BSP, Ipinag-utos ang Server-Side Biometrics para sa Bank Authentication

Inutusan ng Bangko Sentral ng Pilipinas ang lahat ng supervised financial institutions na itigil na ang mga interceptable na paraan ng authentication, kabilang ang SMS at email one-time passwords, para sa mga high-risk na transaksyon.

Kailangan ng mga bangko na lumipat sa server-side biometrics authentication, na nag-validate ng customer identity laban sa centrally stored templates imbes na device-based verification. Sinabi ng BSP na binabawasan ng approach na ito ang vulnerabilities tulad ng account takeovers o device compromises na sumasalot sa traditional OTP systems.

Nagtatakda ng strict data handling requirements ang directive ng central bank under ng Anti-Financial Account Scamming Act. Dapat i-encrypt ng institutions ang biometric templates imbes na mag-store ng raw images, at mag-implement ng continuous liveness at deepfake detection para iwasan ang spoofing attacks. Binigyang-diin ng BSP na hindi dapat ang biometrics lang ang sole line of defense laban sa fraudulent activity.

Ang mga bangko na hindi makapag-maintain ng adequate risk management systems ay kailangang mag-reimburse sa customers para sa funds na nawala sa scams under ng bagong framework. Ang compliant institutions naman ay tumatanggap ng liability protection para sa specific cybercrime offenses, na lumilikha ng clear incentive structure para sa mabilis na adoption.

Ilang Philippine banks na ang nag-deploy ng biometric authentication bago pa ang mandate. Nag-introduce ang UnionBank ng speech recognition para sa fraud mitigation noong 2023, habang umabot naman sa higit one million users ang Philippine National Bank sa Digital App nito gamit ang fingerprint at face biometrics noong same year.

Kinilala ng BSP na ang centralization ng biometric data ay lumilikha ng high-value target para sa cyber threats, kahit mas secure ito kaysa SMS-based authentication.