Dla organizacji regulowanych

Zgodność zaczyna się
tam, gdzie kończy się MFA.

Strong Customer Authentication (SCA) dowodzi, że poświadczenie zostało okazane. Nie dowodzi jednak, że głos w słuchawce należy do posiadacza tego poświadczenia. Hongi zamyka tę lukę dla banków, ubezpieczycieli i każdej organizacji, w której podszywanie się ma swoją cenę.

Porozmawiaj z zespołem Zobacz mapę regulacyjną →
  • $3B
    roczne straty z BEC i oszustw na prezesa
    FBI IC3 2024
  • €40M
    belgijskie straty z phishingu i vishingu
    Febelfin 2024
  • Dec 2027
    termin akceptacji EUDI Wallet
    Regulation (EU) 2024/1183
  • 80%+
    inżynieria społeczna wspomagana AI
    ENISA Threat Landscape 2025

Luka w zgodności.

SCA obejmuje dwa końce interakcji z klientem: logowanie i podpisanie transakcji. Wszystko, co dzieje się pomiędzy, rozmowa telefoniczna, sesja wideo, wymiana mailowa, nie ma żadnego dowodu tożsamości na żywo. To w tym środku żyją vishing, deepfake wideo i oszustwo na prezesa.

objęte przez SCA
luka, którą zamyka Hongi

Mapa regulacyjna.

Osiem ram dotykających zapewnienia tożsamości w kanałach, które chroni Hongi. Dla każdej: gdzie znajduje się Hongi i co robi, ze źródłem podstawowym.

  1. 2019 PSD2 RTS-SCA obowiązuje
  2. 2024 EBA fraud reporting zaktualizowane wytyczne
  3. Oct 2024 NIS2 transponowana
  4. Jan 2025 DORA obowiązuje
  5. Dec 2027 EUDI Wallet akceptacja obowiązkowa
Regulacje fundamentalne 3
EU obowiązuje od 2019
PSD2 · RTS on SCA
Rozporządzenie delegowane (UE) 2018/389
Zakres

Silne uwierzytelnianie klienta: co najmniej dwa z elementów wiedzy, posiadania i cech inherentnych; powiązanie z transakcją.

Gdzie wpisuje się Hongi

Hongi to uzupełniający, pozapasmowy czynnik posiadania dla rozmowy otaczającej autoryzację płatności. Nie zastępuje SCA; broni przed inżynierią społeczną, która omija skądinąd poprawny przepływ SCA (transakcje wymuszone oszustwem, podszywanie się pod doradcę).

Źródło podstawowe →
EU obowiązuje od Jan 2025
DORA
Rozporządzenie (UE) 2022/2554
Zakres

Cyfrowa odporność operacyjna dla sektora finansowego. Art. 9 (ochrona i prewencja), Art. 17-19 (raportowanie incydentów ICT). Obowiązuje od 17 stycznia 2025 r.

Gdzie wpisuje się Hongi

Zmniejsza powierzchnię ataków inżynierii społecznej, które wyzwalają incydenty ICT. Opcjonalny dziennik audytowy (drzewo Merkle'a hashów parowania, bez tożsamości) wspiera rekonstrukcję poincydentalną bez zachowywania danych osobowych.

Źródło podstawowe →
EU obowiązkowe Dec 2027
eIDAS-2 · EUDI Wallet
Rozporządzenie (UE) 2024/1183
Zakres

Obowiązkowa akceptacja portfela EU Digital Identity Wallet przez strony ufające od grudnia 2027 (Art. 5f). Silne kryptograficzne dowody tożsamości.

Gdzie wpisuje się Hongi

Hongi to weryfikator kanału ludzkiego na żywo obok EUDI: EUDI dowodzi, że poświadczenie zostało okazane, Hongi dowodzi, że głos w słuchawce należy do posiadacza poświadczenia. Dwa ortogonalne problemy, jedna architektura.

Źródło podstawowe →
Ramy wspierające 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05 (aktualizacja 2024)
EU

Nieudana krzyżowa weryfikacja Hongi podczas rozmowy bank-klient jest czystym, maszynowo czytelnym sygnałem, który może zasilać raportowanie oszustw (oszustwo na prezesa, vishing) tam, gdzie obecny schemat oszustw kartowych zaniża dane.

aktualizacja 2024 Źródło podstawowe →
NBB · ICT-veiligheid
Wytyczne ostrożnościowe Narodowego Banku Belgii + wdrożenie DORA
BE

Operacyjna warstwa zapewnienia tożsamości dla zdalnych interakcji bank-klient i wewnątrzbankowych, zgodna z ramą NBB dla nadzoru nad usługami wspieranymi ICT.

aktywne Źródło podstawowe →
GDPR · privacy by design
Rozporządzenie (UE) 2016/679, Art. 25
EU

Bez imienia, bez numeru telefonu, bez e-maila, bez listy kontaktów, bez historii kodów, bez analityki. Współdzielony klucz żyje na dwóch sparowanych urządzeniach; serwer przekazuje jedynie nieprzezroczysty szyfrogram. W razie naruszenia praktycznie nie ma czego wyciekać.

obowiązuje od 2018 Źródło podstawowe →
NIS2
Dyrektywa (UE) 2022/2555
EU

Dodaje warstwę zapewnienia tożsamości do kontroli dostępu dla wysokoryzykownych interakcji zdalnych (zatwierdzanie transakcji, reagowanie na naruszenia, onboarding dostawców), których MFA na kanale tekstowym nie obejmuje.

transponowana 2024 Źródło podstawowe →
NIST SP 800-63-4 + ENISA TL 2025
NIST Digital Identity Guidelines, lipiec 2025 · ENISA Threat Landscape 2025
GLOBAL

Trafia bezpośrednio w zagrożenie, które ENISA stawia na pierwszym miejscu. Uzupełnia poziomy zapewnienia uwierzytelniania NIST atestacją na poziomie sesji w kanale ludzkim, niezależną od mechanizmu (telefon, wideo, osobiście).

standard branżowy Źródło podstawowe →

Gdzie ujawnia się to w operacjach.

Na mapie drogowej B2B zobacz mapę drogową →

Sześć scenariuszy operacyjnych w przepływach klientowskich i wewnętrznych. Mechanizmy opisane poniżej wymagają parowania organizacyjnego i dzienników audytowych, które są na naszej aktywnej mapie drogowej B2B, jeszcze nie wydane. Pierwsze pilotaże z bankami uruchamiamy w Q4 2026. Pojedyncza nieprzeprowadzona weryfikacja w którymkolwiek z tych scenariuszy ma znany sześciocyfrowy ogon kosztowy.

01
€40M
belgijski phishing i vishing · Febelfin 2024

Wychodzące rozmowy banku z klientem

PSD2 RTS-SCAEBA fraud reporting
Bez Hongi

Klienci nie potrafią odróżnić prawdziwego doradcy od oszusta vishingowego dysponującego właściwym kontekstem.

Z Hongi

Kodowe słowo klienta musi pasować do słowa doradcy. Brak dopasowania, brak rozmowy.

02
$25.6M
jedna rozmowa wideo z deepfake'iem · Arup 2024

Sesje wideo onboardingu klienta

eIDAS-2GDPRKYC/AML
Bez Hongi

Zamiana twarzy w deepfake uderza w zdalne KYC. Twarz na ekranie może nie odpowiadać przesłanemu dokumentowi.

Z Hongi

Obie strony przed kamerą czytają pasujące do siebie kodowe słowa przed weryfikacją KYC. Potwierdzone w sesji.

03
$3B
roczne straty BEC · FBI IC3 2024

Weryfikacja wewnętrzna (BEC / oszustwo na prezesa)

DORANIS2
Bez Hongi

Pilna prośba prezesa o przelew, podpisy się zgadzają, głos brzmi prawidłowo. Pieniądze wychodzą.

Z Hongi

Sprawdzenie kodu na żywo przed każdą nietypową płatnością. Jedno parowanie zamyka tę dziurę.

04
4h+
okno raportowania incydentów DORA

Reakcja na incydent naruszenia

DORA Art. 17-19NIS2
Bez Hongi

Atakujący wykorzystują chaos incydentu: fałszywe IT, fałszywe wsparcie, fałszywi dostawcy IR.

Z Hongi

Każda rozmowa wewnętrzna zabezpieczona sprawdzeniem kodu. Brak dopasowania, żadna instrukcja nie jest wykonywana.

05
€100k+
typowy próg przelewu wysokokwotowego

Potwierdzanie transakcji wysokokwotowych

PSD2 RTS-SCAEBA fraud reporting
Bez Hongi

Telefonicznie autoryzowany przelew €100k+ bez żadnego pozapasmowego dowodu, że klient jest prawdziwy.

Z Hongi

Klient na głos odczytuje swój aktualny kod. Doradca potwierdza dopasowanie. Płatność przechodzi z atestacją.

06
avg €40k
na incydent oszustwa fakturowego dostawcy

KYB dostawcy

DORA supply-chainNIS2
Bez Hongi

Rozmowy dostawców mają słabą tożsamość. Oszustwo fakturowe nadbudowuje się na tej luce.

Z Hongi

Parowanie przy KYB. Od tej chwili każda rozmowa dostawcy jest weryfikowana przez Hongi. Bez zgadywania.

Architektura pod lupą DPO.

Wdrożenie Hongi można zaudytować przez DPO w jedno popołudnie. Poniżej wszystko, co przechowujemy na serwerze, gdy organizacja wdraża Hongi dla personelu i klientów.

  • Tokeny push na urządzenie. Nieprzezroczyste identyfikatory wydawane przez APNs/FCM. Bez mapowania na żadne ludzkie imię. Wymagane tylko dla ścieżki cichego powiadomienia; nieużywane w rutynowej weryfikacji kodu (ta jest w pełni offline).
  • Opcjonalny dziennik audytowy hashów parowania. Dla wdrożeń B2B wymagających śladu audytowego zgodnie z art. 17 DORA lub wytycznymi NBB Hongi może dodać dziennik w postaci drzewa Merkle'a hashów parowania (bez tożsamości, bez kodów). Weryfikowalny przez dowód Merkle'a. Bez publicznego łańcucha.
  • Metadane płatności napiwku. Dotyczy wyłącznie produktu konsumenckiego, nie B2B. Obsługiwane przez Stripe. Hongi widzi tylko, że napiwek miał miejsce, i jego kwotę; nic, co wiązałoby go z użytkownikiem.

Czego nie przechowujemy: imion, numerów telefonów, e-maili, list kontaktów, historii kodów, dzienników połączeń, lokalizacji, transkrypcji, biometrii, identyfikatorów reklamowych. Klucz weryfikacyjny między dwoma sparowanymi urządzeniami żyje wyłącznie na tych dwóch urządzeniach, wyprowadzony lokalnie.

Następny krok

Zarezerwuj 30-minutową rozmowę pilotażową.

Zespół Hongi siada z waszymi liderami compliance, fraud i IT i przechodzi przez wasz najbardziej wpływowy przypadek użycia. Jeśli pasuje, prowadzimy bezpłatny 6-miesięczny pilotaż z maksymalnie 500 klientami lub pracownikami. Bez zakupów, bez licencji, bez ekspozycji.

Napisz wprost do założycieli Najpierw przeczytaj FAQ →

Hongi (Lovit BV) · Vlaanderen, Belgia · info@hongi.io