Odcięty palec i nieograniczony dostęp do konta płatniczego? Karta płatnicza z czytnikiem linii papilarnych, czyli o biometrii i bezpieczeństwie płatności słów kilka

Idziesz ciemną ulicą, ggy nagle napada Cię dwóch mężczyzn, którzy żądają od Ciebie portfela. Oddajesz go bez zająknięcia wierząc, że dzięki temu nic Ci się nie stanie. Jeden z mężczyzn wyciąg z portfela vipowską kartę płatniczą z czytnikiem linii papilarnych. Dalej jak w amerykańskiej produkcji. Ucięty palec, wizyta w kilku sklepach i konto całkowicie wyczyszczone. Ty – bez pieniędzy (przynajmniej tymczasowo) i palca, a złodzieje z luksusowymi dobrami. Brzmi jak scenariusz kiepskiej hollywoodzkiej produkcji? Niekoniecznie.

Dwa dni temu Societe Generale ogłosiło, że będzie testować nowy produkt w postaci bezdotykowej karty płatniczej z wbudowanym czytnikiem linii papilarnych. Ta forma autoryzacji płatności ma umożliwić stosowanie płatności contactless bez limitu kwoty. Rewelacyjna wiadomość dla klientów, ale i oszustów. To również świetna okazja, aby napisać nieco więcej o bezpieczeństwie płatności w świetle pakietu PSD2.

Jak działa mechanizm?

Mechanizm wydaje się być bardzo prosty. Użytkownik (i w przypadku użytku contactless – właściciel) karty najpierw rejestruje swój odcisk palca za pomocą czytnika linii papilarnych wbudowanego w kartę. Przy dokonywaniu zakupu za jej pomocą odpowiedni algorytm opracowany przed IDEMIA dokonuje weryfikacji, czy odcisk palca jest zgodny z zapisaną pierwotnie siatką linii papilarnych i na tej podstawie umożliwia dokonanie transakcji. Bank zapewnia, że żadne elementy związane z autoryzacją nie są przekazywane do sprzedawcy czy banku, co ma wzmocnić poziom bezpieczeństwa. Czy tak rzeczywiście jest będzie można powiedzieć, gdy otrzymamy gotowy produkt.

Czy jest to bezpieczne? Jak zawsze przy okazji wprowadzania innowacji rodzą się wątpliwości. Wraz z pojawianiem się nowych rozwiązań w zakresie bezpieczeństwa pojawiają się nowe sposoby ich obchodzenia. Chęć wzbogacenia się pozwala odkryć ogromne pokłady kreatywności. Wydaje mi się, że pomimo zapewnień, że jest to bezpieczniejsza forma autoryzacji transakcji niż 4-cyfrowy PIN, to jednak zagrożenia nie zostaną całkowicie wyeliminowane. Z pewnością wydaje się to jednak bezpieczniejsze przynajmniej w kontekście “pozyskiwania danych” niezbędnych do autoryzacji. Trudniej bowiem skopiować odcisk palca z czytnika umieszczonego na karcie, niż np. klawiatury bankomatu (dodatkowo klonowanie karty).

Jak dokonujemy autoryzacji transakcji?

De facto przy użyciu indywidualnych danych uwierzytelniających – w tym przypadku: (i) karta oraz (ii) oraz odcisk palca. Te elementy są szczególnie chronione, ponieważ mogą być wykorzystane np. do oszustw. Sposób w jaki dostawca usługi płatniczej zapewnia bezpieczeństwo, to temat wymagający głębszej i zindywidualizowanej analizy. Jeżeli jednak autoryzacja przebiegła zgodnie z umową pomiędzy użytkownikiem a dostawcą – to mamy w zasadzie autoryzowaną transakcję.

To co wyróżnia rozwiązanie zaproponowane przez Societe Generale i karty bezdotykowe (czy bezstykowe) oferowane przez banki w Polsce to brak limitu kwoty.

No dobrze, ale jak dostawca może zabezpieczyć mnie przed fraudami?

To bardzo dobre pytanie. Sposobów jest wiele. Jedne są zawarte w umowie ramowej, którą z nim zawierasz i odnoszą się do działań, które mogą pojawić się ad hoc. Druga kategoria to działania podejmowane przez dostawcę w związku z obowiązkami wynikającymi m.in. z pakietu PSD2 (mowa tutaj oczywiście również o ustawie o usługach płatniczych).

Dostawca może przykładowo w umowie ramowej zawrzeć prawo do blokowania karty, jeżeli powziął uzasadnioną wątpliwość co do legalności danej transakcji czy też ze względów bezpieczeństwa, np. wobec systemowego ryzyka dla danego rodzaju płatności. Najpierw powinien jednak uprzednio poinformować o tym użytkownika, chyba że nie jest to możliwe – po zablokowaniu. Konieczne jest również wprowadzenie odpowiednich mechanizmów zgłoszeń, ale to nie jest temat na ten artykuł.

Kolejnym sposobem zabezpieczenia przed nieautoryzowanymi płatnościami są odpowiednie rozwiązania organizacyjne, w tym w zakresie stosowanych procedur i polityk. Niezwykle istotne jest zapewnienie bezpiecznej infrastruktury IT. Dostawca powinien zapewnić takie rozwiązania, które gwarantują, że indywidualne dane uwierzytelniające nie są dostępne dla innych osób. Przykładowo poprzez odpowiednie zaszyfrowaną bazę danych i bezpieczne kanały komunikacji tych danych. Patrząc bardziej szczegółowo, indywidualne dane uwierzytelniające powinny być chronione poprzez:

maskowanie ich wyświetlania;
odpowiednie szyfrowanie przy zastosowaniu materiałów kryptograficznych;
ochronę materiału kryptograficznego przed nieautoryzowanym użyciem.

Dostawca jest również obowiązany do posiadania takich mechanizmów, które zapewniają, że transakcje są monitorowane w oparciu analizę w taki sposób, aby możliwe było wykrywanie nieautoryzowanych lub nielegalnych transakcji (szczegółowe wymogi zostały opisane w tym dokumencie – art. 2 ust. 2). Te mechanizmy bezpieczeństwa muszą być w odpowiedni sposób dokumentowane i badane (w formie wewnętrznych i/lub zewnętrznych audytów).

Dodatkowo, dane dotyczące transakcji, a ściślej danych uwierzytelniających, powinny być przetwarzane i przechowywane w bezpiecznym środowisku, jak również by były one powiązane z jednym użytkownikiem (spełnienie wymogów art. 24 ust. 2 RTS). Zwykły cloud więc może nie wystarczyć. Karta lub inny instrument płatniczy powinny mieć również odpowiednie zabezpieczenia w przypadku ich utraty lub kradzieży – np. po trzykrotnym błędnym użyciu czytnika – blokada karty. Karta powinna być również dostarczona do użytkownika w sposób uniemożliwiający dokonanie fraudu – tutaj ryzyko jest większe, gdyż potencjalny oszust wchodząc w posiadanie karty ma większe pole manewru.

Dostawca musi również wprowadzić odpowiednie procedury w zakresie aktualizacji czy odnawiania danych, np. poprzez wymaganie, aby użytkownik ponownie “kartę” za pomocą czytnika linii papilarnych. Zazwyczaj w takiej sytuacji stosowana jest dodatkowa procedura autoryzacji użytkownika, np. w drodze wideokonferencji.

A co z zarządzaniem ryzykiem?

Bardzo ważne pytanie. Dostawca musi posiadać system zarządzania ryzykiem, a więc i odpowiedni zespół, np. w ramach kontroli wewnętrznej. System ten powinien umożliwiać zarządzanie ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie jego działalności, m.in. poprzez stosowanie skutecznych procedur zarządzania incydentami, w tym w obszarze IT. Wiążę się z tym obowiązek corocznego informowania KNF o przeprowadzonej ocenie tych mechanizmów, czy też ad hoc’owe informowanie o poważnych incydentach. Użytkownicy też muszą zostać poinformowani.

Na dostawcy ciążą również liczne obowiązki sprawozdawcze, np. w zakresie corocznego przekazywaniu danych dotyczących oszustw.

IT nadal najważniejsze. Jak wygląd kwestia outsourcingu?

Spełnienie wymogów posiadania odpowiednich procedur czy polityk nie będzie jednak wystarczające, jeżeli nie będą temu towarzyszyły odpowiednie rozwiązania w zakresie infrastruktury IT i software’u. Stąd tak ważne jest pozyskiwanie ekspertów w dziedzinie cyberbezpieczeństwa, jak i programistów, którzy dadzą poczucie bezpieczeństwa. Pamiętajmy, że te kwestie będą przedmiotem badania regulatora, np. KNF i surowo oceniane.

Ważną kwestią jest również zlecanie niektórych czynności na zewnątrz. Wymogi prawne w zakresie outsourcingu są surowe. Czekamy również na finalne wytyczne EBA w tym zakresie – obecnie trwają konsultacje (dokument pod tym linkiem). Nie ma jednak wątpliwości, że już teraz niezbędne jest stosowanie wysokich standardów w zakresie nawiązywania relacji biznesowych, które mogą mieć krytyczne znaczenie dla funkcjonowania świadczonych usług płatniczych. Pamiętajmy również, że nie wszystkie obowiązki można przenieść na podmiot trzeci. Outsourcing nie prowadzi również do ograniczenia odpowiedzialności dostawcy.

Jakie wnioski?

Stosowanie biometrii przy płatnościach kartą to ciekawe rozwiązanie. Faktycznie może być ono bezpieczniejsze niż standardowe rozwiązania z limitem kwotowym, gdzie w zasadzie wystarczy wejść w posiadanie karty, aby dokonać nieautoryzowanej transakcji. Z drugiej strony możliwość nieograniczonego korzystania z karty z wykorzystaniem linii papilarnych to jednak spore ryzyko. Człowiek, który znajdzie się w sytuacji opisanej powyżej, ale z “klasyczną” kartą, może po prostu podać kod PIN i liczyć, że jego jedyną stratą będą środki na rachunku – które i tak odzyska, bo to gwarantują przepisy. W omawianym przypadku dochodzi potencjalna utrata palca.

Nie ma co oczywiście przesadzać. Na razie to rozwiązanie testowe. Nie wiadomo czy się w ogóle przyjmie. Z oceną poczekam na dalszy rozwój wydarzeń. Z ciekawością będę się temu przyglądał.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech