Nawet niedoskonałe narzędzia oparte o AI zawsze będą przynosić instytucjom finansowym nieocenione wsparcie. Każda wyłapana dzięki nim próba fraudu to konkretna korzyść i większe bezpieczeństwo klientów – podkreśla dr Michał Mostowik, adwokat, Senior Managing Associate, Deloitte Legal. Podczas Kongresu Płatności i Otwartych Finansów ekspert poprowadzi debatę „Nowe wymiary bezpieczeństwa – systemy antyfraudowe i AI w płatnościach”.
Łukasz Pałka, ZPF: W jakim stopniu instytucje finansowe wykorzystują sztuczną inteligencję (AI) w obszarze cyberbezpieczeństwa?
Dr Michał Mostowik, adwokat, Senior Managing Associate, Deloitte Legal: Prace nad tego rodzaju narzędziami są intensywne, często nawet bardziej zaawansowane niż w obszarze obsługi klienta czy wsparcia innych procesów.
Dlaczego?
Między innymi z tego powodu, że z AI korzystają również przestępcy, którym jest łatwiej z uwagi na pełną dowolność wykorzystania najbardziej zaawansowanych narzędzi AI w celu dokonywania oszustw lub innych bezprawnych działań. A instytucjom finansowym byłoby ciężko bronić się przed wykorzystaniem tak zaawansowanych technologii bez narzędzi o podobnej sile działania.
Po drugie, nawet niedoskonałe narzędzia oparte o AI mogą przynosić instytucjom finansowym nieocenione wsparcie. O ile udostępniając klientowi czatbota lub oceniając zdolność kredytową, każdy błąd może drogo kosztować instytucje finansowe, o tyle systemy antyfraudowe pozwalają unikać milionowych strat nawet, jeżeli w praktyce wyeliminują tylko niewielki odsetek oszustw. Każda zidentyfikowana próba fraudu to konkretna korzyść i większe bezpieczeństwo klientów.
Które z rozwiązań opartych o AI jest teraz kluczowe z punktu widzenia bezpieczeństwa rynku finansowego i klientów?
Wskazałbym przede wszystkim biometrię behawioralną, czyli narzędzia, które analizują zachowania klienta (np. ruch myszką, odczyty żyroskopu w telefonie), a dzięki temu są w stanie zidentyfikować podejrzane działania.
Na przykład próbę realizacji transakcji przez użytkownika, który nie jest właścicielem danego rachunku bankowego?
Tak. A wszystko dzięki temu, że z wykorzystaniem biometrii behawioralnej można analizować np. szybkość i rytm wpisywania danych na klawiaturze czy typowy dla konkretnego klienta sposób korzystania z aplikacji mobilnej banku. Nie musimy być pewni tożsamości osoby zalogowanej do aplikacji – wystarczy nam przekonanie graniczące z pewnością, że osoba korzystająca z aplikacji zachowuje się inaczej niż klient (np. trzyma telefon pod innym kątem, pisze zdecydowanie wolniej).
Do stosowania biometrii behawioralnej potrzebna jest zgoda klienta?
Tak. I właśnie z tym instytucje finansowe mają największy problem. Klienci dość niechętnie wyrażają zgodę na analizowanie swoich zachowań podczas korzystania np. z bankowości internetowej. W efekcie skuteczność biometrii behawioralnej w skali całego rynku jest niższa, a klienci – słabiej chronieni.
Z czego wynika ta ostrożność klientów?
Przez ostatnich kilkanaście lat publicznej dyskusji o danych osobowych nauczono konsumentów, że są one objęte niemal bezwzględną ochroną – „bo RODO” – nie należy ich podawać ani zgadzać się na ich przetwarzanie. Przedstawiciele NGOs i administracji publicznej szczególnie mocno przestrzegali przed zagrożeniami związanymi z biometrią, często bez pełnej świadomości rzeczywistego poziomu ochrony danych biometrycznych stosowanego w nowoczesnych rozwiązaniach.
Dlatego teraz trudno oczekiwać, że klient łatwo zaufa biometrii behawioralnej, nawet jeżeli w grę wchodzi tylko analiza prostych danych, takich jak położenie telefonu. Trzeba przekonać go do tego, że w zamian za zgodę może liczyć na większe bezpieczeństwo swoich oszczędności, często korzystając nawet z zachęt finansowych (np. poprzez obniżenie oprocentowania kredytu).
Pan osobiście nie ma problemu z taką zgodą?
Nie. Bez wahania udzieliłem zgód wszystkim bankom, które dały mi taką możliwość.
Czy zatem to RODO jest przeszkodą we wdrażaniu rozwiązań AI w cyberbezpieczeństwie?
Tak i uważam, że przy aktualnym zaawansowaniu technologicznym należy o tym otwarcie dyskutować. Kluczowa kwestia ze wspomnianymi przepisami RODO jest taka, że są one głęboko zakorzenione w systemie praw podstawowych osoby fizycznej i przez to dyskusja o korzystaniu z biometrii w celu ochrony klienta jest nierówna. Należy odpowiedzieć sobie na pytanie, czy kwestia ochrony danych jest bezwarunkowa i czy nie można podejść do niej bardziej elastycznie, np. gdy w grę wchodzi bezpieczeństwo środków i innych danych osobowych klienta. Moim zdaniem – wyłączenie obowiązku pozyskania zgody w takich przypadkach jest w pełni uzasadnione.
Często spotyka się opinie, że obecnie największym problemem instytucji finansowych w zakresie bezpieczeństwa wcale nie są wyrafinowane próby ataków hakerskich a manipulowanie klientami, by samodzielnie przelewali środki na konta oszustów.
Tego rodzaju ataki socjotechniczne (tzw. spoofing) mają też kluczowe znaczenie z prawnego punktu widzenia.
W uproszczeniu, można powiedzieć, że dotychczas odpowiedzialność instytucji finansowej i konieczność zwrotu klientowi ukradzionych środków dotyczyła wyłącznie nieautoryzowanych transakcji, czyli transakcji, na które klient nie wyraził zgody.
Tymczasem w przypadku spoofingu, w którym np. przestępca podszywa się pod pracownika banku czy instytucji publicznej, nikt nie kwestionuje tego, że to klient autoryzował oszukańczą transakcję. Zwykle sami klienci potwierdzają, że została ona przez nich osobiście autoryzowana, ale czują się poszkodowani z uwagi na błąd i manipulację.
Jakie to rodzi konsekwencje w zakresie odpowiedzialności instytucji finansowej?
Nowe przepisy unijne (w szczególności rozporządzenie PSR), nad którymi trwają intensywne prace, przerzucają na instytucje finansowe odpowiedzialność również za straty klientów w wyniku spoofingu. Czyli za przypadki, których instytucja finansowa nawet nie jest w stanie wyeliminować, ponieważ komunikacja oszusta z klientem odbywa się całkowicie z pominięciem tej instytucji.
Jak Pan ocenia tę zmianę?
Musimy poczekać na ostateczny kształt przepisów (przede wszystkim Rozporządzenia PSR). Niemniej prawodawca unijny powinien postawić granicę odpowiedzialności w możliwie najbardziej rozsądnym miejscu.
Klient oczywiście powinien być chroniony i nikt nie kwestionuje tego, że instytucja finansowa odpowiada za zabezpieczenie wydawanego instrumentu płatniczego. Ale jednocześnie ta sama instytucja powinna mieć możliwość obrony w przypadku podejrzeń, że klient nadużywa przepisów i np. kwestionuje transakcje, których faktycznie sam dokonał i nikt go nie oszukał. Warto rozważyć objęcie klientów taką szczególną ochroną, ale np. w sytuacji, gdy bank nie udostępnił możliwości zweryfikowania tożsamości pracownika banku. Jeżeli klient miał taką możliwość, ale z niej nie skorzystał – nie ma uzasadnienia dla rozwiązań wymagających od banku, żeby zwrócił klientowi utracone środki.
W tym kontekście wciąż bardzo istotna pozostaje edukacja klientów instytucji finansowych. Należy nieustannie mówić o zagrożeniach i tym, jak ich unikać. Ostatecznie, zawsze chodzi przecież o podnoszenie bezpieczeństwa klientów. W tym aspekcie cały rynek finansowy gra do jednej bramki.
***
Już 10 kwietnia 2025 r. podczas Kongresu Płatności i Otwartych Finansów dr Michał Mostowik poprowadzi debatę „Nowe wymiary bezpieczeństwa – systemy antyfraudowe i AI w płatnościach”.
Organizatorem wydarzenia jest ZPF. Szczegóły oraz zapisy na stronie: https://zpf.pl/kongres-platnosci-i-otwartych-finansow/