доступ к его личным финансам, к документам в государственной базе данных и другим сервисам, была заблокирована в течение двух суток. Только после ажиотажа в Threads, когда люди начали делиться своим мнением о Kaspi, рассказывать свои истории блокировок, финтех-компания открыла доступ к учётной записи.
То есть, получается, что если завтра чей-то комментарий, видео или пост в соцсетях не понравится представителям Kaspi, у них есть рычаг давления. Все деньги, которые клиент доверил банку, все услуги, к которым финтех нас приучает, которыми так легко и удобно пользоваться, всё это окажется недоступным.
Самое страшное, если мы вдруг поймём, что других вариантов у нас нет. Ни наличных в кошельке, ни счёта в другом банке, ни бумажных документов, с помощью которых при недоступности электронных версий можно доказать, что средства на счетах Kaspi действительно твои.
Айдос написал жалобы в Агентство финансового мониторинга и Национальный банк. Ответы от них пока не пришли.
Не больно, не страшно: чик и всё
Если задуматься, ведь у нас уже сегодня нет выбора: все банки владеют нашими данными в электронном варианте, включая электронные версии удостоверения личности, договоров о купле-продаже недвижимости, о пенсионных накоплениях, биометрическими данными.
Мы не берём бумажную справку на каждый перевод, хотя бы на относительно крупные суммы. Большинство из нас и в электронном виде чеки, справки и договоры не сохраняет на отдельном носителе. Нас со всех сторон убеждают, что бумажные документы — прошлый век, любую справку, договор или другой документ можно за секунды получить из базы данных, это надёжно и безопасно.
Независимый эксперт по кибербезопасности Райымбек Магазов в комментарии наш сайт объяснил, что биометрический шаблон ладони, в котором будут все анатомические признаки, включая венозный рисунок, намного безопаснее, чем идентификация по фото лица:
«Данные преобразуются в биометрический шаблон, а не хранятся как изображение. Система сравнивает шаблоны, что снижает риск их подделки, подмены обычной картинкой, такая технология была представлена еще у Amazone One».
По словам Магазова, биометрия по ладони лучше защищает, чем идентификация по лицу. Сегодня много ИИ-инструментов для подделки лица, а мошенникам проще достать фото наших лиц из наших соцсетей.
Как подчеркнул эксперт, технология безопасна при должной реализации, в том числе при условии безопасного хранения данных.
«Часть персональных данных действительно хранится на стороне банков, но это регулируется законом „О персональных данных и их защите“. Банк обязан соблюдать строгие требования к сбору, обработке и хранению информации, проходить аудиты и обеспечивать высокий уровень защиты», говорит Райымбек Магазов.
Как объяснил эксперт, финтех-компании по большей части выступают не как хранилище, а как посредник между клиентом и базами данных, принадлежащими государству. То есть Kaspi не хранит документ, а только предоставляет доступ к нему в базе «Правительства для граждан», обеспечивает защищённое соединение с государственным ресурсом.
Говоря о цифровизации, Райымбек Магазов обратил внимание на то, что в Казахстане и соседних государствах этот процесс развивается быстрее, чем во многих странах Европы или США. Там банковские переводы и идентификация могут занимать до нескольких дней, в то время как в Казахстане всё это происходит за секунды.
Причина в том, что на Западе люди больше ценят свою приватность и настороженно относятся к инновациям в сфере личных данных.
«США уже имеют опыт подобных систем: например, Amazon One, который использует оплату по ладони. То есть технология не является чем-то радикально новым, просто там они развиваются осторожнее из-за высокой чувствительности к приватности. В Евросоюзе относятся к биометрии как к особой категории персональных данных, и любая её обработка требует явных юридических оснований и согласия пользователя. Поэтому внедрение там идёт медленно, не из-за недоверия к технологиям, а из-за строгих регуляторных рамок», рассказал эксперт.
В Китае же ситуация противоположная. Там, по словам эксперта, система открыта к экспериментам с биометрией и массовым цифровым идентификаторам, включая ладонные и лицевые платежи. Там скорость важнее приватности, но при этом они тоже вырабатывают собственные стандарты защиты.
На вопрос, идём ли мы уже следом за Китаем в «цифровой концлагерь» или у нас есть шансы этого избежать, Райымбек Магазов ответил, что нас спасает то, что есть выбор.
«В нашей системе пока сохраняется свобода выбора. Никто не заставляет пользоваться биометрией или новыми способами оплаты. Если человеку неудобно оплачивать ладонью, он может использовать QR-код, банковскую карту или просто наличные. Главное отличие от китайской модели в том, что у нас нет принуждения и нет „цифровых санкций“ за отказ от новых технологий. Kaspi или любой другой банк не повышает комиссии и не ограничивает сервис, если вы не хотите пользоваться биометрией».
Он подчеркнул, что технологии должны расширять удобство и безопасность, а не ограничивать выбор. Пока в Казахстане этот приоритет сохранён, финтех не давит открыто на клиентов, стараясь всеми правдами и неправдами засунуть как можно больше нас в свою «цифровую соковыжималку».
Хотя уже как в популярном меме: «Когда система начнёт превращаться в цифровой концлагерь, она вам не скажет, но будут знаки».
Конечно, видеть ли вокруг «знаки» или расслабиться и радоваться удобствам финтеха, не задумываясь, это решать каждый будет сам. Но приятнее всего расслабляться, когда знаешь, что подстраховался, продублировал документы на бумажном носителе, сохранил отчёты о движении средств, поставил запрет на новые кредиты, разложил деньги по разным «корзинам».
Хотя, как показала история основательницы и главного редактора «Орды» Гульнары Бажкеновой, все возможные лазейки нашей ускоренной цифровизации предусмотреть невозможно. Теперь команда «Орды» добивается справедливости в судах, требует независимых экспертиз и привлечения профессионалов для поиска тех, кто повредил документы, и восстановления данных в базе «Правительства для граждан».