Jak dyrektywa PSD2 wpływa na transakcje online?
Gwarancja najwyższych możliwych standardów bezpieczeństwa, przy jednoczesnym zapewnieniu bezproblemowego, płynnego user experience, jest jednym z najważniejszych celów wszystkich podmiotów w świecie płatności online.
Doświadczam tego osobiście każdego dnia. Przed rozpoczęciem współpracy z nową firmą pierwsze pytanie klienta dotyczy szybkości uruchamiania skryptów profilujących i ich wpływu na UX.
Ma to ogromne znaczenie dla biznesu, ponieważ mniejsza ilość przeszkód zakłócających płynny przepływ transakcji online (takich jak np. konieczność wprowadzenia kodu z hasła SMS), przekłada się bezpośrednio na lepszy user experience, retencję klientów i ogólny wzrost współczynników konwersji.
Dlaczego SCA jest bezpieczne, ale ogranicza UX?
Dyrektywa PSD2 egzekwuje na krajach Unii Europejskiej wdrożenie SCA (tzw. silne uwierzytelnienie klienta). Jako że jednym z jego celów jest zminimalizowanie oszustw związanych z płatnościami online, SCA wymaga dwustopniowej autoryzacji transakcji.
Lista metod autoryzacji składa się z trzech niezależnych od siebie elementów. Pierwszy z nich to jest „Wiedza” ‒ coś, co użytkownik zna, np. hasło lub PIN.
Drugi to „Posiadanie” ‒ coś, czego użytkownik jest właścicielem, np. chip bezpieczeństwa wbudowany w urządzenie, token sprzętowy lub oprogramowania, itp.
Trzecim elementem jest „Inherencja” ‒ coś, czym użytkownik jest. Obejmuje ona takie pozycje, jak skanowanie odcisków palców, rozpoznawanie głosu, geometria dłoni i twarzy, skanowanie siatkówki i tęczówki, dynamika naciskania klawiszy, ruchy myszy lub touchpada i wiele innych.
Podczas gdy SCA ma prowadzić do większego bezpieczeństwa transakcji w Internecie, niektóre podmioty postanowiły wdrożyć rozporządzenie kosztem płynności UX. Dwustopniowe uwierzytelnianie oznacza, że do standardowego procesu transakcyjnego dodano jeszcze jeden element krok w całym procesie, co w efekcie spowodowało jego wydłużenie i uczyniło go bardziej problematycznym dla klientów.
Napotykanie kolejnych przeszkód podczas płacenia online wpływa negatywnie na UX użytkownika i może sprawić, że wielu klientów zrezygnuje z transakcji. W rezultacie sprzedawcy mogą zauważyć niższe współczynniki konwersji, a niezadowoleni klienci zaczną szukać konkurencyjnych firm, które nie będą tworzyć problemów z płatnościami, a jednocześnie będą oferować ten sam poziom bezpieczeństwa lub nawet lepszy.
Jedno z podejść zapewniających duże bezpieczeństwo, jednocześnie mogące nie wpływać na UX to pasywna biometria behawioralna.
Czy SCA może być jednocześnie bezpieczne i przyjazne dla UX?
SCA można wdrożyć skuteczniej przy pomocy pasywnej biometrii behawioralnej. Dzięki niej transakcje online mogą być bezpieczniejsze i wykonywane bez przeszkód.
Pasywna biometria behawioralna pomaga analizować ogromny zestaw indywidualnych, fizycznych interakcji między użytkownikiem a jego urządzeniem. Obejmuje to, m.in. dynamikę naciskania klawiszy ‒ szczegółową informację o taktowaniu opisującą, kiedy dany klawisz był naciskany i zwalniany podczas pisania przez użytkownika. W tym także takie dane, jak „czas przelotu” (okres między zwolnieniem klawisza a naciśnięciem następnego) lub wciśnięcia klawisza.
W rezultacie pasywna biometria behawioralna daje możliwość uwierzytelniania użytkowników. Oznacza to, że jesteśmy w stanie porównać historyczne zachowania użytkownika i na tej podstawie przypisać prawdopodobieństwo, że nowa aktywność dotyczy tej samej osoby. Dzięki swojej dokładności, technologia ta jest wygodnym środkiem bezpieczeństwa.
Czytaj także: Digital ID: przyszłość sektora płatności elektronicznych ?
Ponadto dane behawioralne wykorzystywane w pasywnej biometrii są bezpieczne, ponieważ są bezużyteczne bez kontekstu w jakim zostały zebrane. Dodatkowo to model uczenia maszynowego porównuje behawioralny wzorzec historyczny z aktualnym na bazie surowych danych o zachowaniu (w przeciwieństwie do np. standardowej sytuacji zapisu odcisku palca).
Cały proces identyfikacji jest wynikiem dobrze wyszkolonego modelu sztucznej inteligencji, który jest specyficzny dla danego środowiska, z którym użytkownik wchodził w interakcje. Tak więc same dane nie wskazują konkretnego użytkownika, a uwierzytelnianie odbywa się poprzez parowanie danych z modelem.
Jest to przeciwieństwo rozwiązań spełniających wymagania SCA wykorzystujących takie elementy jak „Wiedza” czy „Posiadanie”, a nawet niektórych rozwiązań „Inherencji”, takimi jak standardowa biometria behawioralna, skanowanie odcisków palców i tęczówki lub rozpoznawanie twarzy (wszystkie bez specjalnych zabezpieczeń i form zabezpieczania/hashowania umożliwiają identyfikację użytkownika).
Pasywna biometria behawioralna to nowa jakość zapobiegania oszustwom online. Co więcej, jako część „Inherencji” w ramach PSD2, pasywna biometria behawioralna nie wpływa negatywnie na proces transakcji, jeśli zostanie zaimplementowana w odpowiedni sposób.
Bądź na bieżąco – zapisz się na nasz newsletter >>>
Działając w czasie rzeczywistym na tle transakcji nie wpływa na proces zakupowy, dzięki czemu jest całkowicie przyjazna dla użytkownika. Nie ma tu chociażby potrzeby wysyłania wiadomości SMS, co ma również pozytywny wpływ np. na firmy w postaci redukcji kosztów związanych z wysyłaniem tych wiadomości i szczegółową analizą legalności każdej transakcji.
W bezpieczeństwie transakcji chodzi o warstwy
Walka z oszustwami online to ciągły wyścig zbrojeń. Oszuści nieustannie opracowują innowacyjne narzędzia do kradzieży na dużą skalę, a ich ataki stają się coraz bardziej wyrafinowane i trudniejsze do wyśledzenia.
Również ze względu na zmieniające się przepisy, które z definicji podnoszą poprzeczkę, popychając ich do dalszej profesjonalizacji. Dziś pasywna biometria behawioralna jest dla nich najnowszą przeszkodą ‒ bronią zmieniającą zasady gry.
Jednak nie bronią ostateczną. Pomimo tego, że hasła, kody PIN, CVV, odciski palców urządzeń, a nawet standardowa biometria nie są dziś niczym nowym i mogą zostać łatwo naruszone przez oszustów, nie oznacza to, że są bezużyteczne. Wręcz przeciwnie!
Są użytecznymi warstwami bezpieczeństwa, a pasywną biometrię behawioralną należy traktować jako nową warstwę, dodaną do poprzednich.
Dlatego połączenie tych warstw w jedną bezpieczną tarczę jest najlepszym sposobem na sukces w świetle przepisów SCA ‒ zarówno w obszarze bezpieczeństwa, jak i UX.
Aleksander Kijek,
przedstawiciel Zarządu Nethone.