Jak biometria behawioralna zwiększy bezpieczeństwo klientów polskiego sektora bankowego?

Robert Lidke: Jakie cechy biometrii behawioralnej decydują o tym, że to rozwiązanie może być użyteczne dla banków?

Bartosz Wójcicki: Biometria behawioralna jest nowym czynnikiem autoryzującym. Oprócz tych rozwiązań, które banki już stosują, a co wynika z dyrektywy PSD2, czyli elementów wiedzy (login i hasło)  i posiadania (powiadomienia na posiadane urządzenie mobilne klienta) pojawia się trzeci element  identyfikujący użytkownika – jego cechy zachowania.

Jest to element unikalny, który jest trudno podrobić. Tak, jak trudno jest podrobić czyjś odcisk palca, tak trudno jest skopiować cudze zachowania.  

To w jaki sposób korzystamy z komputera, jak szybko piszemy, jaką mamy charakterystykę ruchów myszą, w jaki sposób trzymamy urządzenie mobilne jest unikalne dla każdego z nas.

Wynika to przede wszystkim z tego, że w przypadku biometrii behawioralnej mamy do czynienia z pamięcią mięśniową. Wiele czynności wykonujemy bez udziału świadomości.

Jaka jest trafność rozpoznawania użytkownika przy stosowaniu biometrii behawioralnej?

Gwarantowana przez nasz system rozpoznawalność wynosi 96 procent. Czyli na 100 przypadków, 96 są to trafne rozpoznania klienta już na pierwszym etapie jego logowania się do banku.

Etap logowania to jest przecież tylko kilka kliknięć i już można zidentyfikować klienta?

To jest 10 – 12 wpisanych znaków.

Ale to rozwiązanie nie ma zastąpić jednego z obecnie używanych parametrów do identyfikacji klienta, czyli nie ma zastąpić elementu wiedzy albo posiadania?

Teoretycznie może zastąpić. Zgodnie z wymaganiami EBA (European Banking Authority)  i rekomendacjami dyrektywy PSD2 element identyfikacji przy pomocy biometrii behawioralnej mógłby zastąpić np. element posiadania.

Do tzw. silnej identyfikacji wymagane są dwa z trzech elementów: wiedza, posiadanie lub weryfikacja cech użytkownika. Zgodnie z wytycznymi PSD2, jeżeli co najmniej dwa z nich będą zgodne  – można uznać, że klient jest silnie zweryfikowany.

Można to robić na kilka sposobów. Np. zbierać login i hasło od klienta przy logowaniu, a jako drugi czynnik autoryzujący weryfikować jak klient korzysta z klawiatury, myszy czy urządzenia.

Dodatkowo możemy to robić w trybie ciągłym co powoduje, że w czasie trwania całej sesji mamy zapewnioną silną identyfikację i  autoryzację klienta. I w momencie kiedy ta sesja zostanie przejęta przez kogoś innego, na przykład przy często pojawiających się ostatnio atakach z wykorzystaniem narzędzi typu RAT (Remote Access Tools), np. TeamViewer czy AnyDesk, jesteśmy w stanie bardzo szybko wykryć taką sytuację i zablokować taką operację.

Tu więc mamy ciągłą kontrolę nad sposobem korzystania klienta z komputera czy smartfona w odróżnieniu od jednorazowej, tradycyjnej weryfikacji klienta tylko raz podczas logowania?

Rzeczywiście tak jest. Banki obecnie punktowo odpytują klientów podczas logowania o jakiś element posiadania, np. w ramach autoryzacji mobilnej, czy kodu sms, lub coraz rzadziej stosowanych tzw. zdrapek. To są działania punktowe.

Najczęściej przestępcy manipulują klientem tak, aby sam im takie informacje przekazał (np. kod z SMS czy zdrapki) lub też zatwierdził operację w urządzeniu mobilnym.

Siłą technologii biometrii behawioralnej jest to, że nie ma możliwości sfabrykowania charakteru ludzkich zachowań.

To by też oznaczało, że w sytuacji, w której bank zacznie podejrzewać, że osoba która właśnie ma sesję z bankiem nie jest tym klientem, za którego się podaje, bank może to sprawdzić za pomocą biometrii behawioralnej – upewnić się, że jednak jest to właściwa osoba – a klient cały czas dokonuje transakcji bez zakłóceń nie wiedząc nawet, że był dodatkowo sprawdzany…

Banki profilują klientów i powinny weryfikować ich każdą transakcję, m.in., sprawdzać czy dana transakcja pasuje do schematu transakcyjnego charakterystycznego dla danego klienta.

Posłużę się tu własnym przykładem. Ja najczęściej wykonuję swoje transakcje w bankowości elektronicznej powiedzmy w godzinach 14.00 – 18.00 i nagle pojawia się transakcja o 2.00 w nocy, co nie jest zgodne z moim profilem transakcyjnym. To bank w takiej sytuacji powinien teoretycznie tę transakcję wstrzymać

Natomiast w przypadku biometrii behawioralnej możemy działać online. Czyli o tej 2.00 godzinie w nocy system będzie wiedział, że to ja, Bartek Wójcicki, loguję się do bankowości elektronicznej, bo mój sposób zachowania jest zgodny z moim profilem behawioralnym.

A to  oznacza, że nie ma potrzeby wstrzymywania tej transakcji. Co więcej, rozwiązanie działa w tle, a klient nie jest dodatkowo angażowany.

Podany przeze mnie przykład, to tylko jedno z wielu możliwych zdarzeń, ilustrujących jak biometria behawioralna może wpłynąć na zmniejszenie alertów generowanych przez systemy bankowe.

Wracając do Pańskiego przykładu z transakcją o 2.00 godzinie w nocy, jak wygląda teraz rozwiązanie identyfikacji klienta w sytuacji dostrzeżonych przez bank anomalii w jego zachowaniu?

Gdyby moja transakcja była niezrealizowana, byłbym mocno zirytowany. Musiałbym albo kontaktować się z infolinią banku powiadamiając ją, że moja transakcja jest pilna, albo czekać na kontakt od banku do godzin porannych.

Tymczasem biometria behawioralna ogranicza występowanie takich sytuacji, co wyraźnie polepsza komfort klienta w jego kontaktach z bankowością elektroniczną.

Biometrię behawioralną można zatem wykorzystać do poprawy user experience, czyli  komfortu całości interakcji użytkownika z bankowością.

Baza wiedzy, którą buduje BIK o zachowaniu klienta w ramach biometrii behawioralnej, tworzy się w oparciu o relacje klienta z bankami, czy także może dotyczyć innych źródeł, np. jego zachowań na platformach zakupowych albo w mediach społecznościowych?

Zgodnie z wykładnią prawa dane możemy zbierać tylko w konkretnym celu i zakresie, i tylko po wyrażeniu zgody przez klienta.

Klient wyraża zgodę na zbieranie danych w ramach bankowości elektronicznej danego banku, z konkretnych bankowych aplikacji na komputerze i telefonie. Bank nie zbiera danych z innych źródeł, nie sięga do danych z mediów społecznościowych czy z innych serwisów.

Drugim istotnym aspektem jest fakt, że w przypadku biometrii behawioralnej nie musimy znać treści wpisywanych danych przez klienta. Do budowy modelu zachowania wystarczają bezkontekstowe informacje o wciśnięciach poszczególnych klawiszy, czy krzywe po jakich porusza się wskaźnik gdy używamy myszy komputerowej.

Znaczna grupa klientów ma więcej niż jeden rachunek bankowy, często w różnych bankach. To oznacza, że do jednego banku klienci logują się z większą częstotliwością, do innego z mniejszą. Jak zatem zbudować profil behawioralny klienta, który rzadko dokonuje logowania?

BIK ma na to pomysł w swoim rozwiązaniu wykorzystującym technologię biometrii behawioralnej. Mówimy bowiem o współtworzeniu i współdzieleniu profili behawioralnych klientów bankowości elektronicznej.

Jeżeli klient wyrazi zgodę we wszystkich bankach, w których ma rachunki czy lokaty, na wykorzystywanie jego profilu behawioralnego, to jego profil będzie budowany z tych wszystkich źródeł bankowości elektronicznej.

I jeśli ten klient zaloguje się do banku, w którym ma lokatę, gdzie bardzo rzadko zagląda, to ten bank podczas identyfikacji będzie korzystał z jego profilu behawioralnego zbudowanego na danych pozyskanych z innych banków, w których klient wyraził zgodę na tę metodę jego weryfikacji.

System, który wdrażamy jest uniwersalny. Badamy tylko zanonimizowane zachowania klienta takie jak sposób poruszania myszą, charakterystykę wpisywania danych czy sposób korzystania i trzymania urządzenia.

Natomiast nie zbieramy żadnych danych wrażliwych, nie jesteśmy w stanie zobaczyć, co klient pisze. Interesuje nas wyłącznie,  jak klient pisze.

Z tego co Pan mówi wynika, że teraz wszystko jest w rękach klienta. Jeśli poważnie myśli o zwiększeniu swojego bezpieczeństwa w bankowości elektronicznej, to musi wyrazić zgodę na wykorzystywanie jego „zachowań” do budowy profilu biometrii behawioralnej. Ale czy jest możliwe, że banki między sobą dochodzą do porozumienia, że będą w ten sposób wspólnie  korzystały z pozyskanej wiedzy o zachowaniach swoich klientów bez konieczności uzyskania ich zgody?

Takie podejście w obecnym reżimie prawnym nie jest możliwe. Zbieranie danych biometrycznych jest możliwe tylko w przypadku wyrażenia zgody przez klienta. Ma to także swoje minusy.

Każdy system bezpieczeństwa oparty na zgodzie jest tak silny, jak silna jest ta zgoda i możliwość jej odwołania. Przestępca nie pozwoli nam zbierać takich danych, natomiast klient będąc świadomym klientem powinien taką zgodę wyrazić, żeby budować jego profil behawioralny i tym samym zwiększać swoje bezpieczeństwo.

Oczywiście toczy się dyskusja czy w przypadku systemów bezpieczeństwa banków istnieje konieczność zbierania zgód od klientów. Jednak rezygnacja z konieczności wyrażania zgody przez klienta wymagałaby zmian w odpowiednich  przepisach prawa.

Ale korzyści dla klienta i dla banków oczywiście są tak ewidentne, że takie rozwiązanie, moim zdaniem, warto  byłoby wprowadzić jak najszybciej. Czy BIK, który dysponuje teraz technologią biometrii behawioralnej wspólnie z Digital Fingerprints ma już pomysł, aby tę technologię upowszechnić, czyli przekonać do niej jak najwięcej klientów?

Podejmowane są  działania promujące Platformę Biometrii Behawioralnej BIK właśnie w celu upowszechniania informacji, że zbierane dane biometryczne są wykorzystywane tylko w kontekście zapewnienia i zwiększenia bezpieczeństwa klienta.

Mówiąc wprost: danych, o których rozmawiamy nie da się wykorzystać w innym celu niż dla zwiększenia bezpieczeństwa. Na ich podstawie nie jesteśmy w stanie prognozować, czy klient będzie chciał kupić ten czy inny produkt.

Z takich danych nie da się pozyskać żadnych informacji marketingowych.

Jak już mówiłem – chcemy wiedzieć jak klient pisze, a nie co klient pisze.

Nie zbieramy też informacji o kontekście transakcji – czyli nie wiemy do kogo jest dany przelew skierowany, ani czego dotyczy.

Ale tak czy owak to bank musi przekonać klienta do wyrażenia zgody na budowanie jego profilu biometrii behawioralnej. Czy wszystkie banki są przekonane do korzystania z tej metody?

Odpowiedź jest oczywista. Właścicielem Biura Informacji Kredytowej są banki. Naszą Radę Nadzorczą tworzą banki. To banki musiały wyrazić zgodę na zakup przez BIK firmy Digital Fingerprints – twórcę rozwiązań z zakresu biometrii behawioralnej, właśnie po to, aby budować sektorową Platformę Biometrii Behawioralnej BIK. Banki są więc przekonane do stworzonego w BIK rozwiązania..

Analizując alerty z Platformy Biometrii Behawioralnej możemy wychwytywać nadużycia, które nie są wyłapywane innymi, tradycyjnymi metodami.

Bez biometrii  bardzo trudno jest zweryfikować czy klient nie przekazał kontroli nad swoim komputerem innej osobie. Ponadto pojawiają się już pierwsze nadużycia typu friendly fraud, czyli sytuacje, gdzie np. dziecko przejmie komputer rodzica i dokona jakiegoś zakupu.

Dzięki biometrii behawioralnej  bank będzie w stanie wychwycić i odpowiednio zareagować w sytuacji, gdy klient – świadomie lub nieświadomie – przekaże kontrolę nad swoim urządzeniem innej osobie, lub gdy urządzenie zostanie przejęte w sposób nieautoryzowany.

Czy w jakimś innym kraju oprócz Polski takie rozwiązanie na równie szeroką skalę zostało już wprowadzone?

W skali sektorowej nie. Przynajmniej ja o tym nic nie wiem.

Są kraje w których banki wdrożyły to rozwiązanie tylko na potrzeby swoich własnych klientów, natomiast nie ma takiej szerokiej wymiany w kontekście sektorowym z udziałem wszystkich banków. W tym zakresie BIK jest pionierem.