Rozwiązania biometryczne na dobre weszły już do codziennego użytku w postaci skanerów linii papilarnych, tęczówki oka i twarzy. W ten sposób można już odblokować nie tylko nowego MacBooka Pro lub Air (za pomocą TouchID), iPhone'y (TouchID lub FaceID) czy iPady (TouchID) ale także aplikacje dające dostęp do prywatnych, wrażliwych danych. Do nich zaliczają się te bankowe. mBank właśnie poszedł o krok dalej. Ruszył pilotażowy program weryfikacji behawioralnej użytkownika.

Biometria behawioralna analizuje interakcje użytkownika z komputerem lub urządzeniem mobilnym. Analizowane są m.in. sposób poruszania kursorem, dynamika korzystania z klawiatury. Tego typu działania pozwalają na stworzenie unikalnego, a co za tym idzie niezwykle trudnego do podrobienia, profilu użytkownika. Dzięki biometrii behawioralnej system jest w stanie ocenić, czy po drugiej stronie znajduje się właściwy człowiek. mBank korzystać będzie z wiedzy i doświadczenia Centrum Bezpieczeństwa Cyfrowego S.A. (z portfela funduszu mAkcelerator).

Początkowo, w okresie pilotażowym wdrożenia tego rozwiązania bank zaoferuje je 50 tysiącom chętnych klientów (swój akces do programu pilotażowego można już dzisiaj zgłosić przez stronę mBanku). W ich przypadku uruchamiać się będzie specjalny kod (rodzaj trackera), który mierzyć będzie sposób poruszania myszą i (jeśli jest dostępny) kółkiem scroll, poruszanie palcem po gładziku oraz dynamikę korzystania z klawiatury w aplikacji mBanku. mBank deklaruje, że w przypadku klawiatury nie ma mowy o tzw. keyloggerze. Nie będą rejestrowane poszczególne klawisze naciskane przez użytkownika, ale sposób przemieszczania się pomiędzy poszczególnymi blokami klawiatury. W pierwszej połowie przyszłego roku w ramach tego programu mierzony ma być też sposób interakcji z ekranem smartfona. Na podstawie tych danych zbudowany zostanie behawioralny profil użytkownika, z którym porównywane będą jego bieżące interakcje.

Dzięki biometryce behawioralnej mBank będzie mógł lepiej chronić konta użytkowników przed włamaniami, kradzieżą sesji, przechwytywaniem tokenów itp. ataków, a w rezultacie defraudacją zgromadzonych na nich środków. Zbieranie danych i ich analiza prowadzona będzie w sposób ciągły, będzie więc możliwe przerwanie sesji w chwili jej przejęcia przez przestępcę. Wykryta zostanie bowiem zmiana zachowania użytkownika, na taką, która nie pasuje do stworzonego profilu. Sam model budowany jest już na podstawie kilku sesji w aplikacji webowej mBanku.

Rejestrowana jest już interakcja jeszcze przed zalogowaniem i w trakcie wpisywania loginu i hasła, jednak dane te pozostają w przeglądarce do momentu zalogowania i wykrycia, że użytkownik bierze udział w programie pilotażowym. Dopiero wtedy zostają wysłane na serwer.. mBank podkreśla, że etyczność całego rozwiązania ma priorytetowe znaczenie i deklaruje, że poza sposobem interakcji z klawiaturą, myszą i kółkiem scroll, a już niedługo ekranem smartfona, żadne inne dane nie będą zbierane, ani analizowane pod innym kątem niż rozpoznanie użytkownika.

Każda osoba, która zgłosi się do programu pilotażowego musi dodatkowo wyrazić zgodę na tego typu analizę jej zachowań. mBank zapewnia, że program nie obejmie osób, które nie będą zainteresowane wzięciem w nim udziału. Zebrane dane mają być przetwarzane w taki sposób, by same w sobie nie pozwalały na identyfikację konkretnej osoby, tworzony jest jedynie profil porównawczy, a informacja o tym z jakim kontem jest ten profil powiązany znajduje się w zupełnie innym miejscu.

Program pilotażowy będzie trwał do końca 2019 roku, a grupa klientów ma być poszerzana.

mBank zapowiedział wprowadzenie w przyszłym roku rozwiązania szczegółowej analizy urządzenia, z którego loguje się do banku. Device Fingerprinting, bo tak się ono nazywa, polega na wykrywaniu nowych urządzeń, z których nagle przeprowadzane są wysokie transakcje. Rozwiązanie to zostanie wdrożone dla wszystkich użytkowników.