Zrób selfie do przelewu, wprowadź kod, wytłumacz, skąd masz pieniądze. Polskie banki dokręcają śrubę

Polskie banki w ciągu ostatnich miesięcy wdrożyły tyle nowych procedur weryfikacyjnych, że zarządzanie własnym kontem zaczyna przypominać przesłuchanie. Nie jest to tylko ich wymysł. Część rozwiązań wymuszają przepisy, a część statystyka o cyberprzestępczości.

Selfie z dowodem jako nowa metoda autoryzacji przelewu – i to w Polsce jako pierwsi

Od 16 stycznia 2026 roku PKO Bank Polski – największa instytucja finansowa w kraju – uruchomił w aplikacji IKO i serwisie iPKO nową metodę weryfikacji tożsamości. W wybranych sytuacjach klient, który zleca przelew, może zostać poproszony o wykonanie zdjęcia obu stron dowodu osobistego i selfie twarzy – zanim transakcja zostanie zaakceptowana. Jeśli nie wykona weryfikacji w wyznaczonym czasie, przelew zostaje automatycznie anulowany. Bez wyjątków, bez możliwości pominięcia kroku.

Bank podkreśla, że mechanizm nie działa przy każdej transakcji – algorytmy analizują parametry przelewu w czasie rzeczywistym, biorąc pod uwagę m.in. wysokość kwoty, to czy odbiorca jest nowy, czy logowanie następuje z nieznanego urządzenia lub lokalizacji oraz czy schemat transakcji odbiega od dotychczasowych nawyków danego użytkownika. Gdy system wykryje anomalię, uruchamia dodatkowy krok. PKO BP poinformował, że szczegółów nie ujawnia ze względów bezpieczeństwa. Mechanizm spełnia wymogi silnego uwierzytelniania klienta (SCA) wynikające z dyrektywy PSD2, a zdjęcia są przetwarzane wyłącznie w celu potwierdzenia tożsamości i – jak zapewnia bank – nie trafiają do zewnętrznych baz danych.

To pierwsze takie rozwiązanie w polskiej bankowości. Podobny mechanizm stosuje Revolut, który weryfikuje tożsamość przez selfie z dokumentem przy zakładaniu konta lub przy transakcjach uznanych za ryzykowne. Eksperci nie mają wątpliwości, że PKO BP przetarło szlak, którym pójdą kolejne instytucje. Alternatywą dla tych, którzy nie mogą lub nie chcą robić zdjęcia – na przykład z uwagi na brak dowodu pod ręką lub zatłoczone miejsce publiczne – jest telefoniczna weryfikacja przez infolinię, choć jest ona znacznie wolniejsza.

Ważna zasada, której nie można zignorować: zdjęcia dokumentów wolno wykonywać wyłącznie w oficjalnej aplikacji banku. Każdy SMS, e-mail lub telefon z prośbą o przesłanie selfie z dowodem to próba wyłudzenia.

Euronet uciął BLIK do 200 zł. Uzasadnienie? Czysta ekonomia

Od 19 lutego 2026 roku sieć Euronet, zarządzająca ponad 7 800 bankomatami w Polsce, ograniczyła jednorazową wypłatę gotówki kodem BLIK do 200 zł. Jeszcze dzień wcześniej limit wynosił 800 zł. Decyzja nie ma związku z bezpieczeństwem – to rachunek ekonomiczny. Euronet od lat sygnalizował, że stawki, jakie operator systemu BLIK przekazuje właścicielom bankomatów za obsługę wypłat, nie pokrywają kosztów transakcji. Dla klientów korzystających z wypłat kartą płatniczą limit jednorazowej transakcji w Euronecie pozostał na poziomie 800 zł.

Polski Standard Płatności – operator systemu BLIK – ocenił decyzję Euronetu jako „istotne obniżenie komfortu i bezpieczeństwa transakcji”. Banki z kolei zalecają klientom korzystanie z własnych bankomatów, wskazując, że w urządzeniach PKO BP jednorazowy limit wypłaty BLIKiem jest znacznie wyższy, a w sieciach ING i mBanku sięga 4 000 zł. Sieć Planet Cash wybrała odwrotną strategię: od 2 marca 2026 roku podniosła maksymalny limit jednorazowej wypłaty kartami Mastercard i Visa do 4 000 zł, co jest wyraźną próbą przyciągnięcia klientów zniechęconych ograniczeniami Euronetu. Praktyczna pułapka dla tych, którzy jednak muszą korzystać z Euronetu BLIKiem: przy wypłatach, które w serii podejść nie przekraczają progu gwarantującego zwolnienie z prowizji, łączny koszt kilku transakcji po 200 zł może okazać się wyższy niż jedna wypłata karty w kwocie 800 zł.

Skąd masz pieniądze? Bank pyta i ma do tego prawo

Równolegle z technicznymi zabezpieczeniami rośnie presja regulacyjna w obszarze przeciwdziałania praniu pieniędzy. Zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2018 r. poz. 723, z późn. zm.) banki jako instytucje obowiązane mają prawny obowiązek rejestrowania i raportowania do Generalnego Inspektora Informacji Finansowej każdej transakcji o wartości co najmniej równowartości 15 000 euro – przy obecnych kursach to ok. 63-65 000 zł. Obowiązek jest automatyczny i bezwzględny, niezależnie od historii klienta.

W praktyce granica 15 000 euro to tylko formalny próg ustawowy. Banki stosują własne, często znacznie niższe procedury wewnętrzne oparte na analizie profilu klienta i historii rachunku. Gwałtowna zmiana zachowania finansowego – na przykład duża gotówkowa wpłata przy koncie ze stałymi, przewidywalnymi wpływami – może uruchomić procedurę wyjaśniającą, nawet jeśli kwota jest wielokrotnie niższa od ustawowego progu. Bank może wówczas wstrzymać środki i zażądać dokumentacji potwierdzającej źródło pieniędzy: umów sprzedaży, potwierdzeń przelewów, faktur czy umów darowizny. To nie jest dobra wola instytucji – to jej prawny obowiązek.

Wysokie limity? Tylko po wizycie w oddziale

Banki coraz powszechniej stosują zasadę: niski limit domyślny, podwyżka wyłącznie po osobistej weryfikacji. Dla kont założonych wyłącznie przez internet standardowy dzienny limit przelewów oscyluje w większości banków między 10 000 a 50 000 zł. Pełne odblokowanie wyższych limitów – w wielu przypadkach wymaga fizycznej wizyty w oddziale i potwierdzenia tożsamości w okienku. To celowa architektura ryzyka: konto bez osobistego kontaktu z doradcą nigdy nie uzyska takich samych uprawnień jak konto aktywowane twarzą w twarz. W PKO BP włączenie zaawansowanego uwierzytelniania mobilnego pozwala samodzielnie podnieść dzienny limit do 300 000 zł – powyżej tej kwoty niezbędna jest wizyta w placówce i indywidualne uzgodnienia.

Rok absolutnie rekordowy. CERT Polska obsługiwał 300 incydentów dziennie

Za każdą kolejną blokadą w banku stoi konkretna statystyka. W 2024 roku CERT Polska – zespół reagowania na incydenty cyberbezpieczeństwa działający w strukturach NASK – odnotował rekordowy wzrost zagrożeń. Jak poinformował kierownik zespołu Marcin Dudek podczas SECURE International Summit, w 2024 roku wpłynęło ponad 600 000 zgłoszeń, co przełożyło się na 103 449 zarejestrowanych incydentów. Liczba zgłoszeń wzrosła o 62 proc. w stosunku do roku poprzedniego, liczba incydentów o 29 proc. Średnio co dobę zespół CERT Polska obsługiwał blisko 300 incydentów.

Dominującą kategorią zagrożeń były oszustwa komputerowe, które stanowiły niemal 95 proc. wszystkich obsłużonych incydentów. W 2024 roku CERT zarejestrował ponad 235 000 przypadków phishingu – podszywania się pod znane marki i instytucje w celu wyłudzenia danych logowania lub informacji płatniczych. Aktywność bankowa użytkowników w aplikacjach mobilnych rośnie równie szybko: według raportu NetB@ank opublikowanego przez Związek Banków Polskich, w trzecim kwartale 2025 roku liczba aktywnych użytkowników aplikacji bankowych w Polsce przekroczyła 26,8 mln – o ponad 3,5 mln więcej niż rok wcześniej.

Marcin Dudek zwraca uwagę na kluczowy trend: cyberprzestępcy odchodzą od technicznych ataków na systemy bankowe na rzecz socjotechniki. Celem jest nakłonienie ofiary do samodzielnego wykonania przelewu – na konto przestępcy, w przekonaniu, że chroni własne oszczędności. Najpopularniejsze schematy to podszywanie się pod pracownika banku, policjanta prowadzącego „operację”, dziecko z nowego numeru telefonu potrzebujące pilnie pieniędzy lub fałszywy oddział inwestycyjny, który obiecuje wysokie zyski. W takich sytuacjach nawet najbardziej zaawansowane systemy weryfikacji biometrycznej mają ograniczoną skuteczność – bo to sam właściciel konta autoryzuje przelew.

Odwiedź bank zanim będziesz tego potrzebować w pośpiechu

Jeżeli już wiesz, że większa kwota się przyda np. ze względu na kupno nieruchomości, zanim faktycznie będziesz musiał szybko przelać dużą kwotę – ze sprzedaży auta, nieruchomości, darowizny – odwiedź oddział banku i potwierdź zmianę limitu. To jedyna droga do odblokowania pełnych limitów i uniknięcia blokad w złym momencie. Włącz zaawansowaną autoryzację mobilną w aplikacji – w PKO BP daje dostęp do limitów do 300 000 zł bez wychodzenia z domu. Przy wypłatach gotówki sprawdź, czy w pobliżu jest bankomat Twojego banku lub Planet Cash – oba działają bez ograniczenia 200 zł obowiązującego w Euronecie przy BLIKu. Dokumentuj duże transakcje gotówkowe: umowy, potwierdzenia przelewów, faktury. Jeśli bank zapyta o źródło wpłaty, masz odpowiedź gotową bez stresu. I jedno żelazne ostrzeżenie: żaden bank nie prosi o selfie z dowodem przez SMS, e-mail ani telefon. Każda taka prośba to próba wyłudzenia.