Nemám na mysli otřepaný vtip o návštěvníkovi baru, co che získat zadarmo lahodný nápoj. Tentokrát půjde o jeden z hlavních fintechových trendů, očekávaný v letošním roce. Studie společnosti Global Payments provedená na základě rozhovorů s předními odborníky na platební služby, průzkumy mezi spotřebiteli i podniky a konec konců i rozborem mnoha dalších prací nám poskytuje souhrnný pohled na to, co by mohlo v roce 2023 hýbat světem inovací. Sem bezesporu patří biometrie.
Rozšíření biometrie mezi spotřebitele
Biometrie je sada údajů o některých fyzických vlastnostech člověka, které jsou pro danou osobu unikátní a u jiné osoby se neopakují. Typickým příkladem je otisk prstu, jež známe z detektivek a daktyloskopie získávané na místě činu. Otisk prstu je zkrátka jeden jediný a lze podle něj určit konkrétního jednoho člověka. Pro účely tohoto článku nechme nyní stranou případy některých jednovaječných dvojčat, u nichž můžeme pozorovat některé stejné biometrické prvky.
Podle výše uvedeného materiálu má 86% spotřebitelů zájem o rozšíření používání biometrických údajů k ověřování své totožnosti nebo provádění plateb. Tady je vidět, že všechno zlé je pro něco dobré. K rozšíření popularity biometrie přispěla poslední dobou hlavně pandemie coronaviru, kdy se mimo jiné rozmohlo bezkontaktní placení mobilním zařízením. Nebylo nutné se tak dotýkat platebního terminálu. Konkrétně pokud platíte mobilním telefonem, využívá se k tomu biometrických údajů vaše otisku prstu nebo biometrické charakteristiky obličeje.
Podle průzkumu Globe Newswire mají téměř tři čtvrtiny (74 %) spotřebitelů na celém světě mají k biometrickým technologiím kladný vztah. Mezi výhody biometrického ověřování patří pro spotřebitele jednoduchost a bezpečnost. Podle jiné studie se 70 % spotřebitelů domnívá, že biometrické údaje jsou snadné, a 46 % si myslí, že jsou bezpečnější než hesla nebo PIN kódy. Na to se podívejme nyní podrobněji.
Bezpečnost uživatele
Používání biometrie je jednodušší a zároveň bezpečnější hned z několika pohledů. Biometrické údaje jako je náš prst, náš obličej nebo duhovka našeho oka „nosíme“ stále s sebou. S ohledem na zakrytí obličeje rouškou nebo jen šálou za nepříznivého počasí se jeví praktičtější použití daktyloskopie prstu, ovšem to je z tohoto pohledu detail.
Na rozdíl od hesel či PINů nemůže nikdo tyto naše údaje opsat. Vzpomínám si v tomto směru na pokus, který udělala parta nadšenců v době, kdy se v prodejní síti objevil první iPhone s tlačítkem, jež snímalo biometrii prstu uživatele. Tato parta se rozhodla systém ošálit falešným otiskem. Nakonec se jim to podařilo! Ovšem dlužno dodat, že k tomu potřebovali nějakých 36 technologických kroků a především byla nutná spolupráce majitele dotyčného prstu, jehož biometrie se kopírovala na jiné mobilní zařízení.
Další výhodou je, že heslo můžete zapomenout a samotná procedura obnovy hesla bývá buďto velmi složitá nebo naopak příliš jednoduchá, což úroveň zabezpečení ve svém důsledku devalvuje. Vlastní biometrii zapomenout nelze.
V neposlední řadě je biometrie zcela unikátní pro jednoho člověka a je mnohem složitější a komplexnější než jakékoli doposud běžně používané heslo. Její odhalení a replikace je tedy prakticky nemožná.
Využití v platbách
Rok 2023 by měl přinést další rozvoj biometrie v platebních službách. Podle výše zmíněné studie firmy Global Payments na otázku „který typ biometrického ověřování budete pravděpodobně akceptovat u svého počítače?“ téměř 70 % podniků uvedlo otisk prstu jako volbu číslo jedna. Proč podniky? Nejen spotřebitel, ale i druhá strana transakce, tedy podniky a prodejci musejí považovat potvrzení plateb za přiměřeně bezpečné.
Z toho plyne i další otázka průzkumu „které typy biometrického ověřování budete pravděpodobně akceptovat od svých zákazníků?“ téměř 70 % z nich uvedlo, že jako volbu číslo jedna uvedlo obličej. Tedy nic nového pod sluncem, prst a obličej dnes vévodí biometrii. Mimochodem, 32,6% uvedlo, že by také chtělo akceptovat oční duhovku – tento biometrický údaj je totiž velmi bezpečný.
Znamená to ale potenciální revoluci v placení, jelikož spotřebitel již nebude nutně potřebovat platební kartu v žádné její podobě, ale bude mu k provedení platby stačit jeho vlastní prst, obličej nebo duhovka oka. Zatímco platební kartu můžete zapomenout doma, můžete zapomenout i svůj mobil (i když se to dnes zdá stejně pravděpodobné jako zapomenout dome vlastní hlavu), vlastní biometrické údaje zapomenout nemůžete. Tím se celkově eliminuje riziko nedostupnosti platebního prostředku.
Peníze jako na dlaní
Známý internetový obchod Amazon zavádí pro své zákazníky biometrické ověřování dlaní prostřednictvím služby Amazon One, biometrického autentizačního zařízení, které umožňuje uživatelům ověřit jejich nákup pomocí dlaně. Apple a Google tuto technologii již dávno mají, můžete namítnout. Ano, to je ale technologie přímo ve vašem mobilu, zde však hovoříme o skenování vaší biometrie na platebním terminálu. Mimochodem s touto technologií skenování dlaně se můžete setkat například v hlavní budově ČSOB v Praze, kde funguje pro zaměstnance u vstupních turniketů.
Společnost Mastercard představila program biometrických plateb podle obličeje pro standardní prodejny. Tento program biometrických pokladen umožňuje zákazníkům platit také přímo pomocí vlastní biometrie – umožňuje nakupujícím naskenovat obličej nebo jiný biometrický údaj a získat přístup k platbě z předem nastavené platební karty. Standardy společnosti Mastercard vyžadují, aby se tato biometrická data převedla na digitální šablonu a zašifrovala, čímž se údaje stávají nepoužitelnými. Navíc nedochází přímo k přenosu biometrických dat, ale k jejich ověřování.
Behaviorální biometrie
Nejen otiskem prstu, obrazem oční duhovky, hlasem nebo obličejem živ je svět biometrie. Rozvojem prochází i behaviorální biometrie, tedy sledování chování uživatele –jak hýbe myší, jak rychle píše atp. Tyto prvky se dnes také velmi rozmáhají.
Dobrý příkladem budiž služba reCaptcha. Jejím základem je tzv.Turingův test. Ten má za cíl rozlišit, zda-li odpověď na zadané otázky dává člověk nebo technické zařízení, typicky počítač či, jak se dnes často říká, umělá inteligence. My službu známe jako prevenci spamu nebo nechtěného robotického chování. Jsme různě nuceni přepisovat čísla a písmena, s nimiž má běžný čtenář často velký problém. Podobně je tomu u obrázků, kde máte například označit obrázky, kde jsou hory, přičemž z některých obrázků toto není vůbec jasné. Tedy suma sumárum stávající reCaptcha je pro uživatele poněkud nepříjemná a hledají se způsoby, jak ochranu uživatelům neznepříjemňovat nad míru skutečně nutnou.
Takovým řešením je právě třeba behaviorální biometrie, tedy samotné chování uživatele. Napodobit takové chování je pro stroje ve své komplexitě a individualitě každého uživatele dnes příliš složité. Ovšem je možná jen otázkou času, kdy i počítače budou něco takového umět.
Další průnik do soukromí?
Jaký je tedy rozdíl mezi tím, když použiji například otisk prstu na svém mobilu oproti otisku prstu na platebním terminálu? Obávám, že tento rozdíl je dosti veliký. Pokud použijete biometrii na svém zařízení, tak vaše biometrické údaje zůstávají stále ve vašem zařízení a váš mobil, tablet nebo počítač provádějí porovnání zadání na vstupu (otisk prstu, nasnímání obličeje…) s vašimi vlastními údaji interně pouze v rámci vašeho zařízení. Ven nejde nic, jen informace typu ano/ne, jestli ke správnému ověření uživatele podle biometrie došlo či nikoli. Externí aplikace tedy dostane pouze tuto odpověď typu ověřen/neověřen, z vaší biometrie nezíská nikdo jiný ani ťuk.
Pokud ale poskytnete své údaje (třeba otisk dlaně) platebnímu terminálu, je třeba aby údaje o tomto otisku byly uloženy někde jinde, jinak nemůže dojít k jejich ověření. Je tedy otázka, jestli takovému poskytovateli budete dostatečně důvěřovat, že on sám a ani nikdo „po cestě“ údaje nezneužije. Některé společnosti a systémy svoji důvěryhodnost demonstrovaly. Například výše uvedená Mastercard provozuje systém platebních karet již dost dlouho na to, abychom mohli takovému systému z bezpečnostního hlediska důvěřovat. Jelikož karetní společnost nedostává údaje o uživatelích přímo, ale prostřednictvím nějaké jiné firmy, například banky, je na vašem zvážení, jak moc budete takovém prostředníkovi důvěřovat.
Není třeba se obávat dotykových operací, jelikož hodně spotřebitelů dnes získává negativní pohled na dotyk platebního terminálu, kterého se před tím dotýkalo x neznámých osob s neznámým zdravotním stavem. Například snímání dlaně probíhá v bezdotykovém skeneru, o obličeji samozřejmě ani nemluvě.
Biometrické údaje máte nyní uložené například v čipu v cestovním pasu. Tento údaj se pak používá v automatických odbavovacích stanovištích, pokud cestujete do zahraničí mimo Schengenský prostor. Obecně se považuje takové zpracování za bezpečné, jelikož vaše údaje spravuje státní orgán podle zákona.
Obecně tu je taky otázka, kdo by mohl vaše biometrické údaje vůbec sbírat. Evropský parlament odhlasoval v roce 2021 rezoluci zakazující plošné biometrické sledování lidí a to včetně sledování státními orgány jako je policie. Takové sledování by bylo z pohledu občanů nedobrovolné, tedy by oni sami k tomu nedávali souhlas a ze samé podstaty věci by takový souhlas k plošnému sledování nemohl ani nikdo poskytnout.
Bude tedy pravděpodobně na vůli každého z nás, komu své biometrické údaje poskytneme dobrovolně a komu ne. Že jde o údaje velmi zásadní a naprosto unikátní je nasnadě a je tedy víc než vhodné posoudit jako přednosti, tak také rizika rozšíření biometrie do kyberprostoru.
Jan Müller
obrázek Freepik.com