ATM-биометрия: необходимость или маркетинговая акция?

В рамках своего проекта по усилению безопасности применения платежных карт в банкоматах (АТМ) осенью 2004 г. крупнейший японский банк Bank of Tokyo-Mitsubishi эмитировал смарт-карты, в памяти чипа которых, помимо платежного приложения, содержатся оцифрованные биометрические данные держателя — оцифрованное изображение венозной сетки его пальцев. Параллельно с этим процессом банк начал устанавливать банкоматы с дактилоскопическим считывателем на улицах Токио. Для снятия наличных в ATM клиент Bank of Tokyo-Mitsubishi должен после помещения своей карты в картридер устройства, пройти дактилоскопическую аутентификацию, положив свою ладонь на считыватель банкомата. Процедура сравнения дактилоскопического рисунка пользователя с данными, размещенными на карте, занимает до 15 секунд, при положительных результатах аутентификации ему будет предложено ввести стандартный ПИН-код. Услуга дактилоскопической аутентификации, предлагаемая Bank of Tokyo-Mitsubishi, является платной: для этого клиент должен заплатить сумму порядка 100 долл. США в год. При этом в случае, если злоумышленнику все же удастся взломать безопасность новой системы и получить наличные по карте клиента, участвующего в программе, банк гарантирует ему возмещение потерь на сумму до 950 тыс. долл. Производителем и поставщиком смарт-карт в проекте выступила местная компания Dai Nippon Printing. По заявлению компании, для хранения биометрических данных в чипе карты выделено от 20 до 24 Кбайт памяти. Кроме того, на новых картах, эмитируемых на базе EMV-совместимого карточного продукта Visa International, присутствуют платежное приложение для револьверного кредитования и электронный кошелек Edy. Карта имеет дуальный контактно-бесконтактный интерфейс, который в будущем планируется использовать в проекте оплаты проезда на общественном транспорте Токио. В течение ближайшего года банк намерен эмитировать до 1 млн данных карт. Ожидается, в случае успеха проекта Bank of Tokyo-Mitsubishi большинство других крупных японских эмитентов также приступит к эмиссии аналогичных карточных продуктов и адаптировать свои АТМ-сети к поддержке биометрической аутентификации держателей. Примечательно, что введение подобного сервиса на рынках других странах мира в обозримом будущем их участниками пока не рассматривается. Более того, однозначного мнения относительно целесообразности проекта Bank of Tokyo-Mitsubishi среди мирового банковского сообщества пока не существует. Несомненно, что в будущем способы аутентификации клиентов в банковских устройствах самообслуживания должны претерпеть принципиальные изменения. При этом EMV-миграция, переход на стандарт 3DES или увеличение длины ПИН-кода не могут служить панацеей от банкоматного мошенничества на фоне таких методов, как скимминг, фишинг и т. д., все чаще используемых преступниками на фоне масштабного внедрения данных технологий во всем мире. На этом фоне японский проект представляет явный практический интерес как для платежных систем и банков, так и для производителей терминальных устройств. С другой стороны, в настоящий момент многие эксперты рассматривают биометрическую аутентификацию на АТМ как дополнительную «приманку» для привлечения банком новых групп держателей карт, падких на технологичные сервисы и готовых нести дополнительные расходы за их использование. Действительно, стоимость адаптации банкоматов к проведению дактилоскопической аутентификации сегодня настолько высока, что сможет отпугнуть от участия в данном проекте большинство банков. Кроме того, учитывая особенности EMV- и 3DES-миграции, многие банки вполне могут рассудить, что в нынешней ситуации им проще и выгоднее произвести все требуемые платежными системами мероприятия по обеспечению безопасности и полагаться на правило переноса ответственности за мошеннические транзакции.