Риски Deepfake KYC: дипфейки в видеоидентификации
Опубликовано: 13 января 2026 г.
Автор: Мария Белецкая

Риски Deepfake KYC: как защитить процесс верификации

Банки, фінтех і криптобіржі дедалі частіше відкривають рахунки через відеоідентифікацію, але разом із зручністю ростуть і deepfake KYC ризики: зловмисники підміняють обличчя й голос у реальному часі, обходячи перевірки, які ще вчора здавалися надійними. Це вже не теорія: у 2024–2025 роках фінансовий сектор фіксує різкий стрибок спроб шахрайства з синтетичною ідентичністю; за оцінками Sumsub, частка випадків із deepfake у схемах верифікації зросла в рази за останні два роки, а FTC США повідомляє про мільярдні втрати від шахрайств, де використовується AI-імітація. Далі розберемо, як працюють дипфейки у KYC, де найвразливіші місця, і які практичні запобіжники реально знижують ризики.

Что такое deepfake и почему это стало проблемой для KYC

Deepfake — это синтетическое фото, видео или аудио, сгенерированное или значительно изменённое с помощью моделей искусственного интеллекта (в частности deep learning). Наиболее распространённый сценарий — AI подмена лица: алгоритм «накладывает» чужое лицо на видео реального человека или воспроизводит мимику так, чтобы казалось, будто перед вами нужный персонаж.

KYC (Know Your Customer) — процедура, по которой банк, криптобиржа или платежный сервис проверяют, кто именно открывает счёт/кошелёк и не связана ли это персона с отмыванием средств или другими рисками. Видеоидентификация — один из ключевых инструментов KYC: клиент показывает документ, своё лицо, иногда выполняет движения (повернуть голову, моргнуть), отвечает на вопросы.

Проблема в том, что deepfake KYC риски растут быстрее, чем успевают адаптироваться типичные сценарии видео-проверки. Если раньше главным врагом KYC были «фотография на экране» и поддельные документы, то теперь мошенник может показать «живое» видео с лицом другого человека — и пройти контроль.

Как работает видеоидентификация в KYC и где именно уязвимое место

Видеоидентификация обычно сочетает несколько слоёв проверок: сравнение лица с фото в документе, оценку «живости» (liveness), проверку качества документа, а также анализ поведенческих сигналов (движения, реакции).

Ниже — типичная логика процесса и точки атаки.

Сравнение лица с документом

Система берёт кадр из видео и сравнивает его с фото в паспорте/ID. Если deepfake накладывает лицо владельца документа на лицо мошенника — алгоритм может «увидеть» совпадение.

Что усложняет защиту: современные генеративные модели научились воспроизводить мимику, повороты головы и освещение достаточно правдоподобно для части массовых KYC-систем.

Liveness-проверка (проверка «живости»)

Liveness тест должен отличить реального человека перед камерой от подмены: например, попросить повернуть голову, улыбнуться, посмотреть в сторону, сделать случайное действие.

Но deepfake способен «подстраиваться» под такие инструкции в реальном времени — в зависимости от инструмента и качества реализации. То есть привычная линейная проверка «моргни/повернись» уже не гарантирует безопасности.

Проверка документа и контекста

Отдельно система может анализировать документ: защитные элементы, шрифты, MRZ-зону, блики, признаки монтажа. Это полезно, но deepfake атакует другую часть — «человека», а не документ. В результате документ может быть настоящим (украденным/купленным), а лицо перед камерой — нет.

Ручная проверка (оператор)

Если видео смотрит оператор, он тоже может ошибиться: мошенники подбирают освещение, качество камеры, «шум» изображения, чтобы скрыть артефакты подмены. К тому же операторы работают в потоке, а атаки часто рассчитаны на усталость и спешку.

Как deepfake используют в мошенничестве KYC: сценарии из жизни

Deepfake угроза банкам и финтех-сервисам — не теоретическая. Она упирается в типичные мотивы: вывод средств, получение кредита, открытие «мул-счётов» (счётов на подставных лиц), доступ к криптоплатформам.

Открытие счёта на чужое имя

Мошенник получает фото/видео человека (например, из соцсетей) и его документы (через утечку или покупку). Далее создаёт видеопоток, где «человек» якобы проходит видеоидентификацию. Если проверка слабая — счёт открыт. Далее через него гоняют деньги, и реальный владелец документов узнаёт об этом слишком поздно.

Обход блокировок и повторная регистрация

Если клиента заблокировали за подозрительную активность, мошенник может пробовать зарегистрироваться заново, используя новую «личность». Deepfake ускоряет этот процесс: не нужно привлекать живых подставных людей, достаточно подмены лица.

Социальная инженерия + deepfake

Комбинация «звонка от “службы безопасности”» и deepfake — ещё опаснее. Человеку могут показать в видеозвонке «сотрудника банка» или даже «самого клиента» (в корпоративных сценариях), чтобы заставить выполнить действие. Это не всегда KYC, но бьёт по тем же механизмам доверия к видео.

Преимущества видеоидентификации и новые риски

Видеоидентификация стала популярной не просто так: она удобна, быстра, уменьшает очереди в отделениях и даёт доступ к финансовым сервисам людям в небольших городах или за рубежом. Для криптоплатформ это часто единственный масштабируемый способ подтвердить личность.

Но вместе с плюсами появляются и deepfake KYC риски:

  • ложное принятие подмены (fraud acceptance) и открытие счётов для отмывания средств;
  • кредитное мошенничество и убытки банка/МФО;
  • репутационные риски для финсервиса (клиенты перестают доверять удалённой верификации);
  • регуляторные последствия: слабые процедуры KYC могут привести к претензиям со стороны надзора;
  • риски для пользователя: на него могут оформить продукт, а доказывать непричастность придётся именно ему.

Как финансовые компании защищаются от deepfake в KYC

Защита работает только «в комбинации». Один тест на моргание уже не спасает — нужны слои контроля, которые сложнее обойти одновременно.

Умные liveness-проверки и активные вызовы

Вместо предсказуемых команд используют случайные сценарии: повторить фразу, повернуть голову по подсказке на экране, выполнить последовательность действий. Некоторые решения проверяют реакцию зрачков, микродвижения и согласованность мимики с речью.

Минус: это может снижать конверсию (часть людей не любит «квестов» во время регистрации), но для рискованных продуктов это оправдано.

Детекторы синтетических медиа

Финтехи внедряют алгоритмы, которые ищут артефакты генерации: аномалии кожи, границы наложения, несогласованные тени, неестественную компрессию, ошибки в моргании или движении губ. Такие детекторы нужно постоянно обновлять: генеративные модели быстро улучшаются.

Проверки устройства и сессии

Признаки риска могут быть не в видео, а в окружении: эмуляторы, подозрительный браузер, VPN-цепочки, повторяющиеся «отпечатки» устройства, аномальная геолокация. Поведенческая аналитика (скорость ввода, движения мыши, паттерны действий) часто даёт дополнительный сигнал.

Многофакторный подход к идентификации

Для высоких лимитов или подозрительных случаев добавляют второй канал: BankID/электронная подпись (где доступно), подтверждение через существующий банк, дополнительные документы, короткий звонок оператором с непредсказуемыми вопросами.

Сравнение подходов: что лучше против deepfake

Универсального ответа нет: важен баланс между удобством, стоимостью и риском продукта.

Подход Удобство для клиента Стойкость к deepfake Где уместно
Только видеоидентификация (базовый liveness) Высокая Средняя/низкая в зависимости от качества Массовые продукты с низкими лимитами
Видеоидентификация + детектор deepfake Высокая/средняя Выше, но требует обновлений Банки/финтехи с большим потоком онбординга
Видеоидентификация + device intelligence + поведенческие сигналы Средняя Высокая в комплексе Криптобиржи, платежные сервисы с частыми атаками
Видеоидентификация + дополнительный фактор (BankID/е-подпись/ручная проверка) Средняя/ниже Самая высокая Кредиты, большие лимиты, корпоративные счета

Если продукт даёт доступ к крупным суммам или быстрому выводу средств, «дорогая» проверка почти всегда выгоднее потерь от мошенничества KYC.

Практические советы для пользователей: как снизить риск, что ваши данные используют в deepfake

Даже если вы не проходите KYC ежедневно, ваши фото и видео могут стать «сырьём» для подмены лиц. Отсюда — простые, но эффективные правила.

Мини-чек-лист защиты

  • Ограничьте публичность в соцсетях: меньше видео крупным планом, особенно с разных ракурсов и при хорошем свете.
  • Не отправляйте фото документов в мессенджерах «просто так». Если сервис просит документы — проверьте домен, приложение, поддержку; лучше загружать через официальный кабинет.
  • Включите защиту аккаунтов: сложный пароль + 2FA (приложение-генератор кодов), а не только SMS.
  • Следите за кредитной и банковской активностью: уведомления в приложении, лимиты, контроль входов.
  • Если вам звонят «из банка» и просят видеозвонок или «подтвердить личность» — завершите вызов и наберите номер с официального сайта/карты.
  • Для криптоплатформ: включите whitelist адресов вывода (если есть), задержку на изменение настроек безопасности, антифишинговые коды в письмах.

Что делать, если подозреваете оформление продукта на вас

  • Немедленно обратитесь в банк/сервис официальными каналами и зафиксируйте обращение.
  • Попросите заморозить/проверить счёт, открытый на ваше имя, и предоставить детали KYC-сессии (время, канал, IP/устройство — если возможно).
  • Подайте заявление в полицию о мошенничестве и использовании персональных данных.
  • Проверьте другие финансовые сервисы, где могли использовать те же данные.

Вывод

Deepfake угроза банкам и финтеху напрямую бьёт по доверию к удалённой идентификации, а deepfake KYC риски уже нужно учитывать и компаниям, и пользователям. Видеоидентификация остаётся удобной, но без многослойной защиты и дополнительных сигналов она становится более лёгкой мишенью для мошенничества KYC. Лучшая стратегия — сочетание технологий детекции, проверок сессии и здоровых привычек пользователя в отношении приватности и безопасности.

Распространение дипфейков ставит под вопрос надёжность дистанционной идентификации, поэтому стоит понимать, как сегодня работают базовые KYC-инструменты вроде BankID и где проходит граница их безопасности.