(©Envato)
W ostatnim czasie kwestia bezpieczeństwa klientów bankowości cyfrowej nabiera coraz większego znaczenia, co widać w relacjach między bankami a Urzędem Ochrony Konkurencji i Konsumentów oraz Rzecznikiem Finansowym. Istotnej uwagi wymaga poziom ochrony konsumentów korzystających z bankowości elektronicznej w czasach dynamicznego rozwoju kanałów cyfrowych.
Od świata realnego do cyfrowego
W przypadku przeprowadzania transakcji w świecie realnym – czyli w oddziale banku – wszystko jest jasne: klient jest fizycznie obecny w placówce bankowej, są świadkowie transakcji, jest monitoring wideo, klient składa pisemny podpis na dokumencie bankowym – umowie czy potwierdzeniu przelania środków na inny rachunek bankowy. Nikt nie ma wątpliwości, że to klient wykonał daną czynność bankową.
W świecie cyfrowym identyfikacja osoby kontaktującej się z bankiem jest trudniejsza, szczególnie w związku z szybkim rozwojem zdalnych kanałów komunikacji. Do tej pory właściwie tylko klienci banków mieli bezpośredni dostęp do swoich rachunków płatniczych i możliwości zlecania transakcji płatniczych. Zgodnie z drugą dyrektywą o usługach płatniczych nazwaną w skrócie PSD2 (Payment Services Directive 2), uprawnione podmioty trzecie (TPP – Third Party Providers) mogą w imieniu i za zgodą klienta uzyskać dostęp do informacji o rachunku lub zlecać realizację płatności. W związku z tym w relacjach klient – bank mogą się pojawiać inne podmioty, co jeszcze bardziej komplikuje kwestię cyberbezpieczeństwa klientów sektora bankowego.
W świecie cyfrowym identyfikacja osoby kontaktującej się z bankiem jest trudniejsza, szczególnie w związku z szybkim rozwojem zdalnych kanałów komunikacji.
A przecież jeszcze przed pojawieniem się otwartej bankowości zdarzały się ataki na klientów banków, którzy często przez niedbalstwo ujawniali przestępcom swoje tzw. credentiale, czyli dane uwierzytelniające, co było przyczyną wyprowadzania pieniędzy z ich rachunków bankowych.
Silne uwierzytelnienie
Wydawało się, że dyrektywa PSD2 znalazła rozwiązanie, które miało zapewnić bezpieczeństwo klientom sektora bankowego. Wprowadzono konieczność stosowania procedur silnego uwierzytelnienia, czyli minimum dwuelementowego potwierdzania tożsamości klientów.
W procesie rozpoznawania klienta wymagane jest zastosowanie co najmniej dwóch elementów należących do trzech kategorii: „wiedza”, „posiadanie” lub „cecha klienta”.
Kategoria „wiedza” to np. kod PIN lub hasło, które są znane tylko klientowi, i których nie może on udostępniać osobom trzecim.
„Posiadanie” to np. karta plastikowa, telefon z kartą SIM posiadany przez klienta, który może być użyty w czasie dokonywania płatności.
„Cecha klienta” to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Może to być odcisk palca, skan tęczówki oka czy układu żył, albo sposób korzystania z urządzeń służących do bankowości elektronicznej. W praktyce najczęściej są stosowane dwie pierwsze kategorie.
Okazuje się jednak, że to, czy dana operacja faktycznie była przeprowadzona przez danego klienta sektora bankowego lub posiadacza danego instrumentu płatniczego bywa kwestionowane przez klientów.
Najczęstsze przyczyny takich wydarzeń to:
– wykonanie operacji przez cyberprzestępców z użyciem pozyskanych nielegalnie credentiali klienta lub z wykorzystaniem „zdalnego pulpitu” zainstalowanego nielegalnie na urządzeniu klienta i używanie go do inicjowania płatności;
– zmanipulowanie klienta i nakłonienie go przez przestępców do przeprowadzenia danej operacji, w efekcie czego klient często wypiera się przeprowadzenia niekorzystnej dla niego transakcji;
– świadome oszustwo ze strony klienta, który przeprowadził daną transakcję, a następnie twierdzi, że dana operacja nie była przez niego wykonana.
Uwierzytelnienie czy autoryzacja?
W Polsce sytuację komplikuje błędne tłumaczenie językowe, które pojawiło się przy implementacji dyrektywy PSD1 – pomylono wówczas pojęcia autoryzacji i uwierzytelnienia.
W unijnej dyrektywie występują słowa authorisation i authentication, przy czym to drugie powinno być przetłumaczone na polski jako uwierzytelnienie; zamiast tego w polskiej ustawie o usługach płatniczych pojawiło się pojęcie autoryzacji. Słowa te tylko pozornie wydają się bliskoznaczne, podczas gdy ich znaczenie jest całkiem odmienne.
Błąd został powtórzony podczas implementacji PSD2 w 2018 r., kiedy to kształtowały się nowe przepisy związane z odpowiedzialnością banków i użytkowników odnośnie do nieautoryzowanych transakcji. W efekcie art. 45 ustawy o usługach płatniczych swoim kształtem odbiega od treści art. 72 dyrektywy PSD2:stanowi, że to na dostawcy spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana, podczas gdy na podstawie art. 72 PSD2 wystarczyłoby wykazać, że operacja była uwierzytelniona.
Uwierzytelnienie jest elementem weryfikacji przez dostawcę tego, czy płatnik wyraził zgodę na dokonanie transakcji, czyli zezwolił na autoryzację danej transakcji. Jeśli więc klient – dokonując operacji – potwierdził swoją tożsamość, używając elementu wiedzy i elementu posiadania, to bank ma prawo przyjąć, że ta operacja była dokonana przez tego klienta. Nie oznacza to jednak, że bank nie będzie zobowiązany do wyjaśnienia sprawy, jeśli wpłynie reklamacja klienta, który kwestionuje daną operację.
Uwierzytelnienie to podstawowa przesłanka do udowodnienia przez bank i dostawcę usług płatniczych, czy transakcja była autoryzowana, czy też nie..
Jeśli klient kwestionuje osobiste dokonanie danej transakcji, to zgodnie z interpretacją UOKiK oraz Rzecznika Finansowego w każdej takiej sytuacji bank musi zwrócić środki konsumentowi po zgłoszeniu przez niego transakcji nieautoryzowanej w ciągu 24 godzin, a dopiero potem może ewentualnie dochodzić zwrotu od klienta.
Tymczasem, co podnoszą bankowcy, środki finansowe powinny być zwrócone klientowi zgodnie z przepisami prawa tylko wtedy, kiedy klient faktycznie nie autoryzował transakcji płatniczej, a nie gdy „tak mu się tylko wydaje”.
Obecnie w Ministerstwie Finansów trwają prace nad nowelizacją ustawy o usługach płatniczych oraz ustawy Prawo dewizowe (UD52) i zmianą treści art. 45 ustawy o usługach płatniczych (dalej: UUP) w taki sposób, aby przepis ten jak najwierniej oddawał brzmienie art. 72 dyrektywy PSD2 i prawidłowo rozróżniał pojęcia „uwierzytelnienie transakcji płatniczej” i „autoryzacja transakcji płatniczej”.
Jeśli jednak polskie przepisy prawa będą nareszcie w pełni zgodne w tym zakresie z dyrektywą PSD2, to problem oszukańczych transakcji i tak nie zniknie.
Czas na biometrię behawioralną
Tymczasem Biuro Informacji Kredytowej wraz z sektorem bankowym wdrażają właśnie rozwiązanie, które pozwala z większym prawdopodobieństwem ustalić, czy faktycznie daną operację wykonywał klient, czy przestępca posiadający dane uwierzytelniające klienta. Jest to rozwiązanie mieszczące się w kategorii „cecha klienta”, czyli trzeci element silnego uwierzytelnienia klienta wskazany w PSD2.
W tym przypadku chodzi o wykorzystanie biometrii behawioralnej. Każdy człowiek w specyficzny dla siebie sposób korzysta z komputera, w różnym tempie pisze na klawiaturze, ma inną charakterystykę ruchów myszą, we właściwy dla siebie sposób trzyma urządzenie mobilne itd.
Każdy człowiek w specyficzny dla siebie sposób korzysta z komputera, w różnym tempie pisze na klawiaturze, ma inną charakterystykę ruchów myszą, we właściwy dla siebie sposób trzyma urządzenie mobilne itd.
„Gwarantowana przez nasz system rozpoznawalność wynosi 96 proc. Czyli na 100 przypadków 96 są to trafne rozpoznania klienta już na pierwszym etapie jego logowania się do banku” – mówił Bartosz Wójcicki, dyrektor Biura Usług Antyfraudowych BIK, w wywiadzie udzielonym portalowi aleBank.pl.
To oznacza, że nawet jeśli przestępca zdobędzie dane do logowania klienta i wejdzie w jakąkolwiek interakcję z bankiem, to bardzo szybko zostanie zidentyfikowany jako osoba, która nie jest faktycznym klientem banku.
Dodatkową zaletą tego rozwiązania jest identyfikacja zapewniona w czasie trwania całej sesji z bankiem, a nie tylko na jej początku. Dzięki temu jeśli sesja zostanie przejęta przez kogoś innego, na przykład przy użyciu narzędzi typu RAT (Remote Access Tools), bank szybko wykryje takie zdarzenie i może zablokować sesję.
Podczas Forum Usług Płatniczych w październiku tego roku o swoich doświadczeniach związanych z biometrią behawioralną mówili przedstawiciele banków, które już od jakiegoś czasu wdrażają to rozwiązanie i obejmują nim klientów, którzy wyrażą na to zgodę. Efekty wprowadzenia tej usługi są zaskakujące zarówno dla bankowców, jak i użytkowników bankowości on-line.
Pierwsze obserwacje stosowania biometrii behawioralnej
Paweł Jaskulski, Product Owner, Lead Security Officer (CSIRT – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego w BNP Paribas Bank Polska) podał przykład klienta, któremu bank zablokował transakcję.
Okazało się, że klient przekazał swoje dane do logowania żonie, a ta w czasie wykonywania operacji bankowej została zidentyfikowana przez bank jako osoba nieuprawniona do przeprowadzenia transakcji.
Bankowcy podali także inny zaskakujący przykład, kiedy to osobie uprawnionej do przeprowadzenia transakcji operacja bankowa została zablokowana. Prelegenci Forum Usług Płatniczych nazwali to „anomalią weekendową”. Klient pod wpływem alkoholu chciał dokonać transakcji, ale biometria behawioralna wykryła odstępstwa w jego zachowaniu podczas sesji i „uznała” , że istnieje podejrzenie wykonania operacji przez osobę nieuprawnioną.
Oba te przykłady pokazują, jak precyzyjna i sprawna jest omawiana technologia. Jej skuteczność w zabezpieczaniu zdalnych kontaktów klientów z bankami znacząco rośnie w sytuacji, w której banki wspólnie korzystają z tego narzędzia.
Mówił o tym Mariusz Cholewa, prezes Biura Informacji Kredytowej w wywiadzie udzielonym cashless.pl.
„Instytucje mogą oczywiście rozwijać własne rozwiązania, ale wtedy będą w stanie objąć nimi tylko część najbardziej aktywnych klientów ze swojej bazy. Natomiast nie obejmą klientów, z którymi nie miały dotąd relacji, a którzy na przykład chcieliby z nimi takie relacje nawiązać. Przewagą platformy sektorowej jest też to, że wzorzec zachowań pozostawiony przez klienta w jednym banku będzie dostępny dla wszystkich innych instytucji”.
Stąd wzięła się decyzja BIK o zakupie od mBanku firmy technologicznej Digital Fingerprints, która stworzyła rozwiązanie pozwalające szybko potwierdzić, czy osoba wykonująca operację bankową jest użytkownikiem, za którego się podaje.
Siłą technologii biometrii behawioralnej jest to, że nie ma możliwości „sfabrykowania” wzorców ludzkich zachowań. Mówiąc krótko – nie da się ich podrobić.
Zastosowanie tej technologii rodzi pytanie o ochronę danych osobowych klienta.
Zastosowanie tej technologii rodzi pytanie o ochronę danych osobowych klienta. Klienci sektora bankowego mogliby być niechętni objęciu ich tego typu ochroną w obawie o gromadzenie przez podmioty zewnętrzne zbyt dużej liczby danych wrażliwych użytkowników bankowości elektronicznej.
Okazuje się jednak, że BIK i banki w przypadku stosowania biometrii behawioralnej nie muszą znać treści danych wpisywanych przez klienta. Do budowy modelu zachowania wystarczają bowiem bezkontekstowe informacje o wciśnięciach poszczególnych klawiszy czy krzywe, po jakich porusza się wskaźnik myszy komputerowej, gdy klient jej używa.
Jasno to powiedział w wywiadzie dla aleBank.pl Bartosz Wójcicki, dyrektor Biura Usług Antyfraudowych BIK: „Chcemy wiedzieć, jak klient pisze, a nie co klient pisze. Nie zbieramy też informacji o kontekście transakcji, czyli nie wiemy, do kogo jest dany przelew skierowany ani czego dotyczy”.
Potrzebne zmiany w przepisach
Intencją BIK i banków jest to, aby biometria behawioralna była kolejnym etapem rozwoju prowadzonej przez BIK platformy antyfraudowej służącej do wykrywania przestępców usiłujących składać wnioski kredytowe w imieniu klientów sektora finansowego.
Jednak klient musi złożyć zgodę na stosowanie w jego przypadku biometrii behawioralnej, a to – w związku z obawami dotyczącymi gromadzenia danych wrażliwych – może być problemem. Zatem BIK i banki, chcąc upowszechnić tę technologię, i przekonać klientów sektora finansowego do jej zalet, powinny prowadzić szeroką akcję edukacyjną.
Skoro jednak stosowane przez BIK rozwiązanie nie wymaga gromadzenia danych wrażliwych, to może wskazane byłoby ustawowe wprowadzenie tej metody weryfikacji klientów sektora finansowego?
Zdaniem Piotra Balcerzaka, dyrektora Zespołu Bezpieczeństwa Banków Związku Banków Polskich, byłby to krok we właściwym kierunku. „Rozmowy w tej sprawie są prowadzone w ramach grupy ds. bezpieczeństwa płatności powstałej przy Radzie ds. Systemu Płatniczego Narodowego Banku Polskiego” – mówił w czasie debaty na portalu cashless.pl.
Wśród rekomendacji w zakresie technologii, jakie znalazły się w załączniku do Komunikatu NBP z posiedzenia Rady ds. Systemu Płatniczego z dnia 22 października 2021 r., jedna dotyczy biometrii behawioralnej. W punkcie czwartym zapisano:
„Wprowadzenie uwierzytelnienia wieloskładnikowego wykorzystującego biometrię behawioralną opartą na analizie zachowania użytkownika (biometria behawioralna)”.
Podsumowując, biometria behawioralna – jeśli byłaby powszechnie stosowana w relacjach z klientami sektora finansowego – zdecydowanie zwiększyłaby bezpieczeństwo klientów i ich komfort w zdalnych kontaktach z instytucjami finansowymi (user experience), zredukowałaby liczbę transakcji oszukańczych, i, last but not least, zmniejszyłaby napięcia na linii: instytucje chroniące konsumentów – sektor bankowy.