PKO BP ogłosił z wielką pompą, że wspólnie z Politechniką Gdańską i firmą Microsystem pracuje nad nowymi metodami biometrycznej identyfikacji klientów. Do końca tego roku ma zostać opracowana ich koncepcja, zaś w przyszłym roku w 60 placówkach banku na Pomorzu odbędą się testy, w których weźmie udział 10.000 klientów. W zasadzie można byłoby zapytać dlaczego największy polski bank postanowił ponownie wynaleźć ogień. Przecież sprawdzone metody biometryczne już w polskich bankach z powodzeniem działają. W Banku Smart i Meritum Banku można się zalogować do konta głosem. 

W BPH klienci w oddziałach potwierdzają tożsamość przykładając palec do czytnika, tak samo jak w automatycznych oddziałach Getin Up, zaś BZ WBK testuje podpisywanie w ten sposób umów o otwarcie rachunków. Od kilku lat mamy biometryczne bankomaty, z których pieniądze wypłaca się po przyłożeniu palca (nie trzeba w ogóle mieć karty płatniczej), zaś jedna z sieci wyposażyła ostatnio w tę technologię ponad 2000 urządzeń. Czyżby w PKO BP doszli do wniosku, że w patriotycznym uniesieniu należy odrzucić wymysły obcych nacji i opracować naszą, polską biometrię? W tym celu PKO BP i partnerzy wydadzą na badania 10 mln zł, z czego jedną trzecią pokryje Narodowy Instytut Badań i Rozwoju.

Największy polski bank przekonuje, że to, nad czym pracuje, jest pierwszym kompleksowym podejściem do takiej identyfikacji klienta, w której nie jest potrzebny ani PIN, ani login, ani hasło. W ramach przyszłorocznego pilotażu testowane będą bowiem przynajmniej cztery metody biometryczne jednocześnie . Pierwszą jest specjalny długopis biometryczny , za pomocą którego klient składa podpis na ekranie dotykowym. Ocena autentyczności klientowskich gryzmołów nie będzie zależała tylko od charakteru pisma, lecz także od nacisku dłoni na pióro, kątu nachylenia długopisu i szybkości pisania. A więc cech, które dodatkowo utrudniają podrobienie podpisu. Drugą metodą identyfikacji klienta ma być badanie barwy głosu, która z kolei zależy od specyficznych cech budowy strun głosowych (są niepowtarzalne dla każdego człowieka). Specjalne oprogramowanie będzie przerabiało zapis głosu na algorytm i sprawdzało czy zgadza się ze złożonym "wzorem". Trochę mi to przypomina wymysł jednego z azjatyckich banków, który twierdzi, że jest w stanie identyfikować klientów na podstawie... zagranego przez nich fragmentu muzyki na dowolnym instrumencie. Po prostu każdy ma inną motorykę ręki, której skopiować się nie da.

Poza identyfikacją na podstawie podpisu i głosu klienci PKO BP będą poddawani fotogrametrii laserowej, czyli rodzajowi prześwietlenia promieniami podczerwieni, na podstawie czego powstanie zapis profilu twarzy, będący jednocześnie unikalnym podpisem delikwenta. Czwartym sposobem, za pomocą którego PKO BP chce sprawdzać czy Kowalski to rzeczywiście Kowalski, jest badanie układu naczyń krwionośnych, z tym że bez przykładania palca do czytnika, lecz za pomocą skanowania całej dłoni (trzeba będzie ją zbliżyć do czytnika). Podobno ma to być bardziej precyzyjne, niż przy standardowym badaniu układu naczyń w palcu. Nie przekonuje mnie to zupełnie, ale w sumie nie ma przeciwwskazań, żeby w każdym oddziale PKO BP zamontować specjalną tubę, w której klient będzie się "logował" pokazując naczynia krwionośne na całym ciele ;-). Paletę testowanych przez PKO BP rozwiązań dopełni nowoczesny skaner dowodu osobistego (w użyciu znajdą się aż trzy rodzaje promieni). Wspomniano też coś o nowej technologii, która umożliwia identyfikację klienta po podpisie składanym specjalnym rysikiem w... powietrzu. Ale tę metodę PKO-wcy na razie sobie odpuszczają.

Po co aż tyle metod identyfikacji klientów jednocześnie? Podobno dlatego, że nie wszystkie są wystarczająco niezawodne, więc powinny być stosowane łącznie (np. głos można dziś "sfałszować" za pomocą wysokiej klasy syntetyzatorów, więc nie powinien być jedynym identyfikatorem biometrycznym). Po drugie w PKO BP mają nadzieję, że dzięki opracowaniu kilka metod jednocześnie zdołają "obstawić" nimi nie tylko oddziały, ale i swoje bankomaty, infolinię telefoniczną, czytniki kart płatniczych w sklepach, a może i domowe komputery w domach klientów (kiedyś banki dawały klientom tokeny, a w przyszłości być może będą im wypożyczały długopisy biometryczne i mikrofony do "słuchania" głosu przy logowaniu). Eksperci Politechniki Gdańskiej sugerują wreszcie, że po testach niektóre metody mogą odpaść jako niewystarczająco niezawodne albo za drogie (wiadomo już np., że fotogrametria laserowa nie będzie tania). Jednak konsorcjum banku i naukowców uważa, że nawet jeśli niektórych metod nie będzie się opłacało wdrożyć w banku, to być może okażą się sensowne w administracji, czy służbie zdrowia (np. przy elektronicznym dostępie do historii choroby).

Ciekaw jestem co na to wszystko GIODO i czy klienci PKO BP, potraktowani jak na filmach o kosmitach - "podpisz to, powiedz coś, daj sobie zeskanować głowę i przyłóż rękę" - nie uciekną na najbliższe drzewo ;-). No i ile kosztowałby sprzęt potrzebny do zmontowania takiego stanowiska, przy którym klient wszechstronnie by się "autoryzował". A na koniec czy nie okazałoby się to tylko sztuką dla sztuki, bo - jak wiadomo - do oddziałów bankowych chodzimy coraz rzadziej, więc okazji do takiej "cielesnej inwazji" dokonywanej przez bank byłoby niewiele. No, chyba że rzeczywiście udałoby się wprowadzić długopisy biometryczne, albo biometrię głosową do masowego użycia do zatwierdzania transakcji internetowych. Osobne pytanie dotyczy też kwestii bezpieczeństwa: czy bazy danych z przeróżnymi cechami biometrycznymi nie byłyby cennym łupem dla złodziei, którzy - ostatnio to pokazali - potrafią dostać się do serwerów bankowych?

Podobno takiego ryzyka nie ma, bo na serwerach nie będą przechowywane żadne dane biometryczne (nie ma próbek głosu, zdjęć w podczerwieni, skanów obrazu naczyń krwionośnych), a tylko tzw. cechy dystynktywne (wektory cech), w dodatku "zakodowane" pewnym algorytmem jako ciąg cyfr. Klient, autoryzując się w banku, skanuje układ naczyń krwionośnych, ale do serwera nie wędruje skan, tylko cechy zapisane i zakodowane za pomocą algorytmów. Tam są porównywalne ze źródłowymi danymi. Włamanie się do banku i zgarnięcie baz danych wektorów cech *czyli ciągu liczb) bez "legendy" i bez materiału do porównań nic nie da.  Czy właśnie jesteśmy świadkami początku nowej ery, czy też - jak to już wspomniałem na początku - próby wysokobudżetowego wynalezienia ognia? Prowadzenie prac badawczych nad polską biometrią głosową, czy też nad metodą opartą na analizie układu naczyń krwionośnych wydaje mi się dość dużą ekstrawagancją. Są już gotowe rozwiązania, nie trzeba ich wymyślać na nowo. Prześwietlanie głowy? Nigdy nie będzie tanie, zawsze zaś kłopotliwe i budzące opór klientów. Magiczny długopis? No, może. Ale początku nowej ery w identyfikacji klientów bym jeszcze nie ogłaszał ;-).