W dobie rosnącej liczby cyberataków na klientów instytucji finansowych banki zmuszone są do inwestowania w nowoczesne rozwiązania zapewniające bezpieczeństwo pieniędzy. Jednym z nich jest tzw. biometria behawioralna, którą wdrażają kolejne podmioty. Ostatnio na taki krok zdecydował się Bank Pekao.
Przed laty jednym z najskuteczniejszych narzędzi chroniących pieniądze klienta w bankowości elektronicznej były tradycyjne karty zdrapki z kodami jednorazowymi. Służyły one do potwierdzania transakcji w internecie. Nawet jeśli złodziej pozyskał login i hasło, to i tak nie mógł wyprowadzić pieniędzy bez kodu jednorazowego. Później zdrapki zostały zastąpione przez SMS-y i mobilną autoryzację.
Przez lata techniki oszustów ewoluowały, więc konieczne stało się wdrażanie kolejnych zabezpieczeń do systemów bankowości elektronicznej. Jednym z nich stała się biometria behawioralna. Rozwiązanie to jako jeden z pierwszych wdrożył mBank w 2018 roku. Dziś jest ono dostępne w coraz większej liczbie banków, m.in. ING, BNP Paribas, VeloBank, Credit Agricole, w bankach z grupy SGB, a od kilku dni w Banku Pekao. Jednym z dostawców tej usługi jest Biuro Informacji Kredytowej, które proponuje tzw. Rozwiązanie sektorowe. W 2022 roku BIK przejął specjalizującą się w biometrii behawioralnej spółkę Digital Fingerprints.
Jak działa biometria behawioralna?
Jest to rozwiązanie opcjonalne. Użytkownik, który chce zwiększyć poziom ochrony swojego konta, musi wyrazić zgodę na stosowanie biometrii behawioralnej. Jeśli się na to zdecyduje, system zacznie analizować jego zachowania i zapamiętywać pewne wzorce. Na tej podstawie stworzy profil, który następnie, przy każdej interakcji, będzie porównywany z bieżącym zachowaniem, aby zweryfikować, czy osoba korzystająca z rachunku jest jego prawowitym posiadaczem.
System rozpozna więc, czy to uprawniona osoba zalogowała się do banku. Sprawdzi m.in. z jaką szybkością wpisywane są znaki na klawiaturze. Na przykład, czas potrzebny na przejście między odległymi klawiszami (np. "A" i "O") jest zazwyczaj dłuższy dla człowieka niż dla bota. Podda analizie ruchy ręką obsługującą myszkę komputerową. Oceni tempo, trajektorie, sposób klikania, intensywność używania przycisków oraz sposób korzystania z funkcji przewijania. Natomiast w przypadku smartfonów będzie monitorował sposób trzymania telefonu, siłę nacisku na ekran, szybkość przesuwania stron, a także pozycję i kąt urządzenia.
To wszystko będzie dziać się w czasie rzeczywistym, bo system działa w tle, będąc niezauważalny i nie wymagając od klientów wykonywania żadnych dodatkowych czynności, takich jak wpisywanie PIN-u czy haseł. W przypadku wykrycia jakichkolwiek podejrzanych zachowań, system zareaguje natychmiastowo, na przykład poprzez zablokowanie transakcji lub wymuszenie dodatkowej weryfikacji tożsamości.
Zanim złodziej wyprowadzi pieniądze
Biometria behawioralna działa przede wszystkim prewencyjnie. System jest w stanie wykryć próby oszustw, uniemożliwić zrealizowanie podejrzanej transakcji i zablokować możliwość składania zamówień – zanim zostaną one dokonane.
Rozwiązania biometrii behawioralnej wykorzystują sztuczną inteligencję (AI). To ona pozwala na analizę ogromnych ilości danych w czasie rzeczywistym oraz niemal natychmiastowe wykrywanie wzorców i anomalii. Algorytmy AI są w stanie błyskawicznie zauważyć nawet subtelne, nietypowe zachowania, takie jak nagła zmiana tempa pisania, dziwne ruchy myszką, czy nawet brak naturalnego ruchu telefonu w przestrzeni (co może wskazywać na działanie bota).
„Plusy dodatnie, plusy ujemne”
Oprócz niezaprzeczalnych zalet, biometria behawioralna ma też kilka elementów, które mogą budzić wątpliwości wśród użytkowników. Czasami podnoszą oni obawy o swoją prywatność. Warto jednak pamiętać, że stosowanie tego rozwiązania jest ściśle regulowane przez przepisy prawne, w szczególności przez ogólne rozporządzenie o ochronie danych (RODO) oraz wytyczne polskich organów nadzoru, takich jak Urząd Ochrony Danych Osobowych (UODO) i Komisja Nadzoru Finansowego (KNF).
Natomiast praktycznym elementem mogącym wywoływać irytację użytkownika mogą być fałszywe alarmy wywoływane przez system. Może się to zdarzać na początkowych etapach wdrożenia lub po zmianie nawyków użytkownika (np. obsługa smartfona drugą ręką w przypadku złamania). Problem z biometrią behawioralną może się też pojawić w przypadku, gdy z jednego konta internetowego korzysta małżeństwo. W takim przypadku pamiętajmy jednak, że powinniśmy stosować osobne loginy, bo mamy dwoje użytkowników o różnych wzorcach zachowań.
Wszystko wskazuje jednak na to, że biometria behawioralna na dobre zagości w systemach bankowości elektronicznej. Zwłaszcza, że banki są przekonane o jej skuteczności. Pojawiają się prognozy, że już w 2025 roku nawet połowa polskich banków zacznie wykorzystywać jakąś formę biometrii behawioralnej. Rozwojowi tego zabezpieczenia będzie sprzyjać dalszy rozwój i optymalizacja algorytmów AI.
