Get best of the week

Identification bancaire à distance: du complexe au simple, ou aux banques, pourquoi avez-vous besoin de la biométrie?


(Image prise Ă  partir d'ici ).

Pas toujours compliquer la technologie conduit à de meilleurs résultats. Dans l'article d'aujourd'hui, nous essaierons de montrer qu'une solution technique complexe pour l'identification et l'authentification biométriques des clients dans les applications bancaires est complètement remplacée par la présentation traditionnelle d'un passeport, mais dans l'interprétation moderne du «monde connecté»: une application avec un module de reconnaissance implémenté pourrait bien agir comme un employé «vérificateur» de la banque et la vérification des documents. Notre objectif n'est pas de critiquer ou de remettre en question la nécessité de développer des méthodes biométriques pour identifier une personne comme un domaine technologique indépendant. Nous montrons que les technologies modernes se rattrapent, s'améliorant progressivement grâce à la simplification et à la «facilitation» des algorithmes.

La question de l'identification à distance, en particulier dans le secteur bancaire, où non seulement les données personnelles d'une personne, mais aussi son bien-être financier dépendent de la qualité de la solution appliquée, de son exactitude et de sa sécurité, est récemment devenue extrêmement urgente, surtout lorsque le monde s'est brusquement connecté à Internet. Les principaux problèmes liés aux aspects techniques, juridiques et organisationnels ont été mis en évidence. Et s'il n'y a pas si longtemps, il semblait que la biométrie et la reconnaissance faciale pouvaient résoudre tous les problèmes à la fois, puis lors du test de résistance que la planète a subi, il s'est avéré que la biométrie était loin d'être la seule, et certainement pas le moyen le plus sûr pour toutes les parties de fournir une identification à distance du client . Il suffit de voir à quoi mènent des technologies de reconnaissance incertaines avec un faible niveau de précision. Un exemple récent est une amende infligée à la mauvaise personneen raison de sa similitude de 61% avec ceux à qui cette sanction était destinée [1].

Il y a quelques années, lorsque nous avons commencé à introduire un système unifié de données biométriques dans notre pays, c'était la reconnaissance à distance par des indicateurs biométriques humains qui était considérée comme la méthode la plus précise pour vérifier à distance une personne.

Voici comment ils décrivent le processus d'identification à distance biométrique sur l'un des sites [2]:
— , (). , , , ( ). , : 1) ; 2) ; 3) ; 4) () , .

Il s'avère qu'avant d'utiliser la biométrie, le client doit se rendre physiquement à la banque (ou à une autre organisation qui utilise le système), "passer" des échantillons de ses données biométriques (les plus courantes consistent à enregistrer une voix, à scanner les empreintes digitales). Et déjà après que ces échantillons apparaissent dans un référentiel numérique, l'identification et l'authentification deviendront possibles. Bien sûr, le processus est fiable, mais à notre avis, il est extrêmement complexe et désavantageux de part et d'autre. L'un des avantages ici est que la biométrie est toujours (ou presque toujours) avec nous. C'est pourquoi l'identification par des données biométriques est plutôt applicable en médecine légale et en contrôle transfrontalier: non seulement un citoyen est identifié par sa biométrie, mais aussi dans le sens opposé - la correspondance des données biométriques avec tout citoyen est établie.

(Image prise Ă  partir d'ici )

Le plus paradoxal (et désagréable pour les fans de méthodes d'authentification exclusivement biométriques) est que la présentation de vos propres empreintes digitales, voix ou iris n'est pas très différente technologiquement de la saisie d'un mot de passe 256 bits connu uniquement du client ou de l'utilisation d'un tas «Token-device», ou toute autre méthode d'authentification à deux ou trois facteurs: dans tous les cas, pour une machine, toute notre biométrie reste un ensemble de zéros et de uns. Plus important encore, les données biométriques ne sont pas plus difficiles à compromettre que les autres. Un exemple de ceci est la fuite de données de la plus grande base de données biométrique indienne du monde Aadhaar en 2017 [3].

Fait intéressant, depuis un certain temps en Europe, la biométrie n'est plus considérée comme le seul moyen d'identification à distance dans la fourniture de services traitant des données sensibles.

Le 14 septembre 2019, la directive européenne PSD2 [4], également connue sous le nom d'Open Banking, est entrée en vigueur. Il oblige les banques à nécessairement utiliser l'authentification multifacteur lors de l'exécution de transactions à distance. Cela signifie que dans le processus d'identification / d'authentification des utilisateurs, plusieurs méthodes de confirmation de l'identité doivent être utilisées [5]:

  • Connaissances - certaines informations connues de l'utilisateur uniquement, par exemple, un mot de passe ou une question de sĂ©curitĂ©.
  • Possession - un appareil que seul l'utilisateur possède, par exemple, un tĂ©lĂ©phone ou un jeton.
  • UnicitĂ© - quelque chose d'inhĂ©rent, inhĂ©rent Ă  l'utilisateur et identifiant de manière unique la personne, par exemple, des donnĂ©es biomĂ©triques.

En plus d'utiliser les données biométriques comme clé d'accès, les opérations bancaires doivent être accompagnées de contrôles supplémentaires à l'aide d'un mot de code, d'une question de sécurité, d'une connexion par jeton, de l'utilisation d'un appareil spécifique (smartphone ou ordinateur avec un numéro d'identification unique) ou de codes PUSH / SMS. Question - pourquoi les données biométriques sont-elles ici ?

Pour les banques, dans le cas de l'utilisation forcée de systèmes d'identification biométrique, il existe une autre nuisance énorme. La mise en œuvre de systèmes biométriques nécessite des coûts importants pour le déploiement des infrastructures d'information associées: en fait, des équipements pour collecter des données d'identification, des logiciels pour leur traitement, créer un centre de données ou louer un service cloud sécurisé pour le stockage, assurer la sécurité, etc. C'est pourquoi l'adoption de la loi sur la collecte obligatoire de données biométriques en Russie est tombée sur l'opposition de la communauté bancaire et a entraîné son report indéfini [6].

Les technologies se développent et les banques retirent progressivement les intermédiaires sous forme d'opérateurs, de managers, d'agents de la chaîne d'interaction avec le client. Ils ne restent que là où il est nécessaire de fournir le service dit premium, dans lequel le client est fourni non seulement avec la commodité du service, mais avec une attention personnelle, ou dans les régions et les catégories de clients qui, pour des raisons techniques, ne sont pas en mesure d'utiliser des moyens techniques modernes. L'opérateur est remplacé par une «banque dans un smartphone». Il est important que l'identification à distance du client soit nécessaire pour la banque à toutes les étapes de l'interaction. Jusqu'à récemment, même dans les grandes banques, qui passaient aujourd'hui complètement à la gestion électronique des documents, ils faisaient des copies physiques du passeport du client lors de chaque transaction avec le compte, qu'il s'agisse de réapprovisionner un compte, de retirer de l'argent,virement sur un autre compte ou conclusion d'accords complémentaires pour la connexion des services bancaires par Internet ou par SMS. Cela a fourni à la banque une protection contre les réclamations du client concernant des modifications contestées du contrat ou des transactions de compte.


Jusqu'à ce que l'État ait créé une plate-forme numérique unique pour enregistrer tous les citoyens de la naissance à la mort (l'Estonie était la plus proche de l'édification d'une société aussi entièrement numérique en Europe aujourd'hui, ayant construit un État électronique à part entière en 25 ans, convertissant 99% des services publics sous forme électronique [7]), la présentation physique d'un passeport non numérique (imprimé) ou d'un autre document de certification avec vérification simultanée de son authenticité et de la conformité du porteur avec le titulaire indiqué dans le document est le moyen le plus précis d'identifier le client. Dans le cas d'une identification à distance à l'aide de systèmes logiciels et matériels, le rôle de l'opérateur (contrôleur, gestionnaire de clientèle) est joué par l'appareil de l'utilisateur: un smartphone ou un ordinateur avec webcam.

Du point de vue du résultat attendu, la présentation du passeport au système de reconnaissance des documents et la présentation du passeport à l'opérateur n'est pas différente: à la suite de la transaction, les données client sont saisies dans le système de gestion de la relation client (CRM) de la banque, qui permet ensuite de l'identifier lors de la demande. Si un passeport est présenté à l'opérateur, les fonctions de saisie des données dans le système sont effectuées par une personne autorisée par la banque à effectuer les actions nécessaires: prendre un passeport et, à l'aide d'un scanner spécial, d'une caméra mobile et d'une application, saisir des données dans le système (dans un scénario optimiste, applicable à toutes les banques non et leurs services), ou introduisez les données dans les champs de formulaire appropriés de votre ordinateur (scénario réaliste).


Une application mobile avec un système d'identification à distance intégré vous permet d'optimiser plusieurs tâches à la fois, à la fois du client et de la banque. L'application reconnaît les données client et les saisit automatiquement dans les champs obligatoires. Par exemple, les applications basées sur le SDK Smart IDreader reconnaissent les données des documents utilisateur presque instantanément, tout en travaillant complètement hors ligne, sans transférer d'images de documents vers des serveurs tiers ou des services cloud. Le système de vision par ordinateur sélectionne automatiquement une photo sur un document et la corrèle avec la photo du propriétaire. Selon les besoins de la banque, la fonction de criminalistique peut être intégrée à l'application, c'est-à-dire vérifier l'image du document pour détecter des signes de contrefaçon ou un traitement d'image supplémentaire,et validation des données basée sur une analyse de zone lisible par machine (MRZ). Peu importe qui et où ont lieu tous ces événements - l'opérateur de la banque ou l'utilisateur lui-même, assis sur le canapé à la maison. La chaîne d'actions reste inchangée: présentation du document, saisie des données, vérification des données, appréciation de la validité du document.

Prenons en compte les éléments suivants: si, lors de la présentation d'un document contrefait, le système de reconnaissance basé sur l'intelligence artificielle n'a révélé aucun signe de falsification du document et a enregistré la correspondance du porteur de la photographie sur le document et a approuvé l'opération, cela signifie que si le document est présenté à l'opérateur dans une banque ou un centre d'émission de prêts , l'opérateur (la personne) aurait pris une décision similaire. Tromper la vision industrielle aujourd'hui est beaucoup plus difficile que de tromper une personne.

Agissant en tant qu'adhérents à l'identification basée sur la reconnaissance des documents, nous résumons en énumérant les avantages de l'approche.

  • (OCR). “” , , , . .
  • , .
  • , .
  • L'identification Ă  distance via la reconnaissance de documents nĂ©cessite des investissements au niveau du dĂ©veloppement logiciel (application client), mais ne nĂ©cessite pas le dĂ©veloppement d'une infrastructure d'accompagnement, ne prĂ©voit pas la crĂ©ation de son propre stockage de donnĂ©es biomĂ©triques, ni l'accès aux systèmes existants de plus haut niveau (Ă©tat ou industrie).

Merci pour l'attention!

Liste des sources utilisées
  1. 15 . - 61- — meduza.io/news/2020/04/15/zhitelnitsu-sahalina-oshtrafovali-na-15-tysyach-rubley-za-narushenie-karantina-iz-za-61-protsentnogo-shodstva-s-drugoy-zhenschinoy
  2. «» — www.zakon.kz/4928580-pro-udalennuyu-identifikatsiyu-klienta.html
  3. — rb.ru/story/aadhaar-india
  4. Payment services (PSD 2) — Directive (EU) 2015/2366 — ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en
  5. — habr.com/ru/company/trendmicro/blog/469533
  6. — cnews.ru/news/top/2020-01-14_gosduma_otlozhila_prinyatie
  7. We have built a digital society and we can show you how — e-estonia.com

More articles:


All Articles