Weryfikacja behawioralna w bankach. Nowa linia obrony przed cyberoszustami

Coraz częstsze przypadki przejęć kont, wyłudzeń i scamów wymusiły na bankach wprowadzenie nowych rozwiązań zabezpieczających.

– Dotychczasowe zabezpieczenia – hasła, loginy, kampanie edukacyjne – działają tylko częściowo. Oszuści wciąż znajdują sposoby na przejęcie danych, a potem środków z kont. Skala problemu wymusiła działania nie tylko na poziomie banków, ale także regulatorów – wyjaśnia Romuald Ożga, dyrektor Biura Zapobiegania Oszustwom Bankowym w Credit Agricole.

Ochrona klientów przed wyłudzeniami znajduje się pod nadzorem instytucji regulacyjnych. Rekomendacje w tej sprawie wydał UOKiK, a także Związek Banków Polskich.

– W Europie weryfikacja behawioralna działa od lat. W Polsce banki wdrażają ją od kilku sezonów. Od stycznia – po wyborze dostawcy – system funkcjonuje również u nas – dodaje dodaje Romuald Ożga.

Przeczytaj: Fałszywe inwestycje, prawdziwe twarze. Tak oszuści kradną zaufanie Polaków

Jak działa weryfikacja behawioralna?

Weryfikacja behawioralna opiera się na analizie sposobu, w jaki klient korzysta z bankowości elektronicznej. System śledzi m.in. rytm pisania, ruchy myszką, czas nacisku klawiszy czy inne nawyki użytkownika.

Monitorowanie odbywa się wyłącznie podczas aktywnej sesji, czyli po zalogowaniu się do bankowości elektronicznej z komputera lub telefonu. Bank nie ma dostępu do innych aplikacji ani stron otwieranych równolegle przez użytkownika.

W praktyce analiza behawioralna jest jednym z elementów systemu antyfraudowego, który uczy się zachowań użytkownika. Im częściej klient korzysta z bankowości, tym szybciej system potrafi rozpoznać jego styl działania i wychwycić potencjalne anomalie.

Przeczytaj: Cyberbezpieczeństwo. To nie technologia zawodzi. To człowiek, który klika „dalej”

– System musi się nauczyć. Przez pierwsze miesiące zbiera dane o zachowaniu użytkownika, a następnie analitycy optymalizują reguły, by ograniczyć liczbę fałszywych alarmów. – Chodzi o to, by nie reagować nadmiarowo, ale skutecznie wychwytywać próby przejęcia konta czy scamy – wyjaśnia Krzysztof Kowalski, odpowiedzialny za rozwój i monitoring systemów antyfraudowych w Credit Agricole.

Jak żyć z false positives?

Weryfikacja behawioralna nie jest narzędziem idealnym – zawsze istnieje ryzyko tzw. false positives, czyli fałszywych alarmów. Dlatego system nie reaguje automatycznie na każde odstępstwo od normy. Analizuje szerszy kontekst zachowania użytkownika i zestawia dane z innymi czynnikami, które mogą wskazywać na próbę oszustwa.

W praktyce bank rozróżnia dwa główne typy zagrożeń:

• Przejęcie konta, gdy cyberprzestępca loguje się w imieniu klienta – w tym przypadku analiza behawioralna ma funkcję wspierającą; kluczowe są systemy identyfikujące urządzenie i lokalizację.
• Próby wyłudzeń, gdy klient sam wykonuje transakcję pod wpływem manipulacji – tu analiza behawioralna odgrywa dużo większą rolę. System potrafi wykryć, że użytkownik nie ma pełnej kontroli nad operacją, a ktoś naprowadza go krok po kroku.

Jeśli algorytm uzna zachowanie za podejrzane, uruchamia mechanizm antyfraudowy – klient widzi pełnoekranowe ostrzeżenie w aplikacji lub bankowości internetowej z informacją o blokadzie operacji i konieczności kontaktu z bankiem. W tym celu instytucje uruchamiają specjalne infolinie bezpieczeństwa.

Przeczytaj: Cyfrowa forteca przyszłości. O cyberbezpieczeństwie decydować będą AI, blockchain i kryptografia postkwantowa

Przekonać klientów do nowej technologii

Choć banki aktywnie promują weryfikację behawioralną – poprzez kampanie informacyjne, spoty edukacyjne i komunikaty w aplikacjach – przekonanie klientów do jej włączenia nie jest proste. Częściowo wynika to z regulacji prawnych.

– W Polsce, inaczej niż w innych krajach, klient musi wyrazić zgodę na stosowanie weryfikacji behawioralnej. To wymóg regulatora, wynikający z interpretacji przepisów RODO. Doświadczenie pokazuje, że po wdrożeniu i kampanii informacyjnej w ciągu kilku miesięcy udaje się przekonać kilkanaście procent klientów – głównie tzw. early adopters, czyli osoby chętnie testujące nowe rozwiązania. – Paradoksalnie to właśnie oni najmniej potrzebują tej ochrony, bo są najbardziej świadomi cyfrowych zagrożeń – zauważa Romuald Ożga.

W Polsce, inaczej niż w innych krajach, klient musi wyrazić zgodę na stosowanie weryfikacji behawioralnej. To wymóg regulatora, wynikający z interpretacji przepisów RODO.

Bankowcy przyznają, że najskuteczniej do weryfikacji behawioralnej przekonuje rozmowa z doradcą w placówce. To dowód, że w erze cyfrowej nadal liczy się kontakt z człowiekiem – szczególnie gdy chodzi o edukację i budowanie zaufania.

Obawy klientów: prywatność i wygoda

Najczęstsze obiekcje klientów dotyczą ochrony prywatności oraz obaw o utrudnienia w korzystaniu z bankowości. Wielu z nich boi się, że system zablokuje transakcję w kluczowym momencie. Jak zapewniają eksperci, ryzyko takich sytuacji jest minimalne.

– System nie śledzi klienta poza bankowością elektroniczną, a blokady są kontekstowe i ograniczane przez optymalizację algorytmów. Dodatkowo uruchomiliśmy dedykowaną infolinię do obsługi takich przypadków. Można zadać sobie pytanie: co jest ważniejsze – wygoda czy bezpieczeństwo? Ci, którzy stracili pieniądze, odpowiadają: „bezpieczeństwo”. Ci, którzy nie stracili – chcą mieć wszystko na trzy kliknięcia. Ale to się zmienia po pierwszym udanym przypadku kradzieży – zauważa Romuald Ożga

Komentarz partnera cyklu

Warto włączyć dodatkową ochronę

Cyberprzestępcy coraz częściej atakują klientów banków. Jedną z popularnych metod jest przejęcie danych logowania do bankowości elektronicznej, co daje im dostęp zarówno do danych osobowych, jak i do środków na koncie.
 
Banki mają obowiązek chronić swoich klientów, dlatego nieustannie monitorują zagrożenia, testują i rozwijają narzędzia bezpieczeństwa, by zapewnić ochronę danych i pieniędzy użytkowników.
 
Co ważne, banki i inne instytucje w Polsce wymieniają się doświadczeniami i informacjami, aby wspólnie budować systemy odporne na ataki oszustów. Chodzi o zabezpieczenia, których nie złamią cyberprzestępcy oraz rozwiązania, które uwzględniają czynnik ludzki. Innymi słowy, takie usługi, które biorą pod uwagę błędy popełniane przez klienta. Opierają się one na technologii i regułach, które weryfikują wiele istotnych elementów, jak na przykład weryfikacja behawioralna. Klienci, włączając w swojej aplikacji lub eBanku dodatkową ochronę, jaką jest weryfikacja behawioralna, mogą lepiej zabezpieczyć się przed atakami cyberprzestępców. System stworzy wzorzec ich zachowania, na przykład sposób pisania na klawiaturze. Następnie sprawdza, czy osoba korzystająca z aplikacji mobilnej lub eBanku to klient, a nie oszust.
 
Wszyscy jesteśmy narażeni na ataki cyberprzestępców. Szczególnie osoby starsze, które nie zawsze swobodnie korzystają z nowych technologii, są podatne na manipulacje oszustów. Dlatego rozmawiajmy z nimi, edukujmy ich i wprowadzajmy w świat nowych zabezpieczeń, które mogą pomóc uchronić ich przed stratą często oszczędności życia.

Łukasz Warachim,

manager ds. bankowości mobilnej, Credit Agricole

Główne wnioski

1. Weryfikacja behawioralna staje się coraz ważniejszym narzędziem w walce z cyberoszustwami, choć nie eliminuje wszystkich zagrożeń.
2. Skuteczność systemu zależy od właściwego balansu między bezpieczeństwem a wygodą użytkownika oraz od świadomości i edukacji klientów.
3. Akceptacja nowych rozwiązań wymaga zaufania i przejrzystej komunikacji, zwłaszcza w kwestiach ochrony prywatności i ograniczania liczby fałszywych alarmów.