Bankowość i Finanse | Technologie | Teraźniejszość i przyszłość bankowości
Biometria to – obok sztucznej inteligencji, internetu rzeczy, rzeczywistości rozszerzonej (Augmented Reality – AR) i automatyzacji procesów – jedna z najważniejszych technologii, które kształtują i w bliskiej przyszłości będą kształtować kierunek zmian, zachodzących w sektorze bankowym. Na liście kluczowych technologii umieszcza ją m.in. raport KPMG „Future of digital banking„.
Szanse wynikające z możliwości odczytywania i analizowania mierzalnych cech klientów wciąż jednak nie są w pełni wykorzystywane. Choć biometria jest szeroko stosowana, jej użycie bardzo często sprowadza się do najprostszych działań, jak choćby logowanie do mobilnej aplikacji bankowej. Możliwości zapewniane przez tę technologię są jednak znacznie szersze, co wynika m.in. z mnogości cech podlegających pomiarom. Co i w jaki sposób można mierzyć?
Biometria pasywna
Pasywne pomiary biometryczne bazują na cechach anatomicznych, a działaniem człowieka, koniecznym do wykonania pomiaru jest – z reguły – prosta i krótka interakcja z urządzeniem pomiarowym. Do tej kategorii należą m.in.:
- badanie linii papilarnych (odcisk palca i dłoni),
- mapowanie naczyń krwionośnych,
- pomiar cech oka (tęczówka i siatkówka),
- analiza rysów twarzy,
- geometria części ciała.
Biometria aktywna
Metody należące do tej kategorii, nazywane także biometrią behawioralną (opartą na wzorcach zachowań) wymagają z reguły podjęcia przez człowieka określonych działań, pozwalających na pozyskanie próbki danych umożliwiających identyfikację. W praktyce pozyskiwanie niektórych pomiarów może w tym przypadku odbywać się w tle, w sposób transparentny dla użytkownika. Do tej grupy należą m.in.:
- rozpoznawanie głosu,
- rozpoznawanie sposobu pisania na klawiaturze bądź korzystania z aplikacji,
- analiza składanego odręcznie podpisu.
Technologie z niższym potencjałem wykorzystania w bankowości
Nie wszystkie sposoby pomiarów są jednakowo przydatne w sektorze bankowym. Spośród tych o niższym potencjale warto jednak wspomnieć rozwiązania, które są stosowane lub mogą okazać się przydatne w innych branżach, w tym przede wszystkim związanych z bezpieczeństwem. Należą do nich:
- analiza rytmu serca,
- analiza chodu,
- model zachowań społecznych,
- wzorzec zapachu ciała,
- wzorzec DNA.
Praktyka po stronie użytkownika
Powszechnym, a zarazem prostym zastosowaniem biometrii, jest użycie jej podczas logowania do mobilnych aplikacji bankowych – smartfony są powszechnie wyposażone w czytniki linii papilarnych, a także w rozwiązania pozwalające na analizę rysów twarzy.
W tym drugim przypadku warto podkreślić, że od strony technicznej rozwiązanie to może być realizowane na kilka sposobów. Najprostszy polega na identyfikacji „widzianego” obrazu, co niestety ma istotną wadę – pozwala na oszukanie algorytmów za pomocą zwykłego zdjęcia. Producenci usiłują udoskonalać tę technologię, np. poprzez analizę ruchów powiek, jednak poziom bezpieczeństwa jest w tym przypadku niski.
Bardziej zaawansowanym rozwiązaniem jest tworzenie mapy przestrzeni, możliwe dzięki użyciu sensora głębi. Urządzenie widzi wówczas nie płaski obraz, ale trójwymiarową bryłę, której poszczególne punkty leżą w różnej odległości od sensora. Technologię tę znajdziemy dziś m.in. w smartfonach Apple (Face ID), a wcześniej stosowano ją w konsumenckich produktach, takich jak opracowana przez Microsoft przystawka do konsoli Xbox o nazwie Kinect (wycofana z rynku konsumenckiego, reaktywowana jako specjalistyczne narzędzie Azure Kinect DK).
Praktyka po stronie banku
Poza rozwiązaniami dostępnymi na sprzęcie konsumenckim, od 2009 r. polscy klienci mogą także korzystać z bankomatów opartych na biometrii naczyniowej. Urządzenia te umożliwiają uwierzytelnienie użytkownika poprzez mapowanie – za pomocą światła podczerwonego – układu naczyń krwionośnych (technologia Finger Vein).
Rozwiązaniem o rosnącej popularności jest możliwość uwierzytelnienia poprzez selfie lub – co zapewnia wyższy poziom bezpieczeństwa – krótki materiał wideo, pokazujący twarz użytkownika pod różnymi kątami. Rozwiązanie to pozwala na porównanie uzyskanego w ten sposób wizerunku z danymi z dowodu tożsamości.
Technologię tę wykorzystuje dziś przez wiele polskich banków. Jej praktycznym wdrożeniem jest m.in. proces automatycznej weryfikacji tożsamości klienta podczas wideoczatu z doradcą, a także możliwość w pełni zdalnego założenia konta.
Zastosowanie znalazła także biometria głosowa, dzięki której klient – po wcześniejszym uwierzytelnieniu i pozostawieniu próbki głosu – może korzystać z uproszczonej, automatycznej weryfikacji tożsamości.
Stary podpis, nowa technologia
Perspektywicznym przykładem zastosowania biometrii jest także podpis biometryczny. Łączy on prostotę tradycyjnej metody uwierzytelniania w postaci składanego osobiście, odręcznego podpisu, z możliwościami, jakie zapewnia pomiar i analiza jego cech.
Chodzi tu m.in. o możliwość analizy takich właściwości podpisu, jak siła nacisku czy dynamika kreślenia poszczególnych znaków. Od strony technicznej może być to realizowane zarówno przez podłoże, na którym składany jest autograf, jak i przez zastosowanie specjalnego długopisu, będącego zarazem zestawem sensorów.
Co istotne, podpis ten może być realizowany w trybie offline, będąc zarazem uzupełnieniem rozwiązań online, jak podpis kwalifikowany. Ważną kwestią jest także możliwość przechowywania pozyskanych w ten sposób danych, gdzie obok analizy dynamicznych cech, możliwy jest także wydruk, pozwalający na tradycyjną analizę grafologiczną.
Biometria, sztuczna inteligencja i RODO
Kwestią, która może hamować wykorzystywanie biometrii są zgody klientów. Te zbierane przed laty z reguły nie uwzględniały takich potrzeb, jak uczenie maszynowe czy przetwarzanie danych biometrycznych, koncentrując się przede wszystkim na szeroko rozumianych działaniach marketingowych.
W serwisie Sztuczna Inteligencja zwraca na to uwagę prawnik, Witold Chomiczewski. „Jeżeli chcemy, aby rozwijały się rozwiązania z obszaru sztucznej inteligencji, to musimy wprowadzić regulacje prawne przyjazne dla analizy i przetwarzania danych. Oczywiście w bezpieczny dla klienta sposób” – podkreśla.
Warte wzmianki są w tym kontekście ograniczenia prawne. Art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO – wprost zakazuje przetwarzania danych biometrycznych w celu identyfikacji osoby fizycznej, zostawiając jednak długą listę wyjątków, wynikających z udzielonych zgód i celów przetwarzania. Kluczowe na liście podpunkt a głosi m.in.: Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1. W podpunktach b i c zapisano zaś: b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (…).
Biometria a dyrektywa PSD2
Konieczność zastosowania silnego uwierzytelniania (Strong Customer Authenthication) otworzyła przed technologiami biometrycznymi nowe możliwości, nakładając na usługodawców konieczność dwuetapowej weryfikacji tożsamości użytkownika, wykorzystującej dwa z trzech wskazanych obszarów: wiedzę (np. login i hasło), posiadanie (aplikacja mobilna, kod SMS) i cechę klienta.
Ten wymagany drugi element to – w praktyce – zazwyczaj kod przesyłany SMS-em. Jego alternatywą może być jednak właśnie biometria, której kluczową zaletą jest „przezroczystość” dla użytkownika: identyfikacja wielu cech – jak odcisk palca czy rysy twarzy – może bowiem odbywać się w tle aktywności użytkownika, np. przy okazji potwierdzania logowania.
W takim kontekście warta uwagi jest wysoka akceptacja polskich klientów dla powszechnego stosowania biometrii. Jak wynika z raportu Mastercard, świadomie korzysta z niej już 25% klientów, jednak dwukrotnie więcej wyraża chęć korzystania z biometrycznego uwierzytelniania, podkreślając jego liczne zalety – wygodę, szybkość, dostępność i prostotę.