Klient: bank komercyjny (UE) / ok. 4 mln użytkowników
Obszar: bankowość internetowa i mobilna – proces logowania
Integracja: 1 linia kodu JavaScript + biblioteka w aplikacji mobilnej
Rezultat: stabilne rozpoznawanie zaufanych urządzeń w logowaniu (PSD2/SCA)
Duży bank komercyjny obsługujący ok. 4 mln aktywnych użytkowników bankowości (web i mobile) funkcjonował pod rosnącą presją ochrony kont, a równocześnie musiał utrzymać zgodność z wymaganiami PSD2, w tym wymogami silnego uwierzytelniania klienta (SCA).
Dla procesu logowania oznaczało to konieczność takiego ustawienia uwierzytelniania, aby z jednej strony spełniać wymogi regulacyjne i ograniczać ryzyko przejęcia kont, a z drugiej – nie dokładać klientom zbędnych kroków i nie pogarszać doświadczenia użytkownika.
W wielu ścieżkach dodatkowe potwierdzenia były uruchamiane szeroko, ponieważ bank korzystał z rozwiązania, którego fingerprint nie był odporny na pojedyncze, naturalne zmiany po stronie użytkownika. Aktualizacja przeglądarki, zmiany sprzętowe (np. monitor i rozdzielczość ekranu) czy modyfikacje konfiguracji przeglądarki (wtyczki, ustawienia prywatności) potrafiły sprawić, że urządzenie było traktowane jako „niezaufane”. Niezależnie od tego, rozwiązanie miało też lukę w pokryciu – nie obejmowało użytkowników logujących się przez przeglądarki mobilne, więc część ruchu pozostawała poza spójną ochroną.
W efekcie bank otrzymywał alerty o „niezaufanym urządzeniu” średnio co 3 tygodnie, a klienci byli częściej proszeni o dodatkową weryfikację. Zamiast upraszczać logowanie, mechanizm zwiększał tarcie w UX, generował frustrację i wymuszał dodatkowe kroki (step-up) po stronie banku.
Bank wdrożył Device Profile Smart (DP Smart) jako dodatkowy sygnał w procesie logowania. Rozwiązanie buduje profil urządzenia na podstawie wielu niezależnych „strumieni” fingerprintu – czyli kilku grup cech technicznych urządzenia i przeglądarki, które razem tworzą stabilny obraz środowiska klienta. Dzięki temu pojedyncze, naturalne zmiany (np. aktualizacja przeglądarki) nie powodują automatycznie utraty zaufania do urządzenia.
DP Smart porównuje bieżący profil z wcześniej zapisanym i w czasie rzeczywistym przekazuje do systemu banku wynik do szacowania ryzyka przez REST API. Na tej podstawie bank może kontynuować logowanie lub uruchomić dodatkową weryfikację tylko wtedy, gdy jest to uzasadnione.
Integracja była szybka i wygodna: dodano skrypt JavaScript w kanale web oraz bibliotekę w aplikacji mobilnej. Rozwiązanie objęło ochroną również użytkowników logujących się przez przeglądarki mobilne. Całość działa w modelu SECaaS, bez potrzeby budowy infrastruktury po stronie banku i bez fazy uczenia modeli – efekt był widoczny od pierwszego dnia.
Z perspektywy compliance wdrożenie opiera się na danych technicznych i nie wymaga danych osobowych, wspierając podejście privacy by design. Dodatkowo Device Profile Smart jest odporne na typowe narzędzia prywatności oraz adblockery, co zapewnia stabilne rozpoznanie urządzeń w całej bazie użytkowników.
Zmiana była widoczna od razu: logowanie przestało generować „fałszywe alarmy” przy typowych zmianach po stronie użytkowników (np. aktualizacjach). Dzięki temu bank nie musiał za każdym razem analizować alertów „niezaufane urządzenie” ani uruchamiać dodatkowej weryfikacji w sytuacjach, które wynikały z legalnego korzystania z bankowości.
Device Profile Smart zapewnił stabilniejsze rozpoznanie urządzeń, bo buduje profil na wielu strumieniach fingerprintu i jest odporny na pojedyncze zmiany, co ogranicza ryzyko szybkiej „asynchronizacji” profilu urządzenia. Dodatkowo rozwiązanie nie opiera się na prostych, powszechnie dostępnych bibliotekach open-source, które w podobnych narzędziach częściej prowadzą do niestabilności i większej liczby wyjątków do obsługi.
Z perspektywy użytkownika proces pozostał płynny – analiza działa w tle i nie obciąża UX, więc ryzyko pogorszenia doświadczenia klienta było zminimalizowane. Jednocześnie bank utrzymał zgodność z wymaganiami PSD2/SCA, mając spójny, techniczny sygnał wspierający decyzje uwierzytelniania.
