Клиент Halyk заявила о списании через Face Pay без своего участия

Что произошло 

В соцсети Threads обсуждают необычный случай, связанный с сервисом Face Pay Halyk Bank. Пользователь под ником @theaiya28 рассказала, что с ее карты списали 200 тенге за проезд в Astana LRT через оплату по лицу. При этом, по ее словам, в момент операции она находилась в Алматы.

«Все бы ничего, сумма незначительная, вопрос в безопасности и конфиденциальности моих персональных данных», — написала пользователь.

История быстро привлекла внимание не из-за суммы платежа, а из-за самого факта. Если человек действительно находился в другом городе, тогда как прошла оплата через биометрию?

Однако делать выводы о сбое системы или компрометации данных пока рано.

В Halyk Bank прокомментировали ситуацию с Face Pay. 

«Система Face Pay работает на базе уникальных биометрических параметров лица. Система предусматривает сверку лица пассажира с биометрическим шаблоном, что ограничивает возможность использования сервиса посторонними лицами», — сообщили в Halyk Bank.

Также написали, что готовы разобраться в ситуации в индивидуальном порядке и попросили пользователя подробнее описать произошедшее через direct в Instagram.

Что делать, если оплата по биометрии прошла без вашего участия

По словам адвоката Дамира Байхадулина, если человек не совершал оплату, а в момент транзакции находился в другом городе, это может указывать как на техническую ошибку, так и на неправомерное использование его персональных или биометрических данных.

«В первую очередь следует незамедлительно обратиться в банк и сообщить о спорной операции, потребовав проведения внутренней проверки. Также важно зафиксировать доказательства того, что человек не находился в месте совершения оплаты (например, билеты, данные геолокации, свидетельские показания и т.д.). Параллельно необходимо обратиться в банк с заявлением об оспаривании транзакции», — отметил адвокат Дамир Байхадулин.

По его словам, при подозрении на неправомерное использование персональных данных можно обратиться в Комитет по информационной безопасности, а если есть признаки мошенничества — подать заявление в правоохранительные органы.

Многие клиенты сталкиваются с отказом банков раскрывать детали технической верификации. Однако, как поясняет эксперт, если речь идет о собственном счете, информация не может быть скрыта от владельца:

«Законодательство о банковской тайне ограничивает предоставление сведений третьим лицам, однако не самому владельцу счета. Поэтому банк должен предоставить клиенту информацию, касающуюся его операций, включая сведения о способе подтверждения операции, если это не противоречит требованиям безопасности».

По мнению адвоката Дамира Байхадулина, что надежность защиты зависит не столько от правовых норм, сколько от технической безопасности систем и добросовестности операторов данных.

Какие сведения можно запросить

Согласно политике сбора и обработки персональных данных Halyk Bank, клиент имеет право получить информацию о:

• факте обработки его персональных данных;
• целях такой обработки;
• источниках получения данных;
• способах обработки;
• сроках хранения данных.

Также клиент вправе запросить сведения, касающиеся обработки его персональных данных, направив письменное обращение или электронный документ, подписанный электронной подписью.

Если человек считает, что данные использовались с нарушением законодательства, он может потребовать блокирования персональных данных до выяснения обстоятельств.

Может ли биометрия ошибаться

Несмотря на высокий уровень развития технологии Face Pay, эксперты подчеркивают, что абсолютной точности в биометрии не существует.

Одним из ключевых исследований в этой сфере стала работа ArcFace (2019), подготовленная учеными Имперского колледжа Лондона, Университета Ноттингема и группы InsightFace. Разработанный алгоритм достиг точности распознавания лиц 99,83%, что позволило внедрять подобные системы в крупных городах и платежных сервисах.

Отдельное внимание уделялось безопасности. В рамках программы Face Recognition Vendor Test (FRVT) Национальный институт стандартов и технологий США (NIST) в 2023–2025 годах проверял системы на устойчивость к фотографиям, видеозаписям, маскам и дипфейкам. Лучшие алгоритмы смогли снизить вероятность успешного обмана системы до уровня менее 0,5%.

Еще одно исследование, проведенное аналитическим агентством Juniper Research, показало высокий потенциал технологии для бизнеса. По оценкам экспертов, объем биометрических платежей может превысить 3 трлн долларов, а сама оплата по лицу позволяет сократить время обслуживания клиентов до 1,5–2 секунд.

Вместе с тем NIST в своих исследованиях отмечал, что системы распознавания лиц могут допускать так называемые ложные совпадения, когда алгоритм ошибочно принимает разных людей за одного человека. Такие случаи не обязательно связаны со взломом или мошенничеством и могут возникать из-за особенностей работы алгоритмов.

Однако сам факт существования подобных исследований не означает, что именно такая ошибка произошла в ситуации с оплатой через Face Pay в Astana LRT. Для установления причин необходимы результаты официальной проверки.

Где посмотреть подключение Face Pay и как отключить оплату по лицу

Если у клиента возникли вопросы по работе Face Pay или он хочет убедиться, что сервис действительно подключен, проверить это можно самостоятельно в приложении Halyk. 

Информация о подключении, отключении сервиса или смене привязанной карты отображается в разделах 

«Уведомления» → «Платежи» и «Меню» → «Мои заявки» → «Архив». 

Там сохраняется история действий, связанных с Face Pay. 

Если клиент не хочет использовать оплату по лицу, сервис можно отключить самостоятельно через приложение: 

«Платежи» → «Face Pay» → «Настройки» → «Отключить сервис». 

После отключения биометрическая идентификация не должна использоваться для проведения платежей через этот сервис.

Почему выводы об ошибке Face Pay делать пока рано

Юрист Болат Маханалин считает, что говорить о сбое Face Pay пока рано. По его словам, опубликованный в Threads скриншот показывает только факт списания денег, но не объясняет, как именно прошла операция.

Эксперт отмечает, что причин может быть несколько. Это может быть ошибка в отображении платежа, сбой в системе, проблема с привязкой аккаунта или другой технический сбой. Чтобы понять, что произошло на самом деле, необходимо проверить данные операции и технические журналы системы.

«Пока мы видим только пост пользователя и уведомление о списании. Без проверки всех технических данных нельзя точно сказать, была ли ошибка в распознавании лица или проблема возникла на другом этапе платежа», — отметил Болат Маханалин.

Бояться Face Pay как технологии не нужно, но к биометрии надо относиться серьезнее, чем к обычному паролю. Пароль можно поменять, а лицо — нет. Поэтому клиент должен понимать, где подключена биометрия, какие карты к ней привязаны, как отключить сервис и как запросить проверку спорной операции.

Материал подготовлен на основе публикации пользователя в социальной сети Threads, открытых документов банка и общедоступных исследований о технологиях распознавания лиц. На момент публикации отсутствуют результаты официальной проверки обстоятельств операции. Редакция не утверждает, что имели место сбой системы, утечка персональных данных, ошибка биометрической идентификации или иные нарушения. Окончательные выводы возможны только после изучения технических данных и результатов проверки уполномоченными сторонами.

Читайте также: