Asystent głosowy Siri działający na urządzeniach Apple zyskał w ostatnich tygodniach nowe funkcje. Deweloperzy aplikacji płatniczych mogą zintegrować swoje oprogramowanie tak, aby przyjmowało komendy wypowiadane przez użytkownika. Proces wygląda efektownie, ale na drodze do rozpowszechnienia się prostych „płatności głosowych” mogą stanąć regulacje.
„Hej Siri, wyślij Johnowi 10 dolarów” – tak zatytułowana była informacja prasowa Apple z początku września prezentująca nowe możliwości głosowego asystenta. Deweloperzy otrzymali do ręki SiriKit – zestaw narzędzi pozwalających uruchomić niektóre funkcje aplikacji za pomocą głosu.
W pierwszej kolejności z nowych możliwości skorzystały amerykańskie aplikacje służące do rozliczeń P2P – Square Cash i Venmo (PayPal). Komenda głosowa pozwala za jednym zamachem określić adresata, kwotę i opis transakcji. Użytkownik Venmo może powiedzieć – „Hej Siri, zapłać Ronaldowi 10 dolarów za McDonalda”. Kolejnym krokiem jest wyświetlenie na ekranie wizualnego potwierdzenia danych przelewu i zaakceptowanie transferu, także za pomocą komendy głosowej.
Proces zachwyca prostotą, ale ceną za łatwość użycia jest bezpieczeństwo. Warto przypomnieć przy okazji czym różni się rozpoznawanie głosu od weryfikacji biometrycznej. Asystent głosowy w iOS nie porównuje głosu wydającego komendy ze wzorcem, jest tylko w stanie odczytać wydane polecenie. Urządzenie musi być odblokowane, żeby np. uruchomić aplikacje. Nieco inaczej podszedł do sprawy Google, gdzie komenda „OK, Google” może zostać użyta także do przebudzenia telefonu i oblokowania go (tzw. „zaufany głos”). Późniejsze polecenia głosowe też jednak nie są porównywane ze wzorcem, może je wypowiedzieć inna osoba.
Jeśli potwierdzeniu transakcji nie towarzyszy żaden dodatkowy mechanizm weryfikacji użytkownika, płatność via Siri może zlecić każdy, kto ma chociaż na chwilę dostęp do telefonu. Limity płatności w przypadku Venmo nie są wcale skromne – dla nowego użytkownika wynoszą 300 dolarów, a dla zweryfikowanego – 3000 dolarów na jedną transakcję. Aby „głosowa płatność” zadziałała, odbiorca musi jednak znajdować się na liście znajomych. Samą aplikację można zabezpieczyć PIN-em, ale jak wynika z dokumentacji Venmo w przypadku zlecenia przez Siri opcja ta nie jest dostępna.
Albo łatwo albo bezpiecznie
Amerykańscy dostawcy usług płatniczych do kwestii bezpieczeństwa płatności w sieci podchodzą nieco luźniej niż europejscy. Miękkie, na razie, regulacje EBC wymagają silnego uwierzytelnienia płatnika w przypadku transakcji online. Banki i usługodawcy muszą dostosować się do zaleceń lub uzasadnić swoje „niestandardowe” podejście. Wkrótce jednak zaczną obowiązywać nowe standardy związane z wdrożeniem drugiej wersji dyrektywy o usługach płatniczych.
„W obecnym projekcie regulacyjnych standardów technicznych towarzyszących dyrektywie PSD2 wymaga się silnego uwierzytelnienia użytkownika przy transakcjach zdalnych. Wyjątkiem są transakcje na kwoty poniżej 10 euro, przy czym i tak oczekuje się uwierzytelnienia po przekroczeniu progu łącznej kwoty operacji na poziomie 100 euro. W przypadku ‘płatności zlecanych głosem’ silne uwierzytelnienie byłoby zapewnione, gdyby urządzenie nie tylko rozpoznawało wypowiadane słowa, ale także sprawdzało, czy głos należy do zarejestrowanej osoby, oraz gdy całość następowałaby z uprzednio zarejestrowanego telefonu (instalacji aplikacji). Mamy wówczas połączenie czegoś, co użytkownik posiada (telefon) i czegoś, czym użytkownik jest (weryfikacja głosu). Jeśli weryfikacji głosu nie będzie, pozostaną tradycyjne metody typu urządzenie i PIN” – komentuje dr Krzysztof Korus, partner w dLK Legal.
Bardziej ostrożne podejście widać już we wdrożeniu „płatności przez Siri” brytyjskiego challenger banku Monzo. Tam po wydaniu komendy głosowej konieczne jest dodatkowo potwierdzenie operacji odciskiem palca. Płacenie w stu procentach „hands free”, np. podczas przejażdżki samochodem, może zatem nie zawitać do Europy. Ewentualnie będzie ograniczone do drobnych kwot, mieszczących się w limitach, lub „białej listy” zdefiniowanych w aplikacji odbiorców. Niewykluczone jednak, że podejście nadzoru zostanie złagodzone w trakcie trwających jeszcze konsultacji.
„Rynek już powoli dyskontuje oczekiwanie, że EBA wycofa się z restrykcyjnego podejścia do wymogu silnego uwierzytelnienia i dopuści tzw. risk based approach (możliwość autoryzacji zleceń płatniczych na podstawie analizy ryzyka). To może oznaczać, że uproszczone metody płatności będą mogły działać w przyszłym reżimie prawnym” – dodaje Korus.