Обойти проверку на ранее зареганные аккаунты -- тривиально. Генерируем новый случайный блок данных, сохраняем под именем "радужка_анкета_ннннн.bin", отправляем вашему сервису вместо реального фото. Когда надо авторизоваться повторно -- отправляем заготовленные файлы. В условиях когда вы не имеете аппаратной подписи отправляемых данных (а если вы не компания Эппл, то вы её не имеете), подмена данных и/или реверс и реимплементация протокола вашего приложения -- задача элементарная, спецы на экзелабе сделают за эквивалент двух часов работы феи.

Как вам уже пытались объяснить, биометрия решает совершенно другую задачу, а именно "подтвердить, что человек, представляющийся Васей, имеет при себе второй, третий и далее факторы, уникальные для Васи". //Причем даже формат "имеет" проверить невозможно, т.к. датчики дерьмо без подписей. Если перехватить данные, которые на вход генерило тело Васи, в дальнейшем им можно свободно представляться и без самого Васи и его тела.//
Решить задачу "а есть ли у Пети дополнительные факторы, характерные для Васи" "мобильная" биометрия не в состоянии, так как нет способа заставить Петю выдавать все или хотя бы нужные факторы. Хочет, большой палец прислоняет к сканеру, хочет, мизинец ноги, а хочет, вообще МПХ или рандомно сгенерированное изображение.

В целом, методы ИС (требование предоставить фото с пруфом) выглядят куда более надежно в плане отсечения фейков и дублей, но там слишком сильный (коррупцинно-)человеческий фактор. Читал откровения сутерши, которая держит салон, представляющийся инди на ИС, что на "рекламу" может уходить до 200тр на девушку в месяц.