środa, Wrzesień 18

Regulacyjny miszmasz. Płatność aplikacją i z użyciem odcisku palca. Jakie wyzwania regulacyjne stawia przed dostawcami RODO, PSD2 oraz AML?

Google+ Pinterest LinkedIn Tumblr +

Od biometrycznego onboardingu przez aplikację bankową, poprzez ocenę zdolności kredytowej z użyciem metod behawioralnych i sztucznej inteligencji, aż po transakcje z użyciem odcisku palca. W kolejnej odsłonie zderzenia biometrii z regulacjami przeanalizujemy wymogi AML, RODO oraz pakietu PSD2 na potrzeby realizacji elektronicznych transakcji płatniczych. Temat jest o tyle ciekawy, że w chwili obecnej brakuje efektywnych rozwiązań, które pozwoliłyby na efektywne i w pełni satysfakcjonujące – z punktu widzenia Rozporządzenia 2018/389 – wykorzystanie biometrii do wykonywania płatności. Dlaczego tak jest i jakie wyzwania stoją przed instytucjami finansowymi w związku z obowiązkiem wprowadzenia silnego uwierzytelnienia klienta? Zapraszam na kolejne spotkanie z Bankiem X i usługą dokonywania płatności z użyciem biometrii. Dzisiaj część pierwsza, czyli regulacyjny misz-masz.

Zagadnienie jest wieloaspektowe i dotyczy takich regulacji jak:

  1. Ustawa o usługach płatniczych (art. 10a; art. 32i);
  2. Rozporządzenie 2018/389 (art. 1-9; 22-29 oraz w ograniczonym zakresie – art. 30, a także innych przepisów, które dotykają kwestii przetwarzania danych wrażliwych – patrz art. 33 ust. 5);
  3. Prawo bankowe (art. 6a-6e oraz art. 106);
  4. Rozporządzenie 2016/679 (głównie art. 9 oraz art. 24 i następne – w zakresie obowiązków adminstratora);
  5. Ustawa o ochronie danych osobowych;
  6. Ustaw o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (art. 2; 33-35 – przy czym nie analizowałem tutaj najnowszych zmian).

Nie bez znaczenia pozostają oczywiście inne dokumenty, w tym wytyczne EBA oraz rekomendacje KNF, takie jak:

  1. Wytyczne EBA w sprawie outsourcingu (w zakresie ogólnych wymogów outsourcingu);
  2. Wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa (w kontekście outsourcingu);
  3. Wytyczne EBA w sprawie raportowania fraudów (na potrzeby spełnienia wymogów bezpieczeństwa, w tym dla monitoringu transakcji z art. 2 Rozporządzenia 2018/389);
  4. Opinia EBA w sprawie silnego uwierzytelnienia (punkty 17-23);
  5. Rekomendacja KNF w sprawie bezpieczeństwa transakcji internetowych (SecurePay);
  6. Rekomendacja H KNF (w kontekście roli compliance oraz ryzyka);
  7. Wytyczne EBA w sprawie zarządzania wewnętrznego (jw.) oraz
  8. QnA EBA, które dostarczają bardzu wielu cennych wskazówek interpretacyjnych (szczególnie ostatnie QnA – 2018_4047).

Punktem wyjścia będzie oczywiście pakiet PSD2, który wyznacza ramy regulacyjne dla stosowania biometrii na potrzeby silnego uwierzytelnienia klienta (SCA) (jest to również element badania przez KNF w ramach BION).

Co z tą biometrią?

Możliwość stosowania metod biometrycznych na potrzeby SCA nie budzi dzisiaj wątpliwości. Jest to jeden z elementów, o których mowa w art. 8 Rozporządzenia 2018/389 (cecha klienta). Możliwe jest więc wykorzystania wzorca linii papilarnych (TouchID) czy siatkówki oka (FaceID), ale także metod behawioralnych (3DSecure 2.1) do np. autoryzacji transakcji czy zalogowania się do aplikacji mobilnej dla bankowości elektronicznej. Wymaga to oczywiście spełnienia odpowiednich wymogów bezpieczeństwa określonych w ww. Rozporządzeniu.

O ile jednak w przypadku pozostałych elementów jak „posiadanie” czy „wiedza” spełnienie tych wymogów wydaje się realne ze względu na bezpośrednie połączenie pomiędzy różnymi elementami (software, urządzenie końcowe – karta sim a systemami bankowymi), to w przypadku biometrii pojawia się szereg potencjalnych wątpliwości. Wynikają one z konstrukcji przepisów, w tym art. 32i ustawy o usługach płatniczych, art. 4 ust. 1 oraz art. 22 Rozporządzenia 2018/389, które skłaniają do przyjęcia, że to dostawca konkretnej usługi płatniczej stosuje silne uwierzytelnienie i odpowiada za bezpieczeństwo indywidualnych danych uwierzytelniających (art. 22), których łączne zastosowanie powinno doprowadzić do wygenerowania kod uwierzytelniającego.

Czytając wyjaśnienia EBA (wspomniany wyżej QnA) można dojść do wniosku, że rzeczywiście możliwe jest wykorzystanie czytnika linii papilarnych zainstalowanego na urządzeniu końcowym użytkownika (np. smartfonie). Nawet więcej – można „outsource’ować” wykonanie SCA do podmiotu trzeciego. Warunkiem jest jednak zapewnienie odpowiednich wymogów w zakresie bezpieczeństwa (oraz wytycznych EBA i Prawa bankowego w zakresie outsourcingu). Nie wpływa to jednak na ostateczną odpowiedzialność dostawcy za spełnienie wymogów regulacyjnych dla SCA, a także jego ewentualną odpowiedzialność za nieautoryzowane transakcje zgodnie m.in. z art. 46 ust. 4a ustawy o usługach płatniczych. Dostawca musi również zapewnić, że taki dostawca (podmiot trzeci) zapewnia odpowiedni poziom bezpieczeństwa danych (ich przetwarzania i przekazywania), w tym w zakresie „niezależności” elementów.

No więc gdzie problem?

Pojawia się on w chwili, gdy uzmysłowimy sobie jak działają smartfony i czytniki linii papilarnych. Urządzenia takie należą do użytkownika i jeżeli zdecyduje się on na wprowadzenie biometrii (np. wspomniane fingerprinty), to zarówno wzorzec pierwotny (zapisany przy rejestracji), jak i kolejne „sprawdzenia” odbywają się właśnie na tym urządzeniu i/lub – rzadziej – są przekazywane do odpowiednich systemów dostawcy danego urządzenia (Apple, Samsung etc.).

Idąc dalej, aplikacja mobilna banku sparowana z urządzeniem (przyjmijmy, że kartą SIM lub kodem „w tle”) otrzymuje przy przyłożeniu palca informację (tak/nie lub 1/0) w zakresie potwierdzenia (identyfikacji) użytkownika. Dostawca takiej aplikacji nie otrzymuje więc wzorca biometrycznego, który mógłby porównać z pierwotnym wzorcem zapisanym np. w jego systemach. Akceptacja biometrii odbywa się więc niejako na zasadzie „pewnego zaufania” do dostawcy urządzenia końcowego. Oczywiście nie jest wykluczone zastosowanie bardziej „zaawansowanego” rozwiązania, które wymaga jednak spełnienia dodatkowego warunku – zawarcia umowy outsourcingowej z takim dostawcą.

A więc outsourcing. Czy na pewno?

Zanim przejdę do tego zagadnienia (szerzej opiszę je w kolejnym artykule) warto zwrócić uwagę na „łagodzące” stanowiska unijnego regulatora. Nie jest do końca tak, że zastosowanie biometrii jest zero-jedynkowe (chyba, że patrzymy bezrefleksyjnie na przepisy Rozporządzenia 2018/389 i nie odnosimy się do celu). Dostawca może bowiem zastosować środki łagodzące ryzyko nieuprawnionego działania przez podmiot trzeci, przy czym jest tutaj istotne zapewnienie bardzo niskiego prawdopodobieństwa takiej sytuacji (art. 8 ust. 1 zdanie drugie Rozporządzenia 2018/389). Ocena czy jest to bardzo niskie ryzyko jest niestety trudne do oszacowania w przypadku, gdy dostawca nie ma de facto realnej kontroli nad wzorcem biometrycznym.

W takiej sytuacji musimy posiłkować się przede wszystkim art. 9 ust. 3 oraz art. 22 Rozporządzenia 2018/389. Przykładowo, jeżeli jesteśmy w stanie wykazać – co bez umowy outsourcingowej może być trudne – że mamy możliwość zablokowania dostępu, jeżeli oprogramowanie otrzyma komunikat o zmianie wzorca biometrycznego, to teoretycznie mamy zapewniony element, o którym mowa w art. 9 ust. 3 pkt c. Trudności mogą jednak pojawić się z realizacją obowiązków z art. 22 ust. 2 Rozporządzenia 2018/389. Jak bowiem wykazać, że w odpowiedni sposób przechowujemy indywidualne dane uwierzytelniające (w tym biometryczne), jeżeli nie mamy tych danych?

Na koniec

Rozwiązania są de facto dwa:

  1. Zawarcie umowy outsourcingowej z dostawcami wszystkich urządzeń końcowych oraz
  2. Próba zmitygowania tych ryzyk i spełnienie wymogów równoważnych SCA z uwzględnieniem ryzyka odpowiedzialności za nieautoryzowane transakcje.

Wiele z rozwiązań dostępnych dla sektora pozwala na zminimalizowanie tego typu ryzyk, toteż nie jest wykluczone, że dostawca będzie w stanie zapewnić taki sam poziom bezpieczeństwa jak w przypadku stosowania SCA. Samo stosowanie biometrii nie jest również wyłącznym gwarantem „niezaprzeczalności” identyfikacji, co pokazują sprawy np. ApplePay.

Wszystko powinno odbywać się na zasadzie rozsądnej analizy ryzyk i dostępnych rozwiązań. W grudniu pisałem już o konkluzjach tzw. Grupy Berlińskiej, która stwierdziła, że PSD2 nie przystaje do rozwiązań FaceID/TouchID i dlatego potrzebna jest w tej kwestii zmiana. Zobaczymy czy przegląd przepisów PSD2, który będzie miał prawdopodobnie miejsce na przełomie 2020/2021 przyniesie przełom w tej kwestii.

 

 

 

Udostępnij.

Zostaw komentarz