Przez lata, gdy innowatorzy snuli wizje zabezpieczeń przyszłości, większość z nich skupiała się na odciskach palców lub skanach twarzy. Niewielu przewidywało, iż jednym z prawdziwych „kluczy” do naszej tożsamości okaże się… sposób, w jaki przewijamy ekran telefona. Dziś to właśnie ta, na pozór nieistotna, czynność trafia do algorytmów sztucznej inteligencji, które w milisekundach potrafią odróżnić właściciela telefonu lub aplikacji czy konta od intruza. Tak działa – w świecie cyfrowych finansów – biometria behawioralna.
Wbrew temu, co sugeruje nazwa, nie chodzi o odcisk palca ani o skan siatkówki, ale o to, jak klikamy, stukamy, przytrzymujemy urządzenie takie jak telefon czy laptop podczas korzystania z danej aplikacji. Czy warto zaufać technologii, która twierdzi, iż „wystarczy być sobą”, by podnieść bezpieczeństwo naszych pieniędzy? Jak konkretnie działa biometria behawioralna?
Dla banku to wymarzony strażnik działający w cieniu ekranu, bez konieczności proszenia Cię o kolejne kody SMS czy dodatkowe hasła. Dla Ciebie zaś może być to najwygodniejsza tarcza, jaką kiedykolwiek zaoferowała instytucja finansowa: ochronę otrzymujesz w gratisie i nie musisz robić absolutnie nic. No dobrze… może poza włączeniem samej usługi. Jak działa biometria behawioralna w banku? Jakie dane od nas zbiera, czy jest skuteczna i… dlaczego każdy z nas powinien ją włączyć? Pokazujemy na przykładzie Banku BNP Paribas.
Skąd wziął się pomysł, by badać zachowanie użytkownika i jak w ogóle działa biometria behawioralna? Pokazujemy na przykładzie GOonline i GOmobile
Kiedy banki wdrażały pierwsze loginy i hasła, nikt nie przypuszczał, iż trzydzieści lat później będziemy używać równolegle haseł jednorazowych, push notyfikacji, potwierdzeń głosem i biometrii linii papilarnych. Paradoksalnie im mocniejsze stawały się zabezpieczenia, tym szybciej rosła liczba zdeterminowanych przestępców próbujących obejść system. Podziemne giełdy danych kwitną w najlepsze, a phishing przypomina już poniekąd cyfrową wersję rosyjskiej ruletki – nigdy nie wiesz, czy następny e-mail od „banku” nie okaże się tym, który próbuje wyłudzić od Ciebie dane i pieniądze.
Specjaliści od bezpieczeństwa uświadomili sobie, iż kod wpisywany z klawiatury można ukraść, ale sposobu, w jaki ta klawiatura jest obsługiwana już nie. To z takiej obserwacji narodziła się biometria behawioralna: zamiast opierać się wyłącznie na skanowaniu twarzy klienta czy identyfikowaniu odcisk palca (co i tak jest niewyobrażalnie mocnym zabezpieczeniem), można równolegle śledzić mikrosygnały towarzyszące każdej czynności w bankowości internetowej. Interwały między naciśnięciami klawiszy, przyspieszenie kursora myszki, rytm przewijania ekranu – wszystko to tworzy „cyfrowy charakter pisma”.
Statystycznie nie istnieją dwie osoby, które w identyczny sposób klikają „Zatwierdź przelew”. A jeżeli choćby istnieją, to prawdopodobieństwo, iż będą wpisywać identyczne kwoty o tej samej porze z tego samego IP, jest zerowe. To właśnie taką dodatkową warstwę ochronną daje nam biometria behawioralna. Dzięki niej choćby jeżeli damy się nabić na jakąś „krypto-promocję”, przez którą złodziej zdoła zyskać dostęp do naszego konta, jego próby i tak powinny zostać zablokowane.
Najnowszym krajowym wdrożeniem tej technologii jest ochrona behawioralna w bankowości elektronicznej GOonline i aplikacji GOmobile od Banku BNP Paribas. Klient, który wyrazi zgodę, nie musi niczego instalować ani dodatkowo konfigurować. Wystarczy pojedyncze kliknięcie w ustawieniach profilu – i od tego momentu każda sesja w bankowości jest automatycznie analizowana przez algorytm. Pierwszy etap przypomina szkolenie psa tropiącego. System „uczy się” właściciela.
Zbiera informacje o długości przytrzymania klawisza, odległościach między kliknięciami, trajektorii myszy. W telefonie analizuje, czy użytkownik trzyma urządzenie jedną czy dwiema rękami, w jaki sposób wpisuje PIN itp. Dane te – co ważne – nie zawierają wypisywanych haseł ani adresów stron. Algorytm nie wie, iż logujesz się, by zapłacić za pizzę: wie jedynie, iż przycisk „X” naciskasz np. o 67 milisekund dłużej niż przycisk „Y”. To wystarcza do zbudowania Twojego modelu behawioralnego.
Gdy model osiągnie odpowiednią dokładność, rozpoczyna się etap porównywania. Każda kolejna czynność w aplikacji jest automatycznie konfrontowana ze wzorem. jeżeli system uzna, iż odchylenie od średniej jest zbyt duże – na przykład kursor porusza się z inną prędkością albo interwały między dotknięciami ekranu są podejrzanie równe, czego żywy człowiek nie jest w stanie powtórzyć – uruchamia się procedura alarmowa. Nie oznacza to od razu blokady konta: bank może poprosić o dodatkową weryfikację, np. potwierdzenie tożsamości SMS-em, konieczność ponownego wpisania hasła, albo zweryfikuje transakcję telefonicznie. Klient najczęściej choćby nie zauważa, iż coś niezwykłego się wydarzyło, bo dodatkowe pytania dostaje tylko w momencie realnego ryzyka.
„Analiza behawioralna oparta na sztucznej inteligencji to jedna z najnowocześniejszych metod ochrony w bankowości elektronicznej. Umożliwia rozpoznawanie nietypowych działań użytkownika w czasie rzeczywistym, co pozwala skutecznie przeciwdziałać próbom przejęcia konta czy atakom phishingowym — bez konieczności przetwarzania danych wrażliwych. System analizuje zaszyfrowane i zanonimizowane wzorce zachowań, takie jak sposób korzystania z urządzenia, szybkość pisania czy nacisk na ekran.
Bank BNP Paribas należy do liderów we wdrażaniu tego typu rozwiązań. Od lat konsekwentnie inwestujemy w innowacyjne technologie zabezpieczające naszych Klientów przed zaawansowanymi zagrożeniami cyfrowymi. Analiza behawioralna jest dostępna w serwisie GOonline oraz aplikacji GOmobile, zapewniając dodatkowy poziom ochrony przy zachowaniu wygody korzystania z usług finansowych.
Nasze podejście do cyfrowego bezpieczeństwa stale jest doceniane przez rynek, ostatnio w konkursie Złoty Bankier 2025, gdzie Bank BNP Paribas otrzymał Złotą Tarczę Cyberbezpieczeństwa. To prestiżowe wyróżnienie trafia do instytucji, które wyznaczają najwyższe standardy ochrony danych i innowacyjnie podchodzą do walki z cyberzagrożeniami. Jury zwróciło szczególną uwagę na wdrożenie biometrii behawioralnej jako skutecznego i dyskretnego narzędzia identyfikacji użytkownika.
Zachęcamy do aktywowania biometrii behawioralnej – to krok, który łączy wysoki poziom bezpieczeństwa z komfortem użytkowania — a w dzisiejszych czasach to połączenie jest bezcenne” – powiedział Adam Kuczewski, menadżer zespołu ds. Operacji i Przeciwdziałania Cyberprzestępczości w Banku BNP Paribas.
„Ale ja przecież też czasem klikam inaczej”. Biometria behawioralna i mit fałszywych alarmów. Jakie dane są zbierane?
Pierwsze pytanie sceptyków brzmi zwykle, co się stanie, jeżeli złamię rękę, kupię nową myszkę albo zwyczajnie będę zmęczony i stuknę w klawiaturę wolniej. Zwolennicy biometrii behawioralnej odpowiadają, iż systemy są projektowane z dużym marginesem tolerancji. Analizują dziesiątki (a nierzadko setki) parametrów, dlatego choćby drastyczna zmiana jednego z nich rzadko wywołuje czerwony alert. Bank nie zablokuje konta, ponieważ przez dwa tygodnie gips utrudnia Ci pisanie lewą ręką; prawdopodobnie poprosi natomiast o dodatkowe potwierdzenie przy przelewie na wysoką kwotę. To raczej cena komfortu niż realna niedogodność.
Trzeba też zrozumieć, iż fałszywy alarm w biometrii behawioralnej ma inną wagę niż w tradycyjnych metodach. Gdy czytnik linii papilarnych nie rozpozna palca po pływaniu w basenie, musisz zdjąć okulary przeciwsłoneczne i spróbować zalogować się jeszcze raz. W algorytmie behawioralnym nikt od Ciebie nie wymaga powtórnego „stukania myszką”. System po prostu dorzuca kolejną warstwę uwierzytelnienia, najczęściej jednorazową. Porównaj to z sytuacją, w której cyberprzestępca – choćby miał Twoje hasło – nie będzie w stanie powtórzyć Twojego „charakteru pisma”. jeżeli bank w tym momencie poprosi o kod SMS, oszust prawdopodobnie się wycofa.
Przejdźmy jednak do kwestii fundamentalnej, czyli do prywatności. Co zbieramy, a czego nie zbieramy? Jakie dane ostatecznie trafiają na serwery banku? Tak jak wspominaliśmy wcześniej, Bank BNP Paribas deklaruje wprost, iż nie zapisuje treści – nie widzi, jakie litery wpisujesz, nie śledzi, czy przelewasz pieniądze na konto małżonka czy do sklepu z Lego. Nie tworzy historii kliknięć, nie analizuje stanu konta ani listy subskrypcji w serwisach streamingowych. Dane są anonimizowane i służą wyłącznie do budowy matematycznego wektora zachowań.
Wykorzystując terminologię RODO, mówimy o „danych pseudonimizowanych”, które w oderwaniu od numeru klienta nie mówią nic o konkretnym człowieku. A więc co jest kolekcjonowane? Czas naciśnięcia klawiszy, ruchy myszą, punkt nacisku na ekran, sposób trzymania telefonu, mikrodrgania dłoni. Tyle. jeżeli ktoś ukradłby taką bazę, dostałby zestaw liczb bez kontekstu. Nie wiedziałby, do którego Kowalskiego należą ani co oznaczają.
Biometria behawioralna i korzyści poza bankowością: e-commerce, ubezpieczenia, administracja
Choć zaczęło się od banków – bo tam ryzyko wycieku pieniędzy jest natychmiast mierzalne – biometria behawioralna wędruje także do innych sektorów. Sklepy internetowe testują ją, by eliminować transakcje kartami z czarnego rynku, platformy streamingowe chronią konta premium, a startupy wdraża ją, by wykrywać boty zakładające fałszywe profile. W Polsce ubezpieczyciele zastanawiają się nad zastosowaniem podczas likwidacji szkód online: skoro ktoś próbuje „na szybko” zgłosić kolizję, klikając w panice, system ostrzeże konsultanta, by zweryfikował dokładniej.
W administracji publicznej biometria behawioralna mogłaby zabezpieczyć logowanie do e-PUAP-u. Wyobraź sobie, iż ktoś podszywa się pod Ciebie, by odebrać list polecony w formie cyfrowej. Hasło do profilu zaufanego da się wykraść: Twojego sposobu poruszania myszką – już nie. Dodatkowo, firmy analityczne, takie jak Juniper Research, szacują, iż do 2027 roku globalny rynek biometrii behawioralnej przekroczy 3 miliardy dolarów – ponad dwukrotnie więcej niż przed pandemią.
Przyczyny są dwie: pierwsza to rosnące straty spowodowane cyberprzestępczością i walka o lepsze doświadczenie klienta (customer experience). Z kolei druga to fakt, iż raporty od dawna pokazują, jak każdy dodatkowy krok w procesie płatności redukuje konwersję (średnio choćby 7–10 proc). jeżeli biometria behawioralna pozwoli zrezygnować z jednego kliknięcia „Potwierdź”, to w skali e-sklepu z miliardowym obrotem jest to zdecydowanie gra warta świeczki.
Wartość dodaną systemu można pokazać na bazie unijnej dyrektywy PSD2, która wprowadziła trzy kategorie czynników, z których trzeba użyć przynajmniej dwóch, aby transakcja była uznana za bezpieczną (tzw. Strong Customer Authentication): Pierwsza to coś, co wiesz (hasło, PIN), druga – coś, co masz (telefon, token), i trzecia – coś, czym jesteś (biometria). Część behawioralna idzie o krok dalej, bo łączy kategorię trzecią z czymś w rodzaju czwartej: „tak, jak działasz”. Dzięki temu bank nie musi zmuszać klienta do wpisywania kodu przy każdej drobnej płatności, a jednocześnie zachowuje najwyższe standardy bezpieczeństwa.
A gdybym jednak chciał zrezygnować? Czy opłaca się włączyć biometrię behawioralną w banku?
Z perspektywy prawa Twoja zgoda na biometrię behawioralną jest zawsze odwoływalna. W GOonline wystarczy wejść w sekcję Bezpieczeństwo i hasło, odkliknąć opcję – i gotowe. Co wtedy? Usługa przestaje działać na wszystkich urządzeniach jednocześnie. Bank nie będzie „obrażony” i pozwoli Ci korzystać z tradycyjnych metod uwierzytelnienia.
Warto jednak pamiętać, iż rezygnujesz również z tarczy przeciwko najpopularniejszym scenariuszom kradzieży tożsamości: wyciekom baz haseł, atakom „man-in-the-browser” i przejmowaniu sesji przez zainfekowane wtyczki przeglądarki. jeżeli więc codziennie logujesz się z kawiarnianego Wi-Fi albo eksperymentujesz z aplikacjami spoza App Store, warto się porządnie zastanowić, czy na pewno chcemy kliknąć „Wyłącz”.
Mamy bardzo dynamiczne czasy, szybkość połączona z bezpieczeństwem to dwie strony tej samej monety. Biometria behawioralna jest próbą pogodzenia sprzecznych interesów: banki chcą mniej wyłudzeń, klienci mniej kodów, a prawodawcy więcej prywatności. Choć to nie jest panaceum na wszystkie możliwe bolączki świata, w praktyce staje się trzecią linią obrony działającą dyskretnie tam, gdzie nie mają wejścia standardowe systemy.
Czy warto skorzystać? o ile zależy Ci na komforcie, nie chcesz zapamiętywać kolejnych haseł i cenisz dodatkowy parasol bezpieczeństwa, odpowiedź brzmi: tak. o ile jesteś cyfrowym survivalowcem, który szyfruje każdy pendrive, ufa wyłącznie kluczom sprzętowym i ma w przeglądarce plug-in blokujący wszystko poza protokołem Morse’a – być może już dziś stosujesz wystarczające metody i w ostatecznym rozrachunku, po włączeniu biometrii behawioralnej i tak wyjdziesz „na zero”. Niemniej jednak, odnosząc się do politycznego klasyka z ostatniej kampanii wyborczej: „Cóż szkodzi się zabezpieczyć”.
Ostatecznie dla zdecydowanej większości „zwykłych” użytkowników to szansa, by zabezpieczyć pieniądze bez robienia czegokolwiek ekstra. Wystarczy być sobą – trochę klikać, trochę przesuwać palcem po ekranie, jak zwykle. jeżeli w tym czasie algorytm będzie stał na straży konta, nie widzę powodu, by rezygnować. W końcu choćby najlepiej wymyślone hasło traci swoją magię, gdy zapiszemy je na karteczce przy monitorze. A nasz osobisty styl klikania? Tego nie można przyczepić taśmą do biurka.
Czytaj też: BNP Paribas zaprasza startupy do wspólnego testowania sztucznej inteligencji i narzędzi do walki z oszustami
Źródło zdjęcia tytułowego: DcStudio, Freepik
