Silne uwierzytelnianie w banku - PSD2 i autoryzacja mobilna

Pamiętasz czasy, gdy do zalogowania się do banku wystarczyło wpisać login i hasło? Dziś bank prosi o dodatkowy kod z SMS-a, potwierdzenie w aplikacji lub odcisk palca. To nie fanaberia — to wymóg prawny, który chroni Twoje pieniądze. Ale nie wszystkie metody chronią jednakowo dobrze.

Czym jest PSD2 i dlaczego zmienił polską bankowość

PSD2 (Payment Services Directive 2) to unijna dyrektywa o usługach płatniczych, która weszła w życie w 2019 roku i zrewolucjonizowała sposób autoryzacji transakcji w bankach całej Unii Europejskiej, w tym w Polsce.

Jej kluczowy wymóg to SCA (Strong Customer Authentication) — silne uwierzytelnianie klientów. Banki muszą stosować co najmniej dwa z trzech niezależnych elementów:

• Coś, co wiesz — hasło, PIN, kod
• Coś, co masz — telefon, token sprzętowy, karta
• Coś, czym jesteś — odcisk palca, twarz, głos (biometria)

Samo hasło to tylko jeden element — nie wystarczy. To dlatego każda transakcja powyżej 30 euro wymaga teraz dodatkowej weryfikacji.

PSD2 był odpowiedzią na statystyki. Przed jego wdrożeniem straty z oszustw płatniczych w UE sięgały miliardów euro rocznie. CERT Polska w raporcie za 2024 rok odnotował ponad 600 tys. zgłoszeń incydentów, z czego znaczna część dotyczyła właśnie oszustw finansowych.

Metody autoryzacji w polskich bankach — od najsłabszej do najsilniejszej

SMS z kodem jednorazowym (OTP)

To najstarsza i nadal najszerzej stosowana metoda. Po zleceniu przelewu otrzymujesz SMS z 6-8 cyfrowym kodem, który musisz wpisać w ciągu kilku minut.

Jak działa: Bank wysyła kod przez sieć GSM na Twój numer telefonu. Wpisujesz go na stronie banku.

Dlaczego nie jest idealna: Atak SIM swapping — jak przestępcy kradną Twój numer telefonu pozwala przestępcom wyłudzić od operatora duplikat Twojej karty SIM. Po przejęciu numeru wszystkie SMS-y trafiają do przestępcy — w tym kody autoryzacyjne. W Polsce odnotowano kilkaset takich przypadków rocznie.

Ponadto, jeśli Twój telefon jest zainfekowany Malware — co to jest złośliwe oprogramowanie?, złośliwe oprogramowanie może przechwycić SMS bezpośrednio na urządzeniu i przesłać kod przestępcom, zanim zdążysz go wpisać.

SMS jako metoda autoryzacji spełnia wymagania PSD2 (łączy „coś co masz” — telefon — z „czymś co wiesz” — hasłem), ale nie jest najsilniejszą dostępną opcją.

Autoryzacja w aplikacji mobilnej banku

Nowoczesne banki oferują autoryzację przez dedykowaną aplikację — bez SMS-a. W PKO BP to iPKO, w mBanku to aplikacja mBank, w ING to ING Moje ING, w Santanderze to aplikacja Santander.

Jak działa: Po zleceniu przelewu przez stronę internetową, dostajesz powiadomienie push do aplikacji na telefonie. W aplikacji widzisz szczegóły transakcji (kwota, odbiorca, numer konta) i potwierdzasz ją odciskiem palca, FaceID lub PIN-em aplikacji.

Dlaczego jest lepsza niż SMS:

• Nie przechodzi przez sieć GSM, więc SIM swapping nie działa
• Powiadomienie zawiera szczegóły transakcji — widzisz dokładnie, co zatwierdzasz
• Kryptograficzne powiązanie aplikacji z konkretnym urządzeniem — duplikat aplikacji na innym telefonie nie zadziała bez aktywacji
• Biometria jako dodatkowy składnik

Wada: Wymaga smartfona z aktywną aplikacją banku. Jeśli stracisz telefon, musisz pilnie kontaktować się z bankiem.

Token sprzętowy

Token to mały fizyczny gadżet generujący jednorazowe kody co 30 lub 60 sekund. Działa offline, bez internetu i GSM.

Jak działa: Logujesz się do banku, wpisujesz hasło, a potem kod z tokena. Kod zmienia się co minutę i jest synchronizowany z serwerem banku przez algorytm kryptograficzny (TOTP lub HOTP).

Dlaczego jest bardzo bezpieczny:

• Nie da się go zhakować zdalnie — fizycznie odizolowany od sieci
• Nie zależy od operatora telefonii
• Odporny na phishing — kod jest ważny przez krótki czas i tylko dla konkretnego banku

Dla kogo: Głównie bankowość korporacyjna i klienci premium. PKO BP, mBank i ING oferują tokeny dla firm. Dla klientów indywidualnych zazwyczaj wystarczy aplikacja mobilna.

Porównanie metod autoryzacji

Metoda	Odporność na SIM swapping	Odporność na phishing	Wygoda
SMS OTP	Niska	Średnia	Wysoka
Aplikacja mobilna	Wysoka	Wysoka	Wysoka
Token sprzętowy	Bardzo wysoka	Wysoka	Średnia
Karta chipowa (mToken)	Bardzo wysoka	Wysoka	Niska

Jak przełączyć się na autoryzację w aplikacji — krok po kroku

Większość polskich banków pozwala samodzielnie zmienić metodę autoryzacji. Pokażemy to na przykładach najpopularniejszych banków:

PKO BP: Zaloguj się do iPKO przez stronę www → Ustawienia → Metody autoryzacji → Wybierz aplikację iPKO jako domyślną. Następnie w aplikacji mobilnej potwierdź aktywację kodem SMS (jednorazowo).

mBank: Zaloguj się przez mBank.pl → Ustawienia → Bezpieczeństwo → Autoryzacja mobilna → Włącz. Aplikacja poprosi o jednorazowe potwierdzenie SMS-em lub wizytę w oddziale.

ING Bank Śląski: W aplikacji ING Moje ING → Menu → Ustawienia → Bezpieczeństwo → Autoryzacja w aplikacji → Aktywuj.

Santander: Przez aplikację Santander → Ustawienia → Powiadomienia push → Włącz autoryzację mobilną.

Po przełączeniu na autoryzację mobilną zalecamy wyłączenie SMS-ów jako metody zastępczej — jeśli bank na to pozwala. Im mniej furtek, tym bezpieczniej.

Czego nigdy nie robić przy autoryzacji transakcji

To są reguły żelazne, bez wyjątków:

Nigdy nie potwierdzaj transakcji, której sam nie zleciłeś. To brzmi oczywiste, ale przestępcy budują presję czasową — „Twoje konto jest blokowane, potwierdź teraz”. Jeśli dostajesz powiadomienie o transakcji, której nie zlecałeś — odrzuć, zadzwoń na infolinię banku.

Nigdy nie podawaj kodów SMS przez telefon. Prawdziwy bank nigdy nie prosi o kod autoryzacyjny przez telefon. Jeśli „konsultant” pyta o kod — rozłącz się natychmiast.

Sprawdzaj szczegóły w powiadomieniu. Przed potwierdzeniem w aplikacji zawsze przeczytaj: kwota, numer konta odbiorcy, tytuł przelewu. Atak man-in-the-browser może podmieniać dane przelewu na stronie, nie w powiadomieniu aplikacji.

Nie autoryzuj transakcji w publicznym Wi-Fi bez VPN. W niezabezpieczonej sieci ktoś może podsłuchiwać Twój ruch sieciowy.

Wyjątki od SCA — kiedy bank nie pyta o kod

PSD2 przewiduje kilka wyjątków, gdy silne uwierzytelnianie nie jest wymagane:

• Transakcje poniżej 30 euro (ale po przekroczeniu 150 euro sumarycznie bank znowu pyta)
• Płatności do zaufanych odbiorców, których wcześniej sam dodałeś do listy
• Płatności cykliczne o stałej kwocie (np. abonament)
• Transakcje uznane przez bank za niskiego ryzyka na podstawie analizy behawioralnej

Wyjątki nie oznaczają słabszego bezpieczeństwa — bank bierze wtedy na siebie odpowiedzialność za ewentualne straty.

Autoryzacja a ochrona przed phishingiem

Phishing — co to jest i jak się bronić? bankowy często atakuje właśnie moment autoryzacji. Schemat jest taki: dostajesz e-mail lub SMS z linkiem do fałszywej strony banku. Logujesz się — przestępcy zbierają hasło. Potem wyświetlają komunikat „Potwierdź dane bezpieczeństwa” i proszą o kod SMS. Wpisując kod, autoryzujesz ich przelew.

Dlatego zawsze sprawdzaj adres strony banku przed wpisaniem hasła. PKO BP to zawsze pkobp.pl lub ipko.pl — nie ipko-bank.pl ani pkobp-login.com.

Jeśli podejrzewasz, że padłeś ofiarą phishingu bankowego, natychmiast: zmień hasło, zadzwoń na infolinię banku, sprawdź historię transakcji. Więcej o tym, jak rozpoznawać fałszywe strony, znajdziesz w artykule Jak chronić się przed phishingiem? Praktyczny poradnik.

Hasła do bankowości — fundament bezpieczeństwa

Silne uwierzytelnianie nie zastąpi dobrego hasła. Hasło to pierwszy składnik — jeśli jest słabe, ułatwiasz przestępcom robotę.

Dla bankowości używaj unikalnego, silnego hasła — nigdy tego samego co do poczty czy innych serwisów. Jeśli zarządzasz wieloma hasłami, użyj Co to jest menedżer haseł? Jak działa i czy warto? — zapamięta je wszystkie za Ciebie.

Co zrobić teraz?

1. Przełącz się na autoryzację w aplikacji mobilnej zamiast SMS — wejdź w ustawienia swojej aplikacji bankowej (iPKO, mBank, ING, Santander) i aktywuj autoryzację mobilną — to kilka kliknięć
2. Sprawdź listę zaufanych odbiorców w ustawione bankowości — usuń tych, których nie poznajesz lub dodałeś dawno temu bez weryfikacji
3. Włącz powiadomienia o transakcjach w aplikacji bankowej — każdy przelew, każda płatność kartą będzie natychmiast widoczna
4. Ustaw limity transakcji na rozsądnym poziomie — dzienny limit przelewów i płatności kartą ogranicza straty w przypadku włamania; w większości banków ustawisz to samodzielnie w aplikacji
5. Zadzwoń do operatora i poproś o dodatkowe zabezpieczenie przed duplikatem karty SIM — to ochrona przed SIM swappingiem, który jest pierwszym krokiem do przejęcia SMS-ów autoryzacyjnych