Jak biometria behawioralna wzmacnia bezpieczeństwo klientów banków?
Nasz rozmówca przyznał, że nawet w przypadku stosowania różnego rodzaju socjotechnik, które prowadzą do zmanipulowania klientów banków, biometria behawioralna daje szansę na zablokowanie niekorzystnej dla klienta operacji bankowej.
Jak zauważył – analiza behawioralna bazuje na zbudowaniu profilu interakcji klienta z jego urządzeniem. Jeśli wzorzec ten się zmieni, na przykład jego urządzenie zostanie przejęte przez osoby niepowołane (także zdalnie), to system korzystający z biometrii behawioralnej wykryje zmianę zachowania użytkownika.
Zatrzymanie rozpędzonego nosorożca
Istnieje pewna szansa na wykrycie zdarzenia, gdy klient w sytuacji stresowej zmieni swój wzorzec zachowania, a w wyniku zmanipulowania przez przestępców wykonuje pod ich wpływem transakcję.
„Klient działa w tym czasie w stresie. W takiej sytuacji pamięć mięśniowa nie do końca działa tak, jak działała wcześniej, więc możemy wykryć tego typu przypadki” – powiedział Bartosz Wójcicki.
Jak przyznał – często trudno jest po wykryciu takiego zdarzenia przekonać klienta, że jest on zmanipulowany.
„Istnieje jednak kilka socjotechnik, które może zastosować bank. Jedną z nich z nich roboczo nazywam zatrzymaniem rozpędzonego nosorożca. Polega to na tym, że jeżeli transakcja ma znamiona transakcji oszukańczej, np. jest to nietypowy przelew na inwestycje, to bank tę transakcję przerywa, blokuje także dostępy do bankowości dla klienta, co daje klientowi czas na to, żeby się zreflektował” – wyjaśnił ekspert BIK.
Czy potrzebna jest zgoda klienta na stosowanie biometrii behawioralnej?
Na nasze stwierdzenie, że piętą achillesową stosowania biometrii behawioralnej w Polsce jest konieczność uzyskania zgody klienta na jej używanie, nasz rozmówca zaznaczył, że nie ma jednoznacznego przepisu, który tę zgodę nakazuje otrzymać, ale nie ma też przepisu, który mówi, że takich zgód banki nie muszą zbierać.
„Byliśmy pionierem na rynku polskim wprowadzając to rozwiązanie w jednym z banków komercyjnych. Ten bank wprowadził standard zbierania zgód, zapewne z ostrożności prawnej. W związku z tym na rynku ukuła się zasada, że taka zgoda jest potrzebna”.
Bartosz Wójcicki podkreślił jednak, że biometria behawioralna nie narusza przepisów RODO.
„Biometria behawioralna co do zasady nie ujawnia wrażliwych danych, bo to w jaki sposób poruszam myszą, czy jak piszę na klawiaturze w żaden sposób nie narusza mojej intymności. Te zbierane dane są anonimizowane już na samym początku ich pozyskiwania. Mając informację o sposobie naciskania klawiszy czy poruszania myszą i nie wiedząc kogo one dotyczą, nie jesteśmy w stanie zidentyfikować konkretnej osoby fizycznej” – podkreślił nasz rozmówca.
Trwają prace przy Związku Banków Polskich nad wypracowaniem stanowiska, które pozwoli na zbieranie danych do biometrii behawioralnej w celu podniesienia bezpieczeństwa bez konieczności uzyskiwania zgód klientów.
Wprowadzenie tej zasady wzmocniłoby bezpieczeństwo klientów banków w sytuacji, w której przestępca ukradnie jego dane do logowania i wejdzie w posiadanie urządzenia, na którym klient najczęściej kontaktuje się z bankiem.
Jak zaznaczył Bartosz Wójcicki – w szeregu europejskich krajów nie jest wymagane uzyskiwanie zgód od klientów banków na stosowanie biometrii behawioralnej.