Biometriikan käyttö puhelimissa on jo valtavirtaa, ja käyttö kasvaa huimaa vauhtia niin sormenjälki- kuin kasvo- ja iiristunnistuksen saralla. Käyttäjien ja palveluntarjoajien kannalta tämän on hyvä uutinen: biometristen tunnistautumisvaihtoehtojen hyödyntäminen parantaa laitteiden ja niiden kautta käytettävien palveluiden tietoturvaa sekä näiden käytettävyyttä.

“Nyt on biometriikalle kaikin puolin oikea aika tehdä todellinen läpimurto maksuasioissa”, sanoo Qvikin toimitusjohtaja Lari Tuominen. “Sen lisäksi, että laitekanta mahdollistaa tämän ja käyttäjät ovat tottuneita biometriseen tunnistamiseen, maksamiseen liittyvä PSD2-lainsäädäntö ajaa palveluntarjoajia kohti biometrisiä tunnistautumistapoja.”

Biometriikka on jo läsnä maksuasioissa niin digitaalisessa maailmassa kuin fyysisessä kaupassa. Kassalla mobiilimaksut voidaan varmentaa sormenjälki- tai kasvotunnisteella, ja samoja konsteja käytetään enenevässä määrin myös mobiilipankkien maksuvarmennus- ja tunnistautumistilanteissa.

Lakiuudistuksen myötä useammat sovellukset sekä mobiili- ja verkkokaupat todennäköisesti ottavat biometriikan osaksi tunnistautumisketjuaan.

Kun raha liikkuu, tunnistautumisen kenttä on monimutkainen

Käydäänpä pikaisesti läpi Suomen pankkimaailman tunnistautumiskenttään liittyvät tärkeimmät termit. Sitten katsotaan, miten nämä liittyvät biometriseen tunnistautumiseen juuri nyt. Vinkki: kaiken takana on maksupalveludirektiivi PSD2.

Vahva tunnistautuminen. Jos palvelu vaatii vahvaa tunnistautumista, tunnistautumisketjussa täytyy olla elemetti, jonka perusteella palveluntarjoaja voi tietää varmuudella, kuka käyttäjä on. Suomessa vahvan tunnistaminen on onnistunut pankkitunnuksilla, mobiilivarmenteella tai sähköisellä henkilökortilla, joista ylivoimaisesti yleisin tunnistautumistapa on pankkitunnukset.

Vahva ensitunnistaminen. Jotta käyttäjä saadaan vahvan tunnistamisen piiriin, tarvitaan vahva ensitunnistaminen. Tämä tarkoittaa yleisimmin sitä, että käyttäjän on fyysisesti käytävä näyttämässä jollekin henkilöllisyystodistuksensa. Esimerkiksi Suomessa Tupas-tunnistautuminen on täyttänyt vahvan tunnistamisen ehdot, sillä jokainen on pankkitiliä luodessaan käynyt fyysisesti pankissa ja todistanut henkilöllisyytensä.

Two-factor tunnistautumisessa kirjautuminen on kaksivaiheinen. Tunnistautuminen voi perustua käyttäjän biometriseen ominaisuuteen, johonkin, jonka käyttäjä tietää (esim. käyttäjätunnus, salasana) tai johonkin, johon vain kirjautujalla on pääsy, kuten puhelin tai sähköposti. Tunnistautumisketjussa ei tarvitse olla vahvan tunnistautumisen elementtiä: palveluntarjoaja tietää riittävällä varmuudella, että kirjautuja on sama ihminen kuin esimerkiksi sähköpostiosoitteen haltija, mutta hän ei tiedä varmuudella, kuka henkilö on.  

Maksupalveludirektiivi PSD2 vaatii pian, että palveluntarjoajan on pystyttävä tunnistamaan käyttäjä kaksiosaisen two-factor tunnistamisen mukaisesti. Direktiivin tulkintaan tosin liittyy epäselvyyksiä eikä sen lopullista toteutumista tiedetä vielä varmuudella. Hähmäisyyttä lisää, että säännöksen mukaan lisätunnistautumisvaatimuksesta voidaan luistaa tapauksissa, joissa käyttäjälle taataan frictionless flow eli sujuva käyttökokemus.

Joka tapauksessa lakimuutos on tulossa eikä se koske vain pankkeja vaan kaikkia, jotka myyvät verkossa jotain.

Biometrinen tunnistautuminen astuu kehiin käyttäjäkokemuksen vuoksi. Vaikka laki tiukentaa tunnistautumisen kriteerejä, tunnistautumisesta halutaan tehdä käyttäjälle mahdollisimman kivuton prosessi: Two factor vaatimuksen kanssa on riski, että käyttäjäkokemus heikkenee. Verkkokaupan helppous ja kirjautumisen vaivattomuus ovat palveluntarjoajille ensiarvoisen tärkeitä, joten käyttömukavuus on syytäkin ottaa vakavasti.

“Käyttäjän kannalta helpoin tapa toteuttaa maksaminen lainsäädännön mukaan on implementoida palveluun biometrinen tunnistaminen”, Tuominen sanoo.

Ruotsissa vahva sähköinen tunnistautuminen toteutettu BankID:llä – Suomi vielä arpoo

Ruotsissa vahvan tunnistamisen hoitaa maan suurimpien pankkien ylläpitämä BankID. BankID-sovellukseen saa lisättyä puhelimen biometrisen tunnisteen, jonka jälkeen käyttäjä voi vaikkapa vahvistaa maksut kasvotunnistuksella.

“Suomessakin esimerkiksi Nordean ja OP:n sovellukset toimivat näin, mutta Ruotsissa BankID-ratkaisu on yhtenäisempi ja paremmin saavutettavissa – riittää, että käyttäjä on avannut tilin jossain ruotsalaisessa pankissa”, sanoo Qvikin Ruotsin tekninen johtaja Jesse Vartiainen.

Tuhkolmassa paraikaa asuva Vartiainen sai BankID-palvelun käyttöönsä haettuaan paikallisesta verovirastosta henkilönumeron ja marssittuaan pankkiin. Palvelun avaaminen edellyttää, että henkilö käy fyysisesti pankissa, todistaa henkilöllisyytensä ja saa sovellukseen tarvittavan aktivointikoodin virkailijalta.

”BankID:n voi integroida jokaiseen vahvaa tunnistautumista vaativaan palveluun verkkopankeista valtion palveluihin ja mobiilisovelluksiin.”

Suomessa sähköistä asiointia ja maksamista koskevia tunnistautumisratkaisuja koskevat selvitykset ovat vielä käynnissä, ja suunnitelmat ovat hieman muuttuneet. Aiemmin syksyllä pankkien tarjoamista Tupas-tunnisteista oltiin vielä luopumassa tiukalla aikataululla. Nyt Väestörekisterikeskus tiedottaa, että kaikkien pankkien tunnukset kelpaavat julkishallinnon sähköisiin asiointipalveluihin vielä vielä 2019–2020 ja että vaihtoehtoja vahvan tunnistamisen toteutukseen kartoitetaan.

“Suomenkin pankeissa on tekeillä vahvaa tunnistautumista tarjoavia biometriikkaa hyödyntäviä palveluita, jotka sopivat nimenomaan mobiiliin”, Vartiainen sanoo. “Osa pankeista kehittää sovelluksiaan yhä enemmän yleisempien tunnistuspalveluiden suuntaan, ja pian niiden käyttö tulee luultavasti olemaan Suomessakin monipuolisempaa.”

Kuvitus: Aija Malmioja