ObserwatorFinansowy.pl: Kiedy ktoś ukradnie mi kartę, jasne jest, do jakiej kwoty ponoszę stratę za nieautoryzowaną transakcję, a od jakiej ponosi ją bank. A kiedy złodziej dokona nieautoryzowanej transakcji z mojego smartfona?

Grzegorz Kuliszewski: Karty płatnicze istnieją na rynku dłużej niż płatności mobilne i stąd rozwiązania prawne są lepiej dostosowane. Nowe urządzenia przynoszą parę poważnych wyzwań.

Jakie?

Smartfony stały się naszym codziennym narzędziem, instalujemy na nich mnóstwo aplikacji, również takie, które służą do wykonywania transakcji finansowych. Podobnie jak wszystkie inne urządzenia elektroniczne z dostępem do internetu, są one podatne na zarażenie złośliwym oprogramowaniem. Banki dostarczające aplikacje do zarządzania kontem edukują klientów, jakie środki ostrożności powinni podjąć. Zwykle stosowanie się do tych zaleceń jest wystarczające, by uniknąć ataków cyberprzestępców.

Niestety ataki stają się coraz bardziej wyrafinowane, a przestępcy żerują na naszej nieuwadze i pośpiechu. Do naszych skrzynek przychodzi wiele maili ze złośliwym oprogramowaniem, w większości wypadków załącznika nie otwieramy, ale czasami czujność spada.

Jeżeli w wyniku nieuwagi klienta jego dane trafią do oszustów kradnących środki z konta, to zgodnie z regulaminami, odpowiedzialność za operacje wykonane w bankowości elektronicznej ponosi klient. Odpowiedzialność ta nie jest ograniczana, tak jak ma to miejsce w przypadku kart płatniczych, dlatego też ostrożność klientów jest kluczowa.

Trzeba to uregulować?

Według danych IBM X-Force, światowego zespołu badawczo-analitycznego zajmującego się cyberbezpieczeństwem, branża finansowa jest trzecią najczęściej atakowaną przez hakerów. Rosnący trend w tym obszarze sprawia, że pomimo tworzenia nowych technologii zabezpieczeń, prędzej czy później jakieś rozwiązanie prawne, regulacje lub standardy branżowe, będą potrzebne.

Teraz aplikacje bankowe są już dostępne na przykład na smartwatchach, a w bliższej perspektywie mogą je mieć inne inteligentne urządzenia z obszaru internetu rzeczy. Kto poniesie odpowiedzialność za transakcję, jeśli pana inteligentna lodówka zamówi np. cysternę mleka?

Nie mam pojęcia.

No właśnie. Jeśli do płatności dochodzi kartą, istnieje możliwość odwrócenia transakcji. Natomiast, jeśli płatność byłaby dokonana przelewem, to moim zdaniem dzisiaj odpowiedzialność ponosiłby klient. Zanim pozwolimy urządzeniom na działanie w naszym imieniu, będzie musiało dojść do bardzo poważnej dyskusji prawnej, kto ponosi ryzyko.

Można zastosować model z rynku kart kredytowych?

Istnieje pewna liczba dostępnych rozwiązań. Wiedząc, że incydenty w skali całego świata, jak szacuje IBM X-Force, będą rosły w tempie 80 proc. rocznie, prędzej czy później pojawi się konieczność uregulowań, tak jak to było w przeszłości w przypadku kart kredytowych.

Czy to możliwe, żeby banki udostępniały klientom do instalacji na ich urządzeniach aplikacje, które odpierałyby ataki, kiedy ci dokonują elektronicznej płatności czy przelewu?

Od strony technologicznej jest to możliwe, na przykład Eurobank i BGŻ BNP Paribas już dziś oferują swoim klientom oprogramowanie IBM Security Trusteer Rapport. Jeśli bank miałby wziąć większą odpowiedzialność za urządzenie klienta, musiałby na nim zainstalować dodatkowe zabezpieczenia.

Być może z czasem popularność takich rozwiązań będzie większa, może również zmienią to regulacje. Z pewnością, gdyby banki oferowały taką możliwość, część klientów odebrałaby to pozytywnie, jako wyraz troski o bezpieczeństwo ich finansów.

Czy wypracowanie wewnętrznych standardów sektorowych wystarczy?

Środowisko bankowe wielokrotnie udowodniło, że jest w stanie wypracowywać ogólnobranżowe standardy. Biorąc pod uwagę rosnącą liczbę zagrożeń, będzie trzeba zrobić w tym obszarze więcej, czy poprzez regulacje, czy bez nich.

Co jeszcze technologie zmienią w bankach?

Banki przyglądają się rozwiązaniom chmurowym, które w polskiej rzeczywistości są ograniczone poprzez regulacje outsourcingu bankowego. Przed nami są analizy kognitywne i wykorzystywanie ich w procesach bankowych wraz z trudnym dla banków obszarem analizy danych nieustrukturyzowanych, czyli Big Data, a także analizy oparte o głos i rozumienie języka naturalnego. Kolejny obszar to blockchain, którego wartość wynika z jednoznacznego uzgodnienia wykonywanych operacji. Brytyjskie banki próbują na bazie blockchain zbudować odpowiednik polskiego SORBNETu, żeby banki mogły uzgadniać pozycje pomiędzy sobą w czasie rzeczywistym.

Jakie problemy mają banki z Big Data?

Analiza kognitywna polega na symulowaniu sposobu myślenia człowieka przez maszyny. Systemy te potrafią się uczyć. Odchodzimy od modelu algorytmów wykonujących cały czas tę samą czynność. Nowe systemy pozwalają algorytmom korzystać z doświadczenia, z uzyskanej wcześniej wiedzy i poprawiania jej.

Analiza kognitywna łączy się z obszarem Big Data, czyli zbiorów danych niestrukturalnych w tym również pochodzących z internetu, zbiorów znacznie większych niż banki dotychczas analizowały.

Dziś eksperci wskazują, że banki na świecie analizują tylko ok. 10 proc. posiadanych danych. To wyzwanie, nawet jeśli nie bierzemy pod uwagę danych z zewnątrz, a jedynie dane, którymi banki dysponują. Oba te obszary są najbardziej obiecujące w kontekście zapobiegania nadużyciom, czyli poszukiwania wzorców zachowań nieprawidłowych, ustaleniu i weryfikacji, czy człowiek, z którym mamy do czynienia, rzeczywiście istnieje, czy dana firma rzeczywiście działa, a nie jest tylko sfałszowanym wpisem.

Ale też do pozyskiwania wiedzy o kliencie. Mogą to robić czy klient tego chce, czy nie chce?

Banki są sektorem regulowanym i mają więcej ograniczeń, niż na przykład sektor detaliczny, który w analizach profilu klientów jest bardziej zaawansowany. Analizy prawne pokazują, że profilowanie powinno wymagać osobnej zgody klienta. Nie tylko na przetwarzanie danych, ale na samo profilowanie.

Głos będzie w przyszłości najważniejszy w identyfikacji biometrycznej?

Analiza głosu służy przede wszystkim do autoryzacji i identyfikacji klientów. Użytkowników infolinii denerwują systemy automatyczne, w których muszą wciskać kolejne kody. Klient woli od razu połączyć się z konsultantem, pomijając drzewo operacyjne, którego rolą jest choćby skierowanie nas do właściwej osoby.

Sytuacja, w której moglibyśmy powiedzieć od razu, po co dzwonimy, poprawiłaby znacznie nasz komfort, a jednocześnie skracała ścieżkę do załatwienia sprawy. Teoretycznie możliwe jest takie rozwiązanie, jeśli analiza głosu jest „podpięta” do systemu komunikacji. Wystarczyłoby, że podam sprawę w jakiej dzwonię a system mnie zautoryzuje i połączy z osobą, która może mi pomóc.

Można także próbować na podstawie tych paru zdań zrobić analizę nastawienia klienta. Czy jest zdenerwowany, czyli dzwoni z reklamacją, czy to klient, który chce kupić nowy produkt, czy tylko zasięgnąć informacji.

Będziemy w banku rozmawiać z maszynami?

Technicznie jest to możliwe. Wszystko zależy od tego, czy my, ludzie, będziemy w stanie zaakceptować automat jako naszego interlokutora, tak jak teraz akceptujemy doradcę bankowego. Czy zaakceptujemy, że możemy uzgodnić warunki z maszyną, kupić coś od niej, dobić targu, negocjować.

Kiedy przychodzę do banku, żeby załatwić stosunkowo nieskomplikowaną sprawę, osoba, z którą ją załatwiam, tonie w stosach papierów. Czy banki mogą pozbyć się papieru?

O ile kanały kontaktów z klientem są coraz bardziej zelektronizowane, fundamentem back-office jest w dużej części papier. Tu znowu wkraczamy w kwestie prawne, bo dla zautomatyzowania i zelektronizowania procesów w back-office kluczowe jest to, żeby czynność niepotwierdzona papierowym dokumentem mogła być formalnie wiążąca.

Czyli pytamy o to, czy mogę zawrzeć prawnie obowiązująca umowę klikając?

W niektórych bankach można wziąć już kredyt przez komórkę. Ale takiego kredytu nie bierze się przy pierwszej relacji pomiędzy bankiem, a klientem. Klient musi wcześniej zaakceptować dokument, w którym zezwala bankowi na podpisywanie obustronnych zobowiązań poprzez urządzenie mobilne czy wpisywanie informacji w komputerze.

Podpisy składane na urządzeniach elektronicznych są bardziej bezpieczne niż składane długopisem na papierze, gdyż można na bieżąco weryfikować nie tylko w oparciu o wzór podpisu, ale również o sposób jego wykonania (tempo, nacisk, itp.), a same dokumenty elektroniczne mogą być podpisywane na parę rąk, zarówno po stronie banku, jak i klienta.

Prawo nie nadąża za technologią?

Dziś to pytanie zadają sobie przedstawiciele wielu branż. Wynika to z tempa rozwoju technologii. O ile łatwo jest wymyślić nowy produkt czy usługę, dostarczać ją przez mobilną aplikację czy stronę internetową – do tego wystarczy grupa pasjonatów – o tyle zmiany w prawie nie będą następować z dnia na dzień. Natomiast dostosowanie prawa do elektronicznego świata jest ważne, bo może doprowadzić do znaczącego uproszczenia i skrócenia wielu procesów, a co za tym idzie do istotnych oszczędności po stronie banków.

Banki mówią ostatnio, że chcą uczestniczyć w budowie e-państwa. Bank stanie się platformą komunikacji obywatela z państwem?

Doświadczenia w elektronizacji państwa charakteryzują się zróżnicowanymi podejściami. W niektórych krajach, jak w Estonii, zbudowano ponad 10 lat temu elektroniczny dowód osobisty wraz z mechanizmem autoryzującym. Daje obywatelom dostęp zarówno do banku jak i na przykład do głosowania w wyborach. Są też kraje, które idą taką drogą jak Polska, poprzez wykorzystanie silnej autoryzacji klienta dokonanej w banku, która jest przepustką do kontaktu ze strukturami państwa.

Banki nie tylko chcą być platformą dostępu do instytucji państwa i ich usług, ale też do wszelkiego rodzaju innych usług czy dóbr. Czy bank stanie się równocześnie wielkim sklepem?

Banki zadają sobie pytanie o swą rolę w przyszłości. Czy będąc sektorem mocno regulowanym, staną się zaawansowanym back-officem, który będzie przetwarzał kredyt, depozyt, rachunek i dostarczał masowo jako produkt white label, czy też utrzymają i rozbudują relację z klientem. Przecież technicznie jest możliwe kupowanie kredytu gotówkowego „z półki”, jak w supermarkecie.

Wszyscy zdajemy sobie sprawę, że nie chcemy wziąć kredytu na samochód, tylko kupić samochód, naszym celem jest obejrzeć film w kinie, a nie dokonać płatności za bilety. Czy bank ma poprzestać na roli dostawcy, na przykład kredytu na zakup nieruchomości, czy też w tym procesie znaleźć miejsca, w których może rozbudowywać relację z klientem. W związku z tym pytanie, które zadają sobie banki, dotyczy utrzymania relacji z klientem.

Przewagę konkurencyjną uzyskają ci, którzy będą znali potrzeby klienta i zaproponują mu nowe rozwiązania. Wykorzystanie analizy kognitywnej czy Big Data jest właśnie próbą rozbudowania relacji z klientem, a nie ograniczenia bankowości do sprawnego, efektywnego back-office.

Rozmawiał Jacek Ramotowski