5 min. czytania 15 cze 2020
ey-technologia-rozpoznawania-twarzy-szanse-i-ryzyka-dla-bankowosci

Technologia rozpoznawania twarzy: szanse i ryzyka dla bankowości

Autor Jakub Walarus

EY Polska, Consulting, Partner Cyber Security Compliance,

Doradca z poczuciem misji. W EY prawie od zawsze. Praktyk zarządzania ryzykiem nowych technologii oraz ochrony prywatności. Mąż, ojciec dwóch synów.

5 min. czytania 15 cze 2020

Globalny sektor finansowy z uwagą przygląda się współczesnej biometrii. Zobacz, jakie zyski oraz ryzyka są związane z tą technologią.

Banki coraz częściej proponują klientom logowanie do konta za pomocą odcisków palca, głosu lub skanu twarzy. Innowacyjność tych technik jest duża, ale problematyczny jest poziom ryzyk, jakie się z nimi wiążą.

Najogólniej rzecz ujmując, technologia rozpoznawania (ang. facial recognition) upraszcza operacje, które towarzyszą transakcjom finansowym i ułatwia weryfikację danych klienta. Coraz chętniej wykorzystują ją banki na całym świecie, można tu wymienić: HSBC, Bank of America i polski mBank. Zanim rozpoznawanie twarzy zainteresowało branżę finansową, testowały je spółki technologiczne. Sprzyjały temu olbrzymie zbiory danych wizualnych, które mogły być przetwarzane przy użyciu uczenia maszynowego. Facebook uruchomił program DeepFace w 2014 roku, Google odpowiedział na ten krok projektem FaceNet, Amazon w 2016 roku wprowadził do swojego portfolio usługę Rekognition.

Proste zasady

Technologia rozpoznawania twarzy opiera się na zamianie danych wizualnych  –  pozyskanych w trakcie wykonania zdjęcia, lub nagrania przy użyciu kamery  –  na dane w formie algorytmicznej. Identyfikacja obiektu i weryfikacja jego autentyczności dokonuje się przez porównanie obrazu zeskanowanego z informacjami zgromadzonymi wcześniej. Jeśli osiągnięty jest wysoki poziom podobieństwa między danymi, to następuje potwierdzenie, że właściwy obraz jest zidentyfikowany i wybrana operacja może zostać zrealizowana. A więc: algorytm przypisuje rozpoznaną twarz do pana Kowalskiego, a ten dzięki temu może wypłacić pieniądze lub  – używając kamery – porozmawiać o kredycie. Prostota całego mechanizmu jest duża, a potencjał korzyści jeszcze większy.

Uproszczenie weryfikacji

Technika rozpoznawania twarzy, ułatwiając identyfikację tożsamości, zwiększa komfort towarzyszący wykonywaniu wielu operacji takich jak chociażby: autoryzacja wypłat z bankomatu, zastrzeganie karty, akceptacja umów. Ułatwiona zostaje także komunikacja między bankiem a klientem (rozmowy video). Ponadto, w zaawansowanych systemach, klient może uzyskać pełen dostęp do konta bezpośrednio z bankomatu wyposażonego w kamery. Jeśli zdjęcie klienta nie jest przechowywane w bazie danych banku, możliwa jest szybka rejestracja jego twarzy i powiązanie obrazu z danymi, które dotyczą jego konta. We wszystkich tych przypadkach technologia uwalnia klienta od uciążliwych pytań o pesel, numer telefonu, imiona rodziców, itp. Zwiększa się też jego komfort  podczas wykonywania operacji pozabankowych. Popularne w Chinach techniki biometryczne eliminują konieczność używania karty w trakcie zakupów. Płacenie „twarzą” nie jest już niczym nadzwyczajnym.

Zarządzanie pracownikami i marketing

Jeśli chodzi o usprawnianie wewnętrznych procedur, technologia rozpoznawania twarzy okazuje się przydatna do monitorowania zachowań pracowników. Wpływa to na wzmocnienie bezpieczeństwa w placówkach bankowych. Nie bez znaczenia jest również jej potencjał marketingowy. Skanowanie twarzy jest już testowane przez agencje reklamowe obsługujące banki. Nośniki reklamowe nowej generacji potrafią dostosować przekaz do odbiorcy pod wpływem obserwacji jego twarzy. Biometria pomagać też w tworzeniu określonych strategii marketingowych. Przykładowo, identyfikację twarzy można promować jako ekskluzywną usługę przeznaczoną dla wybranej grupy klientów.

Mniejsza świadomość klienta

Z punktu widzenia biznesowej efektywności, skan twarzy oznacza więc konkretne korzyści – zwiększa wydajność, a także wzmacnia poczucie komfortu. Jednak rodzą się tu wątpliwości związane z  przetwarzaniem danych uzyskiwanych w trakcie skanów twarzy. Dochodzimy więc do kwestii ryzyk, które wiążą się ze stosowaniem opisywanej technologii. Przede wszystkim, warto podkreślić, że procesy biometryczne obniżają znaczenie fizycznej interakcji. Użytkownik nie musi wykonywać operacji, które są podstawą tradycyjnych metod logowania. Oddaje się on we władanie określonych procedur, które są dla niego przezroczyste. Udostępnia dane o sobie, przy minimalnym stopniu zaangażowania. Mocno obniża się jego czujność. Jeśli używamy odcisku palca w procesach autoryzacyjnych, mamy względną kontrolę nad całym procesem, zachowujemy jego świadomość. W przypadku skanowania twarzy, nie mamy pewności, co właściwie się wydarza. A wręcz nie mamy świadomości, że cokolwiek się wydarza.

Wycieki danych

Do głównych ryzyk związanych z użyciem tej technologii zaliczyć trzeba ryzyko wycieku danych biometrycznych. W przypadku danych „tradycyjnych” (dane logowania, hasła dostępu) użytkownik , który uświadamia sobie, że doszło do niebezpiecznego procederu, może na niego dość szybko zareagować – przykładowo, zmieniając dane używane do logowania. O ile jednak PIN można zmienić, to zmiana rysów twarzy jest już niemożliwa. W przypadku wycieku danych wizualnych wzrasta niebezpieczeństwo ich nieautoryzowanego użycia, przykładowo do tworzenia deep fake'ów. Jeśli więc banki chciałyby wykorzystywać technologię rozpoznawania twarzy na masową skalę, muszą zdecydowanie uświadomić sobie wszystkie ryzyka, jakie się z tym wiążą. Innowacyjność tej technologii pozostanie jedynie marketingowym hasłem w sytuacji, gdy klient nie będzie miał maksymalnej pewności, że jego dane są bezpieczne i nie podatne na zewnętrzne manipulacje.

Nadmiarowe generowanie danych

Kolejne ryzyko wiąże się z przetwarzaniem nadmiaru danych w stosunku do celu ich przetwarzania. Najprostszą ilustracją tego ryzyka jest sytuacja, w której bank dane wizualne niezbędne do autentykacji, używa do innych celów  (np. marketingowych). Może to rodzić uzasadniony sprzeciw klientów. Poza tym, w niektórych sytuacjach (np. w trakcie korzystania z bankomatu) bank - by zwiększyć nasze  bezpieczeństwo - może żądać ponownego skanu twarzy klienta. Tu z kolei należy pamiętać o tym, że im więcej danych jest przetwarzanych i im więcej podmiotów ( stron trzecich) zaangażowanych jest w ten proces, tym większe jest ryzyko, że trafią one w niepowołane ręce.

Dlatego dobrym rozwiązaniem będzie stosowanie technik autoryzacji wieloskładnikowej, w ramach którego skanowanie twarzy uzupełnione byłoby o pobieranie odcisków palca, sprawdzanie geolokalizacji i tradycyjne metody logowania. Rozpoznawanie twarzy nie powinno więc być traktowane jako podstawowa metoda autentykacji.

Scenariusze przyszłości

Analizując konsekwencje i ryzyka upowszechniania się technik skanowania twarzy powinniśmy oderwać się od sytuacji bieżącej. Postępy w rozwoju inteligentnych technologii są z roku na rok coraz większe. Wyobraźmy sobie sytuację, gdy powszechnie dostępne stają się aparaty zdolne do zapisywania „skanów twarzy” generowanych w podczerwieni. Spróbujmy też przewidzieć, jakie konsekwencje może mieć technologia generowania „symulacji twarzy” w oparciu o fotografie i pliki video z portali społecznościowych. Przyglądając się postępom w tworzeniu deep fake'ów, musimy traktować te hipotetyczne scenariusze jako całkowicie realne. O ile więc korzyści banków stosujących rozpoznawanie twarzy wydają się duże, to przyjęcie perspektywy przeciętnego “bezbronnego” konsumenta, wydaje się konieczne. Gra dzisiaj toczy się bowiem o wzmocnienie zaufania klienta do instytucji finansowych. Jest ono jedną z najcenniejszych, a zarazem najtrudniejszych do zdobycia, współczesnych walut.

Instrumenty obrony przed ryzykiem

Prawidłowe i oparte na ryzyku zarządzanie bezpieczeństwem i integralnością informacji ma kluczowe znaczenie dla funkcjonowania etycznych praktyk w świecie finansowym. Zasada ta staje się coraz ważniejsza. Jest niestety trudna do egzekwowania w sytuacji, gdy nadprodukcja danych osiągnęła rozmiary kolosalne. Dlatego warto podkreślić, że właściwe zarządzanie poufnością, integralnością, dostępnością, a także użytecznością danych może znacząco wpływać na utrzymywanie etycznych praktyk w całym sektorze bankowym. Pomocne będą tu narzędzia rozumiane jako polityki i procedury, ale także jako instrumenty i techniki operacyjne. W tym drugim przypadku chodzi o rozwiązania IT, które wspierają funkcjonowanie detekcyjnych i prewencyjnych mechanizmów kontrolnych w organizacji. Pomogą one monitorować otoczenie i ostrzegać przed zbliżającym się zagrożeniem.

Zapisz się na newsletter „EY Tech Insights”

Otrzymuj comiesięczny zestaw najciekawszych artykułów, raportów i analiz z zakresu technologii dla biznesu. 

Zapisz się

Podsumowanie

Technologia rozpoznawania twarzy może być zarówno ogromną szansą, jak i zagrożeniem dla sektora bankowego. Rozpatrując jej wykorzystanie należy przede wszystkim rozważyć powyższe zagadnienia, nie pomijając najważniejszego aspektu – ludzi. Wypracowanie optymalnego poziomu bezpieczeństwa będzie bowiem związane z kulturą organizacyjną firmy. Ochrona danych powinna być w niej traktowana jako coś więcej niż konieczność. Jest przecież gwarancją utrzymania dobrobytu zarówno jednostki, jak i wspólnoty.

Kontakt

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami.

Informacje

Autor Jakub Walarus

EY Polska, Consulting, Partner Cyber Security Compliance,

Doradca z poczuciem misji. W EY prawie od zawsze. Praktyk zarządzania ryzykiem nowych technologii oraz ochrony prywatności. Mąż, ojciec dwóch synów.

  • Facebook
  • LinkedIn
  • X (formerly Twitter)