Get best of the week

Remote-Banking-Identifikation: Von komplex bis einfach oder Banken, warum benötigen Sie biometrische Daten?


(Bild von hier )

Nicht die komplizierte Technologie führt zu besseren Ergebnissen. In dem heutigen Artikel werden wir versuchen zu zeigen, dass eine komplexe technische Lösung zur biometrischen Identifizierung und Authentifizierung von Kunden in Bankanwendungen vollständig durch die traditionelle Vorlage eines Passes ersetzt wird, aber in der modernen Interpretation der „vernetzten Welt“: Eine Anwendung mit einem integrierten Erkennungsmodul kann durchaus als „prüfender“ Mitarbeiter der Bank fungieren und Dokumentenüberprüfung. Wir haben uns nicht zum Ziel gesetzt, die Notwendigkeit der Entwicklung biometrischer Methoden zur Identifizierung einer Person als unabhängiger Technologiebereich zu kritisieren oder in Frage zu stellen. Wir zeigen, dass moderne Technologien sich gegenseitig einholen und sich aufgrund der Vereinfachung und „Erleichterung“ von Algorithmen allmählich verbessern.

Das Problem der Fernidentifizierung, insbesondere im Bankensektor, wo nicht nur die persönlichen Daten einer Person, sondern auch ihr finanzielles Wohlergehen von der Qualität der angewandten Lösung, ihrer Genauigkeit und Sicherheit abhängen, ist in letzter Zeit äußerst dringend geworden, insbesondere wenn die Welt plötzlich online gegangen ist. Die Hauptprobleme im Zusammenhang mit den technischen, rechtlichen und organisatorischen Aspekten wurden hervorgehoben. Und wenn es vor nicht allzu langer Zeit so aussah, als könnten Biometrie und Gesichtserkennung alle Probleme auf einmal lösen, stellte sich während des Stresstests, den der Planet durchlief, heraus, dass Biometrie bei weitem nicht die einzige und sicherlich nicht die sicherste Möglichkeit für alle Parteien war, eine Remote-Kundenidentifikation bereitzustellen . Es genügt zu untersuchen, wozu unsichere Erkennungstechnologien mit geringer Genauigkeit führen. Ein aktuelles Beispiel ist eine Geldstrafe, die an die falsche Person verhängt wurdeaufgrund seiner 61% igen Ähnlichkeit mit denen, für die diese Strafe bestimmt war [1].

Als wir vor einigen Jahren begannen, ein einheitliches System biometrischer Daten in unserem Land einzuführen, wurde die Fernerkennung durch biometrische Indikatoren des Menschen als die genaueste Methode zur Fernverifizierung einer Person angesehen.

So beschreiben sie den Prozess der biometrischen Fernidentifikation an einem der Standorte [2]:
— , (). , , , ( ). , : 1) ; 2) ; 3) ; 4) () , .

Es stellt sich heraus, dass der Kunde vor der Verwendung von Biometrie physisch zur Bank (oder zu einer anderen Organisation, die das System verwendet) kommen muss, um Proben seiner biometrischen Daten zu "übergeben" (die häufigsten sind das Aufzeichnen einer Stimme und das Scannen von Fingerabdrücken). Und bereits nachdem diese Beispiele in einem digitalen Repository angezeigt wurden, wird eine Identifizierung und Authentifizierung möglich. Der Prozess ist natürlich zuverlässig, aber unserer Meinung nach ist er für beide Seiten äußerst komplex und nachteilig. Einer der Vorteile dabei ist, dass die Biometrie immer (oder fast immer) bei uns ist. Deshalb ist die Identifizierung durch biometrische Daten eher in der Forensik und bei der grenzüberschreitenden Kontrolle anwendbar: Ein Bürger wird nicht nur durch seine Biometrie identifiziert, sondern auch in die entgegengesetzte Richtung - die Entsprechung biometrischer Daten zu jedem Bürger wird hergestellt.

(Bild von hier )

Das Paradoxeste (und Unangenehmste für Fans ausschließlich biometrischer Authentifizierungsmethoden) ist, dass sich die Darstellung Ihrer eigenen Fingerabdrücke, Ihrer Stimme oder Ihrer Iris technologisch nicht wesentlich von der Eingabe eines 256-Bit-Passworts unterscheidet, das nur dem Kunden bekannt ist, oder die Verwendung eines Bündels „Token-Gerät“ oder eine andere Methode zur Zwei- oder Drei-Faktor-Authentifizierung: In jedem Fall bleiben für eine Maschine alle unsere biometrischen Daten eine Reihe von Nullen und Einsen. Vor allem sind biometrische Daten nicht schwieriger zu kompromittieren als alle anderen. Ein Beispiel hierfür ist der Datenverlust der weltweit größten indischen Datenbank biometrischer Daten Aadhaar im Jahr 2017 [3].

Interessanterweise wird die Biometrie seit einiger Zeit in Europa nicht mehr als das einzige Mittel zur Fernidentifizierung bei der Bereitstellung von Diensten angesehen, die sich mit sensiblen Daten befassen.

Am 14. September 2019 trat die EU-Richtlinie PSD2 [4], auch als Open Banking bekannt, in Kraft. Banken müssen bei der Ausführung von Remote-Transaktionen unbedingt die Multi-Faktor-Authentifizierung verwenden. Dies bedeutet, dass bei der Identifizierung / Authentifizierung des Benutzers verschiedene Methoden zur Bestätigung der Identität angewendet werden sollten [5]:

  • Wissen - einige Informationen, die nur dem Benutzer bekannt sind, z. B. ein Kennwort oder eine Sicherheitsfrage.
  • Besitz - ein Gerät, über das nur der Benutzer verfügt, z. B. ein Telefon oder ein Token.
  • Einzigartigkeit - etwas, das dem Benutzer inhärent ist und die Person eindeutig identifiziert, z. B. biometrische Daten.

Neben der Verwendung biometrischer Daten als Zugangsschlüssel müssen Bankgeschäfte mit zusätzlichen Überprüfungen unter Verwendung eines Codeworts, einer Sicherheitsfrage, einer Token-Verbindung, der Verwendung eines bestimmten Geräts (Smartphone oder Computer mit einer eindeutigen Identifikationsnummer) oder PUSH / SMS-Codes einhergehen. Frage - warum sind biometrische Daten hier ?

Für Banken gibt es im Fall des erzwungenen Einsatzes biometrischer Identifikationssysteme ein weiteres großes Ärgernis. Die Implementierung biometrischer Systeme erfordert erhebliche Kosten für die Bereitstellung der zugehörigen Informationsinfrastruktur: Geräte zum Sammeln von Identifikationsdaten, Software für deren Verarbeitung, Erstellen eines Rechenzentrums oder Mieten eines sicheren Cloud-Dienstes zur Speicherung, Bereitstellung von Sicherheit usw. Aus diesem Grund stieß die Verabschiedung des Gesetzes über die obligatorische Erhebung biometrischer Daten in Russland auf den Widerstand der Bankengemeinschaft und führte dazu, dass die Verabschiedung auf unbestimmte Zeit verschoben wurde [6].

Technologien entwickeln sich und Banken ziehen nach und nach Vermittler in Form von Betreibern, Managern und Agenten aus der Kette der Interaktion mit dem Kunden heraus. Sie verbleiben nur dort, wo es notwendig ist, den sogenannten Premium-Service bereitzustellen, bei dem der Kunde nicht nur den Komfort des Service, sondern auch die persönliche Aufmerksamkeit erhält, oder in den Regionen und Kategorien von Kunden, die aus technischen Gründen nicht in der Lage sind, moderne technische Mittel einzusetzen. Der Betreiber wird durch eine „Bank in einem Smartphone“ ersetzt. Es ist wichtig, dass die Remote-Kundenidentifikation für die Bank in allen Phasen der Interaktion erforderlich ist. Bis vor kurzem haben sie selbst in großen Banken, die heute vollständig auf die elektronische Dokumentenverwaltung umgestellt haben, bei jeder Transaktion mit dem Konto physische Kopien des Kundenpasses angefertigt, unabhängig davon, ob ein Konto aufgefüllt, Geld abgehoben oderÜberweisung auf ein anderes Konto oder Abschluss zusätzlicher Vereinbarungen für den Anschluss von Internetbanking oder SMS-Information. Dies bot der Bank Schutz vor Ansprüchen des Kunden wegen umstrittener Vertragsänderungen oder Kontotransaktionen.


Bis der Staat eine einzige digitale Plattform für die Registrierung aller Bürger von der Geburt bis zum Tod geschaffen hat (Estland war dem Aufbau einer solchen vollständig digitalen Gesellschaft in Europa heute am nächsten, nachdem es in 25 Jahren einen vollwertigen elektronischen Staat aufgebaut und 99% der öffentlichen Dienste in elektronische Form umgewandelt hatte [7]) ist die physische Vorlage eines nicht digitalen (gedruckten) Passes oder eines anderen Zertifizierungsdokuments bei gleichzeitiger Überprüfung seiner Echtheit und Übereinstimmung des Inhabers mit dem im Dokument angegebenen Inhaber der genaueste Weg, um den Kunden zu identifizieren. Bei der Fernidentifikation mit Software- und Hardwaresystemen spielt das Gerät des Benutzers die Rolle des Bedieners (Controller, Client Manager): ein Smartphone oder ein Computer mit einer Webcam.

Unter dem Gesichtspunkt des erwarteten Ergebnisses ist die Vorlage des Passes für das Dokumentenerkennungssystem und die Vorlage des Passes für den Betreiber nicht anders: Durch die Transaktion werden die Kundendaten in das Kundenbeziehungsmanagementsystem (CRM) der Bank eingegeben, das anschließend bei der Beantragung identifiziert werden kann. Wenn dem Betreiber ein Reisepass vorgelegt wird, werden die Funktionen zur Eingabe von Daten in das System von einer Person ausgeführt, die von der Bank zur Durchführung der erforderlichen Maßnahmen autorisiert wurde: Nehmen Sie einen Reisepass und geben Sie mit einem speziellen Scanner, einer mobilen Kamera und einer Anwendung Daten in das System ein (in einem optimistischen Szenario, das nicht für alle Banken gilt und deren Abteilungen) oder fahren Sie die Daten in die entsprechenden Formularfelder auf Ihrem Computer (realistisches Szenario).


Mit einer mobilen Anwendung mit integriertem Fernidentifizierungssystem können Sie mehrere Aufgaben gleichzeitig optimieren, sowohl vom Kunden als auch von der Bank. Die Anwendung erkennt Kundendaten und gibt diese automatisch in die erforderlichen Felder ein. Beispielsweise erkennen Anwendungen, die auf dem Smart IDreader SDK basieren, Daten aus Benutzerdokumenten fast sofort, während sie vollständig offline arbeiten, ohne Dokumentbilder auf Server oder Cloud-Dienste von Drittanbietern zu übertragen. Das Computer Vision System wählt automatisch ein Foto in einem Dokument aus und korreliert es mit dem Foto des Eigentümers. Abhängig von den Anforderungen der Bank kann die forensische Funktion in die Anwendung integriert werden, dh das Bild des Dokuments auf Anzeichen von Fälschung oder zusätzliche Bildverarbeitung prüfen.und Datenvalidierung basierend auf einer maschinenlesbaren Zonenanalyse (MRZ). Es spielt überhaupt keine Rolle, wer und wo all diese Veranstaltungen stattfinden - der Bediener in der Bank oder der Benutzer selbst, der zu Hause auf dem Sofa sitzt. Die Aktionskette bleibt unverändert: Präsentation des Dokuments, Dateneingabe, Datenüberprüfung, Bewertung der Gültigkeit des Dokuments.

Beachten wir Folgendes: Wenn das auf künstlicher Intelligenz basierende Erkennungssystem bei Vorlage eines gefälschten Dokuments keine Anzeichen einer Fälschung des Dokuments enthüllte und die Korrespondenz des Inhabers des Fotos auf dem Dokument aufzeichnete und den Vorgang genehmigte, bedeutet dies, dass das Dokument dem Betreiber bei einer Bank oder einem Kreditausgabezentrum vorgelegt wird hätte der Betreiber (die Person) eine ähnliche Entscheidung getroffen. Machine Vision zu täuschen ist heute viel schwieriger als eine Person zu täuschen.

Als Anhänger der Identifikation auf der Grundlage der Dokumentenerkennung fassen wir die Vorteile des Ansatzes zusammen.

  • (OCR). “” , , , . .
  • , .
  • , .
  • Die Fernidentifizierung durch Dokumentenerkennung erfordert Investitionen auf der Ebene der Softwareentwicklung (Clientanwendung), erfordert jedoch nicht die Entwicklung einer zugehörigen Infrastruktur, sieht nicht die Erstellung eines eigenen biometrischen Datenspeichers oder den Zugriff auf vorhandene übergeordnete Systeme (Staat oder Branche) vor.

Vielen Dank für Ihre Aufmerksamkeit!

Liste der verwendeten Quellen
  1. 15 . - 61- — meduza.io/news/2020/04/15/zhitelnitsu-sahalina-oshtrafovali-na-15-tysyach-rubley-za-narushenie-karantina-iz-za-61-protsentnogo-shodstva-s-drugoy-zhenschinoy
  2. «» — www.zakon.kz/4928580-pro-udalennuyu-identifikatsiyu-klienta.html
  3. rb.ru/story/aadhaar-india
  4. Payment services (PSD 2) — Directive (EU) 2015/2366 — ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en
  5. habr.com/ru/company/trendmicro/blog/469533
  6. cnews.ru/news/top/2020-01-14_gosduma_otlozhila_prinyatie
  7. We have built a digital society and we can show you how — e-estonia.com

More articles:


All Articles