KYC (Know Your Customer) — обязательная процедура верификации личности в банках, на криптобиржах и в финтехе. В её основе — проверка документов, распознавание лиц и liveness detection (проверка «живости»). В 2026 году ландшафт угроз радикально изменился: дипфейки теперь составляют 11% всего мирового фрода (против 7% в 2024), а injection-атаки через виртуальную камеру выросли на сотни процентов за год. Эта статья объясняет, как устроена биометрическая верификация, какие новые угрозы появились в 2026, и — главное — как защититься обычному пользователю и бизнесу.
Дисклеймер: Материал носит информационно-образовательный характер и предназначен для понимания угроз и построения защиты. Статья не содержит инструкций по обходу систем верификации. Обход KYC для мошенничества, отмывания денег или создания фейковых аккаунтов — уголовное преступление.
- Что изменилось в 2026 году
- Что такое KYC простыми словами
- Зачем нужен KYC
- Кто требует KYC в 2026
- Как устроен современный KYC
- Уровень 1: Базовые методы
- Уровень 2: Верификация документов
- Уровень 3: Биометрия и liveness
- Биометрия и распознавание лиц
- Биометрическое связывание (biometric binding)
- Liveness Detection
- Пассивные методы
- Активные методы
- Аппаратные методы
- Сравнение методов liveness
- Новые угрозы 2026
- 1. Injection-атаки (атаки через инъекцию)
- 2. Deepfake-as-a-Service
- 3. Telegram-маркетплейсы инструментов
- 4. Реал-тайм дипфейк-инструменты
- Синтетические личности
- Почему классические проверки не спасают
- Как защититься пользователю
- Базовые правила защиты личности
- Признаки, что вашу личность используют
- Как защищается бизнес
- Пять слоёв современной KYC-защиты
- Ключевые контрмеры 2026
- Что делают банки Tier-1
- Карта «угроза → уязвимость → контрмера»
- Регуляция KYC/AML в 2026
- Часто задаваемые вопросы (FAQ)
- Что такое KYC простыми словами?
- Что такое liveness detection?
- Можно ли обмануть распознавание лица фотографией?
- Что такое deepfake-фрод?
- Что такое injection-атака?
- Безопасна ли биометрия в банках?
- Что такое синтетическая личность?
- Можно ли отказаться от прохождения биометрии?
- Как защитить свою личность от использования в синтетическом фроде?
- Законно ли проходить KYC за вознаграждение для других людей?
- Какие компании защищают от deepfake в KYC?
- Что будет с KYC и биометрией дальше?
- Заключение
Что изменилось в 2026 году
Если вы читали про KYC и биометрию пару лет назад, картина угроз кардинально другая:
- Дипфейки = 11% всего фрода в 2026 (Sumsub), против 7% в 2024
- Injection-атаки через виртуальную камеру выросли на 741-2665% за год (iProov)
- Впервые под ударом iOS — устройства Apple, ранее устойчивые к injection-атакам, стали целью
- FATF (декабрь 2025) официально признал дипфейки инструментом обхода AML-контроля в своём Horizon Scan
- WEF Cybercrime Atlas (январь 2026) исследовал 17 инструментов face-swapping и 8 инструментов camera injection — большинство обходят стандартные проверки
- Gartner: к 2026 году 30% компаний считают автономные решения верификации ненадёжными из-за ИИ-дипфейков
- Deloitte: 25,9% руководителей уже сталкивались с дипфейк-фродом в своих организациях
- Deepfake-as-a-Service — дипфейки, синтетические личности и клонированные голоса продаются от $5 (Group-IB)
Главный сдвиг 2026: раньше KYC-система спрашивала «совпадает ли это лицо с фото в документе?». Теперь она обязана спрашивать ещё и «реальный ли это биометрический сигнал, живой, не подменённый и не инжектированный в видеопоток?». Одной проверки лица уже недостаточно.
Что такое KYC простыми словами
KYC (Know Your Customer — «знай своего клиента») — это процедура проверки личности клиента, которую обязаны проводить банки, криптобиржи, финтех-сервисы, а сегодня даже приложения такси и знакомств.
Простыми словами: KYC — это когда сервис говорит «прежде чем дать вам доступ к деньгам/услугам, докажите, что вы — это действительно вы, и что вы реальный человек».
Типичный KYC-процесс в 2026 году:
- Регистрация (email, телефон)
- Загрузка документа (паспорт, ID-карта, водительские права)
- Селфи или видео-селфи
- Проверка «живости» (liveness) — что перед камерой живой человек
- Система сравнивает лицо с документом и проверяет подлинность
Зачем нужен KYC
KYC решает сразу несколько задач:
- Соблюдение требований регуляторов — AML/CFT (борьба с отмыванием денег и финансированием терроризма)
- Защита пользователей от мошенничества и кражи личности
- Снижение рисков для компании — репутационных, финансовых, юридических
По отраслевым данным, внедрение KYC-процессов снижает риск мошенничества более чем на 40% в первые полгода. Но вместе с этим усложняется и игра злоумышленников, которые всё активнее применяют ИИ, дипфейки и синтетические документы.
Кто требует KYC в 2026
| Сфера | Уровень KYC |
|---|---|
| 🏦 Банки | Полный (документы + биометрия + адрес) |
| 💱 Криптобиржи | Полный (Binance, KuCoin, Kraken) |
| 💳 Финтех/необанки | Полный (Revolut, Wise, N26) |
| 🛒 Маркетплейсы | Базовый-средний |
| 🚕 Такси, доставка | Базовый |
| ❤️ Приложения знакомств | Базовый-средний (часто verified-бейджи) |
Как устроен современный KYC
Современный процесс верификации можно разделить на несколько уровней сложности.
Уровень 1: Базовые методы
- Подтверждение e-mail или номера телефона
- Проверка IP и геолокации
- Сверка имени и возраста с внутренними или государственными базами
Эти шаги легко автоматизировать, но они давно не являются надёжной защитой сами по себе.
Уровень 2: Верификация документов
- OCR-распознавание паспорта, ID-карты, водительских прав
- Сравнение фото в документе с селфи пользователя
- Проверка подлинности документа (водяные знаки, голограммы, MRZ-зоны)
Здесь активно подключаются сторонние KYC-провайдеры (Onfido, Veriff, Sumsub, Regula), интегрированные через API.
Уровень 3: Биометрия и liveness
Самый продвинутый уровень — биометрическая проверка с подтверждением «живости». Именно здесь идёт основная борьба между защитой и атакующими в 2026 году.
Биометрия и распознавание лиц
В большинстве финтех-сервисов ключевым шагом стало селфи-подтверждение личности. Пользователь фотографирует или снимает себя на видео, система сравнивает изображение с документом и решает: совпадает ли лицо.
Крупные игроки (Binance, Revolut, N26) дополнительно внедряют анализ:
- Движения глаз
- Мимики и микровыражений
- 3D-геометрии лица
- Глубины и тепла (на устройствах с IR-сенсорами)
Биометрическое связывание (biometric binding)
Ключевая концепция 2026 года — biometric binding. Это то, что отличает простую проверку «живости» от полноценного подтверждения личности. Системы, которые проверяют документ и лицо отдельными API-вызовами без перекрёстной сверки результатов, оставляют уязвимый разрыв между двумя проверками — именно его атакуют мошенники.
Liveness Detection
Обычного распознавания лица недостаточно. Чтобы защититься от показа фото на экране или видеозаписи, используется проверка «живости» (Liveness Detection) — подтверждение, что перед камерой реальный живой человек.
Пассивные методы
Работают незаметно для пользователя:
- Анализ моргания и микродвижений глаз
- Отслеживание микродвижений головы
- Выявление несоответствий в текстуре кожи (экранные артефакты, отражения)
- 3D-картирование лица
Активные методы
Требуют действий от пользователя:
- Повернуть голову, улыбнуться, моргнуть по команде
- Демонстрация документа рядом с лицом в реальном времени
- Flashmark-подход (iProov) — вспышки цвета на экране, которые сложно подделать в заранее записанном дипфейке
Аппаратные методы
Самые надёжные, но требуют спецоборудования:
- Инфракрасные сенсоры (определяют глубину и тепло)
- 3D-сканирование и структурированный свет
- Датчики в телефонах (Face ID, IR-камеры)
Сравнение методов liveness
| Метод | Преимущества | Уязвимости |
|---|---|---|
| Пассивный | Удобство, незаметность | Легче обмануть дипфейком |
| Активный | Высокая надёжность | Снижает UX, friction |
| Аппаратный (3D) | Почти не поддаётся подделке | Дорогой, нужны спец-устройства |
| Flashmark (вспышки) | Защита от записанных дипфейков | Требует экрана и камеры |
Новые угрозы 2026
Главное изменение 2026 года — атаки перешли от подделки документов к подмене биометрического сигнала в реальном времени.
1. Injection-атаки (атаки через инъекцию)
Вместо того чтобы показывать фейковое лицо реальной камере, атакующие пытаются обойти саму камеру и инжектировать синтетическое видео прямо в верификационный поток.
- iProov: рост digital injection-атак на 741% за год
- Рост атак на iOS на 1151% во втором полугодии 2025
- Использование virtual camera (VCam) софта
Это меняет саму постановку задачи KYC: система больше не может спрашивать только «совпадает ли лицо?», она должна проверять, реальный ли это сигнал, живой и не инжектированный.
2. Deepfake-as-a-Service
Появились коммерческие сервисы, продающие готовые инструменты для атак на верификацию. По данным Group-IB:
- Дипфейки, синтетические личности и клонированные голоса продаются от $5
- За январь-август 2025 зафиксировано 8065 попыток обхода liveness одного финансового учреждения
- Целая индустрия cybercrime-as-a-service
3. Telegram-маркетплейсы инструментов
Расследование MIT Technology Review (апрель 2026) выявило 22 публичных Telegram-канала на китайском, вьетнамском и английском, открыто рекламирующих VCam-софт, украденные биометрические шаблоны, генераторы дипфейк-видео и эксплойты для обхода KYC.
4. Реал-тайм дипфейк-инструменты
Появились инструменты вроде JINKUSU CAM — live deepfake-софт, специально созданный для атак на удалённую верификацию финансовых учреждений и крипто-платформ в реальном времени.
Эти угрозы — причина, почему индустрия переходит от «AI vs человек» к «AI vs AI»: системы детекции на нейросетях против генеративных атак. Обе стороны развиваются параллельно.
Синтетические личности
Наряду с дипфейк-видео растёт synthetic identity fraud — когда реальные фрагменты чужих данных (имя, номер документа, дата рождения) комбинируются с полностью выдуманными профилями.
Почему это опасно:
- Создаются тысячи заявок, которые выглядят легитимно, но являются синтетикой
- По данным Experian/TransUnion, доля синтетического фрода резко выросла в 2023-2024 и достигла двузначных процентов в некоторых странах
- Системная проблема для банков — сложно отличить от реальных клиентов
Почему классические проверки не спасают
Многие коммерческие KYC-решения используют пассивный или активный liveness (моргание, поворот головы). Но в 2026 году:
- Современные дипфейки симулируют моргание, повороты, мимику
- Создают короткие видео с правдоподобной кинематикой, проходящие простые проверки
- Аппаратные особенности (разрешение камеры, компрессия, артефакты) могут скрывать признаки подделки
- Системы детекции, обученные на данных двухлетней давности, не распознают новые инструменты
Поэтому одной проверки «пользователь моргает» уже недостаточно. Нужна многоуровневая защита.
Как защититься пользователю
Хотя основная нагрузка по защите лежит на бизнесе, обычный пользователь тоже может защитить себя от того, чтобы его личность не украли и не использовали для синтетического фрода.
Базовые правила защиты личности
- Не передавайте фото документов в сомнительные сервисы и Telegram-боты. Ваш паспорт может стать частью синтетической личности.
- Не отправляйте видео-селфи незнакомцам — даже «для верификации в розыгрыше». Это сырьё для дипфейков.
- Используйте 2FA через приложение (не SMS) — даже если личность скомпрометирована, аккаунт защищён.
- Проверяйте, кому даёте биометрию — легальный банк/биржа vs сомнительный сайт.
- Мониторьте кредитную историю — синтетический фрод часто оформляет кредиты на ваши данные.
- Остерегайтесь «работы», где просят пройти KYC «для клиента» — это классическая схема использования вашей личности.
Признаки, что вашу личность используют
- Приходят SMS-коды от сервисов, где вы не регистрировались
- В кредитной истории появляются незнакомые запросы
- Банк сообщает о «вашей» заявке, которую вы не подавали
- Письма «подтвердите регистрацию» с незнакомых платформ
Если заметили такое — немедленно обратитесь в банк и смените пароли. В Украине дополнительно проверьте, не попали ли ваши данные в схемы через реестр дроперов.
Важно: передача своих документов и прохождение KYC «за вознаграждение» для третьих лиц — это участие в мошеннической схеме (дроперство), за которое в 2026 году наступает реальная уголовная ответственность. Реальный кейс — украинка в Польше оформила кредиты на 286 человек через DeepFake и BankID.
Как защищается бизнес
Для финтеха в 2026 году одноуровневой защиты недостаточно. Эксперты (Group-IB, iProov, FATF) рекомендуют многоуровневую оборону.
Пять слоёв современной KYC-защиты
Слой 1 — Document Intelligence Проверка читаемости, полноты и структурной валидности документа: OCR, классификация, проверка полей, детекция подделки.
Слой 2 — Face Comparison Сравнение селфи/видео с фото в документе. Базовый биометрический шаг, но не должен работать в одиночку.
Слой 3 — Liveness Detection Подтверждение физического присутствия. Современные системы используют пассивные методы (низкий friction) + активные вызовы (вспышки, случайные движения).
Слой 4 — Deepfake & Injection Detection Проверка, не сгенерирован ли сигнал синтетически, не подменён ли, не инжектирован ли в видеопоток. Главное новшество 2026.
Слой 5 — Behavioral & Risk Scoring Анализ поведения, устройства, сессии, сети. Оценка консистентности всей картины, а не одного результата pass/fail.
Ключевые контрмеры 2026
| Контрмера | Что защищает |
|---|---|
| Biometric binding | Перекрёстная сверка документа и лица |
| Passive + active liveness fusion | Защита от записанных дипфейков |
| Injection detection | Защита от VCam и подмены потока |
| 3D face mapping | Защита от 2D-дипфейков |
| Flashmark (вспышки) | Защита от заранее записанного видео |
| Device & session fingerprinting | Выявление эмуляторов и автоматизации |
| Behavioral biometrics | Keystroke dynamics, гироскоп, touch-паттерны |
| Human-in-the-loop | Ручная проверка спорных кейсов |
Что делают банки Tier-1
HSBC, NatWest, JPMorgan Chase в 2025-2026 расширили поведенческую биометрию: анализ динамики нажатий клавиш, паттернов гироскопа, тепловых карт касаний поверх onboarding-сессий. Это создаёт дополнительный слой, который дипфейку сложно подделать.
Карта «угроза → уязвимость → контрмера»
| Угроза | Уязвимость | Рекомендованная контрмера |
|---|---|---|
| 2D-дипфейк (фото на экране) | Слабый liveness | 3D-картирование, flashmark |
| Реал-тайм дипфейк-видео | Пассивный liveness | Active liveness + injection detection |
| Injection-атака (VCam) | Доверие к камере устройства | Camera attestation, device fingerprinting |
| Синтетическая личность | Изолированные проверки | Biometric binding, консорциумные данные |
| Синтетический документ | Только OCR | Проверка MRZ, голограмм, document forensics |
| Массовая автоматизация | Нет rate-контроля | Behavioral analytics, прокси-детекция |
| Атака на iOS injection | Устаревшие модели детекции | Регулярное переобучение на свежих атаках |
Регуляция KYC/AML в 2026
Регуляторы серьёзно отреагировали на рост дипфейк-угроз:
- FATF Horizon Scan (декабрь 2025) — дипфейки официально признаны угрозой AML, CDD и digital ID при онбординге
- WEF Cybercrime Atlas (январь 2026) — исследование «Unmasking Cybercrime» с анализом инструментов обхода
- FinCEN FIN-2024-Alert004 — банки США обязаны указывать код FIN-2024-DEEPFAKEFRAUD в отчётах SAR при использовании дипфейк-медиа в онбординге
- EU AI Act + eIDAS 2.0 — требования к надёжности биометрической верификации
- Для compliance-команд: неспособность обнаружить дипфейк-фрод теперь может квалифицироваться как нарушение AML/KYC-обязательств при проверке регулятором
Это означает, что финтех больше не может относиться к дипфейк-защите как к «опции» — это регуляторное требование.
Часто задаваемые вопросы (FAQ)
Что такое KYC простыми словами?
KYC (Know Your Customer, «знай своего клиента») — это процедура проверки личности клиента, обязательная для банков, криптобирж и финтех-сервисов. Она включает проверку документов, сравнение фото с селфи и подтверждение «живости» (что перед камерой реальный человек). Цель — соблюдение требований AML, защита от мошенничества и снижение рисков.
Что такое liveness detection?
Liveness detection («проверка живости») — это технология, подтверждающая, что перед камерой находится реальный живой человек, а не фотография, видеозапись или дипфейк. Бывает пассивной (незаметный анализ моргания, текстуры кожи), активной (просьба повернуть голову, моргнуть) и аппаратной (3D-сканирование, инфракрасные сенсоры). В 2026 году добавились методы вроде flashmark — вспышек цвета на экране.
Можно ли обмануть распознавание лица фотографией?
Простые системы можно было обмануть фото или видео на экране, поэтому и появился liveness detection. Современные многоуровневые системы (3D-картирование, injection detection, поведенческая биометрия) гораздо устойчивее. Однако в 2026 году дипфейки и injection-атаки стали серьёзной угрозой — именно поэтому индустрия переходит к многослойной защите, а одной проверки лица уже недостаточно.
Что такое deepfake-фрод?
Deepfake-фрод — это мошенничество с использованием ИИ-сгенерированных видео, изображений или голоса для обмана систем верификации. Например, синтезированное видео лица, имитирующее моргание и движения, для прохождения liveness-проверки. По данным Sumsub, в 2026 году дипфейки составляют 11% всего мирового фрода против 7% в 2024.
Что такое injection-атака?
Injection-атака — это когда злоумышленник обходит реальную камеру устройства и инжектирует (внедряет) синтетическое видео прямо в верификационный поток через виртуальную камеру (VCam). Это одна из самых быстрорастущих угроз 2026 года — iProov зафиксировал рост таких атак на сотни процентов за год, включая впервые массовые атаки на устройства iOS.
Безопасна ли биометрия в банках?
Биометрия в крупных банках и финтехе в целом безопасна — она защищена многоуровневыми системами (3D-liveness, injection detection, поведенческая биометрия). Однако ни одна система не даёт 100% гарантии. Главные риски для пользователя — не взлом банковской биометрии, а кража ваших биометрических данных через сомнительные сервисы, которые потом используются для синтетического фрода. Поэтому важно не передавать фото документов и видео-селфи непроверенным сервисам.
Что такое синтетическая личность?
Синтетическая личность (synthetic identity) — это поддельный профиль, созданный комбинацией реальных украденных данных (имя, номер документа, дата рождения) с полностью выдуманной информацией. Такие личности выглядят легитимно для KYC-систем и используются для открытия счетов, оформления кредитов и отмывания денег. Это одна из самых сложных для обнаружения форм фрода.
Можно ли отказаться от прохождения биометрии?
В большинстве случаев нет — для банков и криптобирж биометрическая верификация является обязательной по требованиям AML/KYC-регуляторов. Отказ обычно означает невозможность пользоваться сервисом. Некоторые сервисы предлагают альтернативные методы верификации (видеозвонок с оператором, посещение отделения), но полностью избежать KYC в регулируемом финтехе невозможно.
Как защитить свою личность от использования в синтетическом фроде?
Главные правила: не передавайте фото документов сомнительным сервисам и Telegram-ботам; не отправляйте видео-селфи незнакомцам; используйте 2FA через приложение; мониторьте кредитную историю на незнакомые запросы; остерегайтесь «работы», где просят пройти KYC «для клиента» (это мошенническая схема). Если заметили SMS-коды от сервисов, где не регистрировались — возможно, вашу личность уже используют.
Законно ли проходить KYC за вознаграждение для других людей?
Нет, это незаконно и опасно. Передача своих документов и прохождение KYC за вознаграждение для третьих лиц — это участие в мошеннической схеме (дроперство). За это в 2026 году наступает реальная уголовная ответственность. В Украине создан реестр дроперов, а в ЕС такие действия преследуются ещё жёстче. Ваши данные могут использоваться для отмывания денег и кредитного мошенничества, а ответственность ляжет на вас.
Какие компании защищают от deepfake в KYC?
Ведущие игроки рынка liveness detection и deepfake-защиты в 2026: iProov (flashmark-технология), Sumsub, Onfido, Veriff, FaceTec, Regula, ComplyCube, Reality Defender, Group-IB. Они предлагают многоуровневую защиту с injection detection, 3D-liveness и поведенческой аналитикой. Выбор зависит от потребностей бизнеса и регуляторных требований.
Что будет с KYC и биометрией дальше?
Тренд 2026 и далее — переход от единичных проверок к непрерывной верификации и многослойной защите «AI против AI». Будут развиваться: поведенческая биометрия, camera attestation (подтверждение подлинности камеры), консорциумные модели обмена данными о фроде между банками, регулярное переобучение моделей на свежих атаках. Регуляторы (FATF, EU) будут ужесточать требования к дипфейк-защите.
Заключение
KYC и биометрия в 2026 году переживают гонку вооружений между защитой и атакующими. Дипфейки, injection-атаки и синтетические личности перевели угрозу на новый уровень — теперь недостаточно спросить «совпадает ли лицо?», нужно проверять подлинность самого биометрического сигнала.
Главные выводы:
✅ KYC — обязательная процедура для банков, бирж и финтеха
✅ Liveness detection эволюционировал от простого моргания к 3D и flashmark
✅ Дипфейки = 11% фрода в 2026 — угроза стала массовой
✅ Injection-атаки — главная новая угроза, включая атаки на iOS
✅ Защита = многослойность — один метод больше не работает
✅ Пользователю важно беречь свои документы и биометрию от кражи
✅ Регуляторы (FATF, FinCEN) сделали дипфейк-защиту обязательной
Для обычного пользователя главный урок прост: берегите свою биометрию и документы так же, как пароли. В мире, где личность можно синтезировать за $5, ваше лицо и паспорт — это ценные активы, которые мошенники охотно используют против вас.
