6 ноября 2025 года глава Агентства по регулированию и развитию финансового рынка (АРРФР) Мадина Абылкасымова на брифинге в Астане жёстко раскритиковала биометрическую технологию оплаты ладонью Kaspi Alaqan, представленную Kaspi.kz в сентябре.
«Мы не допустим запуска, пока не убедимся в 100% защите данных», — заявила она. Сервис, позволяющий платить «приложением ладони» в 500+ магазинах, пока не прошёл аудит безопасности и может быть запрещён.
Что не так с Kaspi Alaqan
- Отсутствие эталонной базы: В Казахстане нет единой биометрической базы (как в Сингапуре или ОАЭ), где ладонь проверялась бы на дубликаты и подделки.
- Риски: Злоумышленники могут создать 3D-модели ладони или использовать ИИ для обхода. «Биометрия — это навсегда, её нельзя сменить как пароль», — Абылкасымова.
- Нет аудита: Предварительная оценка по Закону «О персональных данных» и «О платёжных услугах» не проводилась. Требуется сертификация по ISO 27001 и стресс-тесты.
АРРФР дала Kaspi до 31 декабря 2025 на доработку: интеграция с ЕББ (единая биометрическая база, запуск в 2026) и независимый аудит.
Реакция Kaspi
В Kaspi.kz ответили: «Alaqan использует 3D-сканирование вен ладони (не отпечатки), данные хранятся зашифрованными в HSM-модулях. Готовы к любым проверкам». Сервис уже работает в 500 точках, 50 тыс. пользователей.
Перспективы
- Закон: С 2025 года все биометрические сервисы — под надзором АРРФР (Закон № 123-VIII).
- Мировой опыт: PalmPay в Китае (Ant Group) — 200 млн пользователей, но с единой базой. В ЕС — запрет без GDPR-аудита.
- Риски для Kaspi: Штраф до 10% оборота (1,2 трлн тенге) или блокировка сервиса.
АРРФР создаёт рабочую группу с НБРК и Минцифры. Ожидаем финальный вердикт в январе 2026.
