Julkinen diskurssi ja pelialan ammattilaisten käymä keskustelu digitaalisen maksuliikenteen turvallisuudesta rajoittuu luvattoman usein yksinkertaisiin markkinointislaganeihin tai visuaalisiin riippalukkoikoneihin selaimen otsikkorivillä. Puraessamme Finanssivalvonnan (FIVA) sekä Euroopan Pankkiviranomaisen (EBA) aggregoidun maksuhäiriödatan atomeiksi, on mahdollista rakentaa ehdottoman tieteellinen ja matemaattisesti eksakti vertailumalli eri maksuinstrumenttien verifioiduista fraud-riskeistä (petosriskeistä). Tässä syväanalyysissä osoitamme, millä teknologisilla insinöörimittareilla lakisääteinen PSD2-direktiivi pyyhki klassiset luottokortit riskimatriisista pois kokonaan, asettaen suojauksen standardiksi suoran rajapintaintegraation ja tokenisaation.
Luottokorttien staattinen heikkous vastaan Open Bankingin dynamiikka
Ennen Euroopan unionin laajuisen toisen maksupalveludirektiivin (PSD2) pakottamaa voimaantuloa, globaali etämaksaminen nojasi tuskallisen pitkään infrastruktuuriin, joka prosessoi vahvasti puhtaasti staattista informaatiota. Kun ostotapahtuma verifioitiin, kuluttajan oli syötettävä verkkoon 16-numeroinen bin-koodiksi kääntynyt tili-identiteetti, voimassaoloaika sekä painettu CVV-koodi turvamekanismina. Ongelmana fysiikan silmin tässä on se, että tämä informaatio ei muutu; kun data interceptataan kerran onnistuneesti man-in-the-middle (Mitm) -hyökkäyksen, phising-linkkien tai myyjäosapuolen vanhentuneen SQL-tietokannan hyökkäyksessä vuotaessa, kuluttajan rahat on vapaana globaalissa dark web -järjestelmässä tyhjennettäväksi ilman kuluttajan teknologista vasta-argmenttia.
Täydellisen murroksen ja suojan tuonut teknologia tunnetaan termillä Open Banking, suomittain Avoin pankkitoiminta. Tämä on juuri se identtinen rajapintaväylä (API), jonka varaan teknologisista huipuista nauttivat uudet pikakasinot on täysin rakennettu. Avoimessa pankkitoiminnassa staattinen riskitieto käännetään kognitiiviseksi dynamiikaksi. Kun suomalaisen luotonantajan tai pankin tilitasolta suoritetaan talletus Trustlyn, Briten tai Zimplerin kaltaisen vahvan PIS-toimijan (Payment Initiation Service Provider) kautta, arkaluontoista staattista dataa ei ikinä laadita lähetettäväksi kolmannelle osapuolelle.
Teknologinen suojavalli kääntyykin nojaamaan konesalituettuun kättelyprotokollaan. Jokaiseen uuteen transaktioon myönnetään dynaaminen, yksinomaan yhteen mikrosekuntikohtaiseen varainsiirtoon koodattu todennustunnus (token). Tämä rajapintavihje validoidaan lokaalisti Vahvalla asiakastunnistamisella (SCA - Strong Customer Authentication) suoraan kuluttajan käyttämän pankin sataprosenttisesti eristetyssä, 256-bittisen salausavaimen takana lepäävässä suljetussa ympäristössä – eikä operaattorin pään arkkitehtuurissa. Tämä varmistaa täydellisesti sen fysikaalisen seikan, ettei edes verkkohyökkäyksessä vaarantuneen verovapaan pikakasinon kompromettoitunut tietokanta paljastaisi varkaille lainkaan kuluttajien reaalista pankkidataa. Koska sitä ei ikinä lähetetä sinne.
Tietoturvariskin matemaattinen katoaminen nollaan
Euroopan pankkiviranomaisen tarkan vuosikvartaalidatan aggregaatio kertoo korttipetosten painoarvon eurooppalaisessa etämaksamisessa (Card Not Present -petokset) elävän yhä raskaasti koholla, laskien makrotilanteesta riippuen kymmenissä senteissä tuhannen euron kierrätystä kohden. Mutta suomalaiseen innovatiiviseen SCA-varmennettuun ekosysteemiin vaihtaessa transaktiotason riskipotentiaali – siis riski, jossa ulkopuolinen hyökkääjä kykenisi murtamaan avoimen rajapintatunnelin – vajoaa käytännössä mikroskooppiselle tilauskannalle ja lähentelee vahvasti nollaa. Luvattoman, onnistuvan Open Banking -siirron suoritus vaatisi numeerisesti mahdottoman skenaarion: hyökkääjällä tulisi olla kriittisen tiedonsiirron nanosekunneissa fyysisessä omistuksessaan kuluttajan henkilökohtainen älypuhelin, tämän salattu biometrinen informaatio tai tunnusluku (FaceID / PIN) sekä kyky ohittaa älypuhelimen rinnakkainen ohjelmistotasoinen hiekkalaatikkosuoja (sandboxing) reaaliajassa. Insinööripohjalta katsottuna riskejä etämaksuun vahvalla tunnistautumisella ei enää ole olemassa.
Automaattisen tunnistautumisen datalift ja dokumenttisuoja
Makrotason tiedonturvallisuuden yhtälö muodostuu täydelliseksi havainnollistaessamme verkkopelaamisen klassista identiteettidynamiikkaa. Rekisteröintilomakkeita ja manuaalista tarkastelua dogmaattisesti puolustavat tahot ohittavat poikkeuksetta teknologisen datalift-mekaniikan synnyttämät ylivertaiset suojakerrokset. Ongelmallisin ja vaarallisin risteys verkkopelaamisen aikakaudella sijoittuu KYC-todentamiseen (Know Your Customer). Kun moderni kuluttaja hylkää lomakkeet ja omaksuu palvelukseen laadukkaasti lisensoidut pikakasinot ilman kierrätystä, hän myös välttyy välittömästi eräältä verkon pahimmalta riippakiveltä: henkilöllisyyspapereiden manuaaliselta välittämiseltä.
Vahva verkkopankkitunnistautuminen nollaa tarpeen skannata laitteella omia ajokorttikopioita sekä puhelin- ja sähkölaskuja alustoille, jotka altistaisivat nuo passinkuvat luvattomiin verkkosiirtoihin sähköpostitse tai suomattomien palvelimien HTTP-latauksiin. Datalift rakentuu automatisoiduksi, huippusymmetrisesti eristetyksi, ja ISO27001-sertifikoidun tietoliikennetunnelin suojaamaksi paketiksi. Kvantifioitavan datan edessä suomalainen vahva sähköinen tunnistautuminen ei edusta ainoastaan modernia mukavuudenhalua tai kasuaalia verkkoselailun viipeettömyyttä – se asettaa eittämättä koko maanosan tiukimman ja matemaattisesti tavoitelluimman informaatioturvallisuuden jalokiven ja standardin.
Lähde: Euroopan pankkiviranomainen (EBA) & Finanssivalvonta
