Get best of the week

Identificación bancaria remota: de complejo a simple, o bancos, ¿por qué necesita datos biométricos?


(Imagen tomada de aquí )

No siempre complicar la tecnología conduce a mejores resultados. En el artículo de hoy, trataremos de mostrar que una solución técnica compleja para la identificación biométrica y la autenticación de clientes en aplicaciones bancarias se reemplaza completamente por la presentación tradicional de un pasaporte, pero en la interpretación moderna del "mundo conectado": una aplicación con un módulo de reconocimiento integrado puede actuar como un empleado "bancario" del banco y verificación de documentos. Nuestro objetivo no es criticar ni cuestionar la necesidad del desarrollo de métodos biométricos para identificar a una persona como un área tecnológica independiente. Mostramos que las tecnologías modernas se están poniendo al día entre sí, mejorando gradualmente debido a la simplificación y "facilitación" de los algoritmos.

El problema de la identificación remota, especialmente en el sector bancario, donde no solo los datos personales de una persona, sino también su bienestar financiero dependen de la calidad de la solución aplicada, su precisión y seguridad, se ha vuelto extremadamente urgente, especialmente cuando el mundo se ha conectado abruptamente. Se destacaron los principales problemas relacionados con los aspectos técnicos, legales y organizativos. Y si no hace tanto tiempo parecía que la biometría y el reconocimiento facial podrían resolver todos los problemas a la vez, entonces, durante la prueba de estrés que sufrió el planeta, resultó que la biometría estaba lejos de ser la única, y ciertamente no era la forma más segura para que todas las partes proporcionaran identificación remota del cliente . Es suficiente observar a qué conducen las tecnologías de reconocimiento incierto con un bajo nivel de precisión. Un ejemplo reciente es una multa emitida a la persona equivocadadebido a su 61% de similitud con los destinatarios de esta penalización [1].

Hace unos años, cuando comenzamos a introducir un sistema unificado de datos biométricos en nuestro país, el reconocimiento remoto por indicadores biométricos humanos se consideraba el método más preciso para verificar de forma remota a una persona.

Así es como describen el proceso de identificación remota biométrica en uno de los sitios [2]:
— , (). , , , ( ). , : 1) ; 2) ; 3) ; 4) () , .

Resulta que antes de usar la biometría, el cliente necesita ir físicamente al banco (u otra organización que use el sistema), "pasar" muestras de sus datos biométricos (los más comunes son grabar una voz, escanear huellas digitales). Y ya después de que estas muestras aparezcan en algún repositorio digital, la identificación y la autenticación serán posibles. El proceso, por supuesto, es confiable, pero en nuestra opinión, es extremadamente complejo y desventajoso para ambas partes. Una de las ventajas aquí es que la biometría siempre está (o casi siempre) con nosotros. Es por eso que la identificación por datos biométricos es aplicable, más bien, en la ciencia forense y en el control transfronterizo: no solo un ciudadano se identifica por sus datos biométricos, sino también en la dirección opuesta: se establece la correspondencia de los datos biométricos con cualquier ciudadano.

(Imagen tomada de aquí )

Lo más paradójico (y desagradable para los fanáticos de los métodos de autenticación exclusivamente biométricos) es que presentar sus propias huellas dactilares, voz o iris no es tecnológicamente muy diferente de ingresar una contraseña de 256 bits conocida solo por el cliente, o usar un montón "Dispositivo de token", o cualquier otro método de autenticación de dos o tres factores: en cualquier caso, para una máquina, toda nuestra biometría sigue siendo un conjunto de ceros y unos. Lo más importante, los datos biométricos no son más difíciles de comprometer que cualquier otro. Un ejemplo de esto es la filtración de datos de la base de datos biométrica india más grande del mundo, Aadhaar, en 2017 [3].

Curiosamente, en Europa, desde hace algún tiempo, la biometría ya no se considera el único medio de identificación remota cuando se prestan servicios que tratan con datos sensibles.

El 14 de septiembre de 2019, entró en vigor la Directiva de la UE PSD2 [4], también conocida como Open Banking. Requiere que los bancos utilicen necesariamente la autenticación de múltiples factores al realizar transacciones remotas. Esto significa que en el proceso de identificación / autenticación del usuario se deben utilizar varios métodos para confirmar la identidad [5]:

  • Conocimiento: cierta información conocida solo por el usuario, por ejemplo, una contraseña o una pregunta de seguridad.
  • Posesión: un dispositivo que solo el usuario tiene, por ejemplo, un teléfono o token.
  • Unicidad: algo inherente, inherente al usuario e que identifica de forma única a la persona, por ejemplo, datos biométricos.

Además de utilizar datos biométricos como clave de acceso, las operaciones bancarias deben ir acompañadas de controles adicionales con una palabra de código, pregunta de seguridad, conexión de token, uso de un dispositivo específico (teléfono inteligente o computadora con un número de identificación único) o códigos PUSH / SMS. Pregunta: ¿por qué hay datos biométricos aquí ?

Para los bancos, en el caso del uso forzado de sistemas de identificación biométrica, existe otra gran molestia. La implementación de sistemas biométricos requiere costos significativos para el despliegue de infraestructura de información relacionada: de hecho, equipos para recopilar datos de identificación, software para su procesamiento, crear un centro de datos o alquilar un servicio en la nube seguro para el almacenamiento, proporcionar seguridad, etc. Es por eso que la adopción de la ley sobre la recopilación obligatoria de datos biométricos en Rusia tropezó con la oposición de la comunidad bancaria y provocó que su adopción se pospusiera indefinidamente [6].

Las tecnologías se están desarrollando y los bancos están retirando gradualmente a los intermediarios en forma de operadores, gerentes, agentes de la cadena de interacción con el cliente. Permanecen solo donde es necesario proporcionar el llamado servicio premium, en el que el cliente recibe no solo la conveniencia del servicio, sino también atención personalizada, o en aquellas regiones y categorías de clientes que, por razones técnicas, no pueden utilizar medios técnicos modernos. El operador es reemplazado por un "banco en un teléfono inteligente". Es importante que la identificación remota del cliente sea necesaria para el banco en todas las etapas de interacción. Hasta hace poco, incluso en los grandes bancos, que hoy cambiaron por completo a la gestión electrónica de documentos, hicieron copias físicas del pasaporte del cliente durante cada transacción con la cuenta, ya sea reponiendo una cuenta, retirando dinero,transferir a otra cuenta o la conclusión de acuerdos adicionales para la conexión de banca por Internet o información por SMS. Esto proporcionó al banco protección contra reclamos del cliente sobre cambios disputados en el contrato o transacciones de cuenta.


Hasta que el estado haya creado una plataforma digital única para registrar a todos los ciudadanos desde el nacimiento hasta la muerte (Estonia fue la más cercana a la construcción de una sociedad totalmente digital en Europa hoy en día, después de haber construido un estado electrónico completo en 25 años, convirtiendo el 99% de los servicios públicos en forma electrónica [7]), la presentación física de un pasaporte no digital (impreso) u otro documento certificador con verificación simultánea de su autenticidad y el cumplimiento del titular con el titular indicado en el documento es la forma más precisa de identificar al cliente. En el caso de la identificación remota utilizando sistemas de software y hardware, el rol del operador (controlador, administrador del cliente) es desempeñado por el dispositivo del usuario: un teléfono inteligente o una computadora con una cámara web.

Desde el punto de vista del resultado esperado, presentar el pasaporte al sistema de reconocimiento de documentos y presentar el pasaporte al operador no es diferente: como resultado de la transacción, los datos del cliente se ingresan en el sistema de gestión de relaciones con el cliente (CRM) del banco, que posteriormente permite su identificación al momento de la solicitud. Si se presenta un pasaporte al operador, las funciones de ingresar datos en el sistema son realizadas por una persona que ha sido autorizada por el banco para realizar las acciones necesarias: tomar un pasaporte y, usando un escáner especial, una cámara móvil y una aplicación, ingresar datos en el sistema (en un escenario optimista, aplicable no a todos los bancos y sus departamentos), o dirija los datos a los campos de formulario apropiados en su computadora (escenario realista).


Una aplicación móvil con un sistema de identificación remota incorporado le permite optimizar varias tareas a la vez, tanto desde el cliente como desde el banco. La aplicación reconoce los datos del cliente y los ingresa automáticamente en los campos requeridos. Por ejemplo, las aplicaciones basadas en Smart IDreader SDK reconocen datos de documentos de usuario casi instantáneamente, mientras trabajan completamente fuera de línea, sin transferir imágenes de documentos a servidores de terceros o servicios en la nube. El sistema de visión por computadora selecciona automáticamente una foto en un documento y la correlaciona con la foto del propietario. Dependiendo de los requisitos del banco, la función forense puede integrarse en la aplicación, es decir, verificar la imagen del documento en busca de signos de falsificación o procesamiento adicional de imágenes,y validación de datos basada en análisis de zona legible por máquina (MRZ). No importa en absoluto quién y dónde celebra todos estos eventos: el operador del banco o el propio usuario, sentado en el sofá de su casa. La cadena de acciones permanece sin cambios: presentación del documento, entrada de datos, verificación de datos, evaluación de la validez del documento.

Prestemos atención a lo siguiente: si, al presentar un documento falsificado, el sistema de reconocimiento basado en inteligencia artificial no reveló ningún signo de falsificación del documento y registró la correspondencia del portador de la fotografía en el documento y aprobó la operación, esto significa que si el documento se presenta al operador en un banco o en un centro emisor de préstamos , el operador (persona) habría tomado una decisión similar. Engañar a la visión artificial hoy es mucho más difícil que engañar a una persona.

Actuando como adherentes a la identificación basada en el reconocimiento de documentos, resumimos enumerando las ventajas del enfoque.

  • (OCR). “” , , , . .
  • , .
  • , .
  • La identificación remota a través del reconocimiento de documentos requiere inversiones a nivel de desarrollo de software (aplicación del cliente), pero no requiere el desarrollo de una infraestructura que lo acompañe, no prevé la creación de su propio almacenamiento de datos biométricos ni el acceso a los sistemas existentes de nivel superior (estado o industria).

¡Gracias por la atención!

Lista de fuentes utilizadas
  1. 15 . - 61- — meduza.io/news/2020/04/15/zhitelnitsu-sahalina-oshtrafovali-na-15-tysyach-rubley-za-narushenie-karantina-iz-za-61-protsentnogo-shodstva-s-drugoy-zhenschinoy
  2. «» — www.zakon.kz/4928580-pro-udalennuyu-identifikatsiyu-klienta.html
  3. rb.ru/story/aadhaar-india
  4. Payment services (PSD 2) — Directive (EU) 2015/2366 — ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en
  5. habr.com/ru/company/trendmicro/blog/469533
  6. cnews.ru/news/top/2020-01-14_gosduma_otlozhila_prinyatie
  7. We have built a digital society and we can show you how — e-estonia.com

More articles:


All Articles