Ależ formę mają ostatnio programiści ING. Jedna zmiana za drugą

Dla osób, które korzystają z Moje ING od lat, dwie nadchodzące nowości mogą brzmieć jak spełnienie życzeń wysyłanych w komentarzach pod kolejnymi postami banku na Facebooku. Autoryzacja odciskiem palca albo skanem twarzy wreszcie zastąpi część sytuacji, w których trzeba było wystukiwać PIN, a w kolejnych dniach aplikacja zyska też długo oczekiwany tryb ciemny. Jedno i drugie to funkcjonalności, które w polskiej bankowości mobilnej już dawno przestały być ekstrawagancją – IKO od PKO BP, Pekao24 czy aplikacja BNP Paribas mają je w standardzie od lat.

Biometria zamiast PIN-u – co się właściwie zmienia

Do tej pory biometria w Moje ING ograniczała się do logowania. Użytkownik ustawiał odcisk palca albo Face ID i dzięki temu mógł szybciej wejść do aplikacji. Natomiast przy potwierdzaniu konkretnych operacji – przelewów, zmian limitów, akceptacji wniosków – i tak lądował przy klawiaturze numerycznej i PIN-ie. Nowa funkcja tę logikę zmienia. Niektóre dyspozycje, w tym przelewy, można będzie zatwierdzać odciskiem palca lub skanem twarzy. Bank zapowiada, że lista takich operacji będzie sukcesywnie rozszerzana.

Z punktu widzenia konsumenta to realne udogodnienie – mniej kroków, szybsza autoryzacja, brak ryzyka, że ktoś stojący obok w kolejce podejrzy PIN wyświetlany na ekranie telefonu. Warto jednak zwrócić uwagę na kilka szczegółów, które w oficjalnych materiałach banku brzmią bardzo neutralnie, a w praktyce mają znaczenie.

PIN nie znika, a system sam decyduje o sposobie autoryzacji

Po pierwsze, PIN do aplikacji pozostaje aktywny. Nawet jeśli ktoś ustawi sobie logowanie odciskiem palca jako domyślne, bank zastrzega, że w niektórych sytuacjach i tak może poprosić o wpisanie PIN-u. Po drugie, to nie użytkownik decyduje, czy dana operacja zostanie zatwierdzona biometrią, czy nie. Każdą dyspozycję analizuje system antyfraudowy banku, który dopiero po „błyskawicznej analizie” – jak informuje ING – wybiera sposób autoryzacji. Innymi słowy: jeśli transakcja wyda się algorytmowi nietypowa, biometria zostanie pominięta na rzecz innej metody.

Nie jest to ułomność wdrożenia, a raczej standard europejskiego podejścia do silnego uwierzytelnienia (SCA) wynikającego z dyrektywy PSD2. Banki są zobowiązane do weryfikacji tożsamości klienta przy transakcjach elektronicznych przy pomocy co najmniej dwóch z trzech elementów: czegoś, co klient wie (PIN, hasło), czegoś, co posiada (telefon, token) i czegoś, czym jest (biometria). Biometria sama w sobie tego wymogu nie spełnia – musi być sparowana z innym czynnikiem, np. z urządzeniem, z którego korzysta klient.

Czyje to właściwie dane biometryczne

Druga rzecz, której warto być świadomym: bank nie ma dostępu do odcisku palca ani wizerunku twarzy użytkownika. Cała operacja odbywa się po stronie telefonu – to iOS lub Android porównują dane z wzorcem zapisanym w bezpiecznej pamięci urządzenia i wysyłają do aplikacji jedynie komunikat „tak” albo „nie”. ING tylko potwierdza, że system operacyjny zweryfikował tożsamość.

To istotne z perspektywy przepisów o ochronie danych osobowych. Dane biometryczne mają w RODO status danych szczególnej kategorii (art. 9 ust. 1), więc ich przetwarzanie przez bank wymagałoby odrębnej podstawy prawnej i zupełnie innego reżimu. Model, w którym biometrię „obsługuje” telefon, a bank dostaje tylko potwierdzenie – zapisany po stronie producenta systemu – to w praktyce jedyna konsumencko akceptowalna wersja tego rozwiązania. Banki, które próbowały własnoręcznie zbierać wzorce głosu czy twarzy klientów, ściągały na siebie problemy z UODO.

Tryb ciemny – funkcja banalna, ale długo wyczekiwana

Druga zapowiadana zmiana to wprowadzenie trybu ciemnego w aplikacji Moje ING. Rzecz z pozoru kosmetyczna, ale dla części użytkowników wyjątkowo istotna – zwłaszcza dla tych, którzy całego smartfona mają ustawionego w ciemnym motywie, a biała plama aplikacji bankowej rozświetlała im ekran w środku nocy. ING zapowiada, że funkcja ma pojawić się w aplikacji od wersji 4.22.0. Użytkownik będzie mógł wybrać, czy aplikacja ma dopasowywać się do ustawień systemu, czy chce wymusić jeden konkretny wygląd.

Bank argumentuje decyzję w swoim komunikacie tym, że „słuchamy Waszych głosów i robimy wszystko, by codzienne bankowanie było jeszcze przyjemniejsze”. Ta deklaracja brzmi sympatycznie, ale trzeba ją opatrzyć uczciwym przypisem: to nie jest innowacja, to uzupełnienie zaległości. Tryb ciemny istnieje w komercyjnych aplikacjach mobilnych od 2019 roku, kiedy wprowadziły go zarówno iOS, jak i Android. Kolejne banki dokładały go do swoich apek po kolei – ING zdecydowanie nie był pionierem. Pisaliśmy zresztą o tym już dawno, zwracając uwagę, że ING ciemny motyw miał dopracować praktycznie jako ostatni w branży.

ING łapie oddech po kilku trudniejszych latach

Nowe funkcje to niejedyne pozytywne sygnały płynące ostatnio z pomarańczowego banku. Warto przypomnieć, że sama aplikacja przeszła w ostatnich latach istotny redesign – szeroko komentowany na rynku. Nasz serwis również się o niej wypowiadał, stwierdzając wprost, że nowa aplikacja ING jest świetna i wreszcie odpowiada na potrzeby klientów, którzy chcą czegoś więcej niż ładnego interfejsu.

Wcześniej ING uruchomił płatności zbliżeniowe BLIK, co dla klientów na Androidzie oznaczało alternatywę dla Google Pay i Apple Pay bez konieczności podpinania karty do zewnętrznego portfela.

Biometria to wygoda, ale czasem zamienia się w przymus

Na koniec jedna istotna uwaga kontekstowa. Moda na uwierzytelnianie biometryczne w bankowości ma też drugą stronę – coraz częściej aplikacje nie proponują biometrii, tylko jej wymagają, w określonych sytuacjach wręcz wymuszają selfie z dowodem w ręku. Pisaliśmy niedawno o tym, że jeśli chcesz wykonać przelew, będziesz musiał zrobić zdjęcie dowodu i selfie – w niektórych bankach system antyfraudowy wymaga takiej weryfikacji, jeśli uzna transakcję za podejrzaną. Sama w sobie to funkcja potrzebna, bo ogranicza skutki ataków socjotechnicznych. Z drugiej strony pokazuje, że granica między „wygodnym logowaniem biometrią” a „przymusowym nagrywaniem twarzy przez bank” jest cieńsza, niż się wydaje.

Wdrożenie ING wydaje się po tej dobrej stronie granicy: biometria pozostaje opcją, którą klient włącza i wyłącza w ustawieniach, a inne metody autoryzacji są nadal dostępne. Pytanie, czy tak zostanie, czy za rok – dwa lista operacji, które można potwierdzić wyłącznie odciskiem palca lub twarzą, nie zacznie rosnąć szybciej niż lista tych, przy których klient ma wybór. To zjawisko warto będzie obserwować – nie tylko w ING, ale we wszystkich bankach, które na fali mody na UX zaczynają upraszczać swoim klientom życie w sposób, który z czasem bywa trudny do odkręcenia.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj