Use Cases

Biometric verification in banks of Uzbekistan: CBU mandate from April 2026

From 22 April 2026, the Central Bank of Uzbekistan mandates multi-factor authentication and biometric verification (including facial recognition) for card linking in banks. What this means for banking operating models and how to integrate without rush.

Discuss Your Challenge

Uzbekistan’s new regulatory reality

Starting April 22, 2026, banks in Uzbekistan are required to apply multi-factor authentication on digital channels and biometric verification when linking cards. The rule applies to all Uzbek banks without exception and without a transition period. This is not a recommendation — it is a Central Bank of Uzbekistan mandate, and the deadline is firm.

This is not only about compliance

Banks that treat biometrics as “a checkbox for the regulator” will spend a lot and end up with a poor result. Biometrics is part of a digital bank’s competitive offer, not just a technical control. Properly embedded biometrics speeds up onboarding, reduces fraud, offloads the contact centre and opens the door to selling complex products in digital. Poorly embedded biometrics becomes an irritating step that pushes customers away at the card-linking stage.

The central question is policy, not technology

Choosing a biometrics vendor (FaceTec, iProov, Onfido, local Uzbek suppliers) is about 20% of the outcome. The other 80% is the adaptive authentication policy: which operations require which factor, how failures are handled, how audit trails are maintained, what the UX looks like on the minimal path and in edge cases. Banks that establish this policy before selecting technology implement biometrics twice as fast and without budget overruns.

CTA

If a bank has not yet started preparing for April 22 — the timing is critical. If it has already chosen a vendor without auditing the policy — the project should be paused to add an architecture-design step. The cost of an error at this stage is ten times lower than the cost of rework after go-live.

Trigger

Клиент впервые привязывает банковскую карту в мобильном приложении, подключает новое устройство, восстанавливает доступ к счёту или выполняет операцию высокого риска — перевод выше порога, смена привязанного устройства, доступ к VIP-продукту. В каждом из этих триггеров, по новым правилам ЦБ РУ от 22.04.2026, требуется подтверждение через один или несколько биометрических факторов в дополнение к паролю и OTP.

What banks usually do today

Сегодня большинство банков Узбекистана обходятся паролем и SMS-OTP. Распознавание лица применяется эпизодически — в отдельных цифровых банках (Apex, ANOR, AVO) или на онбординге корпоративных клиентов. Привязка карт в мобильных приложениях традиционных банков часто требует только подтверждения по OTP и данных карты. С 22 апреля 2026 это перестаёт удовлетворять регулятору — банкам нужна встроенная возможность многофакторной верификации, включая биометрию, на всех цифровых каналах.

What the bank loses

Риск регуляторного замечания и санкций ЦБ РУ при отсутствии MFA на цифровых каналах
Невозможность предложить клиенту быстрый digital onboarding — он будет тормозить на шаге биометрии если не предусмотрена корректная UX
Конкурентное отставание от цифровых банков (Apex, ANOR, AVO), для которых биометрия встроена изначально
Рост фрода через украденные карты и SIM-swap атак — без биометрии пароль+OTP недостаточная защита
Увеличенная нагрузка на контакт-центр из-за ручных разбирательств по спорным операциям

How this can be improved

Правильный подход — не «прикрутить биометрию к мобильному приложению», а выстроить единый контур верификации клиента, который работает на всех каналах и для всех операций с разной чувствительностью. Биометрия становится одним из факторов в политике адаптивной аутентификации: для низкорисковых операций достаточно пароля и устройства, для средних — добавляется OTP, для высокорисковых (привязка карты, смена устройства, крупный перевод) — биометрия лица или голоса. Политика должна быть централизованной, аудируемой и настраиваемой без переразвертывания каналов.

What you need

Эталонные биометрические шаблоны клиента, собранные на сертифицированном онбординге (обычно через e-ID РУ или в отделении)
Политика risk-based authentication — кто, когда, какой фактор
Интеграция с каналами: мобильное приложение, интернет-банк, ATM, контакт-центр
Аудит-лог событий аутентификации для регуляторной отчётности и разбора инцидентов
Резервные сценарии при сбое биометрии — чтобы клиент не остался без доступа

What the bank gets

Соответствие требованиям ЦБ РУ без задержки и санкций
Снижение фрода по привязке чужих карт и SIM-swap на 60-80% по рыночным бенчмаркам
Сокращение времени digital onboarding за счёт единой биометрии вместо повторных верификаций
Возможность предлагать VIP-продукты и крупные операции через цифровые каналы без звонка менеджера
Измеримая метрика зрелости security для advisory-клиентов и аудита

How to start realistically

Начать стоит не с выбора биометрического вендора, а с аудита текущей политики аутентификации и карты операций по уровню риска. На практике это занимает 2-4 недели и даёт banku чёткое понимание — что уже закрыто, где пробелы, как встроить биометрию в адаптивный контур без разрушения существующих каналов. После этого можно осмысленно выбирать технологию (FaceTec, iProov, Onfido, локальные решения) и проектировать интеграцию. Делать это в авральном режиме после 22 апреля — гарантированный рост стоимости и операционных ошибок.

→

What else is worth exploring

Topics from the same area we usually explore together

Solution

These are not just articles

I do not just write about this. I can come in, examine your situation and design a solution for your specific landscape.

Discuss applying this →

← Back

Ready to discuss your challenge?

Tell me what's not working or what needs to be built. First conversation — no obligations.

Discuss Your Challenge Write on Telegram

Usually respond within a few hours