Как сообщает Банк России, доля безналичных расчетов в розничном обороте достигла 86,7%. Основной способ оплаты по-прежнему — банковская карта. Однако появляются альтернативы: QR-коды, pay-сервисы и платежи по биометрии, которые отвоевали 12% всех безналичных операций. 

За первый квартал 2025 года с использованием биометрических технологий было совершено свыше 37,5 млн операций на сумму около 30 млрд рублей. Это больше, чем за весь предыдущий год!

Учитывая, что оплата по биометрии растет, отдельного внимания заслуживает вопрос безопасности таких платежей. Чтобы снизить риски и улучшить клиентский опыт, НСПК разработала БИО-ПИН — для дополнительной защиты платежей, проходящих через Платформу биометрических сервисов (ПБС).

Разбираемся, зачем он нужен, как работает, в чем сходство с PIN-кодом от карты и как влияет на удобство биометрических платежей.

То же самое, но другое: что такое БИО-ПИН и чем он отличается от PIN-кода для карты?

На первый взгляд, они действительно похожи. БИО-ПИН (или biopin) – это секретный 4-значный код, который является дополнительным фактором аутентификации пользователя при проведении платежей с использованием биометрических технологий.

В отличие от стандартного PIN-кода, применяемого при расчетах по банковской карте, БИО-ПИН играет особую роль — он обеспечивает безопасность платежей в финансовых системах, где используется биометрическая идентификация. Такой код может быть привязан как к карте «Мир», так и к счету в системе быстрых платежей, в зависимости от выбранного клиентом инструмента для оплаты с помощью биометрии.

По уровню надежности БИО-ПИН сопоставим с традиционным карточным PIN-кодом. Его данные также сохраняются в зашифрованном виде и защищаются современными криптографическими механизмами, полностью соответствующими стандартам информационной безопасности.

В каких случаях требуется БИО-ПИН?

Итак. БИО-ПИН является дополнительным уровнем защиты, который используется только при оплате с использованием биометрических данных, то есть задействуется биометрия клиентов банка. 

Несмотря на то, что биометрическая оплата считается одной из самых безопасных, особенно в контексте безопасности биометрии в финансовых системах, тем не менее банк-эквайер в некоторых случаях может запросить БИО-ПИН. Когда?

1. При оплате на крупные суммы 

Например, в некоторых случаях биопин банки могут запросить при покупках от 5000 рублей. В данном случае, необходимость использования БИО-ПИНа основывается на политике рисков принятой в банке. Биопин для банка здесь — дополнительная страховка.

2. Влияние биометрических факторов

Это те случаи, когда при биометрической идентификации зафиксирована низкая степень схожести изображения пользователя с данными, находящимися в биометрической системе.

Кроме того, влияние может оказывать тип используемой биометрии: согласно 572-ФЗ существует три типа биометрии: упрощенная, стандартная, подтвержденная. Таким образом, биометрия клиентов отличается уровнем верификации и требований к защите. Чем выше степень подтвержденности, тем надежнее процесс аутентификации и ниже вероятность мошеннических операций.

Отдельного внимания заслуживает тема биометрии в банках, так как именно финансовые организации первыми внедряют технологии идентификации по лицу, голосу или отпечатку пальца. Это позволяет ускорять процессы обслуживания, снижать нагрузку на сотрудников и повышать уровень доверия к электронным платежам.

3. При подозрении на мошенничество

Пока биометрические платежи не стали массовыми, риски мошенничества здесь остаются низкими: технология используется реже по сравнению с картами или СБП-переводами, а значит, пока не слишком интересна для злоумышленников. 

Кроме того, сама по себе биометрия для платежей — один из самых защищенных способов оплаты. Современные системы распознавания используют так называемую проверку «живого присутствия» (liveness detection): они отслеживают движения глаз, глубину изображения, микродвижения лица и другие признаки, которые невозможно воспроизвести на фото или видео. Поэтому даже если у кого-то окажется ваша фотография, оплатить за вас не получится: алгоритм liveness detection сообщит о подозрении на мошенничество и будет запрошен БИО-ПИН.

Запрос БИО-ПИНа регулируется самим банком-эквайером, и именно он принимает окончательное решение. Здесь действует принцип распределения ответственности: если при операции клиенту был предложен ввод БИО-ПИНа, то в случае спорной ситуации финансовые риски переходят на банк-эмитент. Если же дополнительная проверка не потребовалась, ответственность за возможные последствия остается на стороне банка-эквайера.

Как пользователю подключить БИО-ПИН?

Существует два способа, чтобы назначить БИО-ПИН:

1. В мобильном приложении своего банка при привязке счета СБП или карты Мир для биометрических платежей

Важно: на данный момент не во всех банках доступна биометрия для цифровых платежей. Уточните, поддерживает ли ваш банк подключение к Платформе биометрических сервисов.

2. В приложении СБПей при привязке счета СБП для биометрических платежей

Совет: при выборе БИО-ПИНа не стоит использовать тот же код, что и PIN от вашей карты. Лучше задавать уникальную комбинацию — так снижается риск компрометации данных и растет общий уровень безопасности.

Пользователь может в любой момент изменить свой БИО-ПИН — также через ДБО банка или приложение СБПэй.

Какие доработки нужны банку?

Появление БИО-ПИНа меняет не только пользовательский опыт, но и бизнес-процессы самих банков. Это полноценный IT-проект, в котором переплетаются вопросы безопасности, интерфейса, интеграции и соответствия требованиям платформы биометрических сервисов.

Чтобы клиент мог пройти весь путь по привязке счета СБП или карты Мир с установкой БИО-ПИНа для биометрических платежей — у банка должны быть готовы:

1. ДБО (мобильное приложение или интернет-банк) — необходимо реализовать весь пользовательский путь: от получения согласия клиента до выбора карты/счета и создания БИО-ПИНа
2. Интеграция с Платформой биометрических сервисов — здесь банк должен наладить информационный обмен с Платформой биометрических сервисов НСПК
3. Процессинговый центр — для выполнения криптографических процедур при передаче БИО-ПИН на проверку в ПБС

На практике это означает: нужно задействовать несколько команд, пройти согласования со службой информационной безопасности, внести изменения в ИТ-инфраструктуру и все протестировать. Для того, чтобы биометрический платеж сработал, надо пройти серьезный путь подготовки.

Однако есть и другой вариант: банки могут использовать готовые коробочные решения, например «Bio Коннект». Это решение содержит весь необходимый функционал для запуска: API для мобильного банка, интеграцию с платформой ПБС НСПК и процессинговыми центрами. И типовой срок подключения банка — от полутора до двух месяцев.