Уряд Південної Кореї оголосив про запровадження нової моделі ідентифікації абонентів мобільного зв’язку: при купівлі та активації SIM-карт оператори будуть зобов’язані проводити верифікацію особи за біометричними даними обличчя. Мета реформи – зменшити масштаби телефонного шахрайства, голосового фішингу та зловживань, пов’язаних з використанням викрадених персональних даних.
Нова модель ідентифікації абонентів: біометрія плюс цифрова ідентичність
Раніше для оформлення SIM-карти в Південній Кореї зазвичай було достатньо пред’явити документ, що посвідчує особу. Такий підхід показав свою вразливість: шахраї активно використовували підроблені або викрадені посвідчення, масово реєструючи номери на сторонніх людей для фінансових махінацій та приховування своєї реальної особи.
Відповідно до заяви Міністерства науки та ІКТ, нова процедура активації буде інтегрована з мобільним застосунком PASS, який уже використовується трьома найбільшими операторами зв’язку країни: SK Telecom, LG Uplus та Korea Telecom. PASS фактично виконує роль платформи цифрової ідентифікації, де зберігаються верифіковані дані користувача.
Як працюватиме біометрична перевірка через додаток PASS
Під час купівлі нового номера абоненту потрібно буде пройти сканування обличчя в додатку PASS. Система порівняє отримане зображення з наявними біометричними шаблонами та персональними даними, прив’язаними до облікового запису користувача. SIM-карта буде активована лише у разі успішного збігу.
Таким чином, до традиційної перевірки документів додається другий, біометричний фактор. Це суттєво ускладнює використання викрадених персональних даних і зменшує цінність «сірих» SIM-карт для кримінальних груп.
SIM-карти як інструмент телефонного шахрайства та голосового фішингу
Ключовою причиною посилення регулювання стала багаторічна проблема голосового фішингу та телефонного шахрайства. Зловмисники масово реєстрували SIM-карти на підставні або вкрадені документи та використовували їх для:
— побудови складних соціально-інженерних схем по телефону;
— оформлення мікропозик і фінансових операцій на третіх осіб;
— анонімізації своєї діяльності й ускладнення розслідувань правоохоронцями.
За даними влади, у 2024 році майже 92% фальшивих номерів було зареєстровано через віртуальних операторів (MVNO), де процедури KYC (Know Your Customer) традиційно м’якші. Це вказує не лише на проблему витоків даних, а й на нерівномірність вимог до ідентифікації на телеком-ринку.
Масові витоки персональних даних як каталізатор реформи
Перехід до біометричної верифікації відбувається на тлі низки масштабних інцидентів інформаційної безпеки. Лише у 2025 році в країні було зафіксовано дві значні витоки, які, за оцінками, торкнулися понад 52 млн громадян — фактично більшої частини населення Південної Кореї.
Найбільший онлайн-ритейлер Coupang допустив витік понад 30 млн записів про користувачів. Інцидент спричинив не лише технічні, а й управлінські наслідки: компанія змінила генерального директора.
Ще раніше в тому ж році від кібератаки постраждав телеком-гігант SK Telecom: хакери отримали доступ до даних близько 23 млн абонентів. Розслідування виявило серйозні порушення практик кібербезпеки, включно з відкритим зберіганням критичних облікових даних та наявністю сервера, доступного напряму з інтернету. Оператор отримав штраф приблизно 100 млн доларів США і зобов’язаний виплатити компенсації всім постраждалим — по 100 000 вон (близько 67 доларів) на людину частково грошима, частково бонусами.
Комбінація масових витоків і слабких процедур ідентифікації при видачі SIM-карт створила ідеальне середовище для зловмисників, що й стало безпосереднім поштовхом до посилення вимог.
Переваги та ризики біометричної верифікації SIM-карт
Запровадження сканування обличчя при купівлі SIM-карти має низку помітних переваг з точки зору кібербезпеки та протидії шахрайству:
— зменшується можливість масової реєстрації номерів на викрадені дані;
— ускладнюється анонімізація дій злочинців;
— підвищується точність прив’язки номера до конкретної фізичної особи;
— спрощується ідентифікація підозрюваних у рамках розслідувань.
Водночас біометрія належить до особливо чутливих персональних даних. На відміну від пароля, «змінити обличчя» неможливо, тому ризики при витоку значно вищі. Оператори та власники цифрових ідентифікаційних платформ повинні забезпечити:
— зберігання біометричних шаблонів лише у зашифрованому вигляді;
— жорстке розмежування прав доступу й регулярний аудит безпеки;
— застосування механізмів перевірки «живості» (liveness detection), щоб відсіяти спроби використання фото, відео або deepfake-зображень;
— поєднання біометрії з іншими факторами аутентифікації, а не повну відмову від документів та паролів.
MVNO, нові стандарти KYC та наслідки для ринку
Той факт, що близько 92% фейкових номерів у 2024 році припало на віртуальних операторів, вказує на неминучість вирівнювання регуляторних вимог. З великою ймовірністю біометричні процедури ідентифікації будуть поширені й на MVNO, а також з’являться єдині стандарти KYC для всіх учасників ринку.
Для операторів це означає інвестиції в безпечну інфраструктуру біометричної верифікації, посилення процесів інформаційної безпеки та регулярні незалежні аудити й сертифікації. Для користувачів — необхідність уважніше ставитися до обробки своїх біометричних даних, читати політики конфіденційності та контролювати, які сервіси мають до них доступ.
Поширення біометричної ідентифікації абонентів демонструє глобальний тренд: із зростанням обсягів витоків персональних даних і телефонного шахрайства держави переходять до жорсткіших, технологічно складних моделей ідентифікації. Щоб вони справді підвищували рівень захисту, а не створювали нові точки зламу, бізнесу й користувачам варто вже зараз переглянути власні підходи до кібергігієни: уважно ставитися до підозрілих дзвінків і SMS, мінімізувати надлишкове розкриття даних, користуватися багатофакторною аутентифікацією та стежити за тим, як змінюються вимоги до ідентифікації в цифрових сервісах, банках і телеком-операторів.
