Перейти к основному содержимому
БиометрияMar 28, 2026

Биометрический мандат на SIM-карты в Индонезии: что это значит для разработчиков и цифровых сервисов

OS
Open Soft Team

Engineering Team

Биометрический мандат на SIM-карты в Индонезии: краткий ответ

Начиная с 1 июля 2026 года каждая новая регистрация SIM-карты в Индонезии должна включать биометрическую верификацию по распознаванию лица. Это предусмотрено Регламентом KOMDIGI (Министерства коммуникаций и цифровых технологий) № 7 от 2026 года, который заменяет предыдущую систему верификации только по номеру NIK (Nomor Induk Kependudukan). Регламент ограничивает владение предоплаченными SIM-картами до 3 карт на человека и обязывает операторов связи интегрироваться с индонезийской платформой Цифровой Идентификации Населения (IKD).

Для разработчиков и поставщиков цифровых услуг это означает фундаментальный сдвиг в реализации верификации личности в цифровой экосистеме Индонезии — от процессов регистрации в мобильных приложениях до потоков электронного KYC.

Хронология и ключевые этапы

Внедрение происходит поэтапно, и разработчикам необходимо учитывать следующие сроки:

ДатаЭтап
15 марта 2026Официальная публикация Регламента KOMDIGI № 7/2026
1 апреля 2026Выпуск технических спецификаций для операторов
1 мая 2026Открытие песочницы (sandbox) для интеграционных партнёров
1 июня 2026Крайний срок обязательной сертификации поставщиков биометрических SDK
1 июля 2026Начало применения — все новые регистрации SIM требуют биометрической верификации
1 января 2027Крайний срок повторной верификации существующих SIM для аккаунтов высокого риска
1 июля 2027Крайний срок полной повторной верификации всех существующих предоплаченных SIM

Операторам, не выполнившим требования, грозят штрафы до 50 миллиардов рупий ($2,9 млн) за каждое нарушение с возможным отзывом лицензии при повторном несоблюдении.

Технические требования

Регламент устанавливает точные технические стандарты для биометрических систем:

Точность распознавания лиц

  • Коэффициент ложного принятия (FAR): не более 0,001% (1 из 100 000)
  • Коэффициент ложного отклонения (FRR): не более 5%
  • Общая точность: 95% и выше при стандартных условиях
  • Время обработки: максимум 3 секунды от захвата до результата верификации
  • Обнаружение живого присутствия (liveness detection): обязательно — системы должны обнаруживать атаки представления, включая напечатанные фото, воспроизведение с экрана и 3D-маски

Интеграция с платформой IKD

Платформа Цифровой Идентификации Населения (Identitas Kependudukan Digital / IKD), управляемая Генеральным директоратом по делам населения и гражданской регистрации (Dukcapil), служит авторитетной базой данных идентификации. Вся биометрическая верификация должна сверяться с записями IKD.

Процесс интеграции работает следующим образом:

  1. Захват: лицо пользователя захватывается через приложение оператора или киоск
  2. Проверка живости: проверка liveness в реальном времени подтверждает живого человека
  3. Извлечение признаков: лицевые признаки извлекаются и кодируются в биометрический шаблон
  4. Запрос IKD: шаблон отправляется на платформу IKD для верификации 1:1 против биометрической записи, привязанной к NIK
  5. Результат: IKD возвращает ответ совпадение/несовпадение с показателем уверенности
  6. Журнал аудита: вся транзакция логируется для соблюдения нормативных требований

Требования по защите данных

Вся обработка биометрических данных должна соответствовать UU PDP (Undang-Undang Pelindungan Data Pribadi) — Закону Индонезии о защите персональных данных, принятому в 2022 году:

  • Биометрические шаблоны должны быть зашифрованы с помощью AES-256 в состоянии покоя
  • Все передачи должны использовать TLS 1.3 или выше
  • Необработанные биометрические данные (изображения лиц) не должны храниться после извлечения шаблона
  • Хранение данных: логи верификации хранятся 5 лет, затем безопасно удаляются
  • Пользователи имеют право запросить удаление своих биометрических данных
  • Трансграничная передача биометрических данных запрещена без явного одобрения KOMDIGI

Влияние на разработчиков приложений и цифровые сервисы

Разработчики мобильных приложений

Если ваше приложение использует аутентификацию на основе SIM-карты (OTP-верификация, вход по SMS), важно понимать, что пользователи прошли биометрическую верификацию на уровне SIM. Это создаёт возможности:

  • Более высокий базовый уровень доверия: пользователи с верифицированной SIM подтвердили свою личность биометрически
  • Снижение мошенничества: создание поддельных аккаунтов с одноразовыми SIM становится значительно сложнее
  • Упрощение KYC: для финтех и e-commerce приложений биометрическая верификация SIM может служить первым фактором в потоке электронного KYC

Интеграционные партнёры телекоммуникаций

Компании, предоставляющие услуги верификации личности операторам связи, должны:

  • Получить сертификацию KOMDIGI для своего биометрического SDK до 1 июня 2026
  • Пройти тестирование ISO/IEC 30107-3 Обнаружения Атак Представления (PAD) на Уровне 2 или выше
  • Продемонстрировать совместимость с платформой IKD в песочнице
  • Предоставить варианты размещения on-premise — некоторые операторы требуют, чтобы биометрическая обработка выполнялась в индонезийских дата-центрах

Финтех и цифровой банкинг

OJK (Управление финансовых услуг) Индонезии указало, что признает биометрическую верификацию SIM, соответствующую KOMDIGI, в качестве действительного фактора верификации личности для:

  • Открытия базовых сберегательных счетов (до 20 миллионов рупий)
  • Верификации заёмщиков P2P-кредитования
  • Регистрации цифровых кошельков (GoPay, OVO, Dana, ShopeePay)
  • Онбординга страховых полисов

Это снижает трение в усилиях по финансовой инклюзии, особенно для 92 миллионов взрослых без банковских счетов в Индонезии.

Чек-лист соответствия для бизнеса

Техническая готовность

  • Выбран и интегрирован биометрический SDK (минимум 95% точность, обнаружение живости)
  • Получен и протестирован доступ к песочнице платформы IKD
  • Реализовано шифрование AES-256 для хранения биометрических шаблонов
  • Настроен TLS 1.3 для всех передач биометрических данных
  • Система журналирования аудита фиксирует все транзакции верификации
  • Разработан механизм отказоустойчивости при недоступности платформы IKD
  • Выполнено нагрузочное тестирование для ожидаемого объёма верификаций

Нормативное соответствие

  • Завершена Оценка воздействия на защиту данных (DPIA) по UU PDP
  • Обновлена политика конфиденциальности для раскрытия обработки биометрических данных
  • Реализован поток согласия пользователя (явное согласие на сбор биометрии)
  • Документированы политики хранения данных (5-летнее хранение логов, безопасное удаление)
  • Обновлён план реагирования на инциденты для утечек биометрических данных
  • Подана заявка на сертификацию KOMDIGI (крайний срок: 1 июня 2026)

Операционная готовность

  • Персонал обучен процедурам биометрической верификации
  • Обновлены скрипты службы поддержки для вопросов, связанных с биометрией
  • Запланированы меры доступности для пользователей, не способных пройти распознавание лиц
  • Настроены панели мониторинга для отслеживания показателей успеха/неудач верификации

Архитектурное обзор для разработчиков

Типичная архитектура интеграции выглядит следующим образом:

Мобильное приложение / Киоск
       |
       v
[Биометрический SDK] -- захват + liveness
       |
       v
[Бэкенд оператора] -- извлечение шаблона
       |
       v
[Шлюз IKD] -- верификация 1:1
       |
       v
[Аудит и логирование] -- записи соответствия

Для разработчиков на Rust биометрический конвейер может быть структурирован так:

// Упрощённый конвейер биометрической верификации
async fn verify_identity(
    State(state): State<AppState>,
    Json(request): Json<BiometricRequest>,
) -> Result<Json<VerificationResult>, AppError> {
    // 1. Валидация результата проверки живости
    let liveness = state.liveness_service
        .check(&request.capture_data)
        .await?;

    if liveness.score < 0.95 {
        return Err(AppError::LivenessCheckFailed);
    }

    // 2. Извлечение биометрического шаблона
    let template = state.biometric_engine
        .extract_template(&request.facial_image)
        .await?;

    // 3. Верификация через платформу IKD
    let ikd_result = state.ikd_client
        .verify_1to1(&request.nik, &template)
        .await?;

    // 4. Запись журнала аудита
    state.audit_logger.log_verification(
        &request.nik,
        &ikd_result,
        &liveness,
    ).await?;

    Ok(Json(VerificationResult {
        verified: ikd_result.match_score >= 0.95,
        confidence: ikd_result.match_score,
        transaction_id: ikd_result.transaction_id,
    }))
}

Контекст рынка: почему Индонезия делает это сейчас

Стремление Индонезии к биометрической верификации SIM обусловлено несколькими сходящимися факторами:

  • Потери от киберпреступности: Индонезия потеряла около 7 триллионов рупий ($407 млн) от киберпреступности в 2025 году, причём мошенничество с подменой SIM и кража личности были ведущими векторами
  • Дублирующиеся SIM: примерно 30-40 миллионов SIM-карт зарегистрированы по поддельным или дублирующимся идентификационным данным
  • Рост цифровой экономики: цифровая экономика Индонезии достигла $82 млрд GMV в 2025 году (отчёт Google-Temasek-Bain), что требует более надёжной инфраструктуры идентификации
  • Масштаб населения: с более чем 270 миллионами жителей и 345+ миллионами активных SIM-карт Индонезия является одним из крупнейших мобильных рынков мира
  • Согласование с ASEAN: регламент соответствует положениям Рамочного соглашения ASEAN о цифровой экономике (DEFA) в области цифровой идентификации

Часто задаваемые вопросы

Что происходит, если пользователь не может пройти распознавание лиц?

Регламент включает положения об альтернативных методах верификации для пользователей с инвалидностью или медицинскими состояниями, препятствующими распознаванию лиц. Операторы обязаны предоставить верификацию с помощью персонала в физических сервисных центрах, где обученные сотрудники могут провести ручную проверку личности с подтверждающими документами. Это затрагивает приблизительно 2-3% населения.

Это касается существующих SIM-карт или только новых регистраций?

Первоначально только новые регистрации SIM с 1 июля 2026 года требуют биометрической верификации. Однако владельцы существующих предоплаченных SIM должны пройти биометрическую повторную верификацию до 1 июля 2027 года. Абоненты постоплатных тарифов освобождены до дальнейшего уведомления, так как они уже проходят более строгие проверки личности.

Могут ли иностранные граждане и туристы зарегистрировать SIM-карты?

Да. Иностранные граждане могут зарегистрироваться, используя свой паспорт и биометрический захват лица в точке продажи. Система выполняет верификацию 1:1 по фотографии в паспорте, а не по базе IKD. Туристические регистрации SIM ограничены 1 SIM на паспорт со сроком действия не более 90 дней.

Какие поставщики биометрических SDK сертифицированы KOMDIGI?

По состоянию на начало 2026 года KOMDIGI одобрила несколько поставщиков для тестирования в песочнице, включая как международных провайдеров (соответствующих эталонам NIST FRVT), так и отечественные индонезийские компании. Окончательный список сертифицированных поставщиков будет опубликован до 1 июня 2026 года. Поставщики должны продемонстрировать соответствие ISO/IEC 30107-3 уровня 2 и пройти тесты на совместимость с IKD.

Как это соотносится с Законом Индонезии о защите персональных данных (UU PDP)?

Биометрический мандат на SIM действует в рамках UU PDP (Закон № 27 от 2022 года). Биометрические данные классифицируются как специфические персональные данные по статье 4 UU PDP, что требует явного согласия, ограничения цели и усиленных мер безопасности. Операторы должны назначить Ответственного за защиту данных (DPO) и провести Оценки воздействия на защиту данных (DPIA) перед обработкой биометрических данных.

Каковы штрафы за несоблюдение?

Операторам связи грозят штрафы до 50 миллиардов рупий (2,9 млн)** за каждое нарушение. Поставщики биометрических SDK, не прошедшие сертификацию, могут быть внесены в чёрный список индонезийского рынка. Отдельным сотрудникам, ответственным за утечки данных с биометрической информацией, грозит уголовная ответственность по UU PDP, включая **до 6 лет лишения свободы** и штрафы до **6 миллиардов рупий (350 000).

Можно ли выполнять биометрическую верификацию полностью на устройстве?

Компонент обнаружения живости может работать на устройстве, но верификация личности 1:1 должна выполняться на серверной стороне с обращением к базе данных IKD. Это нормативное требование для обеспечения того, чтобы авторитетная запись идентификации всегда была эталоном. Обработка на устройстве рекомендуется для этапов захвата и проверки живости для снижения задержки и требований к пропускной способности.

Теги
AIBiometricsSecurity