• Chiny przodują w wykorzystaniu biometrii twarzy w finansach
  • Rynek czeka na bezpieczne technologie
  • Przepisy Unii Europejskiej niekoniecznie muszą pomóc biometrii

Wypłata pieniędzy z bankomatu, przelew czy choćby prosta autoryzacja jakiejkolwiek bankowej transakcji za pomocą technologii rozpoznawania twarzy to w Polsce nadal pieśń przyszłości. Ale czy to dla nas zła informacja?

Technologia rozpoznawania twarzy, zwana też biometrią twarzy, to nic nowego. Wiele firm wykorzystuje ją w swoich siedzibach do kontroli dostępu do zamkniętych stref czy pomieszczeń. Jest też popularna jako narzędzie do weryfikacji tożsamości w najnowszych telefonach. Podobne rozwiązania działają na wielu międzynarodowych lotniskach. Z biometrią twarzy romansuje również choćby Facebook, który zamierza zaproponować swoim użytkownikom dostęp do serwisu właśnie przy użyciu tej technologii.

Oddane dane

Wszystkie te zastosowania mają istotną cechę wspólną. Chodzi o zgodę „obiektu” na przekazanie próbki jego danych biometrycznych w celu ich analizy przez programy komputerowe, a następnie weryfikacji.
To rodzi oczywiście problemy natury etycznej i prawnej, a także dotyczące cyberbezpieczeństwa, na co od wielu lat zwraca uwagę choćby polska fundacja Panoptykon.

Unijni urzędnicy także starają się hamować zapędy amerykańskich koncernów do pozyskiwania takich danych. Tymczasem Azja stara się pomijać tego typu „drobne szczegóły”.

Kilka miesięcy temu media podały informację o pewnej chińskiej szkole w Hangzhou, gdzie monitorowane są twarze uczniów. Dzięki systemowi kamer algorytm co 30 sekund odczytuje emocje dzieci, a następnie analizuje, czy uczniowie są np. skupieni. Innymi słowy – czy lekcja jest ciekawa i czy nauczyciele potrafią zainteresować dzieci tematem.
Zresztą włodarze miasta, które w XIII wieku odwiedził Marco Polo, nie są osamotnieni w takich przedsięwzięciach. Podobne realizowano wcześniej w Indiach.

Pomysłodawcy zapewniają obrońców „prawa do zapomnienia”, ochrony danych osobowych czy walczących z totalną inwigilacją, że nie ma mowy o żadnym niebezpieczeństwie. I zastrzegają, że dane biometryczne nie są ani przechowywane, ani gdziekolwiek przesyłane.

Jeżeli hakerzy publikują na YouTube filmy, w których w ciągu kilku dni po udostępnieniu technologii biometrycznej demonstrują, jak potrafią ją obejść, to pokazuje, że nie jesteśmy jeszcze na końcu drogi

Chiny na czele

Jednak Chiny są liderem wśród państw z cywilnym monitoringiem wizyjnym między innymi dlatego, że kwestie ochrony danych nie są dla ich firm tak ważne jak w Europie.
To pozwala biznesowi z Państwa Środka inaczej myśleć o wykorzystaniu biometrii twarzy w bankowości osobistej.

Przykładem firmy pracującej nad rozwiązaniami biometrycznymi dla tej branży jest Yitu Technology oferująca bezpieczne transakcje bankomatowe.
Zastosowana przez nią technologia pozwala na statyczne i ruchome wykrywanie twarzy za pomocą porównania obrazu wideo z kamery w ATM-ie. Dzięki temu klient, który przekaże swoje dane, choćby zdjęcie z dowodu, będzie weryfikowany w celu dokonania transakcji. Ale oprogramowanie umożliwia też nadzór w czasie rzeczywistym i monitorowanie przechodniów przy bankomacie.

Brzmi groźnie? Co więcej, system może posłużyć do zbudowania bazy danych konkretnej grupy ludzi z określonego obszaru widoczności kamer. W jakim celu? By wykrywać osoby, które podchodzą do bankomatu, ale nie są klientami banku bądź karta, której użyli, nie należy do nich.

Chińczycy mają więcej tego typu pomysłów. Podobnie działają choćby rozwiązania IntelliVision, FaceFirst czy CloudWalk, z którego korzystał choćby Bank of China. Oczywiście nadal większość tych propozycji to pilotaże i nie są wdrażane powszechnie w systemie bankowym w Chinach.

Azjatycka businesswoman autoryzuje kartę kredytową, korzystając z biometrii twarzy

Biometria po polsku

Tymczasem w Polsce sama biometria traktowana jest po macoszemu. Już niewielu pamięta, jak biometryczne szlaki z Japonii do Polski przecierał jeden z banków spółdzielczych. Podkarpacki Bank Spółdzielczy był pierwszym bankiem w Europie, który udostępnił bankomat biometryczny dla swoich klientów. Złośliwi opowiadali, że zrobił to, gdyż jego klienci non stop gubili karty i zapominali PIN-ów…

Od 2010 r. w zasadzie niewiele się zmieniło. Wiele banków szukało pomysłów na biometrię w oddziałach i bankomatach, ograniczając się do technologii fingerprint od Hitachi.
Czy można zatem oczekiwać, że nagle z impetem pojawi się w Polsce rozwiązanie oparte na biometrii głosowej czy wizyjnej?

– Wydaje mi się, że najbardziej naturalna jest biometria głosowa oraz metody uwierzytelniania oparte na technologii wykorzystującej dłoń, z tym że chodzi o bardziej zaawansowane rozwiązania niż zwykły fingerprint. Prawdopodobnie w przyszłości metody uwierzytelniania oparte o biometrię będą zdecydowanie bardziej wiarygodne niż to, czym dysponujemy obecnie – zauważa Dariusz Paczewski, dyrektor Biura Innowacji Cyfrowej w Santander Polska.

Bank: Mów do mnie jeszcze

Algorytmy do przelewów za pomocą biometrii głosu są już testowane, a pomóc w tym mogą choćby rozwiązania takie jak asystent Alexa od Amazona.

Usługę biometrii głosowej oferuje choćby fintech Clinc AI. Jak czytamy na stronie firmy, platforma AI Clinc Conversational wykorzystuje zaawansowane mechanizmy przetwarzania języka naturalnego, uczenie maszynowe i głębokie sieci neuronowe do naśladowania ludzkiej inteligencji. W przeciwieństwie do botów i innych rozwiązań sztucznej inteligencji, które po prostu konwertują mowę na tekst i znajdują najbardziej pasującą odpowiedź z ograniczonego zestawu zakodowanych odpowiedzi.

Z rozwiązania korzysta już m.in. turecki Isbank. Klienci banku mogą głosowo sprawdzić salda i historię wydatków, przelać pieniądze, przejrzeć transakcje i uzyskać porady dotyczące wydatków.
Czy na przykład transfer pieniędzy za pośrednictwem asystenta głosowego jest bezpieczny?

– Transakcja jest tak bezpieczna, jak najsłabsze ogniwo w łańcuchu. Tak długo jak rozwiązania biometryczne nie będą doskonałe, zawsze będzie istniała możliwość ataku. Jeżeli hakerzy publikują na YouTube filmy, w których w ciągu kilku dni po udostępnieniu technologii biometrycznej demonstrują, jak potrafią ją obejść, to chyba jasno pokazuje, że nie jesteśmy jeszcze na końcu tej drogi – zauważa Paczewski.

Unia Europejska – strażnik czy hamulcowy?

Niewątpliwie strażnikiem naszego bezpieczeństwa są instytucje państwowe, same banki – bo nie chodzi tu tylko o nasze pieniądze, ale także ich wiarygodność – i zmiany w prawie. Jednak to, co może nas chronić, może także opóźniać wdrażanie takich technologii.

Wydaje się, że zmiany wynikające z unijnej dyrektywy PSD2, która ma regulować rynek usług płatniczych w krajach Unii Europejskiej, raczej nie ułatwią wykorzystania biometrii. Dlaczego?

– Kluczowym warunkiem przy autoryzacji za pomocą narzędzi biometrycznych jest to, aby bank posiadał próbkę, do której porównuje dane, które spłyną do niego z aplikacji. W przypadku takich rozwiązań jak TouchID czy FaceID próbka jest w posiadaniu dostawcy urządzenia, czyli Apple czy Samsunga. Bank nie wie, kto tak naprawdę przykłada palec, skanuje siatkówkę lub autoryzuje się za pomocą twarzy. [Tymczasem np. dane na temat powiązania klienta z kartą i PIN-em znajdują się w banku, a nie zostały wygenerowane na platformie firmy technologicznej – red.] – mówi Paczewski. – W konsekwencji, zgodnie z PSD2, te mechanizmy nie mogą być stosowane w procesach tzw. silnej autoryzacji – Strong Customer Authentication). To dosyć racjonalne podejście, ale na pewno może skomplikować życie klientom przyzwyczajonym do autoryzacji za pomocą wymienionych narzędzi.

Zmiany w przepisach, które mają regulować rynek usług płatniczych w krajach Unii Europejskiej, raczej nie ułatwią wykorzystania biometrii

Silne uwierzytelnienie polega na użyciu co najmniej dwóch z trzech elementów: danych osobowych klienta, np. numeru PESEL, posiadanego urządzenia i ewentualnie danych biometrycznych. Jeżeli nie powstanie przestrzeń do bezpiecznego przechowywania i wykorzystania takich danych, nawet najbardziej zaawansowane rozwiązania mogą się okazać bezużyteczne.

Chociaż dyrektywa PSD2 obowiązuje teoretycznie od 2018 r., standardy techniczne, w tym konieczność spełnienia nowych wymogów, dotyczące silnego uwierzytelnienia użytkownika nabiorą mocy dopiero we wrześniu 2019 r. To dodatkowy czas, jaki Komisja Europejska dała podmiotom na rynku w celu jak najbardziej wszechstronnego zabezpieczenia klientów.

Zgodnie z ideą dyrektywy PSD2 fintechy na równi z bankami mają rywalizować na rynku, jak również z nimi współpracować (dzięki wprowadzeniu mechanizmów, które pozwolą im na wejście w obszar usług płatności, dostępnych do tej pory dla banków). Wydaje się więc oczywiste, że aby umożliwić wdrożenie także bezpiecznych usług biometrycznych, regulator, w tym przypadku Komisja Nadzoru Finansowego (KNF), będzie dążył do ujednolicenia przepisów. Aktualnie prace nad tzw. piaskownicą regulacyjną (ang. Sand box) w Polsce nadal trwają.