Przelew? Pokaż twarz i dowód. Wypłata gotówki? Tylko 200 zł. Polskie banki dokręcają śrubę. Dostęp do własnych pieniędzy ograniczany

Kiedyś wejście do bankowości elektronicznej wyglądało prosto: login, hasło, kod SMS, gotowe. Przelew szedł w kilkadziesiąt sekund bez zbędnych pytań. Dziś sytuacja jest zupełnie inna. Największy bank w Polsce może zatrzymać przelew i zażądać zdjęcia twojej twarzy oraz dowodu osobistego, zanim pieniądze ruszą z miejsca. Sieć, do której należy ponad 7800 bankomatów w całym kraju, w ciągu jednej nocy obcięła limit wypłaty BLIKiem z 800 do 200 złotych. A urząd skarbowy od 2026 roku dostał dostęp do pełnych raportów o płatnościach kartą, gdy roczna suma przekroczy równowartość 25 000 euro. Każde z tych ograniczeń ma swoje uzasadnienie. Razem tworzą obraz, którego jeszcze kilka lat temu trudno było sobie wyobrazić.

PKO BP jako pierwszy każe robić selfie. Algorytm sam decyduje, kiedy

16 stycznia 2026 roku PKO Bank Polski – największa instytucja finansowa w Polsce – uruchomił w aplikacji mobilnej IKO nowy mechanizm weryfikacji tożsamości. W wybranych sytuacjach klient zlecający przelew może zostać poproszony o wykonanie selfie i zdjęcia obu stron dowodu osobistego, zanim transakcja zostanie zaakceptowana. Jeśli nie zrobi tego w wyznaczonym czasie – przelew zostaje automatycznie anulowany, bez możliwości ominięcia tego kroku.

Bank w oficjalnym komunikacie podkreślił, że system nie działa przy każdej transakcji. Algorytmy bezpieczeństwa analizują parametry przelewu w czasie rzeczywistym – biorą pod uwagę kwotę, numer odbiorcy, historię transakcji, lokalizację logowania i wzorce zachowań klienta. Gdy kombinacja tych czynników wskaże anomalię, aplikacja IKO uruchamia dodatkowy krok. Bank na pytania mediów podał jedynie, że jednym z branych pod uwagę aspektów jest kwota przelewu, odmawiając podania szczegółowych kryteriów ze względów bezpieczeństwa. Weryfikacja przebiega dwuetapowo: w pierwszym kroku klient fotografuje dokument, w drugim robi zdjęcie twarzy. Jeśli z przyczyn praktycznych – brak dokumentu, złe oświetlenie, zatłoczone miejsce – weryfikacja biometryczna jest niemożliwa, dostępna jest alternatywa: telefoniczna weryfikacja przez infolinię, wolniejsza i mniej wygodna.

To pierwsze takie rozwiązanie w Polsce. Wcześniej selfie z dokumentem stosował wyłącznie Revolut przy zdalnym zakładaniu kont. Teraz wymóg ten pojawia się przy pojedynczej transakcji. Mechanizm spełnia wymogi silnego uwierzytelniania wynikające z dyrektywy PSD2, a PKO BP zapewnia, że zdjęcia przetwarzane są wyłącznie w celu potwierdzenia tożsamości i nie trafiają do zewnętrznych baz danych. W Q3 2025 roku liczba aktywnych użytkowników aplikacji bankowych w Polsce przekroczyła według danych NetB@ank (Związek Banków Polskich) 26,8 miliona – o ponad 3,5 mln więcej niż rok wcześniej. Tak duża rzesza klientów działających przez aplikacje jest bezpośrednim powodem, dla którego banki szukają rozwiązań, które zadziałają właśnie w kanale mobilnym.

Uwaga krytyczna: Selfie z dowodem wolno wykonywać wyłącznie w oficjalnej aplikacji banku. Każdy SMS, e-mail lub telefon z prośbą o przesłanie takiego zdjęcia to bez wyjątku próba wyłudzenia.

Limit 10 000 zł nałożony bez pytania – i co z tym zrobić

Weryfikacja biometryczna to nie jedyna zmiana wprowadzona przez PKO BP. 6 maja 2025 roku bank automatycznie obniżył domyślny dzienny limit przelewów w serwisie iPKO do 10 000 złotych dla wszystkich klientów, których konta były dotychczas ustawione wyżej. Decyzja zapadła bez pytania właścicieli kont – ci, którzy wcześniej dysponowali wyższymi limitami, obudzili się następnego dnia z innymi ustawieniami. Michał Macierzyński, dyrektor Departamentu Usług Cyfrowych w PKO BP, wskazał, że nowe limity to element strategii ochrony przed cyberprzestępczością.

Limit 10 000 zł to punkt wyjścia, nie sufit. Klientowi, który potrzebuje przelewać wyższe kwoty, bank daje kilka ścieżek samodzielnego podniesienia progu – bez konieczności wizyty w oddziale. Podstawowa mobilna autoryzacja przez aplikację IKO pozwala podnieść limit do 200 000 zł. Włączenie dodatkowych funkcji zabezpieczających logowanie – które analizują m.in. sposób poruszania się po serwisie i typowe godziny aktywności – otwiera limit do 300 000 zł. Powyżej tej kwoty wymagana jest fizyczna wizyta w oddziale i indywidualne uzgodnienia. Mechanizm warstwowy jest celowy: im wyższy limit, tym silniejsza autoryzacja musi go chronić.

Podobne rozwiązanie funkcjonuje w mBanku, gdzie konta założone zdalnie mają automatycznie ustawiony limit 10 000 zł, podwyższany dopiero po potwierdzeniu tożsamości w placówce. mBank od początku 2026 roku jednocześnie podniósł limit mobilny do 50 000 zł i podwoił maksymalną kwotę dla pojedynczego przelewu BLIKiem na telefon – ruch korzystny dla klientów, choć nie każdy bank idzie równie chętnie w górę, co w dół.

Euronet uciął wypłatę BLIKiem do 200 zł. Nie to chodzi o bezpieczeństwo

Inną kategorię zmiany reprezentuje decyzja Euronetu. 19 lutego 2026 roku operator największej niezależnej sieci bankomatów w Polsce – ponad 7800 urządzeń – ograniczył jednorazową wypłatę gotówki kodem BLIK do 200 złotych. Jeszcze dzień wcześniej ten sam limit wynosił 800 zł. Zmiana obowiązuje do odwołania i nie ma związku z bezpieczeństwem.

W komunikacie z 11 lutego 2026 roku Euronet Polska wyjaśnił przyczyny wprost: stawki, które spółka otrzymuje od operatora systemu BLIK za obsługę wypłat gotówki, nie pokrywają kosztów tej usługi. Według danych Euronetu transakcje te realizowane są przez operatorów bankomatów „dwukrotnie poniżej kosztów, jakie ponoszą oni w związku z taką usługą”. Polski Standard Płatności (PSP), operator systemu BLIK, odpowiedział, że decyzja Euronetu to „autonomiczna decyzja firmy” i ocenił ją jako „istotne obniżenie komfortu i bezpieczeństwa transakcji” z perspektywy użytkowników. Nie zapowiedział jednak zmiany stawek dla operatorów.

W tle sporu leżą zmiany w modelu rozliczeń bankomatowych. We wrześniu 2025 roku Mastercard podniósł stawkę interchange bankomatowego do 1,20 zł plus 0,18% od kwoty transakcji, Visa podążyła podobnym śladem – nowe cenniki weszły w życie 28 lutego 2026 roku. Euronet uznał, że mimo tych podwyżek stawki nadal nie pokrywają kosztów obsługi wypłat BLIKiem. Dla klientów oznacza to, że chcąc wypłacić np. 800 zł w bankomatach Euronetu, trzeba teraz przeprowadzić 4 odrębne transakcje. Każda z nich może generować prowizję – w mBanku pierwsza wypłata w cyklu rozliczeniowym jest bezpłatna, ale kolejne już nie. Część klientów wpadnie więc w tzw. pułapkę prowizyjną: limit Euronetu nie pozwoli jednorazowo wypłacić 300 zł (minimalnej kwoty gwarantującej brak prowizji), co wymusi płatną transakcję.

Alternatywa istnieje, choć nie zawsze jest osiągalna. PSP wskazał, że ponad 13 000 bankomatów w Polsce – w tym ponad 8000 w sieciach własnych banków – nie stosuje podobnych ograniczeń. W PKO BP nie ma limitu jednorazowej wypłaty BLIKiem, w ING i mBanku wynosi on 4000 zł. Luka pojawia się w małych miejscowościach, gdzie jedynym bankomatem w okolicy jest często urządzenie Euronetu. Tam wyboru nie ma.

Skąd masz te pieniądze? AML działa bez pytania, niezależnie od intencji

Niezależnie od zabezpieczeń technicznych i limitów, banki działają pod presją regulacyjną w obszarze przeciwdziałania praniu pieniędzy. Zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2018 r. poz. 723 ze zm.), instytucje finansowe mają bezwzględny obowiązek rejestrowania i przekazywania do Generalnego Inspektora Informacji Finansowej (GIIF) każdej transakcji o wartości co najmniej równowartości 15 000 euro – przy obecnych kursach to ok. 60-65 000 zł. Obowiązek jest automatyczny, niezależnie od historii klienta, celu przelewu ani nastawienia pracownika obsługującego klienta.

W praktyce ta formalna granica 15 000 euro to tylko minimalny próg wynikający z ustawy. Banki stosują własne procedury weryfikacyjne, które często uruchamiają się przy znacznie niższych kwotach – ich kryterium nie jest bezwzględna suma, lecz odchylenie od profilu klienta. Jeśli ktoś, kto zwykle operuje miesięcznymi wpływami rzędu kilku tysięcy złotych, nagle wpłaca gotówką 20 000 zł – algorytm AML uzna to za anomalię, nawet jeśli pieniądze pochodzą np. ze sprzedaży samochodu. Bank może wstrzymać środki i wezwać do wyjaśnienia ich źródła. Klient nie jest w takim momencie podejrzanym, ale musi przedstawić dokumentację.

Od 2026 roku organy podatkowe uzyskały dostęp do pełnych raportów o transakcjach kartą, gdy ich roczna suma przekroczy równowartość 25 000 euro. To zmiana, która w praktyce oznacza, że regularnie korzystający z karty do płatności przy dużych kwotach – np. wykonawcy w szarej strefie rozliczający się gotówką i kartami – znajdą się automatycznie w kręgu zainteresowania fiskusa.

Wchodź przez internet, blokady odblokujesz tylko w oddziale

Osobną kwestią, która dotyczy dużej części klientów, jest relacja między sposobem otwarcia konta a dostępnymi limitami. Konto otwarte zdalnie – przez aplikację lub serwis internetowy, bez fizycznego kontaktu z doradcą – ma w Polsce systemowo niższe limity domyślne niż konto aktywowane w placówce. To celowa polityka sektora, a nie przypadek. Klient, który nigdy nie potwierdził tożsamości „w cztery oczy”, traktowany jest przez systemy bankowe jako wyższa kategoria ryzyka.

W większości banków pełne odblokowanie limitów – do najwyższych dostępnych poziomów – wymaga wizyty w oddziale i fizycznej weryfikacji. Bez niej klienci kont internetowych mogą utknąć na progu 10 000 lub 50 000 zł dziennie, co dla przedsiębiorców lub osób dokonujących dużych transakcji (zakup samochodu, zaliczka na nieruchomość) może być poważnym utrudnieniem. Warto zadbać o tę weryfikację z wyprzedzeniem – nie wtedy, gdy przelew jest pilny.

Selfie zatwierdza przelew, ale nie ochroni przed manipulacją

Za każdym kolejnym utrudnieniem w bankowości stoi realna statystyka. Bankowość mobilna rośnie w Polsce lawinowo – 26,8 mln aktywnych użytkowników aplikacji bankowych w Q3 2025 roku oznacza, że przeważająca część dorosłych Polaków zarządza finansami przez smartfon. To środowisko jest jednocześnie głównym polem działania cyberprzestępców. Najpopularniejsze metody ataku to nie włamania do systemów bankowych, lecz socjotechnika: podszywanie się pod policjanta, pracownika banku, dziecko z nowego numeru telefonu. W każdym z tych scenariuszy ofiara zatwierdza przelew samodzielnie – i robi to z pełnym przekonaniem, że chroni swoje pieniądze.

Tu leży fundamentalna granica systemów weryfikacyjnych. Selfie z dowodem przy transakcji wykrytej jako anomalia chroni przed zewnętrznym przejęciem konta – gdy ktoś inny próbuje dysponować cudzymi środkami. Nie chroni jednak przed sytuacją, w której sam właściciel konta, skutecznie zmanipulowany, dobrowolnie robi selfie na polecenie przestępcy. Banki są tego świadome i budują zabezpieczenia wielowarstwowe – weryfikacja biometryczna jest jedną z warstw, ale żadna z nich nie działa skutecznie, gdy klient aktywnie współpracuje z napastnikiem.

Co warto sprawdzić, zanim limit cię zaskoczy

Najczęstszy scenariusz kłopotów wygląda tak samo: przelew jest pilny, kwota większa niż zwykle, a konto ma limit, o którym właściciel zapomniał lub nigdy go nie sprawdził. Kilka kroków pozwala uniknąć tego scenariusza.

Pierwsza kwestia to potwierdzenie tożsamości w oddziale. To jedyna droga do maksymalnych limitów w większości banków. Konto otwarte zdalnie nigdy nie osiągnie pełnego potencjału bez wizyty w placówce – warto ją zaplanować zanim pojawi się konkretna potrzeba. Druga kwestia to aktywacja zaawansowanej autoryzacji mobilnej. W PKO BP otwiera ona limit do 300 000 zł bez wizyty w banku. W mBanku podnosi próg transakcyjny w aplikacji. Zmiana zajmuje kilka minut i wykonuje się w ustawieniach aplikacji.

Klienci regularnie korzystający z bankomatów Euronetu powinni rozważyć przejście na wypłaty kartą fizyczną (ograniczenia dotyczą wyłącznie BLIKa) lub sprawdzić, czy w pobliżu nie ma bankomatów własnych ich banku – w PKO BP wypłata BLIKiem jest bez limitów, w ING i mBanku sięga 4000 zł za jedną transakcję. Alternatywą jest cashback przy zakupach w sklepie.

W kontekście procedur AML warto pamiętać o jednej zasadzie: dokumentuj duże transakcje gotówkowe. Umowa kupna-sprzedaży samochodu, potwierdzenie przelewu przy darowiźnie, faktura przy sprzedaży sprzętu – każdy z tych dokumentów może stać się odpowiedzią na pytanie banku o źródło środków. Pytanie może przyjść w tygodniu, w którym przelew jest najmniej wygodny do wstrzymywania.

Ostatnia reguła pozostaje bez zmian od początku ery bankowości elektronicznej: żaden bank nie prosi o selfie z dowodem przez SMS, e-mail ani telefon. Taka prośba – niezależnie od tego, jak wiarygodnie brzmi nadawca – to zawsze próba wyłudzenia.