Forum Usług Płatniczych o analizie behawioralnej

Forum Usług Płatniczych o analizie behawioralnej
FUP 2023, sesja 2, Fot.M.Wagner
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dynamiczny rozwój elektronicznych instrumentów płatniczych stawia przed dostawcami usług finansowych całkiem nowe wyzwania w zakresie bezpieczeństwa. W świecie, w którym przestępcy coraz powszechniej korzystają z deep fake -tradycyjne metody uwierzytelnienia powoli tracą znaczenie na rzecz analizy behawioralnej. Kwestii tej poświęcona była druga sesja tegorocznego Forum Usług Płatniczych.

Weryfikacja użytkownika bankowości elektronicznej bądź mobilnej na podstawie jego interakcji z urządzeniem pozwala istotnie ograniczyć ryzyko fraudu – wskazywała Olga Kępińska, Fraud Expert w Centrum Eksperckim Przeciwdziałania Oszustwom ING Banku Śląskiego.

Zalety analizy behawioralnej

Klienci ING, którzy wyrazili zgodę na wykorzystanie tego dodatkowego mechanizmu ochrony padali ofiarą oszustów ośmiokrotnie rzadziej aniżeli pozostali. Pomimo tak jednoznacznych przesłanek przemawiających za wykorzystaniem analizy behawioralnej jedynie 27% klientów zdecydowało się na jej użycie, podkreślał Tomasz Chmielewski, Chief Expert Digital Ecosystem i Product Owner w ING Banku Śląskim.

To przede wszystkim efekt nieświadomości konsumentów, którzy bezpodstawnie postrzegają metody behawioralne jako zbytnią ingerencję w prywatność, nie zdając sobie sprawy, iż celem jest tylko i wyłącznie powstrzymanie coraz lepiej odnajdujących się w cyberprzestrzeni oszustów.

Olga Kępińska przypomniała, iż niektórzy klienci decydują się na aktywowanie tej opcji dopiero po tym, jak padną ofiarą fraudu.

Generalnie jednak analiza behawioralna nie jest panaceum na wszystkie problemy, dlatego powinna być wykorzystywana łącznie z innymi mechanizmami antyfraudowymi

Problematyczne może być chociażby wykorzystanie jednego konta przez więcej niż jedną osobę, np. w przypadku małżeństw. Wtedy system musi mieć więcej czasu by opanować profil obydwu użytkowników, także zmiana urządzenia mobilnego może sprawić, że weryfikacja behawioralna przez pewien czas nie będzie funkcjonować skutecznie.

Czytaj także: Czytaj także: Forum Usług Płatniczych – już 14 mln Polaków korzysta tylko z bankowości mobilnej>>>

Analiza behawioralna nie jest tożsama z biometrią

Analiza behawioralna nie jest tożsama z biometrią – wskazywał Maciej Jamiołkowski, Country Manager Poland w LexisNexis Risk Solutions.

Przypomniał on, iż w ramach metod biometrycznych weryfikujemy określone cechy danej osoby, takie jak odcisk palca, tęczówka oka czy brzmienie głosu. Te zaś pozwalają w sposób jednoznaczny zidentyfikować danego klienta.

Cel analizy behawioralnej jest inny. Chodzi o to, by stwierdzić czy po drugiej stronie faktycznie jest dany użytkownik, czy może ktoś się pod niego podszywa. To staje się przydatne choćby w przypadku przejęcia konta przez oszusta, który wchodzi w posiadanie loginu lub hasła. Jego zachowanie zestawiane jest z przeciętnym postępowaniem legalnego użytkownika.

– Oszust z reguły będzie mieć inne urządzenia, inne połączenia sieciowe i inny profil behawioralny – dodał Maciej Jamiołkowski. Metody behawioralne mogą przydać się również w sytuacji, kiedy transakcji dokonuje sam klient, jednak jest on manipulowany przez sprawców za pomocą socjotechnicznych sztuczek, również wówczas można wykryć, że dana osoba zachowuje się w sposób niestandardowy.

Poważnym wyzwaniem dla upowszechnienia tej formy zabezpieczania klientów instytucji finansowych jest jednakże pewna arbitralność regulacyjna – nawet na wspólnym rynku europejskim brakuje jednolitego podejścia regulatorów.

Czytaj także: Forum Usług Płatniczych: płatności wygodne i bezpieczne>>>

Debata o weryfikacji behawioralnej

Jak przekonać klientów do korzystania z weryfikacji behawioralnej? Czy obowiązujące prawo sprzyja skutecznej formule zabezpieczania najsłabszych uczestników rynku płatności?

Kwestie te, jak również perspektywy dla wykorzystania analizy behawioralnej w instytucjach finansowych, były głównym wątkiem debaty eksperckiej, moderowanej przez Agnieszkę Wachnicką, wiceprezes Związku Banków Polskich.

W panelu udział wzięli Kate Dunckley, Head of Solutions Consulting w LexisNexis Risk Solutions; Karolina Gałęzowska, Inspektor Ochrony Danych w Banku Millennium; Dariusz Kowalski, koordynator ds. prawnych w Biurze Rzecznika Finansowego; Łukasz Krzykwa, Director Products & Solutions, Cyber & Intelligence w Mastercard Europe i Bartosz Wójcicki, dyrektor Biura Usług Antyfraudowych BIK.

Rozpoczynając debatę, Agnieszka Wachnicka przypomniała, iż pojęcie biometrii budzi zastrzeżenia wśród klientów banków, dlatego warto posługiwać się precyzyjnymi pojęciami, biorąc pod uwagę istotne różnice pomiędzy metodami biometrycznymi a analizą behawioralną.

Kate Dunckley przypomniała, iż żadna metoda biometryczna co do zasady nie daje stuprocentowej skuteczności – taką mogłaby być jedynie analiza DNA – natomiast analiza interakcji klienta z jego urządzeniem bazuje na zachowaniach unikatowych dla każdego użytkownika, stąd znacznie większa, choć w dalszym ciągu nie stuprocentowa skuteczność.

Bartosz Wójcicki zgodził się z opinią wiceprezes ZBP, iż właściwe nazewnictwo ma w tym przypadku znaczenie kluczowe, głównie z uwagi na oczekiwania klientów odnośnie transparentności tych mechanizmów.

Łukasz Krzykwa zwrócił uwagę na bariery natury regulacyjnej. Wątpliwości budzi chociażby kwestia na jakim poziomie zaczyna się zbieranie danych osobowych. Wprawdzie analiza behawioralna nie wymaga pozyskiwania takowych w ich tradycyjnym rozumieniu, niemniej nie brak i opinii, jakoby dane o interakcji klienta z urządzeniem spełniały definicje danych osobowych sensu largo.

Równocześnie jednak w świecie, w którym przestępcy coraz częściej będą sięgać po deep fake, niezbędne stają się rozwiązania służące ocenie ryzyka, że po drugiej stronie jest ktoś inny niż prawowity użytkownik.

W tym kontekście Dariusz Kowalski podkreślił znaczenie edukacji klientów banków odnośnie do bezpieczeństwa, co ma szczególne znaczenie w obecnym świecie, w którym większość użytkowników Internetu odczuwa obawy dotyczące przetwarzania ich danych.

Ma to znaczenie również dlatego, że – jak wskazywał przedstawiciel Rzecznika Finansowego – dane osobowe w dzisiejszym społeczeństwie i przy dzisiejszej technice mają charakter fundamentalny, dlatego tak ważna jest zgoda na posługiwanie się nimi.

– Budujmy zaufanie do sektora finansowego – dodał Dariusz Kowalski.

Reprezentant BIK Bartosz Wójcicki zwrócił uwagę, że te same osoby, które nie zgodziłyby się na zastosowanie analizy behawioralnej przez bank – nie miałyby nic przeciwko, gdyby zdały sobie sprawę, że celem jest ochrona ich pieniędzy przez oszustami.

Nie zabrakło wątku poszerzania ochrony konsumenta. Wiceprezes ZBP Agnieszka Wachnicka zwróciła uwagę, iż ujemnym efektem wprowadzania takich rozwiązań jak przewidziane w projekcie Pakietu Płatnościowego – może być upowszechnienie nierozważnych zachowań u konsumentów. Dlatego tak ważną kwestią jest równoległe edukowanie społeczeństwa odnośnie do rozwiązań, stosowanych w gospodarce elektronicznej.

Źródło: BANK.pl