Ślepa uliczka czy świetlana przyszłość?
Sześć lat temu w Warszawie uruchomiony został pierwszy bankomat biometryczny. Ówczesny pionier - Bank Polskiej Spółdzielczości - niedawno podjął decyzję o rezygnacji z tej formy uwierzytelniania. Na miejsce zwolnione przez spółdzielców wchodzi tymczasem PKO Bank Polski, który zapowiedział wdrażanie w przyszłym roku biometrycznej autentykacji w swoich placówkach. Czy biometria ma szansę na wyjście z rynkowej niszy?
Obecnie najpopularniejszym zastosowaniem technologii biometrycznych jest wypłata świadczeń socjalnych i obsługa ubezpieczeń społecznych. W Indiach funkcjonuje największy na świecie system identyfikacji biometrycznej mieszkańców, którego budowę rozpoczęto pięć lat temu. Przesłanką dla jego budowy były ogromne, idące w miliardy dolarów rocznie wyłudzenia świadczeń socjalnych.
Biometryzacja indyjskiego społeczeństwa okazała się olbrzymim sukcesem - w 2014 r. liczba zarejestrowanych użytkowników przekroczyła 600 mln, co oznacza połowę mieszkańców Indii. Defraudacje środków na pomoc społeczną były poważnym problemem również w Turcji; koszty bezprawnego korzystania z usług medycznych osiągały poziom 15 mld dolarów rocznie.
Dlatego Sosyal Guvenlik Kurumu, czyli turecki odpowiednik naszego ZUS i NFZ, zdecydował się na biometryczną identyfikację świadczeniobiorców.
Projekt objął instalację czytników w ponad 5 tys. szpitali, 24 tys. aptek, 5 tys. zakładów optycznych, 35 tys. gabinetów lekarskich i 7 tys. punktów medycznych. W urządzenia do uwierzytelniania wyposażono także 1,5 tys. ekspozytur państwowego ubezpieczyciela.
Wykorzystanie biometrii w sektorze pomocy społecznej znalazło zastosowanie również w Polsce. 1 grudnia 2010 r. Podkarpacki Bank Spółdzielczy na podstawie umowy z Gminnym Ośrodkiem Pomocy Społecznej w Sanoku uruchomił wypłaty zasiłków dla bezrobotnych i innych świadczeń pomocy społecznej przy wykorzystaniu bankomatów wyposażonych w czytniki biometrii naczyniowej. Aby korzystać z biometrycznej wypłaty zasiłków w bankomatach PBS, nie trzeba nawet posiadać konta bankowego; kwoty zasiłków przekazywane są na bezpłatne rachunki celowe, utworzone dla każdego z beneficjentów.
W przeciwieństwie do opieki społecznej, zastosowanie technologii biometrycznych w sektorze bankowym wciąż ma charakter niszowy. A jeszcze kilka lat temu wskazywano na biometrię jako jeden z głównych kierunków rozwoju systemów uwierzytelniania. Brak konieczności posługiwania się dodatkowym narzędziem i zapamiętywania kodów PIN czy haseł miał skłonić osoby z grup tzw. wykluczenia cyfrowego do rezygnacji z gotówki. Z szumnych zapowiedzi - jak dotychczas - niewiele wyszło; podjąć pieniądze z bankomatu przy użyciu własnego palca lub dłoni wciąż mogą wyłącznie klienci nielicznych placówek.
Dlaczego tak się dzieje? Na drodze ku biometrycznemu światu piętrzą się liczne przeszkody - natury zarówno prawnej i organizacyjnej, jak również stricte technologicznej. Najważniejszym z wyzwań natury prawnej jest brak przepisów warunkujących utworzenie centralnej bazy danych biometrycznych na kształt rejestru PESEL czy REGON.
W konsekwencji każda instytucja wdrażającą autentykację biometryczną musi budować od podstaw własną bazę danych. Taki system ma charakter zamknięty, co już na starcie utrudnia, bądź wręcz uniemożliwia, wymianę danych z innymi bankami czy też operatorami płatności.
Ponadto niektóre formy uwierzytelniania przy użyciu cech biologicznych organizmu ludzkiego wiążą się z gromadzeniem i przetwarzaniem danych wrażliwych, a te podlegają znacznie surowszym rygorom. Tak jest choćby w przypadku skanu tęczówki oka, który zawiera informacje o przebytych chorobach, ale i zwykły, odręczny podpis jest w stanie powiedzieć o kondycji psychicznej człowieka dużo więcej niż się na pierwszy rzut oka wydaje.
Problemem jest również brak wystarczającej infrastruktury do obsługi płatności biometrycznych. Dziś dokonywanie transakcji przy użyciu palca czy dłoni sprowadza się w zasadzie do wypłaty środków z bankomatu - czyli działania, które zgodnie z Programem Rozwoju Obrotu Gotówkowego ma mieć docelowo charakter marginalny.
Płatności w internecie zdominowane są przez karty i pośredników płatnościowych wykorzystujących kanały elektroniczne i mobilne. Również w handlu stacjonarnym nikłe są szanse na znalezienie sklepu, w którym zapłacimy, przykładając pasek lub oko do czytnika. Dlatego bank oferujący biometryczny dostęp do rachunku i tak musi dostarczyć równolegle inny instrument - z reguły kartę bądź też płatności mobilne. W takim układzie biometria zawsze będzie miała charakter wyłącznie uzupełniający.
Przyczyną spowolnienia rozwoju biometrii w sektorze bankowym wydaje się być również intensywny rozwój alternatywnych technologii płatniczych na przestrzeni ostatnich pięciu lat. Chodzi tu w szczególności o karty bezstykowe oraz płatności mobilne. Już dziś można powiedzieć, że płatności zbliżeniowe wygrywają rywalizację o zagospodarowanie klientów wykluczonych cyfrowo. Bezstykowa karta oferuje to, czego oczekiwano od płatności biometrycznej - szybką finalizację transakcji bez jakichkolwiek czynności obsługowych - a dodatkowo umożliwia zapłatę u zdecydowanej większości akceptantów.
Według najnowszej edycji raportu NETB@NK, już 80% używanych na polskim rynku terminali płatniczych akceptuje zapłatę bezstykową. To zarazem główna przyczyna, dla której autentykacja bazująca na skanowaniu palca czy dłoni sprawdza się znakomicie w wypłacie zasiłków socjalnych; beneficjentami tego typu zapomogi są z reguły osoby ubogie, nierzadko nieposiadające własnego konta bankowego i posługujące się wyłącznie gotówką. Dla tego rodzaju użytkownika podstawowe znaczenie ma możliwość szybkiego podjęcia gotówki z bankomatu w sąsiedztwie miejsca zamieszkania, a biometria spełnia te wszystkie warunki.
Na spadek zainteresowania biometrią w bankowości ma też wpływ tzw. smartfonizacja.
To właśnie nowoczesny telefon stanowi dziś urządzenie, bez którego nie wyobraża sobie życia znaczna część populacji, bynajmniej nie tylko tych z generacji Y czy Z. O tym, że smartfon stał się w ostatnim czasie urządzeniem prawdziwie powszechnego użytku dobitnie świadczą zdjęcia wyposażonych w telefony komórkowe uchodźców. Najtańsze tego rodzaju urządzenie można dziś nabyć już za mniej niż 100 zł.
Efektem smartfonizacji w dziedzinie technologii płatniczych jest dynamicznie rozwijająca się kategoria płatności mobilnych - instrumentu, który w chwili, gdy na warszawskiej Woli instalowano pierwszy biometryczny bankomat, w zasadzie nie istniał. Wprawdzie poszczególne systemy płatności mobilnych również nie są zestandaryzowane, a spora część sklepowych terminali nie obsługuje transakcji dokonywanych przy użyciu telefonu, jednak banki i operatorzy kartowi stawiają dziś przede wszystkim na tę formę płatności. Wdrożenie płatności mobilnych jest poza wszystkim nieporównanie tańsze aniżeli autentykacji biometrycznej.
W przypadku telefonów wyposażonych w funkcję NFC lub HCE wystarczy zapewnić klientowi odpowiednie oprogramowanie emulujące standardową kartę bankową. Dostosowanie punktów sprzedaży do płatności przy użyciu aplikacji mobilnych wydaje się również tańsze aniżeli uzbrojenie ich w czytniki naczyń krwionośnych palca. Z kolei wykorzystanie czytników linii papilarnych znajdujących się w smartfonach jako jedynej formy identyfikacji wydaje się być problematyczne, choćby z uwagi na niski poziom bezpieczeństwa tej akurat metody biometrycznej.
A jednak sporym błędem byłoby traktowanie technologii biometrycznych jako swego rodzaju ślepej uliczki w rozwoju bankowości. Po pierwsze - bankowość to nie tylko wypłaty z bankomatów czy zakupy w sklepach. Rozpoznawanie głosu może się przydać choćby w przypadku autentykacji klienta dzwoniącego do call center. Zamiast podawania numerów użytkownika czy jednorazowych haseł przesyłanych na smartfon, z którego akurat wykonujemy połączenie (bardziej niewprawne osoby mogą się rozłączyć przy okazji odczytywania hasła), stokroć wygodniej byłoby zostać rozpoznanym po timbre własnego głosu.
Po drugie - biometrii bynajmniej nie należy traktować jako konkurencji dla innych, nowoczesnych systemów płatności. Przykładem mogą być operacje dokonywane za pomocą urządzeń mobilnych. Współczesny smartfon dysponuje tak dużą ilością stosunkowo czułych sensorów, że podczas codziennej eksploatacji gromadzi dane wystarczające do tzw. identyfikacji behawioralnej użytkownika, a więc pewien specyficzny rodzaj danych o charakterze biometrycznym. Współtwórca Yanosika Adam Tychmanowicz twierdzi, że na podstawie przesyłanych przez aplikację danych można stwierdzić, czy po postoju auta nie zmienił się kierowca.
Na podobnej zasadzie można sobie wyobrazić dodatkowy mechanizm zabezpieczający w bankowości elektronicznej, który śledząc zachowania posiadacza smartfonu, jest w stanie z dużym prawdopodobieństwem określić, czy telefon nie dostał się w ręce osób trzecich. W takim przypadku biometria stanowiłaby nie tyle samodzielną formę autoryzacji, tylko jeden z elementów szerszego, bezpiecznego systemu obsługi klienta.
Oczywiście, nie można wykluczyć również kolejnych prób wykorzystania technologii biometrycznych w samym procesie uwierzytelniania. Przykładem mogą być prace prowadzone przez MasterCard nad systemem Selfie Pay, w którym potwierdzanie bankowych operacji dokonywane byłoby poprzez... wykonanie zdjęcia. Czy zakupy jednym pstryknięciem staną się ulubioną formą płatności rozmiłowanych w selfie nastolatków? Czas pokaże.
Jerzy Majka