Regulativa vs. korisničko iskustvo: Kako banke identificiraju korisnike na daljinu?

Regulativa vs. korisničko iskustvo: Kako banke identificiraju korisnike na daljinu?

Pravilnikom Ministarstva financija o uvođenju novih klijenata u bankarski sustav industrija je zadovoljna, ali kako provjeriti identitet klijenta na daljinu - i dalje ostaje veliki problem za banke.

Jeste li pokušali ikada ili ugovoriti nove usluge banaka – na daljinu? Vjerojatno niste razmišljali o tome koja sve regulativa stoji iza tog postupka.

Microblinkov meetup Security by Design pripremio je dva panela s relevantnim stručnjacima iz financijske te sigurnosne industrije i institucija, a našu pozornost upravo je uhvatio panel na temu sigurnosti u remote onboardingu bankarskih klijenata. Panelisti su raspravljali kako vide potrebu za digitalnim onboardingom, što su najveći problemi oko uvođenja takvog onboardinga i kako planiraju ispuniti (ili već ispunjavaju) zahtjeve Pravilnika Ministarstva financija.

Na panelu su raspravljali Bernard Karačić, Senior Advisor u HNB-u; Dejan Donev, Head of Digital u Erste Banci; Ivan Hećimović, Head of Alternative channels u ZABA-i; Danijel Miletić, Head of ICT u HPB-u i Luka Šlibar, Product Manager u Microblinku. Panel je moderirao Božidar Pavlović, fintech investitor. 

Ono kada se klijenti moraju kreveljiti za identifikaciju

Počekom godine dobili smo spomenuti pravilnik o kojem se i nije puno pisalo, a zapravo utječe na našu svakodnevicu i pritom otkriva jednu širu problematiku. Pravilnik o uvođenju stranke na daljinu, koji je donijelo Ministarstvo financija, definirao je način kako se utvrđuje i provjerava identitet klijenta na daljinu zbog čega su se banke morale odlučiti između:

  • vlastitog razvijanja strogih načina potvrđivanja identiteta klijenta koji dugo traju pa tako narušavaju korisničko iskustvo ili
  • suradnje s vanjskim pružateljima povjerenja koji pak ne žele preuzeti odgovornost za izdano povjerenje.

Iako Ivan ističe da pravilnik ima svoje dobre i lošije strane, ono što za banke predstavlja problem je utvrđivanje odgovornosti unutar banke i postavljanje metodologije testiranje tehnologije. 

S ovime se Dejan slaže i navodi konkretan problem s kojim se trenutno susreću kada govorimo o identificiranju klijenata na daljinu. Zbog starog pravilnika morali su uvesti strogu videoidentifikaciju, koja može trajati po 15 minuta i zahtijeva da se klijent okreće, stoji, sjedi…. Što je po Dejanovom mišljenju – previše:

Videoidentifikacija nam je nametnuta kao dodatan korak, a to je korak koji naši klijenti mrze najviše od svega i prigovaraju maksimalno na njega. Po društvenim mrežama nas ismijavaju jer se pitaju zašto moraju mahati, smijati se, nekome pokazivati osobnu iskaznicu te se pitaju – zašto Revolut to ne mora?

Dejan smatra kako je nova regulativa u svakom slučaju korak naprijed i da više nisu u tolikom podređenom položaju pored neobanaka kao što su Revolut, ali ističe kako regulativa nije postigla baš najbolju ravnotežu između korisničkog iskustva i sigurnosti:

Varamo se ako mislimo da će to što će zaposlenik pogledati osobnu iskaznicu u banci biti nešto dramatično sigurnije od provjere raznih softvera. Inače smatram da dajemo previše povjerenja čovjeku da nešto provjeri.

Ipak, cijela ova priča može biti jednostavnija. Mogli bismo koristiti osobne iskaznice za identifikaciju na daljinu, ali to zahtijeva ažuriranje Pravilnika o pružanju i korištenju usluga povjerenja Ministarstva gospodarstva iz 2019. godine.

Od 2021. godine imamo dokumente napravljene prema ETSI tehničkom standardu (119 461 ). Pravilnik o uslugama povjerenja mora biti usklađen s ETSI standardom, ali iz ministarstva navode kako nije u usklađen zbog toga što je ETSI uveden kasnije, ističe Bernard. Upravo je ova izjava potaknula gosta iz publike da podijeli svoje mišljenje.

“Svrha usluge povjerenja je da odgovaraš za štetu ako je netko zlouporabio digitalni certifikat.”

Komentar sudionika iz publike Istaknuo je kako banci sam onboarding nije dovoljan. On zapravo treba biti vezan za izdavanje digitalnih certifikata koji se onda koristi za ugovaranje odnosa s klijentom. Hoće li banka ići sama na davanje usluge povjerenja, kao što je odlučila ZABA, ili će koristiti vanjske servise, što je prirodnije za manje i srednje banke, to je na banci da odluči sama. Ako ide u smjeru uzimanja vanjskog pružatelja povjerenja, onda se on mora brinuti o problemima:

Talijani nude bankama uslugu povjerenja, ali se odriču svake odgovornosti. Svrha usluge povjerenja je da odgovaraš za štetu ako je netko zlouporabio digitalni certifikat. Mislim da bismo kao društvo trebali gledati da uspostavimo pružatelje usluge povjerenja koji će moći pružati usluge digitalizirani i automatizirano, a istovremeno su odgovorne prema bankama.

Bjesomučno testiranje tehnologije jedini način da budeš siguran od prevare, ali postoji alternativa

Koliko bi u cijeloj ovoj priči pomogao otvoreni API od strane države koji može jednostavnim API callom provjeriti valjanost osobne iskaznice, putovnice i ostalih dokumenata, dobro je pitanje koje postavlja Božidar, ali ubrzo dolazi tužan odgovor.

Hrvatska je siromašna država po pitanju API-ja, naglašava Ivan. Kada gledate druge zemlje, imamo primjere gdje banke uspoređuju podatke koje je dao klijent iz jednog dokumenta s drugim podacima iz baze podataka koje je dala država. Dok država ne počne dijeliti takve podatke, jedini način kako dokazati da si siguran od prevare je… bjesomučno testiranje tehnologije. Zato Ivan više ne pamti koliko su varijacija lažnih osobnih iskaznica napravili.

S druge strane, Bernard navodi kako je HNB pokušao utjecati na Ministarstvo unutarnjih poslova prije par godina na javnom savjetovanju donošenja nove osobne iskaznice:

Predložili smo da MUP napravi javno sučelje preko kojeg građanin šalje broj osobne iskaznice i tako možemo brzo i jednostavno vidjeti je li osobna iskaznica važeća ili nevažeća. Ovim pristupom ne kršimo pravila privatnosti, a institucijama će puno značiti jer će saznati radi li se o ukradenom, izgubljenom dokumentu

To će također pomoći institucijama prilikom remote onboardinga. Na žalost, odgovor ministarstva je bio da ispravnost osobnog dokumenta treba provjeravati na razini digitalnog certifikata.

Imamo rješenje koje bi svima pojednostavilo život, ali ne može se koristiti… zbog države

Nekada se provjera identiteta mogla napraviti tako da napravite transakciju jedne kune iz svoje banke u drugu banku, ali to je u Hrvatskoj postalo zabranjeno. Česi su uspjeli unaprijediti taj princip. Tokenom iz jedne banke moguće je dokazati svoj identitet u drugoj banci i tako otvoriti račun, ali zar to ne zvuči poznato, ističe Dejan:

Znate li što je to zapravo? To je NIAS. Govorimo o sustavu FINA-e za logiranje u e-Građane. Potrebno je samo da nam FINA omogući korištenje NIAS-a i ne treba nam polovica ovog o čemu pričamo. Tehnologija je već sve odavno riješila, ali treba postojati volja za takva inovativnija rješenja.

Panelisti su općenito zadovoljni i sretni što je Pravilnik Ministarstva financija donesen, ali je potrebno bolje definirati i pojednostaviti dio koji se odnosi na za potvrđivanje identiteta klijenta na daljinu. Također, izrazili su žaljenje što predstavnici ministarstva i državnih institucija obično ne sudjeluju na ovakvim raspravama jer bi dijalog s njima uvelike pomogao.

Developeri se moraju educirati prema OWASP, ASVS i MASVS standardu!

Također, publika je mogla poslušati i panel Security by Design and Security by Default koji se tiče EU Zakona o kibernetičkoj otpornosti koji će predstavljati značajan korak prema sigurnijoj digitalnoj budućnosti te ima potencijal postati trendseter za nove standarde kibernetičke sigurnosti u svijetu.

Na panelu su raspravljali: Kristina Leko Kuštrak, IT Director u AKD-u; Bojan Ždrnja, CTO u Infigu; Aleksandar Klaić iz Centra za kibernetičku sigurnost; Tonimir Kišasondi, Information security consultant u Apaturi; Viktor Olujić, Head of Authentication Solutions u ASEE-u, Ivan Kalinić, Senior Information Security Consultant u Divertu; Vedran Furlan, DevOps Engineer u Infinumu i Bojan Belušić, Head of Information Security u Microblinku. Raspravu je moderirao Andro Galinović, Chief Information Security Officer u Infobipu.

U raspravi je naglašena potreba za educiranjem razvojnih inženjera, korištenjem postojećih standarda kao što su OWASP-ovi ASVS i MASVS te redovitim provođenjem analize rizika i modeliranja prijetnji za softverske proizvode. Panel je također zaključio da su automatizirani alati za otkrivanje ranjivosti u kodu još uvijek nepouzdani, ali su potrebni kao jedan od kotačića u razvojnom procesu.

Panelisti su se prisjetili nedavnih i nešto starijih incidenata koji su potresli softversku industriju te se zapitali koliko bi ovakva regulativa uopće spriječila takvih incidenata. Na kraju je zaključeno da je svaka regulativa dobro došla da podigne svijest o problemu te posluži kao dodatna poluga kod onih koje donose strategije i definiraju budžete.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi

Osnivač Njuškala uz Hanza Mediju pokreće novi digitalni oglasnik – Dealio

Dealio u tržišnom okršaju za korisnike u Hrvatskoj i šire ima stratešku podršku medijske grupacije Hanza, ali čini se kako se neće zaustaviti na tome.

Startupi

4 milijuna dolara za domaći startup koji je napravio “prvog pravog AI developera”

U otprilike godinu dana ekipa iza Pythagore prošla je program prestižnog Y Combinatora, skupila 30.000 aktivnih korisnika i prikupila investiciju. Među investitorima je i Damir Sabol.

Umjetna inteligencija

Kako osposobiti AI agenta za potrebe svoje tvrtke? Saznajemo od inženjera iz Infobipa i Sofascorea

Hrvatski jednorog pokrenuo je svoje meetupe, a sudeći po prvom izdanju, inženjerska zajednica dobila je događaj na kojem će imati što čuti - i naučiti.

Što ste propustili

Tvrtke i poslovanje

Osnivači Sofascorea, Rentlija i Productiva otkrili svoje najveće marketinške greške!

Koja je cijena uspjeha, kada postaviti odjel marketinga i koje su najveće marketinške boljke otkrivaju nam Sofascore, Rentlio i Productive za 15. rođendan Netokracije! 🎂

Scaleupi i jednorozi

Za praksu u Infobipu prošle se godine prijavilo 2000 osoba! Evo koga traže ove…

Ususret prijavama za ljetni program praksi u Infobipu, razgovarali smo s pripravnicima i mentorima iz područja produktnog marketinga, softverskog i QA inženjerstva te developerskog sadržaja.

Umjetna inteligencija

Europsko vijeće odobrilo AI akt! Za oko mjesec dana stupa na snagu

Finalno usvojen zakon kojeg je digitalna industrija Europe čekala godinama uskoro će stupiti na snagu, evo koje obveze donosi za sve koji razvijaju sustave uz pomoć umjetne inteligencije.

Tvrtke i poslovanje

Najpoznatija svjetska IT regulatorica: U EU ne gušimo inovacije, nego reguliramo primjenu!

Hoće li se Europa prilagoditi digitalnom dobu i postati konkurentna sa svojim inovacijama ili nam je sudbina biti regulator koji izdaje kazne?

Veliki intervjui

Upoznajte Hrvata koji je napravio nastavak Tetrisa (i dobio blagoslov originalnog tvorca)!

Nevjerojatne priče ne susrećemo svaki dan, a upravo vam donosimo jednu takvu koja se kuhala 12 godina na dva kontinenta, u čijem se središtu nalazi nastavak jedne od najpoznatijih igara ikada napravljenih.

Novost

AI developeri, AI glasovni asistenti, AI dejtanje…

U tjednu koji su obilježile pomalo distopijske AI vijesti u podcastu smo ugostili suosnivača hrvatskog startupa koji svoj proizvod zove - AI developerom.