Największy polski bank, PKO Bank Polski, zdecydował się na zaostrzenie rygorów bezpieczeństwa w swojej flagowej aplikacji IKO. Nowy mechanizm ma chronić klientów przed rosnącą falą oszustw, ale jednocześnie budzi pytania o granice prywatności. W wybranych, ryzykownych sytuacjach, system może zażądać od użytkownika nie tylko standardowego hasła, ale także wykonania zdjęcia twarzy oraz skanu dowodu osobistego w czasie rzeczywistym.
To rozwiązanie wykracza poza dotychczasowe standardy autoryzacji transakcji mobilnych, opierające się głównie na kodach PIN, odciskach palca czy systemowym skanowaniu twarzy (np. FaceID). PKO BP wdrożył dodatkową warstwę weryfikacji, która uruchamia się tylko wtedy, gdy algorytmy banku uznają daną operację za nietypową lub potencjalnie niebezpieczną. W praktyce oznacza to, że Polacy, którzy dotychczas wykonywali przelewy w pełni zdalnie, mogą zostać poproszeni o posiadanie przy sobie fizycznego dokumentu tożsamości.
Wprowadzenie tej funkcji jest bezpośrednią odpowiedzią na dynamiczny rozwój przestępczości finansowej. Oszuści coraz częściej wykorzystują socjotechnikę, aby przejąć dane logowania do kont, a następnie próbują wyprowadzić z rachunków duże kwoty. Nowa procedura ma służyć jako „ostatni hamulec bezpieczeństwa”, uniemożliwiający złodziejom szybkie wyczyszczenie konta po jego przejęciu.
Wideoweryfikacja w IKO. Kiedy bank zażąda zdjęcia twarzy i dowodu
Nowa procedura w aplikacji IKO przypomina proces zakładania konta „na selfie”, który jest już dobrze znany na rynku bankowym. Różnica polega na tym, że jest ona stosowana nie przy otwieraniu relacji z bankiem, lecz w trakcie standardowego użytkowania aplikacji mobilnej. System nie uruchamia tej funkcji przy każdej transakcji. Decyzja o dodatkowej weryfikacji jest podejmowana automatycznie przez algorytmy bankowe, które analizują szereg parametrów w tle.
Do czynników, które mogą aktywować dodatkowe zabezpieczenie, należą:
- Próba wykonania przelewu na szczególnie wysoką kwotę.
- Przelew do nowego, wcześniej nieznanego odbiorcy, z którym klient nie miał dotąd historii transakcji.
- Nietypowa lokalizacja zlecenia przelewu (np. z zagranicy lub miejsca, z którego klient zazwyczaj nie korzysta).
- Zlecenia odbiegające od standardowego profilu transakcyjnego użytkownika (np. nagłe, duże wypłaty).
Jeśli system uzna operację za ryzykowną, użytkownik zostanie poproszony o wykonanie dwóch kroków w ramach weryfikacji w czasie rzeczywistym: zrobienia zdjęcia swojej twarzy (selfie) oraz wykonania fotografii fizycznego dokumentu tożsamości (dowodu osobistego). W ten sposób bank zyskuje pewność, że operacja jest zlecana przez prawowitego właściciela konta, a nie przez osobę, która jedynie weszła w posiadanie danych logowania, np. poprzez phishing.
Masz wybór. Jak ominąć weryfikację „na selfie”
Kluczowym elementem nowego rozwiązania jest fakt, że bank nie zmusza klienta do przekazania danych biometrycznych. Jeśli użytkownik nie ma przy sobie dowodu osobistego, nie czuje się komfortowo z robieniem zdjęcia, lub po prostu odmawia, bank oferuje alternatywną ścieżkę autoryzacji. W momencie, gdy system zablokuje przelew i poprosi o weryfikację „na selfie”, na ekranie smartfona pojawi się również opcja kontaktu z bankiem.
Jeżeli klient odmówi wykonania zdjęć, aplikacja przekieruje go na ścieżkę telefoniczną. Weryfikacja tożsamości nastąpi wówczas podczas rozmowy z konsultantem banku lub za pośrednictwem automatycznego serwisu głosowego. Jest to rozwiązanie tradycyjne i bezpieczne, choć zazwyczaj bardziej czasochłonne niż szybka wideoweryfikacja.
Należy pamiętać, że brak jakiejkolwiek reakcji ze strony klienta – czyli odmowa wykonania zdjęć i jednoczesne niepołączenie się z infolinią – skutkuje automatycznym anulowaniem transakcji. Pieniądze pozostają bezpieczne na rachunku klienta, a przelew po prostu nie wychodzi do odbiorcy. Klient ma zatem pełną kontrolę nad tym, czy i w jaki sposób potwierdzi zlecenie, ale musi być świadomy, że weryfikacja jest konieczna do finalizacji ryzykownej operacji.
Dane biometryczne pod ochroną. Czy to jest zgodne z RODO
Wprowadzenie mechanizmu gromadzącego wizerunek twarzy i skan dokumentu tożsamości rodzi naturalne obawy dotyczące bezpieczeństwa danych osobowych. Przedstawiciele PKO BP zapewniają, że procedura ta została zaprojektowana z zachowaniem najwyższych standardów ochrony i jest zgodna z unijnym rozporządzeniem RODO.
Dane uzyskane w ten sposób są traktowane jako dane biometryczne o podwyższonym rygorze ochrony. Co najważniejsze, uruchomienie kamery i wykonanie zdjęć wymaga za każdym razem wyraźnej zgody klienta, wyświetlanej na ekranie smartfona. Bank potwierdza również, że wykonane materiały nie znikają po jednorazowej weryfikacji, lecz są przechowywane w systemach informatycznych instytucji. Okres retencji (przechowywania) jest zgodny z obowiązującym prawem, analogicznie jak w przypadku innych dokumentów bankowych, takich jak umowy czy kopie dowodów z tradycyjnych procesów otwierania kont.
W kontekście bezpieczeństwa kluczowa jest również informacja, że dane te nie są transferowane poza Europejski Obszar Gospodarczy (EOG). To gwarantuje im ochronę prawną zgodną ze standardami unijnymi, które są jednymi z najbardziej restrykcyjnych na świecie. Banki, jako instytucje zaufania publicznego, podlegają szczególnemu nadzorowi Urzędu Ochrony Danych Osobowych (UODO), co dodatkowo wymusza na nich rygorystyczne podejście do zarządzania wrażliwymi informacjami.
Dlaczego banki zaostrzają rygory? Straty idą w setki milionów
Zaostrzenie polityki bezpieczeństwa nie jest fanaberią, lecz koniecznością wynikającą z alarmujących statystyk dotyczących strat finansowych Polaków. Według danych Narodowego Banku Polskiego (NBP), tylko w III kwartale 2025 roku klienci banków w Polsce stracili w wyniku oszustw finansowych blisko 200 milionów złotych. Ta gigantyczna kwota, będąca efektem głównie ataków socjotechnicznych (np. fałszywe inwestycje, „na pracownika banku”), wymusza na instytucjach finansowych wdrażanie mechanizmów obronnych wykraczających poza standardowe zabezpieczenia.
Nowa funkcja IKO jest tylko jednym z elementów szerszej strategii. Banki stosują już szereg niewidocznych dla użytkownika zabezpieczeń. Należą do nich między innymi biometria behawioralna – analiza unikalnego sposobu, w jaki klient trzyma telefon, tempo pisania na klawiaturze czy sposób przesuwania palcem po ekranie. Wszelkie odstępstwa od normy są automatycznie wykrywane i mogą prowadzić do zablokowania transakcji lub żądania dodatkowej weryfikacji.
Nowe zabezpieczenie w IKO ma więc za zadanie zminimalizować ryzyko strat, zwłaszcza w obliczu rosnącej skuteczności przestępców w wykradaniu haseł i kodów dostępu. Choć może to wydłużyć proces autoryzacji, jest to cena za zwiększoną ochronę majątku klientów w świecie cyfrowym.
Praktyczne wskazówki dla użytkowników IKO
Nowa funkcja w aplikacji IKO bezpośrednio wpłynie na sposób, w jaki zarządzasz swoimi pieniędzmi w sytuacjach nietypowych. Aby uniknąć stresu i opóźnień w realizacji ważnych przelewów, warto pamiętać o kilku kluczowych kwestiach:
- Miej pod ręką dowód osobisty: Jeśli planujesz wykonać przelew na wysoką sumę lub do nowego odbiorcy, miej przy sobie fizyczny dokument tożsamości. Aplikacja może poprosić o jego zdjęcie.
- Zrozum kontekst weryfikacji: Komunikat o konieczności dodatkowej weryfikacji nie oznacza, że Twoje konto zostało zablokowane. To sygnał, że bank wykrył potencjalne ryzyko i upewnia się, że operację zlecasz Ty, a nie oszust.
- Przygotuj się na rozmowę telefoniczną: Jeśli odmówisz przekazania danych biometrycznych, przygotuj się na konieczność szybkiego kontaktu z infolinią banku w celu dokończenia transakcji.
- Zadbaj o jakość techniczną: Jeśli decydujesz się na weryfikację przez selfie, upewnij się, że masz dobre oświetlenie i czysty obiektyw aparatu. Rozmazane zdjęcia mogą sprawić, że system odrzuci weryfikację, co niepotrzebnie wydłuży cały proces.
Choć dodatkowe wymogi mogą wydawać się uciążliwe, stanowią one istotny krok w kierunku zwiększenia bezpieczeństwa mobilnej bankowości. W dobie masowych cyberataków, banki muszą stosować środki, które skutecznie chronią miliardy złotych zdeponowane przez Polaków.
