Michał Macierzyński: Mobilna autoryzacja – przyszłość, ale jaka?

Na naszych oczach tworzy się nowy sposób autoryzacji operacji w bankowości internetowej. Celowo podkreślam tutaj rolę tego kanału, bo w pewien sposób to on wyznacza standardy stosowane w innych dziedzinach elektronicznej gospodarki. Jeśli chodzi bowiem o bezpieczeństwo pieniędzy i ich obrotu, to trudno o kompromisy. Zarówno ze strony banków, jak i samych klientów, którzy im swoje pieniądze powierzają.

Bezpieczeństwo to fundament całego sektora bankowego, bez którego trudno wyobrazić sobie jego dalsze funkcjonowanie. Mało osób ma tego świadomość, ale jest to i będzie również w przyszłości ogromna przewaga konkurencyjna nad fintechami. Owszem, część stosowanych w bankowości zabezpieczeń to przykład przewrażliwienia departamentów bezpieczeństwa lub regulatora, jednak w przyszłości to właśnie konserwatywne podejście do (cyber)bezpieczeństwa może decydować o być albo nie być danego podmiotu, a może i całej branży. Fintechy mogą działać w sposób bardziej swobodny niż banki, które obracają środkami przede wszystkim swoich klientów. Ten przywilej – a jest to przywilej, dzięki któremu banki mają możliwość kreacji pieniądza – okupiony jest jednak licznymi wymogami ze strony państwowych czy międzynarodowych nadzorców. Zachowanie najwyższych standardów bezpieczeństwa jest jednym z takich wymogów.

Nie ma się co zatem dziwić, że banki przodują w wykorzystywaniu różnych sposobów zabezpieczeń. W bankowości internetowej właściwie od samego początku jej istnienia, poza loginem i hasłem, czymś standardowym są dodatkowe zabezpieczenia autoryzujące wykonanie operacji. Wszędzie tam, gdzie pojawia się obrót pieniędzmi, występują różnego rodzaju certyfikaty, szyfrowanie sesji, hasła jednorazowe, maskowanie hasła, obrazki bezpieczeństwa, etc. To standard, do którego każdy z klientów przywykł, stąd też dużo łatwiej zaczyna akceptować dwuskładnikową autoryzację w różnych serwisach czy usługach w sieci. To właśnie firmy z sektora finansowego, a zwłaszcza banki, przodują w powszechnej edukacji klienta w zakresie bezpiecznego korzystania z usług w internecie.

Banki oczywiście nie robią tego wszystkiego bezinteresownie. Dobrym tego przykładem jest sektor finansowy w USA, który bardzo długo opierał się dodatkowym narzędziom autoryzacji transakcji. Tamtejsze banki wolały się ubezpieczać przed stratami niż psuć komfort korzystania klientów. Nikt oczywiście nie wspominał, że takie dodatkowe zabezpieczenia były drogie we wdrożeniu i utrzymaniu, a dodatkowo negatywnie wpływały na wzrost liczby użytkowników i ich późniejsze aktywne korzystanie z bankowości internetowej. Dopiero po upomnieniu przez nadzorcę, wraz z coraz większymi i częstszymi stratami w wyniku cyberataków, amerykańskie banki wprowadziły kilka lat temu dodatkowe narzędzia autoryzacji operacji, które w Europie od dawna były standardem.

Dotykamy tutaj bardzo istotniej kwestii – kosztów dodatkowej autoryzacji i strony, która ma je ponosić. Z punktu widzenia bezpieczeństwa, najlepiej byłoby, żeby klient przy każdym logowaniu czy operacji wpływającej na saldo rachunku, korzystał z dodatkowego narzędzia autoryzacji. Wyzwaniem jest jednak fakt, że większość (często 9 na 10) logowań do systemu bankowości internetowej to proste sprawdzenie salda, historii rachunku lub ewentualnie wykonanie przelewu na wcześniej zdefiniowany rachunek. To powoduje, że pojawia się przestrzeń do oszczędności, która jednocześnie wpływa na wygodę codziennego korzystania z usług bankowych (i pomyśleć, że przed internetem trzeba było czekać cały miesiąc na papierowy wyciąg z konta…). Stąd też standardowym zabezpieczeniem stały się hasła jednorazowe – tzw. TAN – zazwyczaj w postaci listy jednorazowych haseł zapisanych na kartce papieru lub plastiku. Taka lista może służyć klientowi latami i jest tańszą alternatywą dla kosztownych tokenów. Wyzwaniem jest bowiem nie tyle koszt samego urządzenia, co związana z nimi logistyka – bezpieczna wysyłka do klienta, proces aktywacji, termin ważności i w końcu spora niedogodność. Token trzeba zawsze mieć przy sobie – nawet jeśli chcemy tylko sprawdzić saldo rachunku. Nikt jeszcze w czasach świetności tych urządzeń nie przewidywał, jakie w przyszłości problemy i ograniczenia taki system spowoduje w rozwoju chociażby bankowości mobilnej.

Z tych też powodów obowiązującym do dzisiaj standardem stały się jednorazowe hasła dostarczane krótką wiadomością tekstową – czyli po prostu SMSem. W stosunku do tradycyjnych haseł jednorazowych wzmacniały one bezpieczeństwo poprzez generowanie jednorazowych haseł, z drugiej przynosiły oszczędności skali. Zacznie taniej jest wysłać SMSa do klienta, niż wysyłać mu pocztą token. Do tego bank zapewnia sobie, że będzie w posiadaniu jego aktywnego numeru telefonu (zmora każdego bankowca – niezaktualizowane dane osobowe). Jako zamiennik płatnych tokenów, niektóre banki przyzwyczaiły też klientów do opłat za takie SMSy, dzięki czemu nie muszą ponosić pełnych kosztów utrzymania nowej usługi. No i rzecz najważniejsza – praktycznie każdy użytkownik telefonu korzysta z SMSów. Nawet jeśli ich nie wysyła, to przynajmniej potrafi odczytać. Nie trzeba do tego specjalnie konfigurować telefonu, kupować specjalnej karty SIM, nie potrzeba podawać i pamiętać dodatkowego hasła, etc. SMSy, które zostały wymyślone jako narzędzie przysyłania krótkich informacji serwisowych przez telekomy, szybko zostały zaadaptowane przez klientów do komunikacji, a chwilę potem przez firmy.

W teorii SMSy gwarantują, że osoba, która identyfikuje się podanym wcześniej numerem telefonu, jest w jego fizycznym posiadaniu, czyli osobą, za którą się podaje. A że komórka pełni w naszym społeczeństwie specjalne miejsce i rolę, nie ma się co dziwić, że wystarcza jako narzędzie do mocnego zabezpieczenia w większości usług internetowych i mobilnych. W praktyce okazuje się jednak, że chociaż dostarcza wysoki poziom zabezpieczeń, to ma też swoje wady. Przede wszystkim coraz częściej są nimi koszty. Im usługa powszechniejsza, tym klienci wykonują więcej operacji, które muszą być potwierdzone krótką wiadomością tekstową. Każda z nich to koszt przynajmniej kilku groszy, nie licząc kosztów infrastruktury. Oczywiście im większa instytucja tym lepsze ceny, ale warto pamiętać o tym, że wysyłanych są dziesiątki, a nawet setki tysięcy wiadomości. Wszystkie powinny znaleźć się jak najszybciej na ekranie odbiorcy. To wszystko generuje koszty oraz tworzy dodatkowe ryzyko operacyjne. Awaria jakiejś sieci często odbierana jest jako awaria banku. Kolejnym wyzwaniem są nowe sposoby ataków dokonywanych przez przestępców. Banki na każdym kroku przypominają, żeby dokładnie czytać treść SMSów autoryzacyjnych, ale niestety wiele osób tego nie robi. Przy braku dwustronnej interakcji, jeśli klient nie doczyta skróconej w formie informacji, może stracić pieniądze. Linia orzecznictwa niektórych sądów coraz częściej idzie w kierunku udowodnienia przez bank rażącego zaniedbania po stronie klienta. To może być trudne i dyskusyjne. Dlatego cały czas trwają poszukiwania nowych rozwiązań, które przy komforcie korzystania z SMSów, zwiększą bezpieczeństwo transakcji, a przy tej okazji będą tańszą alternatywą.

W tym kontekście najczęściej wymieniane są obecnie dwa rozwiązania – zabezpieczenia oparte na biometrii lub ogólnie mówiąc mobilnej autoryzacji. Fakt, że nasz smartfon to w zasadzie bardzo zaawansowany komputer wyposażony w kamery i różne czujniki pozwala często połączyć obie te rzeczy, co zresztą widać w wielu pojawiających się na rynku rozwiązaniach. W wielu krajach popularnym rozwiązaniem jest wykorzystywanie podpisu kwalifikowanego, który w Polsce ma się powszechniej pojawić wraz z nowym dowodem osobistym. W tym ostatnim przypadku trzeba jednak poczekać jeszcze kilka lat – wymiana dowodów ma się zacząć w 2019 roku. Komercyjny podpis elektroniczny w całej Polsce ma ok. 300 tysięcy osób, co w skali całego rynku jest kroplą w morzu. Rozwiązanie to wymaga też dodatkowej infrastruktury. Dowodu nie da się przecież włożyć do monitora czy telefonu – potrzebne będą odpowiednie czytniki. Może nie są one drogie, ale jest to kolejna przeszkoda w umasowieniu rozwiązania. Jeśli zaś zaczynamy mówić o odmiejscowieniu podpisu i umieszczeniu go w chmurze, tak żeby korzystać z niego z każdego miejsca i na każdym urządzeniu, to w zasadzie dochodzimy do rozwiązań, o których wcześniej wspomniałem – biometrii lub mobilnej autoryzacji. W przypadku tej pierwszej wyzwaniem, podobnie jak przy podpisie elektronicznym, jest infrastruktura – o ile odcisk palca, tęczówkę, czy twarz „mamy” cały czas przy sobie, to pozostaje problem urządzenia rozpoznającego nasze cechy biometryczne. Może to być nasz telefon, tutaj jednak zaczynamy rozbijać się o techniczne wymagania co do urządzenia. O ile SMSa odbiera każdy współczesny telefon komórkowy, to z czytnikiem odcisku palca, kamerą o odpowiednich wymaganiach technicznych, głośnikiem, czy odpowiednio szybkim transferem internetu nie musi być już tak łatwo czy raczej tanio. Wbudowane rozwiązania biometryczne o dobrej jakości mają zazwyczaj flagowce, a przecież bezpieczna autoryzacja ma służyć każdemu, nie tylko posiadaczom najdroższych telefonów. Stąd też chociaż tak dużo mówi się o biometrii, to równolegle trwają intensywne prace nad alternatywnymi sposobami autoryzacji. Takimi jak standard U2F czy szeroko pojęta mobilna autoryzacja. Jednym z najmocniejszych kandydatów jest w tym przypadku rozwiązanie pod nazwą Mobile Connect.

Ma ono wiele zalet. Największą z nich jest fakt, że jest promowane przez GSMA, czyli organizację zrzeszającą i reprezentującą interesy blisko 800 operatorów GSM z całego świata. To zaś implikuje, że jest to usługa o zasięgu globalnym, która jest tak samo uniwersalna jak znany nam wszystkim SMS. Jeśli dodamy do tego wysoki poziom bezpieczeństwa, to można oczekiwać, że jeśli będziemy mówić o jakimś nowym standardzie autoryzacji czy jak to bardziej chcą telekomy – cyfrowej tożsamości, to właśnie Mobile Connect będzie służył za  rynkowy benchmark. O samym rozwiązaniu można szerzej poczytać w internecie, a zwłaszcza na stronach samego GSMA. Jest to usługa przeznaczona dla całego ekosystemu cyfrowego – a zatem nie tylko do internetu, ale również do usług mobilnych. W bezpieczny i wygodny sposób rozwiązuje problem posiadania wielu haseł i loginów i co równie istotne –  potrzeby każdorazowej rejestracji do nowego serwisu czy usługi. Wystarczy podać swój numer komórki (o ile wcześniej nie został na danej stronie zapisany) i potwierdzić operację w telefonie. Przy operacjach wymagających większego bezpieczeństwa dodatkowym zabezpieczeniem jest indywidualny PIN. Oczywiście można powiedzieć, że to w sumie nic nowego, bo przecież na podobnej zasadzie działa Facebook Login czy podobna usługa od Google czy LinkedIn. Tyle, że w tym przypadku za bezpieczeństwo odpowiada telekom, po którego sieci infrastrukturalnej przesyłana jest cała komunikacja. Dodatkowo MC działa niezależnie od systemu operacyjnego, wykorzystując aplikację wgraną na karcie SIM. To ona odpowiada za bezpieczeństwo i podobnie jak w przypadku komunikacji USSD wyświetla komunikaty „ponad” czy „poza” systemem operacyjnym. To dodatkowe zabezpieczenie, bo w tle telekom może przesyłać również dane dotyczące lokalizacji telefonu na podstawie triangulacji GSM, a nie GPS, informację czy w ostatnim czasie karta SIM nie była przez klienta wymieniana, etc. Wraz z zestawem innych danych tworzy to mocny wkład dla systemu antyfraudowego. Niewątpliwą zaletą jest również fakt, że rozwiązanie działa na każdym telefonie – również takim, w którym wyłączony jest internet. Jeśli do zalet dodamy fakt, że teoretycznie działa ze wszystkimi nowymi kartami SIM, a zatem nie jest potrzebna ich wymiana, ani co bardzo istotne nie trzeba na telefonie nic instalować i konfigurować, można bez cienia wątpliwości stwierdzić, że na światowym rynku pojawia się nowy standard autoryzacji i identyfikacji. Co więcej, rozwiązanie umożliwia przekazywanie naszej tożsamości – oczywiście za zgodą użytkownika. Dla wygody może też być rozbudowane o aplikację mobilną. Sprawia to, że rozwiązanie doskonale pasuje nie tylko do szeroko pojętego komercyjnego e- i m-commerce, ale również usług eAdministracji. Zresztą to właśnie w ramach pilotażu razem z Ministerstwem Cyfryzacji, telekomy chcą wykorzystać Mobile Connect jako nośnik mDokumentów.

Czy zatem lada chwila będziemy masowo potwierdzać w komórce nasze przelewy? Zarówno w teorii, jak i praktyce, wszystko jest gotowe. Rozwiązanie jest uniwersalne, sprawdzone w kilku krajach na całym świecie, łatwe do wdrożenia zarówno przez telekomy, jak i wykorzystujące je serwisy z sektora komercyjnego czy rządowego. Do tego wszystko jest bezpieczne i łatwe w użyciu. Można zatem powiedzieć, że są wszystkie potrzebne elementy do odniesienia rynkowego sukcesu, w tym komercyjnego. Jest to o tyle istotne, że telekomy cały czas szukają nowych źródeł przychodów, zwłaszcza takich, które wymagają posiadania karty SIM, nad którą mają pełną kontrolę.

Czy tak się stanie? Patrząc na usługę jako taką myślę, że powinna odnieść sukces. Mam jednak wątpliwości, czy będzie on w Polsce tak duży i szybki, jakby chciały tego telekomy. Dlaczego? Ponieważ mam wiele wątpliwości czy banki ten nowy standard autoryzacji będą chciały wykorzystać w szerszym zakresie. A jeśli już, to kiedy. Im później się do tego zaczną przymierzać, tym będzie większa pokusa w znalezieniu alternatywnego rozwiązania – na przykład w oparciu o autoryzację w aplikacji mobilnej banku. Mimo wielu niezaprzeczalnych zalet, Mobile Connect ma też, przynajmniej z punktu widzenia banków, sporo wad. Nie owijając w bawełnę, można powiedzieć, że chodzi przede wszystkim o pieniądze. Z ubiegłorocznego raportu Obserwatorium.biz wynika, że banki wydają rocznie nawet 60-70 milionów złotych (sic!) na obsługę wiadomości SMS wysyłanych do autoryzacji transakcji. To dopiero początek, bo kwota ta będzie bardzo szybko rosła. Chociaż nie ma jeszcze dokładnych szczegółów, to wchodząca za chwilę dyrektywa PSD2 znacząco zwiększy liczbę wysyłanych SMSów. Będą one potrzebne również przy logowaniu do bankowości internetowej, dostępie do historii rachunku, a zapewne również przy udostępnianiu danych klienta zewnętrznym podmiotom w ramach otwartego i komercyjnego API. To wszystko oznacza dla banków znaczące zwiększenie liczby SMSów i to nawet jeśli będą one potrzebne nie przy każdym logowaniu, a na przykład raz w miesiącu czy w kwartale. To wszystko powoduje, że banki, zwłaszcza te największe, muszą w miarę szybko zacząć wdrażać nowe sposoby autoryzacji. I tutaj dochodzimy do największego wyzwania – kosztów implementacji, a potem utrzymania takiego systemu. Przy milionach autoryzowanych operacji i znacznie większej liczbie logowań do serwisów transakcyjnych (w przypadku PKO Banku Polskiego miesięcznie jest to ok. 4 mln indywidualnych klientów) kwoty zaczynają być wysokie. A to nie pierwsza wada (z punktu widzenia banku) nowego rozwiązania. Kolejną jest oddanie w pewien sposób części kontroli nad klientem do zewnętrznego podmiotu. Chodzi tu (paradoksalnie) zarówno o kwestie bezpieczeństwa, jak również o kwestie biznesowe – zawsze bowiem istnieje ryzyko, że w przypadku, gdyby to miał być jedyny (główny) sposób logowania, operator mógłby podnieść cenę lub promować logowanie do konkurencyjnego banku/fintechu. Nie zapominajmy przy tym, że poza Play, każdy operator infrastrukturalny ma swój bank. Powoduje to, że w jakimś sensie jest też bezpośrednim konkurentem dla innych instytucji finansowych. Istotną kwestią jest również to, czy usługa byłaby dostępna u każdego operatora od razu (w tym dla MVNO) i czy trzeba byłoby ją podpisywać i negocjować ceny z każdym dostawcą z osobna. Przykład płatności NFC opartych o kartę SIM dość dobrze pokazuje, czym takie nieuporządkowanie rynku się kończy…

O kosztach i szansach wdrożenia w bankach nowego systemu autoryzacji można byłoby łatwiej dyskutować, gdyby był już on upowszechniony. A właśnie tutaj kryje się moim zdaniem największa słabość Mobile Connect. W praktyce cały czas mówimy o rychłym starcie. Jednak to, że pojawi się on u operatorów w wybranych usługach, nie przesądza o upowszechnieniu. To wyzwanie, które czeka przed każdą innowacją. Umasowienie wymaga z jednej strony powstania infrastruktury, gdzie użytkownicy będą mogli się zalogować czy zautoryzować, z drugiej nasycenia bazy końcowych użytkowników. W ten sposób dochodzimy do dylematu przyczynowo-skutkowego, znanego powszechnie jako pytanie „co było pierwsze – jajko czy kura”. Użytkownicy nie będą zainteresowani uruchomieniem nowej usługi, jeśli nie będą mogli z niej nigdzie skorzystać. Z kolei dostawcy usług nie mają motywacji do implementacji nowego rozwiązania, skoro nikt z niego nie korzysta, a do tego jest płatne. Musieliby podwójnie ponosić koszt – z jednej strony za upowszechnianie (czyli promowanie usługi telekomów), z drugiej za wykorzystanie jej przez klientów. Owszem, niektórym może się to opłacać ze względu na bezpieczeństwo, ale tylko przy założeniu, że na rynku nie ma alternatyw. A te istnieją i zdają się całkiem dobrze sobie radzić.

Dowodem na to jest mobilna autoryzacja, którą w ubiegłym roku wdrożył mBank, a od niedawna oferuje nomen omen T-Mobile Usługi Bankowe i ING BSK. Nad takimi rozwiązaniami pracują też inne banki – m.in. BZ WBK czy PKO Bank Polski. Wydaje się, że w najbliższym czasie będzie to właśnie nowy sposób autoryzacji używanej w bankowości internetowej. Z doświadczenia wiem jednak, że nie będzie to droga usłana różami i proces upowszechnienia tego nowego rozwiązania również w przypadku banków będzie trwał kilka lat, a i tak nie ma pewności, że w pełni wyprze tradycyjne TANy czy SMSy. Bankom będzie się jednak opłacało przejście na nowe metody autoryzacji. Po pierwsze dlatego, że są one odporniejsze na najbardziej rozpowszechnione ataki, na przykład na phishing, czy bardziej zaawansowane ataki typu man-in-the-middle. Dodając do tego niższe koszty od dotychczas stosowanych rozwiązań, lepszą kontrolę nad rozwiązaniem, a w końcu kolejne narzędzie do upowszechniania bankowości mobilnej i idei omnikanałowości – jasne jest, że właśnie to rozwiązanie będzie preferowane przez banki. Tym bardziej, że w praktyce każdy posiadacz bankowej aplikacji (mówimy o kilku milionach klientów w skali całego rynku) potencjalnie może skorzystać z takiego rozwiązania. Oczywiście nie będzie to prosty proces. Wspominany mBank promował swoje rozwiązanie, wypłacając nowym użytkownikom 10 złotych. To pokazuje, że klienci wcale nie muszą chcieć się tak łatwo przesiąść – i to mimo, że część starych rozwiązań służących do autoryzacji jest płatna. Wysiłek związany z aktywacją nowego rozwiązania i nauczenie się korzystania z niego, może być znacznie większy niż potencjalne korzyści. Tym bardziej, że są one widoczne bardziej przez banki niż ich klientów – zwłaszcza takich, którzy wykonują ograniczoną liczbę operacji wymagających autoryzacji. A takich jest w gruncie rzeczy większość.

Ten właśnie przykład wskazuje, jak trudno może być telekomom upowszechnić nowe narzędzie, które do tego nie jest bezpośrednio związane z usługami na co dzień przez nie świadczonymi. Mobile Connect może być włączony przez operatora (ale tutaj będzie tak czy inaczej potrzebna jakaś zgoda/komunikacja do abonenta) lub też użytkownik może się do usługi zapisać samodzielnie. Teoretycznie proces zapisywania się jest bardzo prosty, jednak w praktyce wymaga od klienta spełnienia kilku czynności, w tym nadania PINu do usługi i wyrażenia kilku zgód. Wcześniej jednak najważniejsze, trzeba go zachęcić do zainteresowania się nią, a przynajmniej na początku, może to być największym wyzwaniem w całej operacji.

Operatorzy swojej szansy szukają w usługach eAdministracji. W końcu każda dorosła osoba ma dowód osobisty, wielu z nas prawo jazdy i od czasu do czasu potrzebujemy tych dokumentów. Problem w tym, że do momentu, w którym nie wyeliminuje się wszystkich miejsc i sytuacji, w których potrzebna jest nam ta poliwęglanowa karta z naszymi danymi, nie zrezygnujemy z noszenia jej przy sobie. Będzie to zatem ważne, ale przynajmniej na początku, niszowe w skali całego rynku źródło użytkowników. Zwłaszcza, że administracja jako taka będzie promowała również inne rozwiązania – zarówno swoje (nowe dowody, profil zaufany), jak i dostarczane przez inne podmioty – na przykład banki, a w przyszłości w ramach tak zwanego węzła krajowego, również innych dostawców tożsamości (oczywiście w tym również telekomów). Warto przypomnieć, że wszystkie z nich będą oferowane w tym przypadku bezpłatnie. Czyli bez nogi komercyjnej – im więcej użycia w administracji, tym większe koszty własne. Oczywiście nie można zapominać, że mDokumenty wykorzystujące usługę Mobile Connect mają ogromny potencjał wizerunkowy i promocyjny, ale to może nie wystarczyć do tego, żeby automatycznie stała się powszechna w innych sektorach gospodarki i wykorzystywana komercyjnie. Tylko wówczas może zastąpić SMSy wykorzystywane do autoryzacji, a przecież o to właśnie chodzi telekomom – o upowszechnienie nowej, płatnej usługi, która jest czymś dodatkowym do obecnie świadczonych usług.

Jako sektor banki same z siebie nie spieszyłyby się z wdrażaniem nowych, własnych sposobów autoryzacji. Obecnie stosowane, w połączeniu z różnymi technikami zabezpieczeń, oferują odpowiednio wysoki poziom bezpieczeństwa. Gdyby mogły wybierać, zapewne chętnie zostałyby dalej przy SMSach, ewentualnie konwertując na nie wszystkich klientów korzystających z tradycyjnych TANów, czekając jednocześnie na upowszechnienie się nowych sposobów zabezpieczeń. Nawet jeśli nie mogłyby korzystać bezpośrednio z rozwiązań stosowanych na przykład przez Apple (geolokalizacja i kod autoryzacyjny na drugim urządzeniu), to wdrożenie podobnego we własnym zakresie miałoby szanse na znacznie szybsze i tańsze upowszechnienie. Koszt edukacji po prostu ponosiłby już ktoś inny – tak jak miało to w pewien sposób miejsce w przypadku kodów autoryzacyjnych przesyłanych SMSem. Zapewne w tym przypadku mogłoby być podobnie, gdyby nie konsekwencje wspominanej już dyrektywy PSD2, która wymusi szybsze działania ze strony banków również w tym zakresie.

Paradoksalnie może się okazać, że to wszystko może przynieść również niespodziewany efekt. Mobilna autoryzacja wykorzystywana w serwisach bankowych, może bardzo szybko upowszechnić w innych miejscach. W zasadzie od razu pojawi się w eAdministracji – bo tam praktycznie  każde podpisane dokumentu, a często również logowanie wymaga narzędzia do autoryzacji. Równolegle będzie to narzędzie dla różnych fintechów chcących mieć dostęp do konta klienta, czy usług wystawianych przez banki przez swoje API. Dlaczego w takim przypadku autoryzacja zewnętrznych usług nie mogłaby być kolejną, płatną usługą? Tak jak telekomy chcą przekonać do swojego Mobile Connect, bo to może stworzyć kolejne źródło przychodów, jednocześnie wspierając dalszą potrzebę posiadania fizycznej karty SIM, tak banki poza kwestiami finansowymi (źródło oszczędności), traktują to jako narzędzie do dalszego upowszechnienia swoich mobilnych rozwiązań, a także przyzwyczajenia do korzystania ze swoich, a nie konkurencyjnych usług. Zwłaszcza, że konkurencja jest o wiele szersza niż inne banki czy nawet podmioty z sektora finansowego.

Mobilna autoryzacja w wersji bankowej ma dla instytucji finansowych wiele zalet. Po pierwsze bank ma nad nią większą kontrolę. Może wykorzystać inne systemy i sposoby zabezpieczeń, dodając specyficzne funkcje, zwiększające jeszcze bardziej bezpieczeństwo wykonywanych transakcji. Zabezpieczeniem nie musi być przecież tylko PIN do aplikacji, ale również innego rodzaju informacje: ostatnia cyfra rachunku NRB, na który wykonywany jest przelew, wybrane cyfry z numeru PESEL, ale również nazwisko panieńskie matki, czy inne informacje, które zwiększają bezpieczeństwo. Wymusza to interakcje z klientem, której brakuje w jednokierunkowych, automatycznych kanałach. Nie ma przy tym powodów, żeby dodatkowym zabezpieczeniem mobilnej autoryzacji nie mogła być biometria czy inne kombinacje zabezpieczeń. Stosowane osobno mają swoje wady. W połączeniu zwiększają łańcuch bezpieczeństwa. Co ciekawe jednym z wielu zabezpieczeń (dobezpieczeń) może być też… Mobile Connect – zwłaszcza dla samej bankowości mobilnej. Dzięki temu unika się sytuacji, że operację autoryzuje się tym samym kanałem i tym samym narzędziem. Wraz ze wzrostem znaczenia bankowości mobilnej to właśnie zabezpieczenie tego kanału będzie dla banków największym wyzwaniem.

Autoryzacja transakcji bankowych z całą pewnością będzie jednym z ważniejszych pól bitewnych w tworzeniu standardów bezpieczeństwa w polskim e- i m-handlu. Równie istotnym będą rozwiązania przyjęte w administracji i wśród największych usługodawców – zarówno rodzimych, jak i zagranicznych. Gdyby na przykład z Mobile Connect chciał skorzystać Google czy Facebook, albo na przykład Amazon czy Allegro, to takie rozwiązanie miałoby znacznie większą szansę na szybsze upowszechnienie. Wówczas również inne podmioty komercyjne miałyby mniejszy dylemat, z jakiego rozwiązania i przede wszystkim kiedy zacząć korzystać. Zwłaszcza, że w odróżnieniu od mobilnej autoryzacji czy na przykład BLIKA (tak, ten kod również może służyć do autoryzacji i dokładnej identyfikacji korzystającej z niej osoby), teoretycznie Mobile Connect może być usługą świadczoną powszechnie, w każdym kraju, tak jak obecnie dzieje się to z SMSami. Tyle, że te ostatnie wcale nie zostały wymyślone po to, żeby autoryzować transakcje, również nie po to, żeby ludzie mieli się za ich pomocą komunikować. Wyszło to w zasadzie przez przypadek, a może przede wszystkim ze względów… finansowych. SMSy były tańsze niż rozmowy głosowe, a przy okazji znane użytkownikom pagerów. Przykład WAP lub płatności SIM-Centric pokazują, że jeśli teraz ma się udać z Mobile Connect, to telekomy muszą pomyśleć, jak razem upowszechnić tę usługę. Dużo się mówi, że o ile banki potrafią wznieść się ponad podziałami i razem współpracować (przykład spółki PSP), to telekomom jako branży za bardzo to nie wychodzi (ostatni przykład roamingu w UE). I chociaż zazwyczaj tego typu teksty kończy się stwierdzeniem, że na końcu najlepsze rozwiązanie wybierze klient, to tym razem może się jednak okazać, że w przypadku Mobile Connect dużo będzie się mówiło, ale ostatecznie na polskim rynku wygra federacyjny model oferowany przez banki. Czy tak się rzeczywiście stanie, pokaże najbliższa przyszłość. Myślę, że za rok będziemy już mogli z dużą dozą pewności to określić.

dr Michał Macierzyński

zastępca dyrektora Centrum Bankowości Mobilnej i Internetowej

PKO Bank Polski

Zastępca Dyrektora Centrum Bankowości Mobilnej i Internetowej w PKO Banku Polskim. Doktor nauk ekonomicznych. Od wielu lat związany z bankowością i nowoczesnymi technologiami. W PKO Banku Polskim odpowiedzialny za rozwój bankowości i płatności mobilnych oraz projekty związane z cyfryzacją państwa. Wcześniej jako dyrektor Biura Innowacji odpowiedzialny za całościową rewitalizację Szkolnych Kas Oszczędności, a także wprowadzenie kompleksowej oferty PKO Junior – pierwszego w Polsce konta i karty płatniczej dla dzieci poniżej 13 roku życia. Zainicjował wdrożenie i uruchomił projekt płatności mobilnych IKO. Autor licznych raportów, analiz, publikacji naukowych i artykułów prasowych na temat bankowości.