БИО-ПИН: зачем биометрическим платежам дополнительная защита

По данным Центробанка, в России доля безналичных расчетов в розничном обороте достигла 86,7%. Основной способ оплаты по-прежнему — банковская карта. Однако появляются альтернативы: QR-коды, pay-сервисы и биометрические платежи, которые уже заняли 12% всех безналичных операций. 

За первый квартал 2025 года с использованием биометрических технологий было совершено свыше 37,5 млн операций на сумму около 30 млрд рублей. Это больше, чем за весь предыдущий год!

С ростом популярности оплаты с использованием биометрических технологий, отдельного внимания заслуживает вопрос безопасности таких платежей. Чтобы снизить риски и улучшить клиентский опыт, НСПК разработала БИО-ПИН — для дополнительной защиты платежей, проходящих через Платформу биометрических сервисов (ПБС).

Разбираемся, зачем он нужен, как работает, в чем сходство с PIN-кодом от карты и как влияет на удобство биометрических платежей.

То же самое, но другое: что такое БИО-ПИН и чем он отличается от PIN-кода для карты

На первый взгляд, они действительно похожи. БИО-ПИН — это секретный 4-значный код, который является дополнительным фактором аутентификации пользователя при проведении платежей с использованием биометрических технологий.

Но в отличие от привычного PIN-кода, который используется при оплате по карте, БИО-ПИН применяется только при платежах с использованием биометрических данных. При том устанавливаться БИО-ПИН может как на карту «Мир», так и на счет СБП — в зависимости от того, какой платежный инструмент планируется использовать для оплаты с использованием биометрических технологий.

По уровню защиты БИО-ПИН ничем не уступает обычному карточному PIN: он хранится в зашифрованном виде и защищен надежными криптографическими решениями, отвечающими требованиям информационной безопасности.

В каких случаях требуется БИО-ПИН

Мы уже выяснили, что БИО-ПИН — это дополнительный уровень защиты, который используется только при оплате с использованием биометрических данных. 

Несмотря на то, что биометрическая оплата считается одной из самых безопасных, тем не менее банк-эквайер в некоторых случаях может запросить БИО-ПИН. Когда?

1. При оплате на крупные суммы 

Например, в некоторых банках БИО-ПИН может быть запрошен при покупках от 5000 рублей. В данном случае, необходимость использования БИО-ПИНа основывается на политике рисков принятой в банке.

2. Влияние биометрических факторов

Это те случаи, когда при биометрической идентификации зафиксирована низкая степень схожести изображения пользователя с данными, находящимися в биометрической системе.

Кроме того, влияние может оказывать тип используемой биометрии: согласно 572-ФЗ существует три типа биометрии: упрощенная, стандартная, подтвержденная. Каждый тип данных имеет свои особенности и уровень надежности, согласно чему определяется необходимость использования БИО-ПИНа. 

3. При подозрении на мошенничество

Пока биометрические платежи не стали массовыми, риски мошенничества здесь остаются низкими: технология используется реже по сравнению с картами или СБП-переводами, а значит, пока не слишком интересна для злоумышленников. 

Кроме того, сама по себе биометрия — один из самых защищенных способов оплаты. Современные системы распознавания используют так называемую проверку «живого присутствия» (liveness detection): они отслеживают движения глаз, глубину изображения, микродвижения лица и другие признаки, которые невозможно воспроизвести на фото или видео. Поэтому даже если у кого-то окажется ваша фотография, оплатить за вас не получится: алгоритм liveness detection сообщит о подозрении на мошенничество и будет запрошен БИО-ПИН.

Решение о запросе БИО-ПИНа всегда остается за банком-эквайрером, для которого действует правило переноса ответственности: если БИО-ПИН был запрошен, то финансовую ответственность в случае возникновения каких-либо споров, связанных с операцией, несет банк-эмитент, если БИО-ПИН не был запрошен, то ответственность остается на банке-эквайере.

Как пользователю подключить БИО-ПИН

Существует два способа, чтобы назначить БИО-ПИН:

• В мобильном приложении своего банка при привязке счета СБП или карты Мир для биометрических платежей

Важно: на данный момент не все банки предоставляют такую возможность. Уточните, поддерживает ли ваш банк подключение к Платформе биометрических сервисов.

• В приложении СБПей при привязке счета СБП для биометрических платежей

Совет: при выборе БИО-ПИНа не стоит использовать тот же код, что и PIN от вашей карты. Лучше задавать уникальную комбинацию — так снижается риск компрометации данных и растет общий уровень безопасности.

Пользователь может в любой момент изменить свой БИО-ПИН — также через ДБО банка или приложение СБПэй.

Какие доработки нужны банку

Появление БИО-ПИНа меняет не только пользовательский опыт, но и бизнес-процессы самих банков. Это полноценный IT-проект, в котором переплетаются вопросы безопасности, интерфейса, интеграции и соответствия требованиям платформы биометрических сервисов.

Чтобы клиент мог пройти весь путь по привязке счета СБП или карты Мир с установкой БИО-ПИНа для биометрических платежей — у банка должны быть готовы:

1. ДБО (мобильное приложение или интернет-банк) — необходимо реализовать весь пользовательский путь: от получения согласия клиента до выбора карты/счета и создания БИО-ПИНа
2. Интеграция с Платформой биометрических сервисов — здесь банк должен наладить информационный обмен с Платформой биометрических сервисов НСПК
3. Процессинговый центр — для выполнения криптографических процедур при передаче БИО-ПИН на проверку в ПБС

На практике это означает: нужно задействовать несколько команд, пройти согласования со службой информационной безопасности, внести изменения в ИТ-инфраструктуру и все протестировать.

Однако есть и другой вариант: банки могут использовать готовые коробочные решения. Они содержат весь необходимый функционал для запуска: API для мобильного банка, интеграцию с платформой ПБС НСПК и процессинговыми центрами. И типовой срок подключения банка — от полутора до двух месяцев.