Najpopularniejsze tematy:

Premium

Materiał dostępny tylko dla Subskrybentów

Nie masz subskrypcji? Dołącz do grona Subskrybentów i korzystaj bez ograniczeń!

Jesteś Subskrybentem? Zaloguj się

Premium

Subskrybenci wiedzą więcej!

Nie masz subskrypcji? Dołącz do grona Subskrybentów i korzystaj bez ograniczeń!

Wybierz wariant dopasowany do siebie!

Jesteś Subskrybentem? Zaloguj się

X
Następny artykuł dla ciebie
Wyświetl >>
Payeye, czyli płacenie wzrokiem

Płacenie, które nie wymaga niczego poza zeskanowaniem tęczówek w naszych oczach, nie jest już tylko wymysłem scenarzystów filmów science‑fiction. Polski start‑up PayEye wprowadził tę usługę do powszechnego, komercyjnego użycia – jako pierwszy na świecie.

To naprawdę już działa, choć na razie – od 24 czerwca 2020 roku – tylko we Wrocławiu. Idąc na basen, do restauracji, czy fryzjera nie musimy zabierać ze sobą ani gotówki, ani karty płatniczej, ani nawet telefonu (o ile oczywiście w ogóle na basen czy do restauracji wejdziemy – aktualnie nie jest to możliwe). Nie musimy też niczego dotykać. Wystarczą nasze własne oczy, które skierujemy na moment w kierunku specjalnego terminala płatniczego. Ten zeskanuje obraz tęczówek, rozpozna nas i pobierze z konta odpowiednią sumę. Prościej i wygodniej się nie da.

Nowocześniej też nie. Na żywo robi to niesamowite wrażenie – tak jakby przyszłość stawała się czymś zwyczajnym i codziennym, dostępnym tu i teraz. Ale ta zwyczajność i codzienność nadal stanowi sensację, zwłaszcza poza granicami Polski. Usłudze payeye (taka jest właściwa nazwa usługi, podczas gdy firmy: PayEye) poświęcony był chociażby materiał w telewizji śniadaniowej jednego z najbardziej zaawansowanych technologicznie państw świata – Korei Południowej.

Payeye – technologia w tle

Rozwiązanie proponowane przez PayEye bazuje oczywiście na biometrii, co w tym konkretnym przypadku oznacza wykorzystanie faktu, że każdy człowiek (dotyczy to także bliźniąt) ma unikalny wzór tęczówki. Ba, jest on inny dla każdego z obojga oczu. Podczas zakładania konta i jego aktywacji obraz tęczówek utrwalany jest w postaci cyfrowej (tzw. payeye kod) – i od tej pory przechowywany w systemie wzór porównywany jest z oczami użytkownika podczas jego identyfikacji. Warto też dodać, że w identyfikacji nie przeszkadza to, że nosimy okulary albo soczewki kontaktowe, mamy zeza czy chociażby zapalenie spojówek. Skanowanie tęczówki nie jest też w ogóle szkodliwe dla zdrowia. Jedynym realnym utrudnieniem w procesie płatności może być fizyczne zasłonięcie lub zmiana kształtu tęczówek, na przykład przez specjalne soczewki kontaktowe lub okulary przeciwsłoneczne.

I jeszcze jedna ważna kwestia – skanowanie wymaga wykorzystania specjalnego terminala. Nie jest możliwe wykorzystanie do tego celu np. przedniego aparatu w smartfonie, ani nawet specjalnych skanerów tęczówki, które znaleźć można w wybranych modelach telefonów. Natomiast może to być terminal przenośny – da się chociażby zamówić jedzenie z restauracji do domu i zapłacić wzrokiem przy jego odbiorze.

Najważniejsze jest jednak co innego – terminal płatniczy został opracowany (i jest dalej rozwijany) właśnie przez wrocławski start‑up, w jego centrum badawczo‑rozwojowym. Dzięki temu firma może w pełni kontrolować proces – najpierw rejestracji, a potem płatności, od samego początku i aż do końca. Dzięki tej „zamkniętej architekturze” system może być w pełni kontrolowany i bezpieczny.

Na tym etapie rozwoju firmy produkcja terminali także odbywa się wyłącznie w Polsce, natomiast w dłuższej perspektywie – przy zwiększaniu skali jej działalności na cały kraj lub też wiele państw – może odbywać się również gdzie indziej.

Czy to bezpieczne?

Tak samo jak w przypadku innych rozwiązań bazujących na biometrii, skanowanie tęczówki ma zarówno zalety, jak i wady. Podstawowa wartość polega na tym, że unikalna cecha naszego ciała pełni funkcję hasła dostępu do jakiejś usługi. Jest to zatem hasło (i to bardzo skomplikowane), którego nie sposób zapomnieć czy zgubić, i które zawsze mamy ze sobą. Na dodatek w przypadku skanowania oka procedura identyfikacji jest całkowicie bezdotykowa, czyli nie wymaga chociażby naciskania klawiatury na terminalu płatniczym – w dzisiejszych, pandemicznych czasach to dodatkowa zaleta.

Wady? Jedna, za to zasadnicza, choć w przypadku payeye na razie czysto teoretyczna. Tak samo jak w przypadku innych „haseł” bazujących na biometrii, obrazu naszych tęczówek nie jesteśmy w stanie zmienić. Innymi słowy „hasło”, jakim się posługujemy, jest wyjątkowe, unikalne, bardzo skomplikowane i niemal niemożliwe do podrobienia – ale jednorazowe. Gdy komuś uda się je poznać, nie wymienimy sobie oczu na nowe. Takie rzeczy możliwe są w tym momencie tylko w filmach science‑fiction, natomiast współczesna medycyna nie pozwala jeszcze na takie zabiegi – przynajmniej jeśli chodzi o całą gałkę oczną. Natomiast – tak na marginesie – samo wszczepienie nowej, sztucznej tęczówki jest już zabiegiem dostępnym, wykonywanym również w Polsce.

Zostawmy jednak te nieco makabryczne rozważania, ponieważ ważniejsze jest coś innego. Od kilku lat wiemy już na pewno, że złamanie zabezpieczenia biometrycznego bazującego na obrazie tęczówki jest możliwe, choć niewątpliwie trudne. Przede wszystkim potrzeba wysokiej jakości zdjęcia tęczówki (pół żartem, pół serio: warto uważać, co publikujemy w internecie), następnie szczegółowego wydruku tego zdjęcia (na zwykłej, kolorowej drukarce 2D) i wreszcie nałożonej na niego soczewki kontaktowej, by nabrał on „wyglądu 3D”.

Czy to działa? Niestety tak – powyżej opisałem uproszczony sposób, w jaki w 2017 roku zhakowany został skaner tęczówki wbudowany w smartfon Samsung S8. Jeszcze wcześniej, bo w 2012 roku, podczas konferencji Black Hat zademonstrowano inny sposób na oszukanie tego typu zabezpieczeń. Wykorzystano po prostu dane o tęczówce przechowywane przez system biometryczny do wydrukowania obrazu oka. Okazało się, że w 80% przypadków wydruk został uznany przez system za prawdziwe oczy użytkownika. Tu trzeba też zaznaczyć, że według twórców payeye ich „payeye kod” absolutnie nie umożliwia takiego wtórnego odtworzenia obrazu oka, to informacja przetwarzana jednokierunkowo.

W przypadku payeye zagrożenie jakimkolwiek sposobem „zhakowania” procesu identyfikacji jest jednak bliskie zeru. Z prostego powodu – jeśli przyjdziemy do sklepu i zaczniemy machać przed terminalem jakimiś wydrukami oczu, to nie tylko wyjdziemy bez zakupów, ale zapewne z rękami skutymi kajdankami. To samo dotyczy też wykorzystania oczu zmarłej osoby – znów ocieramy się o makabrę, ale warto przypomnieć, że tego typu przypadki znane są nie tylko z filmów z dreszczykiem, ale autentycznie miały miejsce w krajach, w których systemy bankowe umożliwiają zdalną identyfikację twarzy klienta. Payeye zdalnej identyfikacji nie oferuje, płacimy na miejscu, przy osobie obsługującej terminal.

Wrocławski fintech nie ukrywa jednak, że pracuje obecnie nad sposobem płacenia wzrokiem również przy okazji transakcji internetowych – zdecydowanie zyskujących na znaczeniu w ostatnim czasie. Na razie taka usługa nie jest jednak możliwa, a jeśli będzie, to niemal na pewno zostaną przy niej wykorzystane dodatkowe poziomy weryfikacji, chociażby przy pomocy kodu przysyłanego na smartfona lub PIN‑u.

Przedstawiciele firmy podkreślają też, jak ważne jest dla nich bezpieczeństwo danych, dotyczących zarówno zapisanych wzorów biometrycznych, jak i informacji finansowych. Payeye traktowany jest w świetle prawa jako MIP (Mała instytucja płatnicza) i jako taka podlega dość szczegółowym regulacjom Komisji Nadzoru Finansowego. Warto też dodać, że zgody, których klienci payeye udzielają podczas rejestracji, nie umożliwiają firmie dzielenia się zbieraną bazą danych z innymi instytucjami. To także przykład – kolejny, po samodzielnym rozwijaniu i produkcji terminali oraz oprogramowania – budowania bezpieczeństwa usługi poprzez tworzenie zamkniętego, w pełni kontrolowanego ekosystemu. Nie jest to łatwa droga – prawdopodobnie szybsze byłoby np. opracowanie usługi w oparciu o urządzenia firm trzecich – ale jest to droga gwarantująca największą kontrolę i bezpieczeństwo całego systemu. W dłuższej perspektywie – najlepsza.

Payeye – jak zacząć i jak to działa

Konto, które umożliwia płacenie za pomocą wzroku, założyć może każdy, kto skończył 18 lat i ma zdrową tęczówki. Usługę uruchamia się dwuetapowo. Najpierw rejestrujemy się online w systemie payeye, wykorzystując do tego celu dokument tożsamości. Następnie w dowolnym punkcie, który obsługuje płatność wzrokiem, rejestrujemy wzorzec biometryczny naszych tęczówek, potwierdzając przy okazji (tylko w tym jednym przypadku) nasz numer telefonu, który użyliśmy podczas pierwszego etapu.

Od tej pory możemy już płacić wzrokiem za towary czy usługi oferowane w ponad 60 miejscach na terenie Wrocławia: nie tylko sklepach czy restauracjach, ale także m.in. w salonie kosmetycznym, na basenie, u fryzjera czy… za korepetycje z matematyki. Oczywiście pod warunkiem, że zasilimy najpierw nasze konto odpowiednią sumą pieniędzy. Jest ono bowiem całkowicie odrębne – nie możemy zintegrować go z własnym kontem bankowym. To świadoma decyzja inwestorów i twórców firmy – rozwój usługi zaplanowany jest jako niezależny od któregokolwiek z istniejących banków.

Jak to wygląda w praktyce? Podobnie do transakcji rozliczanych z wykorzystaniem zwykłych terminali płatniczych. Osoba, która taki terminal obsługuje (np. kasjer, kelner) wprowadza na nim sumę transakcji, po czym przysuwa go do klienta (na odległość kilkunastu‑kilkudziesięciu centymetrów od twarzy). Różnica polega więc na tym, że ten nie przykłada do terminala karty i nie potwierdza płatności PIN‑em, a jedynie spogląda – wystarczy przez ułamek sekundy – na ekran terminala i umieszczone obok kamery. Z perspektywy firm, które zdecydują się na oferowanie tej formy płatności, nie różni się to niczym od korzystania ze zwykłych terminali płatniczych. Dla klientów różnica jest natomiast spora – płatność jest bezdotykowa, w sumie zajmuje tyle samo czasu, co płatność kartą, natomiast nie wymaga zabierania ze sobą niczego, poza własnymi oczami.

Plany na przyszłość

Oczywiście głównym celem firmy jest stopniowe zwiększanie skali działalności – najpierw o inne miasta w Polsce, cały kraj, a wreszcie inne państwa. Mimo to payeye pozostanie z założenia ekosystemem niezależnym i samodzielnym, ale – ponieważ jest to też system modułowy, możliwa jest w przyszłości współpraca z innymi instytucjami finansowymi (np. bankami), chociażby jako jedna z form identyfikacji biometrycznej. Drugą grupą potencjalnych przyszłych partnerów wrocławskiego fintechu są dystrybutorzy terminali rozliczeniowych, co może być m.in. sposobem na przyśpieszenie zwiększania skali działalności firmy. Nie znaczy to jednak, że firma uzależnia swoją strategię rozwojową od pozyskania odpowiednich partnerów – pierwszym założeniem jest i pozostanie niezależność ekosystemu.

PayEye nie boi się także konkurencji, która na pewno pojawi się na tym rynku. To dobre zjawisko, sprzyjające dalszemu rozwojowi, a równocześnie polska firma już teraz buduje przewagę konkurencyjną, zarówno pod względem technologicznym, jak i rynkowym. To inni będą musieli gonić PayEye, budując od zera własną markę – i zaufanie klientów.

Tomasz Kulas

Redaktor "MIT Sloan Management Review Polska", redaktor prowadzący "ICAN Management Review"

Polecane artykuły


Najpopularniejsze tematy