W dobie bankowości mobilnej coraz częściej zadajemy sobie pytanie: czy dane, które powierzamy aplikacjom, są właściwie chronione? I co wiemy o tych wszystkich metodach „logowania jednym dotknięciem”?
Dlaczego banki każą nam potwierdzać tożsamość?
Wynika to z unijnej dyrektywy PSD2, która wprowadziła obowiązek stosowania tzw. silnego uwierzytelniania klienta, czyli weryfikacji tożsamości na podstawie dwóch z trzech elementów: tego, co znasz – np. hasła lub kodu PIN, tego, co masz – np. telefonu lub karty, tego, czym jesteś – danych biometrycznych, jak odcisk palca czy twarz.
Chodzi o to, by nawet jeśli ktoś przechwyci Twój telefon lub zna hasło, nie mógł wykonać przelewu bez dodatkowego potwierdzenia.
Odcisk palca zamiast hasła. Czy to dobry pomysł?
Dane biometryczne należą do tzw. danych wrażliwych. Ich ochrona podlega przepisom RODO, a każdy, kto je przetwarza, w tym banki, musi spełniać bardzo rygorystyczne wymagania – wyjaśnia radca prawny Klaudia Czarnota, ekspertka z zakresu ochrony danych osobowych i cyberbezpieczeństwa z Silesia Legal House, pierwszej na Śląsku kancelarii prawnej sektora IT i nowoczesnych technologii.
Banki nie przechowują „zdjęcia” Twojego odcisku. Tworzą tzw. profil biometryczny – zakodowaną informację, która pozwala systemowi Cię rozpoznać bez przetwarzania pełnych danych.
Jak chronione są dane logowania?
Ochrona nie kończy się na metodzie logowania. Banki i operatorzy płatności muszą m.in.: szyfrować dane logowania, nie przechowywać haseł wprost, maskować dane przy wpisywaniu (np. gwiazdkami), usuwać dane, gdy przestaną być potrzebne.
Efekt? Nawet jeśli Twoje dane wyciekną, powinny być bezużyteczne.
Co z nieautoryzowanymi transakcjami?
Mimo zabezpieczeń zdarzają się sytuacje, w których ktoś „na nasze dane” zleca przelew lub zaciąga pożyczkę. Kto wtedy odpowiada?
– To wymaga analizy konkretnego przypadku – mówi Klaudia Czarnota z Silesia Legal House. – Ale jedno jest pewne: świadomość użytkowników jest dziś równie ważna jak techniczne środki bezpieczeństwa.
Biometria poza bankiem
Z danych biometrycznych korzystają nie tylko banki. Coraz częściej spotykamy je w szkołach, firmach, siłowniach. Wystarczy, że system dostępu prosi o odcisk palca. Ale czy wiemy, co dalej dzieje się z tymi danymi?
Głośnym przykładem była szkoła podstawowa, która wprowadziła logowanie do stołówki „na odcisk”. Sąd uznał, że było to dopuszczalne – ale tylko dlatego, że dane przechowywano wyłącznie w urządzeniu i nie można było ich powiązać z tożsamością dziecka.
To pokazuje, że granica między wygodą a prywatnością jest cienka – i łatwo ją przekroczyć.