Specjaliści od nowoczesnych technologii wymyślili metodę, która ma uchronić klienta e-bankowości przed utratą pieniędzy z konta nawet wtedy, gdy przestępca przejmie kontrolę nad jego urządzeniem. Jest nim biometria behawioralna, czyli to, jak konkretna osoba korzysta z telefonu, komputera czy tabletu. Narzędzie wdrożyły już pierwsze banki.
Bez wątpienia innowacje ułatwiają życie i czynią je wygodniejszym. Jednak postęp technologiczny sprawia też, że powstają nowe formy oszustw. Dotyczy to również bankowości.
Obronie przed coraz sprytniejszymi przestępcami ma służyć biometria behawioralna. Wdrażają ją kolejne banki w Polsce.
Część robi to samodzielnie. Inne stawiają na szerszą współpracę w ramach Sektorowej Platformy Biometrii Behawioralnej, czyli inicjatywy stworzonej przez Digital Fingerprints (spółka z Grupy BIK).
Na czym polega biometria behawioralna
Czym jest biometria behawioralna? To wykorzystujące sztuczną inteligencję i uczenie maszynowe oprogramowanie do wykrywania oszustw finansowych. Identyfikuje użytkownika bankowości elektronicznej (serwisu internetowego, aplikacji mobilnej) po cechach zachowania. Porównuje je ze stworzonym przez siebie i stale modyfikowanym modelem, czyli zbiorem specyficznych zachowań danej osoby.
Narzędzie nie wymaga instalowania dodatkowego oprogramowania. Jest niewidoczne dla klienta i działa w tle, gdy ten korzysta z e-bankowości. Oczywiście, żeby tak się stało, użytkownik musi najpierw wyrazić na to zgodę.
Jedną z przewag weryfikacji behawioralnej nad dotychczas stosowanymi narzędziami, np. biometrią twarzy, jest to, że odbywa się nie tylko na początku wykonywania przez klienta zdalnej operacji (moment logowania), ale też w jej trakcie (po zalogowaniu). Jest to możliwe, gdyż system analizuje mnóstwo czynników, np. prędkość pisania na klawiaturze, tempo wciskania klawiszy i czas przerwy między nimi, szybkość poruszania myszką, kąt trzymania smartfona, siła nacisku palcami na ekran.
– To, w jaki sposób korzystamy z komputera, jak szybko piszemy, jaką ruszamy myszą, w jaki sposób trzymamy urządzenie mobilne, jest unikatowe dla każdego z nas – mówi Aleksandra Stankiewicz-Billewicz z BIK-u.
Ludzkie zachowania nie tylko są unikatowe, ale też zmieniają się z wiekiem. Stworzone przez Digital Fingerprints rozwiązanie ma być na to przygotowane. Profil behawioralny będzie ewoluował wraz z jego autorem.
Weryfikacja behawioralna w praktyce
To sprawia, że system potrafi w czasie rzeczywistym wychwycić anomalie w zachowaniu osoby korzystającej z telefonu, komputera i tabletu. W ten sposób biometria behawioralna umożliwia wykrycie próby nieuprawnionego logowania, wykonania oszukańczego przelewu albo złożenia wniosku o kredyt, gdy przestępca jednak uzyska dostęp do konta osobistego ofiary.
– Kiedy system weryfikacji behawioralnej wykryje, że ktoś nieuprawniony zalogował się na nasze konto i np. zleca przelew, wyśle powiadomienie o nietypowej sytuacji, wywoła dodatkową autoryzację lub nawet odrzuci wątpliwą transakcję – wyjaśnia Marek Korulczyk, kierownik Wydziału Przeciwdziałania Nadużyciom w Departamencie Bezpieczeństwa VeloBanku.
Jesienią ub. r. ING Bank Śląski podawał, że wśród jego oszukanych klientów ci z włączoną biometrią behawioralną stanowili mniej niż 4 proc. Okresami był to jeszcze mniejszy odsetek – poniżej 1 proc.
Jakie dane zbiera biometria behawioralna
Czy biometria behawioralna jest dla klienta bezpieczna? Przedstawiciele BIK-u zapewniają, że system nie zbiera wrażliwych danych i spełnia wymagania RODO.
– System profilowania zachowania klienta nie sprawdza, co robi użytkownik, ale jak to robi. Nie bada tego, co klient wpisuje na klawiaturze albo serwisie transakcyjnym, lecz jak z nich korzysta. Dlatego zbierane informacje nie mają charakteru danych wrażliwych. Są bezkontekstowe – tłumaczy cytowana przez „Gazetę Bankową” Agnieszka Szopa-Maziukiewicz, prezes Digital Fingerprints.
Weryfikacja behawioralna została uznana przez Europejski Urząd Nadzoru Bankowego za narzędzie silnej autoryzacji klienta (SCA). Jest więc zgodna z wymogami dyrektywy PSD2, która wprowadziła otwartą bankowość.
– W ramach rozwiązania ani VeloBank, ani BIK nie zbiera informacji o kliencie, które dotyczyłyby jego haseł, wpisywanych tekstów, odwiedzanych stron czy wykonywanych operacji – zastrzega Korulczyk.
Banki stosujące biometrię behawioralną
Na razie do Sektorowej Platformy Biometrii Behawioralnej BIK przystąpiły trzy instytucje. Jako pierwszy, jeszcze w 2023, zrobił to ING Bank Śląski. Niedawno w jego ślady poszły BNP Paribas i VeloBank. Kolejne podłączenia są w trakcie realizacji.
– Integracja to proces wymagający pod względem szczegółowych ustaleń technicznych. Wdrożenia po stronie klientów są z reguły czasochłonne – tłumaczy ekspertka BIK-u.
Ponadto niektóre podmioty wdrażają własne rozwiązania z zakresu weryfikacji behawioralnej. Należy do nich Credit Agricole.
– Wdrażamy projekt, którego celem jest objęcie użytkowników aplikacji mobilnej i serwisu CA24 eBank dodatkową ochroną, wykorzystująca biometrię behawioralną. Planujemy udostępnić to narzędzie w drugim półroczu – informuje Agnieszka Gorzkowicz, zastępca rzecznika prasowego Credit Agricole.
Podobną drogą poszedł już kilka lat temu mBank. Z tym że on w 2018 w ramach pilotażu wdrożył rozwiązanie firmy Digital Fingerprints na mocy umowy bilateralnej.
[Aktualizacja 20 maja 2024] Stosowanie biometrii behawioralnej umożliwia też PKO BP.
Jeden profil behawioralny w wielu bankach
Zaletą platformy weryfikacji behawioralnej BIK-u ma być wymiana i współdzielenie danych przez jej uczestników. Chodzi o to, że wzorzec zachowań klienta jednego banku jest dostępny dla pozostałych instytucji.
To ułatwi im tzw. onboarding, czyli nawiązywanie relacji z nowymi klientami, i ograniczy koszty operacyjne. Dla użytkownika korzystającego z usług wielu banków oznacza to większy poziom ochrony w internecie.
Twórcy Sektorowej Platformy Biometrii Behawioralnej BIK zakładają, że sposób korzystania przez tego samego klienta z serwisów i aplikacji różnych banków jest identyczny. Przecież tak samo trzyma on telefon i naciska ekran bez względu na to, czy używa akurat aplikacji ING Banku Śląskiego, czy BNP Paribas.
Maciej Kusznierewicz
Dodaj komentarz