Rozwój oferty instytucji finansowych zawsze wiąże się z ryzykiem. Jeśli wyobrazimy sobie bank jako dom, a zorganizowanych przestępców jako włamywaczy, uruchamianie nowych produktów przypomina wstawienie nowego okna, które może zostać wykorzystane do włamania i w związku z tym musi zostać odpowiednio zabezpieczone. Wprowadzanie nowych możliwości obsługi, przy jednoczesnym zachowaniu pełnego bezpieczeństwa jest wyzwaniem. Szybkość rozwoju oferty i technologii obsługi klienta jest tak duża, że metody przeciwdziałania oszustwom z trudem dotrzymują kroku. A wszystko wskazuje na to, że tempo tych zmian będzie tylko rosło.
Nowe czasy, nowe oczekiwania
W 2020 roku nawet 90% samochodów będzie miało kontakt z Internetem. W tym samym czasie branża urządzeń do inteligentnego domu osiągnie wartość 79 miliardów USD. Na świecie będzie w użytku 173,4 milionów urządzeń ubieralnych (tzw. wearables) oraz nawet 11,6 miliarda urządzeń mobilnych, które mają dostęp do sieci.
Internet wpływa na każdy aspekt naszego życia w wymiarze nie spotykanym od czasów Rewolucji Przemysłowej.
Technologia w fundamentalny sposób zmienia nas również jako konsumentów. Żyjemy w kulturze natychmiastowej i częstej gratyfikacji. Coraz częściej i w coraz większym zakresie usług polegamy na kanałach samoobsługowych. Pokolenie Y posiada coraz większą siłę nabywczą, a Pokolenie Z coraz liczniej wkracza na rynek. Osoby urodzone po 1994 roku przeżyły całe swoje życie w dobie sprzedaży internetowej.
Dzisiejsi konsumenci od praktycznie każdej branży oczekują łatwej komunikacji za pośrednictwem całego spektrum kanałów. Dla bankowości oznacza to konieczność stworzenia spójnej i zindywidualizowanej obsługi we wszystkich kanałach – cyfrowym, w placówce bankowej, w urządzeniach samoobsługowych, w infolinii. Raport firmy Invoca wskazuje, że 76% klientów w ciągu przeciętnego miesiąca kontaktuje się z bankiem za pośrednictwem dwóch kanałów. Natomiast 37% używa przynajmniej trzech kanałów kontaktu z bankiem każdego miesiąca.
Czym jest omnichannel w bankowości?
By odpowiedzieć na zmieniające się oczekiwania klientów, banki dywersyfikują swoją ofertę. Bankowość mobilna, zdalny odbiór depozytu, otwarcie konta i wniosek o pożyczkę przez internet – to tylko kilka usług, które wykraczają poza tradycyjną obsługę bankową. Jednocześnie klienci oczekują, że wszystkie te usługi będą funkcjonowały jako część większej całości – że dane raz wprowadzone będą właściwie rozdystrybuowane w ramach całej organizacji. Że nie będzie konieczne ponowne wypełnianie tego samego formularza i odpowiadanie na te same pytania.
Bankowość omnichannel jest odpowiedzią na te oczekiwania. Banki są w stanie być na bieżąco z działaniami klientów we wszystkich kanałach komunikacji – za pośrednictwem aplikacji mobilnych, rozmów telefonicznych, strony internetowej, SMS, komunikatorów internetowych, wizyt w placówkach. Wchodząc do oddziału, klient może liczyć na to, że obsługujący go konsultant będzie miał nie tylko pełną wiedzę na temat oferty banku, ale również na temat unikalnej, dotychczasowej relacji tego konkretnego klienta z instytucją.
Druga strona postępu
W środowisku nieustannej łączności, konsumenci mają bezprecedensowe możliwości dostępu do usług i transakcji, a instytucje finansowe – dostępu do klientów.
Jednak nowe możliwości to również nowe zagrożenia.
Cyfryzacja wystawia wszystkie niemal sektory gospodarki na ryzyko. McAfee – największa na świecie firma zajmująca się bezpieczeństwem w sieci, zidentyfikowała w drugim kwartale 2016 roku 41 milionów nowych przykładów złośliwego oprogramowania. Rosnąca częstotliwość występowania złośliwego oprogramowania oznacza dla aplikacji bankowych większe zagrożenie np. atakami na systemy cyfrowe czy oszustwami związanymi z płatnością kartami za pośrednictwem Internetu (liczba oszustw tego typu wzrosła w 2016 roku o 42%).
Jeszcze większe zagrożenie wynika z ataków zmierzających do pozyskania danych konsumentów – m.in. poprzez różne formy phishingu, wirusy czy trojany. Niejednokrotnie w ostatnich latach mieliśmy również do czynienia z wyciekami danych na dużą skalę. Nic nie wskazuje na to, by w nadchodzących latach takie sytuacje miały się nie powtórzyć. Niestety oznacza to zwiększoną dostępność danych, które trafiają w ręce oszustów. W rezultacie przestępstwa związane z kradzieżą tożsamości dotknęły w 2016 roku rekordową liczbę 15,4 milionów osób w samych Stanach Zjednoczonych, stanowiąc 6,15% wszystkich transakcji konsumenckich.
Rosnąca częstotliwość kradzieży danych za pośrednictwem podobnych zdarzeń otwiera front walki związany z przejęciami kont (account takeover, ATO). Straty spowodowane przejęciami kont wyniosły w 2016 roku 2,3 miliarda USD, co stanowi 60-procentowy wzrost w ciągu roku. Co trzecia osoba, która została powiadomiona o wycieku jej danych była celem próby wyłudzenia w tym samym roku. Jednocześnie oszuści wykorzystują dane uzyskane z wycieków nawet 12-18 miesięcy po jego nastąpieniu.
Z punktu widzenia instytucji finansowej, przejęcia kont są szczególnie groźne, ponieważ dzięki nim oszuści mogą podszyć się pod nawet najbardziej zaufanych klientów. Dane takie jak hasła do logowania, daty urodzenia, numery PESEL, pytania bezpieczeństwa są natomiast znacznie cenniejsze dla oszustów niż te dotyczące pojedynczych transakcji. Mogą bowiem posłużyć do założenia kolejnych kont, dokonania zakupów, czy nawet wzięcia pożyczek i zamówienia kart kredytowych.
Dla instytucji finansowych bezpieczeństwo i ochrona przed oszustami nigdy nie będzie opcjonalna. Cyfrowa bankowość może funkcjonować tylko w warunkach, gdy konsumenci są przekonani o bezpieczeństwie ich danych i wykonywanych płatnościach. Niesprostanie wymogom cyfrowej rzeczywistości naraża banki nie tylko na istotne straty finansowe, ale przede wszystkim na straty wizerunkowe i reputacyjne, które mogą okazać się znacznie bardziej kosztowne – klienci nie zawahają się przed porzuceniem usługodawcy, który dopuścił do naruszeń systemów bezpieczeństwa.
Technologiczny wyścig zbrojeń
Rosnące możliwości i liczba kanałów obsługi klienta oznaczają, że zagwarantowanie bezpieczeństwa staje się coraz trudniejszym zadaniem, zwłaszcza w obliczu starzejącej się infrastruktury technologicznej oraz konieczności coraz szybszego operowania pieniędzmi. W miarę jak banki rozwijają swoją ofertę oraz tworzą nowe produkty i kanały obsługi klientów, przestępcy pracują nad nowymi strategiami wykorzystania luk systemu.
Dlatego instytucje finansowe powinny nieustannie podejmować działania i wprowadzać mechanizmy w celu podnoszenia poziomu bezpieczeństwa. Mogą np. wprowadzić „termin ważności” hasła, przypominając klientom o jego regularnej aktualizacji. Inną dosyć podstawową metodą jest uwierzytelnianie wielopoziomowe, które poza koniecznością podania hasła opiera się na czymś w posiadaniu klienta – telefonie komórkowym, skrzynce email, urządzeniu lub aplikacji uwierzytelniającej. Jednocześnie klienci oczekują zabezpieczeń, które ograniczą ryzyko ataków oszustów, ale nie będą wiązały się dla nich z niedogodnościami. Instytucje finansowe muszą zatem zapewniać to bezpieczeństwo z jak najmniejszym kosztem dla ich klientów. Na szczęście z drugiej strony coraz częściej wykorzystywane są rozwiązania z obszaru uczenia maszynowego i analizy behawioralnej, które pozwalają na identyfikację drobnych nieprawidłowości i umożliwiają odróżnienie realnych klientów od oszustów.
Poza rozwiązaniami technologicznymi, warto spojrzeć na problem również z punktu widzenia organizacji. Przykładowo pion zarządzania ryzykiem, podlegający dyrektorowi ds. ryzyka (CRO) często funkcjonuje w oderwaniu od działu IT kierowanego przez CIO, co ogranicza komunikację oraz możliwości identyfikacji i skuteczną odpowiedź na ataki realizowane równolegle za pośrednictwem wielu kanałów. Jako rozwiązanie postulowane jest czasem utworzenie nowego stanowiska w ramach zarządu – Chief Omnichannel Officer, odpowiedzialnego za zagwarantowanie spójności obsługi klienta, ale także sprawniejszą odpowiedź na nowe, rozproszone zagrożenia dla bezpieczeństwa.
Rosnące tempo postępu technologicznego oznacza, że celem podejmowanych działań nie może być tylko ochrona przed atakami. Najwyższa pora zacząć im zapobiegać. Poleganie na starzejącej się technologii przyczyniło się do umożliwienia przestępcom wykorzystania słabych punktów systemu. Zapobieganie musi polegać na usunięciu tych punktów, ale również uniemożliwieniu znalezienia kolejnych w przyszłości.
Marcin Wrotkowski, Country Team Leader, NCR Corporation