Raport specjalny. Bezpieczeństwo banków: Technologia i prawo zadecydują o przyszłości sektora
Cyfryzacja rynku i współpraca międzysektorowa to dwa najsilniejsze trendy we współczesnej gospodarce. Co te zjawiska będą oznaczały dla sektora finansowego w nadchodzących latach?
– Konsekwentne zacieranie się granic pomiędzy nierzadko bardzo odległymi sektorami gospodarki jest jedną z głównych tendencji na współczesnym rynku. Proces ten dokonuje się na każdym poziomie, również na rynku pracy – tradycyjnie pojmowane zawody i specjalności sukcesywnie tracą znaczenie na rzecz kompetencji o charakterze interdyscyplinarnym. Dlatego kluczowym zadaniem obecnych, jak i przyszłych władz instytucji finansowych będzie identyfikacja trendów technologicznych i osadzanie ich w kontekście prawnym w celu rozwoju prowadzonej działalności gospodarczej. Te dwie sfery, czyli regulacje i obszar IT, stanowią punkt wyjścia do rozmowy o budowaniu bezpiecznego środowiska biznesu e-commerce. Już obecnie instytucje finansowe w coraz większym stopniu przypominają wysoce wyspecjalizowane przedsiębiorstwa informatyczne, zajmujące się zarządzaniem ryzykiem związanym z obrotem powierzonymi im środkami pieniężnymi. Osobiście zaliczam się do zwolenników cyfryzacji rynku finansowego, prowadzę grupę do spraw digitalizacji procesów bankowych w ramach ZBP, a głównym obszarem zainteresowań tej komórki jest tworzenie, transmisja i przechowywanie dokumentów sporządzonych w formie elektronicznej. Mówiąc o „dokumentach” mam na myśli każdy ślad cyfrowy, a więc zarówno formularz PDF, nagranie dźwiękowe, jak również wideo.
Które z wyzwań związanych z digitalizacją rynku finansowego ma charakter absolutnie priorytetowy?
– Bez wątpienia takim zadaniem jest właściwa autentykacja stron transakcji. Rosnąca liczba operacji dokonywanych zdalnie sprawia, iż tradycyjne formy uwierzytelniania przestają być wystarczająco bezpieczne. Podam przykład sprzed kilku dni: ubiegając się o kredyt hipoteczny uzyskałem w banku informację o niskokwotowych pożyczkach, widniejących w mojej historii kredytowej w BIK. Te zobowiązania zostały zaciągnięte w firmach pożyczkowych przez osobę trzecią z wykorzystaniem moich danych, pomimo iż dowód tożsamości nie został skradziony ani nie uległ zagubieniu. Najprawdopodobniej gdybym nie korzystał z procedury kredytowej, to o próbie wyłudzenia pożyczki dowiedziałbym się dopiero na etapie procedury windykacyjnej, gdyż monity albo nakazy zapłaty nie zostały do mnie doręczone, ze względu na podmieniony adres do korespondencji. Problem wynika z tego, że dokumenty tożsamości, którymi się posługujemy i które zawierają nasze dane osobowe nie mają charakteru poufnego. Dowodu osobistego czy prawa jazdy używamy w celu weryfikacji w najróżniejszych miejscach, od urzędów aż po wypożyczalnie rowerów i kajaków, w wielu przypadkach okazanie dokumentu jest warunkiem dokonania jakiejś czynności. Tymczasem nawet jeśli nie pozostawiamy ich na dłuższy czas w dyspozycji osób trzecich, ryzyko jest poważne – obecnie wystarczą zaledwie dwie sekundy, by wykonać zdjęcie dokumentu.
Jakie rozwiązania jest w stanie zaoferować współczesna technologia, by ograniczyć takie ryzyka, o których pan wspomniał?
– Coraz powszechniejsza dystrybucja produktów i usług finansowych w sposób zdalny wymusza wprowadzenie metod uwierzytelniania bazujących na innych faktorach niż tylko dane, które złodzieje są w stanie zgromadzić z różnych rozproszonych rejestrów. Jedną z takich metod w moim przekonaniu jest biometria. Dane biometryczne są wbudowane w nasze ciało, mają immanentny związek z naszą tożsamością i mogą świadczyć o tożsamości prawnej, a do tego nie mogą być transferowane czy pozyskane przez złodzieja od samego właściciela takich danych. Tego rodzaju dane biometryczne nie mogą trafić od nas do złodzieja. Przypomnę, że w przypadku fraudów na szkodę klienta instytucji finansowej rzadko dochodzi do złamania bankowego systemu informatycznego, czy wewnętrznych systemów antyfraudowych. Najsłabszym ogniwem i źródłem danych są sami klienci, którzy albo udostępniają dane oszustom wskutek nieuwagi albo zwiedzeni sztuczkami socjotechnicznymi. W przypadku modelu biometrycznego takie działania są wykluczone. Nie istnieje możliwość przekazania osobie trzeciej wzoru naczyń krwionośnych w palcach tak, by było możliwe dokonanie pomiaru biometrycznego i porównanie jego wyniku z wzorcem zapisanym na karcie mikroprocesorowej czy na centralnym serwerze danej instytucji finansowej. Dlatego właśnie rozwiązania biometryczne są coraz intensywniej rozwijane, również w kanałach mobilnych. Hitachi tworzy obecnie uniwersalne rozwiązanie, umożliwiające wykorzystanie każdego smartfonu do autentykacji z wykorzystaniem biometrii naczyniowej. Każdy posiadacz rachunku płatniczego będzie mógł przy użyciu kamery telefonu zarejestrować wzorzec biometryczny, a następnie wykorzystać go do inicjowania płatności. Dzięki takiemu rozwiązaniu znaczna część ryzyka operacyjnego, związanego z subiektywną oceną danych przedstawionych przez konsumenta zostanie wyeliminowana – system będzie weryfikować wzorce wprowadzone bezpośrednio przez klienta, mając pewność, iż nie zostały one przechwycone i nie posługuje się nimi przestępca.
Zwiększanie poziomu bezpieczeństwa klienta banku, nawet jeśli nie dochowuje on reguł ostrożności – taki postulat pojawia się coraz częściej w orzeczeniach sądów. Czy biometria może być odpowiedzią na te oczekiwania?
– Faktycznie, orzecznictwo sądowe i rekomendacje wydawane przez nadzór sukcesywnie zwiększają poziom ochrony klienta przed utratą środków w wyniku przestępstwa. Jeśli weźmiemy pod uwagę dokumenty regulatora, zarówno polskiego jak i wspólnotowego, z zakresu informatyki bankowej, wyłania się spójny obraz: to bank, jako organizator pewnego systemu elektronicznego, ponosi znaczne ryzyko w przypadku jakiegokolwiek fraudu. Pamiętajmy, że przenoszenie odpowiedzialności za bezpieczeństwo informatyczne z klienta na bank nie jest tylko efektem nowych przepisów, ale również, a może przede wszystkim, przemian społecznych. Klienci z pokolenia „Y” czy „Z” nie chcą słyszeć o jakimkolwiek ograniczaniu wygody korzystania z bankowych serwisów transakcyjnych czy aplikacji mobilnych, nawet jeśli te ograniczenia byłyby motywowane względami bezpieczeństwa. Pewne jest jedno: nie jesteśmy i nie będziemy w stanie zmienić trendów społecznych, zachowań młodego pokolenia. Pozostaje zatem podążać za tymi oczekiwaniami i dostosować nasze systemy, by spełniały funkcje oczekiwane przez dane grupy społeczne. Wsparciem w tym obszarze może okazać się właśnie uwierzytelnianie biometrycznie, które – jak już wcześniej wspomniałem – minimalizuje ryzyko wyłudzeń dokonywanych wskutek niewłaściwego zachowania się klienta banku. Z drugiej strony autentykacja taka, jak FingerVein ewidentnie spełnia kryteria przyjazności i łatwości użycia, gdyż eliminuje konieczność zapamiętywania i wprowadzania kolejnych kodów, zdrapek i tokenów. Dlatego uważam, że na chwilę obecną jest to dojrzały kompromis.
Tradycyjnie regulacje traktowano jako element krępujący gospodarkę. Od pewnego czasu mówi się o RegTech, czyli rozwoju technologicznym motywowanym przez prawo. Czy podziela pan ten pogląd?
– RegTech to w zasadzie tylko nowe pojęcie, określające to, z czym bankowość styka się od wielu lat. Każdy sektor regulowany, czy to finansowy, czy energetyczny, wdrażając nowe rozwiązania techniczne, musi się liczyć z ramami, wyznaczanymi przez regulatorów rynku. Jest to zjawisko w pełni zrozumiałe, gdyż za te branże w ostatecznym rozrachunku gwarantuje państwo, czyli podatnicy. Ten proces uległ gwałtownemu nasileniu w związku z dynamicznym rozwojem technologii teleinformatycznych, czego dowodem są takie akty prawne, jak dyrektywa PSD2 czy ogólne rozporządzenie o ochronie danych. Cały RegTech co do zasady ma na celu bezpieczną, rzetelna komunikację pomiędzy klientem i bankiem, bankami między sobą oraz szeroko rozumianym otoczeniem okołobankowym. Obserwujemy te procesy, będziemy również w coraz większym stopniu szukać możliwości, jak w ramach owego RegTech tworzyć projekty biznesowe. Będą oczywiście projekty o charakterze typowo zgodnościowym (compliance’owym), ograniczające się do jak najpełniejszego wdrożenia zaleceń regulatora, nie zbraknie jednakże i takich, na kanwie których będziemy próbowali tworzyć nowe biznesy, nowe obszary i sposoby komunikacji z klientem.
Przykładem rozwiązań technologicznych wymuszanych przez prawo jest kwestia tzw. trwałego nośnika. Na jakim etapie są obecnie prace nad tym rozwiązaniem?
– Tworząc instrumenty spełniające wymogi stawiane dla trwałego nośnika, staramy się od dłuższego czasu opierać się na znanych i sprawdzonych produktach oraz usługach. Jest to znacząca różnica w podejściu w porównaniu z technologiami biometrycznymi, gdzie faktycznie chcielibyśmy przeprowadzić rewolucję w zakresie metod uwierzytelniania. Natomiast w przypadku przechowywania śladów cyfrowych, czyli tego, co się dzieje z dokumentami utworzonymi w postaci elektronicznej, preferujemy model ewolucyjny, zakładający udoskonalenie bieżących systemów bankowych nieznacznym kosztem w celu zapewnienia niezmienności i aktywnego informowania klientów bankowych o dokumentach, które ich dotyczą. Zaprezentowana koncepcja rozwiązania tego problemu bazuje na technologii WORM (Write Once, Read Many). Jest to rozwiązanie możliwe do zastosowania przez każdy bank w celu wypełnienia wymogów UOKiK. W obecnej chwili projekt ten jest wdrażany w trzech bankach. Chciałbym również przypomnieć, iż rozwiązania WORM mogą także posłużyć do innych, szerzej nakreślonych celów, takich jak spełnienie wybranych wymogów określonych przez RODO, MiFID czy zabezpieczanie śladów cyfrowych w sposób adekwatny do potrzeb instytucji finansowych.