Banky si s hackery příliš nevědí rady. Řešení je být jen v mobilu, říká vývojářka Partners

Hana Wallenfelsová je ostřílená IT vývojářka, přesto nacpat celou banku jen do mobilu byl pro ni a její tým oříšek. V rozhovoru pro WIRED.CZ vysvětluje, s jakými problémy se při vývoji aplikace nové Partners Banky potýkala, proč je internetové bankovnictví mrtvé nebo jak svícení do obličeje může pomoci proti deepfake podvodům.

Vydáno: 7. 5. 2024
Kategorie: Účty
Zdroj: PartnersNews
Když jsem si před deseti lety zakládal účet u mladičké Air Bank, přišlo mi jako sci-fi, že se celý proces dal zajistit z domu přes internet. Nemusel jsem chodit nikam na pobočku, která ostatně v našem městě tehdy ani nebyla (a dodnes není). Stačilo vyplnit formulář a nafotit doklady – akorát jsem musel podepsanou smlouvu poslat poštou. Internetové bankovnictví, to je budoucnost, říkal jsem si v roce 2014. 
 
Jen o 10 let později je internetové bankovnictví minulost, říká Hana Wallenfelsová, hlavní vývojářka Partners Banky. Tu poradenská společnost Partners spustila počátkem března a oproti svým konkurentům se liší mimo jiné tím, že žádné internetové bankovnictví nemá. Míří už výhradně do mobilních telefonů. To s sebou nese řadu specifických výzev, ale také jednu velkou výhodu – větší bezpečnost. 
 
Hackeři totiž klienty českých bank čím dál silněji bombardují podvodnými emaily a dalšími zprávami, jejichž počet podle dat České bankovní asociace jenom loni vzrostl trojnásobně. Útočníci se podle dat asociace vloupali do bankovnictví téměř 70 tisícům klientů a ukradli z nich přes 1,35 miliardy korun. Právě díky mobilním aplikacím by ale podle Wallenfelsové mohli mít konečně utrum.
Partners Banka přišla s netradičním modelem, kdy funguje výhradně z telefonu, bez internetového bankovnictví. Jak se navrhuje aplikace, která má internetové bankovnictví plně nahradit? 
Navrhuje se těžko. Mobil je malý a procesy jsou poměrně komplikované. Na druhou stranu si myslím, že designovat pro mobil je vždycky lepší. Člověka to nutí všechno hodně zjednodušit. Když máte na malé obrazovce sjednávat úvěr nebo hypotéku, musíte všechno hodně ořezat, aby to bylo přehledné, jinak je to prakticky nepoužitelné. Začít s mobilem a až pak se pustit do internetového bankovnictví je podle mě lepší, protože obrácený postup vám už nenechává moc prostoru pro úpravy. Takhle si musíte říct, co je to nutné minimum, které tam nezbytně potřebujete. 
 
Internetové bankovnictví je tedy úplně ze hry? Neplánujete ho k aplikaci časem připojit? 
Myslím, že k internetovému bankovnictví už se nikdy nevrátíme. Dnes je to opravdu bezpečnostní problém. Ostatní banky to intenzivně řeší, upozorňují klienty, školí je. Některé ale už začaly měnit obchodní podmínky tak, že v případě phishingových útoků nebo podvodů, kdy vstoupíte na podvrženou webovou stránku, převádí vinu na klienta. To je vlastně hrozné, ale ukazuje to, že v internetovém bankovnictví je útoků tak moc, že banky už nevědí, jak si s tím poradit.
 
Proč je mobilní bankovnictví bezpečnější?
Autorizace se děje přímo na daném zařízení, není tam přenos jména a hesla. Když mi někdo ukradne můj PIN, tak s ním bez mého telefonu nic neudělá, zatímco když mi ukradne heslo k internetovému bankovnictví, je to samozřejmě jiné.
 
Mobilní aplikace tedy podle vás pomáhají snižovat riziko phishingových útoků, nepřináší ale svá vlastní specifická rizika?
Určitá rizika tam samozřejmě jsou. Riziko je například instalace aplikace, která není naše, kdy by se za nás mohl někdo vydávat v App Store nebo Google Play. Riziko mohou představovat i další aplikace, jež jsou v telefonu nainstalované. To se ale dá poměrně snadno řešit. Máme bezpečnostní systém, který u ostatních aplikací v mobilu kontroluje, zda nepředstavují potenciální hrozbu, například kvůli snímání obrazovky. Tomu lze ale zabránit už jen tím, že v bankovní aplikaci úplně zablokujete funkci screenshotu, což je běžná praxe. Když nemůžete obrazovku snímat sami, nemůže to dělat ani nikdo jiný. Riziko je samozřejmě i ukradení telefonu, prolomení hesla. Většina rizik se ale váže s tím, že uživatel například nemá zamčený telefon nebo používá špatné heslo jako 0000 nebo 1234, což je problém vždycky a vždy bude. Nejsou to už ale širokospektrální rizika, kdy někdo rozešle e-mail na 100 tisíc lidí a zkouší, kdo se chytí. U aplikací to je mnohem individuálnější a útočníci už zpravidla musí cílit na konkrétního člověka. 
 
V tomto směru jim dnes práci usnadňuje celá řada deepfake technologií, s nimiž hackeři pracují stále častěji.
Ano, bezpečnostní rizika se neustále vyvíjí. Například aktivace účtu děláme přes fotografii občanky a obličeje, dnes ale už máte nástroje, které vaši tvář dokáží nasimulovat. Bezpečnostní systém je proto potřeba opět rozšířit. Některé banky dělají autorizace hlasem, což dlouho fungovalo, dnes už je to ale zase málo, protože i hlasy se dají simulovat.
 
Jak se dá proti těmto deepfake podvrhům bránit?
Bezpečnostní softwary, které se používají k verifikaci dokladů, dnes pracují s ověřováním v registrech, snímají vodoznaky, odlesky, sledují, jestli doklad není jen vytisknutý na papíře nebo vyfocený v telefonu. Porovnávají mezery mezi písmeny a všechna další pravidla, která doklad musí splňovat. Stejné je to u těch videí. Firmy v zahraničí toto téma už řeší a zavádí například to, že budou používat barevné spektrum, které aplikace vysílá, aby sledovala odlesky na obličeji a dokázala určit, zda je reálný, nebo ne. Všechno se ovšem dá nějak podvrhnout, bezpečnostní firmy tak musí stále reagovat na nové hrozby.
 
Vaši zaměstnanci a poradci měli možnost si aplikaci v posledních měsících vyzkoušet. Jaké problémy jste v rámci testování podchytili?
Hodně zpětné vazby jsme nasbírali už z poradenské části aplikace, která byla spuštěna už dřív. Mohli jsme tak odladit problémy, které se týkaly obecného ovládání, přihlašování, odhlašování, aktivace účtu, základní bezpečnosti zařízení nebo kompatibility s různými velikostmi telefonů. U bankovní aplikace jsme pak při testování narazili na řadu drobností. Když to spouštíte na zelené louce, nastavíte procesy, všechno funguje, pak si to ale vezme reálný uživatel a vy vidíte, že mu například chodí notifikace při převodech peněz mezi vlastními účty nebo při převodech na dětské účty. Lidé vám potom říkají, že je to vlastně nezajímá. Notifikacím pro dětské úkoly také lidé někdy úplně nerozumí. Jedná se ale zpravidla o drobnosti, kdy stačí něco lehce změnit, přidat popisky, návody, vysvětlení a podobně.
 
Co si naopak testeři chválili?
To je hodně individuální, spoustu lidí ale překvapuje rychlost. I například co se týče sjednání účtu. Pokud už jste náš klient, tak to zabere jen čtyři kliknutí – člověk si vybere číslo účtu a kartu, klikne, podepíše a hotovo. Poradci z toho byli v šoku, jak rychlé to je. Překvapovalo je, že už je vše hotové, čekali, že se ještě něco dalšího bude dít. Stejně tak převody, instantní platby. Sama jsem překvapená, jak rychlé to je. Samozřejmě jsme zvědaví, jak to ustojíme s přibývajícími klienty. 
 
Vaše aplikace funguje i v samostatné dětské verzi, která je specifická mimo jiné tím, že umožňuje dávat dětem úkoly s finanční odměnou. Jak to funguje?
Rodič zadá určitý úkol a stanoví nějakou částku, kterou dítě za jeho splnění dostane. Dítě pak úkol splní, v aplikaci ho odklikne a rodič potom může schválit, nebo zamítnout vyplacení odměny. Tuhle funkci si lidé hodně chválí a rodiče říkají, že děti jsou nadšené a vyloženě od nich chtějí úkoly, aby je mohly v aplikaci odklikávat. Pouze někteří rodiče přišli s tím, že by chtěli možnost odměnu schválit jen částečně, protože dítě například úkol nesplnilo na sto procent, ale odměnu si přesto zaslouží. 
 
Proč jste si jako maskota dětské aplikace vybrali zrovna křečka?
Protože křeček si křečkuje a dětská aplikace je zaměřená na spoření. To byl ten první impuls. Jinak se nám ale prostě líbil.
 
Popularita aplikací roste i například v e-commerce, kde se k nim e-shopy přiklání kvůli cílené reklamě a lepšímu přístupu k datům o tom, jak se uživatel při nakupování chová. Jak se to projevuje u bankovní aplikace a plánujete s ní pracovat podobně?
My s tím pracovat chceme, ale spíš z pohledu toho, aby klienti nedostávali reklamy, které je nezajímají. U spousty bank to bývá často tak, že na hlavní stránce nahoře mají velkou reklamu „vezměte si úvěr“, a to je všechno. To nechceme. Chceme jít víc do hloubky s tím, které produkty u nás klient má, jak s námi pracuje, co ho zajímá a co ho ne. Služby chceme hodně individualizovat, aby jednotlivým klientům chodily informace, které chtějí. K tomu není vysloveně nutné mít mobilní aplikaci. Tím, že naši klienti mají své vlastní poradce, tak často známe celé jejich portfolio, víme o nich spoustu věcí a jsme jim schopní informace uzpůsobit. Mobilní aplikace ale má obrovskou výhodu, co se týče bezpečnosti, sledování chování člověka. Dá se u ní pracovat i s tím, jak člověk telefon drží. 
 
Sledovat, jak člověk drží telefon? K čemu taková funkce u bankovní aplikace může být dobrá?
Máte různé systémy, které vyhodnocují, jak telefon nakláníte nebo jak s ním pracujete, a tím se sleduje, zda to jste skutečně vy, kdo zařízení zrovna drží. Často se s tím pracuje, když se sjednávají úvěry přes aplikace, kdy to může sloužit jako další bezpečnostní prvek. 
 
Vycházela sázka na mobilní aplikaci i z toho, že se čím dál víc bankovních operací už tak přesouvá do našich telefonů? Od plateb přes QR kódy po kreditky v mobilech či platby přes NFC čipy. Považujete to za širší trend?
Ano, když jsme si dělali analýzu trhu, bylo jasně vidět, že trend postupuje k mobilnímu bankovnictví a banky to samy dost tlačí. Reklamy už dnes nejsou o tom, že někdo má internetové bankovnictví, ale o nových nebo lepší aplikacích. Všechny klíče a autorizace se přesouvají do mobilních telefonů.
 
Pozorujete tento trend i v zahraničí?
Například nové britské banky jako Starling či Monzo už začínaly jen s mobilem, podobně ukrajinská Monobank. Starling sice pak s internetovým bankovnictvím po nějaké době přišla, ale Monobank na Ukrajině i po sedmi letech zůstává jenom v mobilu, má velký úspěch a asi 10 milionů klientů, což je poměrně hodně. Je vidět, že hodně rostou a neoslovují jenom mladou generaci. Ukrajinský bankovní trh je přitom tradičně velmi konzervativní.
 
Plánujete do aplikace výhledově zapojit umělou inteligenci? Jste banka, která má zároveň poradenskou větev, takže kdybyste představili virtuálního finančního poradce, budete připravovat o práci vlastní zaměstnance.
My vždy říkáme, že jde o klientovu volbu. Záleží na tom, co on sám preferuje. Spousta lidí dává přednost osobnímu kontaktu, v cizině se za něj naopak často platí. Přesun k robotům a AI mnohdy právě znamená, že se firmy snaží zbavit lidí, aby ušetřily. Spousta lidí naopak bere jako přidanou hodnotu to, že se mohou pobavit s někým skutečným. Každý je ale jiný, někdo si chce povídat, jiný ne, takže v aplikaci budeme funkce rozšiřovat. Chceme mít nějakou možnost, jak klientům dávat různá finanční doporučení a rady k rozhodnutím, která se v aplikaci chystají udělat. Říct jim, že tohle možná není úplně dobrá cesta, tohle může být lepší, ale zároveň jim nechat volnost. O AI samozřejmě mluvíme, zatím mi ale přijde, že je stále velmi brzo a ty technologie jsou nedokonalé. Ať už jsem s AI volala nebo využívala různé chaty, většinou jsem neměla moc dobrou uživatelskou zkušenost. Všude se říká, jak je to skvělé a chytré, mně to ale zas tak skvělé a chytré nepřijde. Nakonec jsem vždycky ráda, když si můžu zavolat s živým člověkem.