Najpierw posiadacze aplikacji mobilnej VeloBanku, a teraz klienci BNP Paribas korzystający z usług przez smartfony dostali intrygującą propozycję – bank może objąć ich bankowe aplikacje mobilne ochroną… biometrii behawioralnej. Na czym to polega? Czy istnieje ryzyko inwigilacji? I czy w ogóle warto się w to bawić?
Cały urok korzystania z różnych usług za pomocą smartfonu polega na tym, że firmy, które nam je dostarczają, mogą się z nami bezpośrednio skontaktować. Mogą też wiedzieć, gdzie aktualnie jesteśmy. Np. McDonald’s już testuje „ściąganie” klientów mających jego aplikację do swoich barów na podstawie geolokalizacji, za pomocą powiadomień push oraz z dopasowaniem promocji do profilów zakupowych klientów.
- Pięć lat PPK. Ile zarobili ci, którzy na początku zaryzykowali? Gdzie (dzięki PPK i nie tylko) jesteśmy na drodze do dodatkowej emerytury? Słodko-gorzko [WYCISKANIE EMERYTURY BY UNIQA TFI]
- Ile złota w portfelu w obecnych czasach? Jaki udział powinien mieć żółty kruszec w naszych inwestycjach? Są nowe wyliczenia analityków [STAĆ CIĘ NA ZŁOTO BY GOLDSAVER]
- Zdjęcia w smartfonie: coraz częściej pierwszy krok do… zakupów. Czy pożyczki „na fotkę” będą hitem sezonu zakupowego? Bać się czy cieszyć? [BANKOWOŚĆ PRZYSZŁOŚCI BY VELOBANK]
Może być groźniej. Kilka lat temu pisałem w „Subiektywnie o Finansach” o kontrowersyjnej praktyce biznesowej Ubera, który kalkulował cenę przejazdu m.in. na podstawie… sposobu, w jaki klient używał smartfonu przy zamawianiu przejazdu. Oczywiście był to tylko jeden z parametrów, ale jeśli aplikacja mobilna miała dostęp do danych z żyroskopu w smartfonie, to mogła wykorzystywać jego dane do ustalenia, czy klient nie jest przypadkiem nietrzeźwy. A jeśli jest, to pewnie jest też „znieczulony” na cenę kursu.
Banki do tej pory bardzo ostrożnie korzystały z możliwości, które daje im fakt, że klienci mają w smartfonach aplikacje mobilne. To raczej klient decyduje o tym, kiedy używa bankowej aplikacji mobilnej i do czego. Banki nie proponują więc za pomocą powiadomień push rat zero procent klientom znajdującym się przed sklepem ogrodniczym, sprofilowanym jako fani ogródków. Choć np. mój bank, gdy opuszczę stację paliw, wysyła mi powiadomienia push typu: „Zatankowane? Kup ubezpieczenie…”.
Bankowcy zaczynają natomiast proponować nam korzystanie z biometrii behawioralnej w aplikacjach bankowych na smartfonach. To podobna technologia do tej, którą kilka banków (m.in. mBank czy ING) proponują klientom korzystającym z bankowości elektronicznej. Na czym to polega w wersji desktopowej? Jeśli zgodzisz się na profilowanie (zbieranie informacji o sposobie korzystania z komputera), to bank może zareagować na sytuację, w której zlecenie płatnicze składa ktoś, kto trochę inaczej stuka w klawisze na komputerze. Maciek Bednarek pisał o tym w „Subiektywnie o Finansach” już w 2018 r.
Ma to sens, bo dziś złodzieje pieniędzy raczej nie włamują się do bankowych systemów, raczej starają się dopaść zwykłych klientów i włamać się na ich konta bankowe. W połączeniu z socjotechniką (gdy sami podajemy złodziejowi, zalogowanemu już na nasze konto, jednorazowe identyfikatory transakcji) jest to naprawdę groźne. Bankowe systemy antyfraudowe powinny w coraz większym stopniu pomagać nam i typować wszelkie niestandardowe zachowania.
Kłopot w tym, że te nowe możliwości nie zawsze są wykorzystywane. Banki dysponują ogromnymi ilościami danych na nasz temat, ale wciąż zdarza się, że nie reagują na sytuacje, gdy ktoś zrzuca wszystkie pieniądze z kont oszczędnościowych, powiększa debet w koncie osobistym, robi przelew z karty kredytowej na ROR, a potem całą tę kasę wyprowadza z konta jednym dużym przelewem. Tego nie uznają za transakcję nietypową. Ale zakupy w zagranicznym sklepie internetowym potrafią zablokować kartę ze względów bezpieczeństwa.
Biometria bahawioralna w smartfonie może być naprawdę warta grzechu. O ile banki będą umiały reagować szybko i prawidłowo. Zwłaszcza że jest już bardzo, bardzo powszechna. Z bankowości mobilnej korzysta już 20,5 mln Polaków, czyli prawie tyle, ile z bankowości internetowej. Mniej więcej 14 mln osób to tacy klienci banków, którzy logują się do banku przez smartfon i jednocześnie nie logują się już do bankowości internetowej.
Z jednej strony wydaje się, że smartfon jest bezpieczniejszym narzędziem do bankowania niż komputer. Przeważnie smartfon jest zablokowany, zaś aplikacja bankowa w tym smartfonie wymaga zalogowania. Oba te poziomy zabezpieczeń są zabezpieczane biometrycznie – przeważnie logujemy się do smartfonu i aplikacji bankowej twarzą albo odciskiem palca. Wydaje się więc, że bezpieczniej być nie może.
Ale jest dokładnie odwrotnie. Po pierwsze dlatego, że biometria w niektórych okolicznościach może być niczym otwarte drzwi do konta. Swego czasu opisywałem w „Subiektywnie o Finansach” przygody nieostrożnych mężczyzn w klubach nocnych, których smartfony dostawały się w ręce szajek złożonych z tancerek i ich menedżerów. Facet był usypiany poprzez dosypanie mu do napoju jakichś proszków, a potem wystarczyło się zalogować do konta jego twarzą albo palcem i gotowe. Z kontra znikały kwoty liczone w setkach tysięcy złotych.
Jeśli muszę podać PIN na stronie internetowej banku, to – z wyjątkiem sytuacji, gdy ktoś mnie sterroryzuje lub utracę ten PIN – muszę być świadomy. W przypadku biometrii niekoniecznie. Używając smartfonu, nie jestem w stanie zastosować tej zasady bezpieczeństwa, która mówi, żeby używać innego urządzenia do logowania się do banku, a innego do zatwierdzania transakcji (czyli żeby coś wiedzieć i coś mieć – znać PIN i mieć dodatkowe urządzenie do zatwierdzenia przelewu). No i wreszcie: PIN można zmienić, a odcisku palca – nie.
Krótko pisząc: jeśli myślisz, że używając bankowości mobilnej, jesteś bezpieczny lub bezpieczna, bo wszystko jest „na palec” lub „na twarz”, to nie masz racji. Dlatego tak ważne jest, by bank miał narzędzie pozwalające zareagować, gdyby smartfon dostał się w niepowołane ręce. Na przykład w takiej sytuacji jak ta z klubu nocnego. Albo gdy tracę świadomość w tramwaju – upadam, smarfon wypada mi z ręki i ktoś się do niego loguje w moim imieniu.
Klienci BNP Paribas Bank Polska, którzy korzystają z aplikacji mobilnej GoMobile, żeby korzystać z dodatkowej ochrony, muszą tylko zgodzić się na aktywowanie nowej funkcji.
„Ochrona behawioralna w aplikacji bankowej polega na stworzeniu niepowtarzalnego modelu zachowania użytkownika w oparciu o sposób, w jaki korzysta z telefonu. System bada i analizuje np. sposób klikania, przewijania ekranu, wpisywania danych, a nawet trzymania smartfonu. W sytuacji, gdy aktywność w GOmobile będzie znacząco różnić się od modelu, (np. gdy ktoś inny zaloguje się do aplikacji), bank może skontaktować się z klientem w celu weryfikacji wykonywanej operacji”
– czytam w komunikacie „polskiego” BNP Paribas na temat biometrii behawioralnej dla klientowskich smartfonów. Usługę można włączyć w aplikacji GOmobile, wybierając kolejno: menu Profil, a następnie Bezpieczeństwo i menu Ochrona behawioralna (a jeśli ktoś woli – może ją włączyć w bankowości elektronicznej GOonline).
Bank informuje, że charakterystyczny dla każdego klienta model behawioralny jest na bieżąco uaktualniany. Z wiekiem czy z upływem czasu ludzkie zachowanie może się zmieniać i model też będzie się zmieniał. System – jak zapewniają bankowcy – nie bada tego, co użytkownik wpisuje na klawiaturze, lecz to jak się nią posługuje. Nie ma też zbierania danych wrażliwych. Pytanie brzmi, czy te zapewnienia wystarczą, by klienci gromadnie aktywowali nowe usługi.
Obiektywnie patrząc na problem, trzeba zachęcać do korzystania z biometrii behawioralnej. O mankamentach biometrii pisałem wyżej, ale przecież są i inne problemy – na smartfonach znacznie rzadziej mamy zainstalowane oprogramowanie antywirusowe niż na komputerach. Choćby z tego powodu każdą pomoc w zabezpieczeniu tego smartfonu warto przyjąć.
zdjęcie tytułowe: Onur Binay/Unsplash