В Казахстане биометрические платежи все активнее используются в банковском и финансовом секторе, а биометрические данные, применяемые для цифровой аутентификации, относятся к персональным данным и защищаются законом. Министерство цифрового развития, инноваций и аэрокосмической промышленности РК сообщило, что данные хранятся на территории страны, а ответственность за их безопасность несут организации, которые их используют.
По данным министерства, биометрическая идентификация сегодня применяется при дистанционном открытии счетов, совершении платежей и входе в мобильные приложения. В сфере государственных услуг действует единый порядок: госорганы обязаны проводить биометрическую идентификацию только через Единую систему биометрической аутентификации.
Правила для банков и платежных организаций устанавливают Агентство по регулированию и развитию финансового рынка и Национальный банк. При этом порядок сбора, хранения и удаления биометрических данных сейчас находится на стадии детального нормативного регулирования.
В министерстве подчеркнули, что при незаконном доступе или кибератаке организации обязаны незамедлительно принять меры для устранения угрозы, восстановления работы системы и, при необходимости, усиления защиты. За нарушение требований по защите персональных данных предусмотрены штрафы, а в отдельных случаях и уголовная ответственность.
Граждане могут через eGov проверить, какие организации имеют доступ к их данным, и отозвать разрешение на их использование. Однако такая возможность действует не во всех случаях: в отдельных ситуациях удаление данных может быть отложено в соответствии с требованиями законодательства.
Оценка уровня безопасности
Эксперт по кибербезопасности Гаухар Жахметова оценила текущий уровень безопасности биометрических систем в Казахстане как средний. По ее словам, в современных системах используются шифрование, дополнительные способы защиты вроде PIN-кодов и одноразовых паролей, а также регулярные проверки на уязвимости, однако эти меры не устраняют риски полностью.
Она отметила, что в последние годы в стране фиксировались случаи массовой утечки данных, в том числе в 2025 году. По ее словам, не все системы прошли полноценную проверку, что влияет на общий уровень безопасности.
Эксперт подчеркнула, что утечка биометрических данных опаснее компрометации обычного пароля, поскольку пароль можно сменить, а отпечатки пальцев, изображение лица или другие биометрические признаки остаются неизменными. По ее словам, такие данные могут использоваться для оформления кредитов, действий от имени другого человека или шантажа. В числе рисков она также назвала неконтролируемую передачу данных за границу.
Главные уязвимости
По словам Жахметовой, у биометрических систем есть два основных типа угроз: технические и связанные с человеческим фактором. К техническим относятся подделка отпечатков пальцев или изображения лица и обход слабых систем защиты. Ко вторым — ошибки сотрудников, передача простых паролей третьим лицам и недостаточная осведомленность пользователей о рисках.
Эксперт сообщила, что, по имеющимся данным, около 47% граждан не осведомлены о подобных угрозах. Она также связала многие утечки данных, зарегистрированные в 2025 году, в том числе в медицинских организациях, именно с человеческим фактором.
По ее оценке, для снижения рисков биометрические системы должны в обязательном порядке проходить проверку и сертификацию, а защита должна включать надежное шифрование, ограничение доступа к данным, многоуровневую аутентификацию и усиление ответственности за утечки.
При этом эксперт отметила двойственный характер технологии: с одной стороны, такие системы сложнее взломать по сравнению с обычными паролями, и они снижают некоторые виды мошенничества; с другой — базы биометрических данных становятся привлекательной целью для хакеров, а число атак на банки, государственные системы и сервисы распознавания лиц в последние годы растет.
Можно ли отказаться от биометрии
Жахметова считает, что полностью отказаться от биометрии в Казахстане на практике сложно, поскольку она широко применяется как в государственных услугах, так и в банковской сфере. Она привела пример обязательной сдачи отпечатков пальцев при получении удостоверения личности или паспорта, из-за чего отказ может ограничить доступ к части услуг.
В то же время, по ее словам, не все биометрические методы обязательны. Например, распознавание лица в отдельных случаях применяется добровольно, хотя такие технологии постепенно становятся повседневной практикой.
Юрист Багдат Амандосулы пояснил, что гражданин вправе отозвать согласие на использование своих биометрических данных и потребовать их удаления. Однако в ряде случаев закон требует хранения таких данных, поэтому это право может быть ограничено.
Он также уточнил, что отказ от биометрии не лишает человека всех услуг, но может закрыть доступ к отдельным цифровым сервисам, прежде всего к дистанционным банковским услугам, где биометрическая идентификация обязательна.
Мировой опыт
Международная практика, как отмечается, показывает, что биометрические технологии сопровождаются не только удобством, но и рисками. В США фиксировались случаи ошибочной идентификации людей системами распознавания лиц, из-за чего в расследованиях упоминались невиновные граждане.
В Индии в рамках системы Aadhaar сообщалось об утечках данных миллионов пользователей. В Канаде выявлялись случаи сбора биометрических данных без согласия человека: автоматы по продаже напитков использовали распознавание лиц без предварительного уведомления потребителей.
В целом распространение биометрических платежей и цифровой идентификации ускоряет получение услуг и делает расчеты удобнее, однако вопросы безопасности, контроля над персональными данными и реальной свободы выбора для пользователей остаются актуальными.
