Jak działa weryfikacja tożsamości w bankach w okresie wzmożonych prób oszustw?

Rosnąca liczba prób wyłudzeń powoduje, że rozmowa z pracownikiem banku często zaczyna się od dodatkowych pytań o Twoje dane. Dla wielu klientów jest to męczące, ale weryfikacja tożsamości w banku jest obowiązkiem prawnym, a nie fanaberią instytucji finansowej.

Poniżej wyjaśniam, dlaczego banki zaostrzają procedury, jak przebiega sprawdzanie klienta w różnych kanałach oraz co możesz zrobić, aby Twoje dane były bezpieczne, a korzystanie z bankowości online pozostało wygodne.

Dlaczego banki zaostrzają weryfikację klienta?

Banki muszą stosować środki bezpieczeństwa finansowego wynikające z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Ustawa wymaga identyfikacji klienta oraz weryfikacji jego danych na podstawie wiarygodnego dokumentu, a także bieżącego monitorowania relacji z klientem.

To oznacza, że instytucja finansowa:

• zbiera dane identyfikacyjne (np. imię, nazwisko, obywatelstwo, numer dokumentu),
• sprawdza ich zgodność z dokumentem oraz innymi źródłami,
• ocenia ryzyko prania pieniędzy lub finansowania terroryzmu,
• aktualizuje informacje podczas trwania relacji z klientem.

Im wyższe ryzyko, tym bardziej szczegółowe środki weryfikacji bank ma obowiązek zastosować. Ministerstwo Finansów i Generalny Inspektor Informacji Finansowej podkreślają, że przy podwyższonym ryzyku instytucja powinna stosować wzmocnione środki bezpieczeństwa, np. żądać dodatkowych dokumentów albo częściej pytać o źródło środków.

Do zaostrzania procedur przyczyniają się również zalecenia Komisji Nadzoru Finansowego oraz komunikaty dotyczące cyberbezpieczeństwa i nowych metod oszustw kierowane do sektora bankowego.

Czy liczba prób wyłudzeń faktycznie rośnie?

Narodowy Bank Polski oraz zespoły odpowiedzialne za cyberbezpieczeństwo w administracji publicznej opisują wyraźny wzrost liczby i wartości transakcji zakwalifikowanych jako oszukańcze. Rosną zwłaszcza ataki oparte na socjotechnice, takie jak podszywanie się pod pracownika banku, policjanta, doradcę inwestycyjnego czy fałszywe platformy inwestycyjne.

CERT Polska i CSIRT KNF regularnie publikują ostrzeżenia dotyczące:

• fałszywych wiadomości SMS i e-maili z linkami do stron podszywających się pod bankowość internetową,
• fałszywych aplikacji, które wyłudzają dane do logowania i kody autoryzacyjne,
• próśb o zainstalowanie oprogramowania do zdalnego dostępu do komputera.

Im więcej takich przypadków, tym większą presję czują banki, aby wzmacniać procesy weryfikacji tożsamości klienta i autoryzacji transakcji.

Jakie metody weryfikacji stosują banki?

Banki stosują zarówno weryfikację w oddziale jak i podczas kontaktu w kanałach elektronicznych.

Weryfikacja w oddziale

Najbardziej klasyczna forma to potwierdzenie danych na podstawie dowodu osobistego albo paszportu. Pracownik w punkcie obsługi klienta:

• porównuje dane z dokumentu z danymi w systemie,
• ocenia zgodność zdjęcia z wyglądem klienta,
• sprawdza, czy dokument nie jest uszkodzony i czy ma ważny termin.

W razie wątpliwości bank może poprosić o drugi dokument albo odmówić realizacji dyspozycji do czasu wyjaśnienia sytuacji.

Weryfikacja w kanałach elektronicznych

W bankowości internetowej i mobilnej tożsamość klienta jest powiązana z loginem i hasłem, a także z dodatkowymi elementami uwierzytelniania.

Zasady tzw. silnego uwierzytelniania klienta (co najmniej dwa elementy: wiedza, posiadanie, cecha biometryczna) wynikają z regulacji wdrażanych przez polski sektor finansowy oraz zaleceń organów nadzoru.

Dlatego bank może wymagać:

• kodu SMS wysłanego na telefon,
• potwierdzenia w aplikacji mobilnej,
• biometrii (np. odcisk palca lub rozpoznawanie twarzy w urządzeniu mobilnym).

Każda autoryzacja działania w systemie jest jednocześnie formą potwierdzenia, że dana osoba jest uprawnionym użytkownikiem rachunku bankowego.

Zdalne potwierdzenie tożsamości

Przy zakładaniu konta zdalnie banki coraz częściej korzystają z narzędzi uznanych przez administrację publiczną za standard w obszarze tożsamości online. Należą do nich:

• Profil Zaufany, używany do logowania przez węzeł krajowy login.gov.pl,
• e-dowód (dowód osobisty z warstwą elektroniczną),
• mDowód w aplikacji mObywatel w najnowszej wersji,
• rozwiązania, w których bank pełni funkcję dostawcy tożsamości, podobnie jak w usłudze mojeID używanej także w usługach komercyjnych, np. u dostawcy energii.

Takie rozwiązania skracają formalności, ale w tle działają złożone mechanizmy kryptograficzne oraz wymagania prawne, które mają zapewnić wysoki poziom bezpieczeństwa.

Jak wygląda weryfikacja przy zakładaniu konta lub składaniu wniosku?

Weryfikacja przy zakładaniu konta lub składaniu wniosku kredytowego zaczyna się zawsze od sprawdzenia, kim jesteś i w jakim celu chcesz korzystać z usług banku. Instytucja porównuje Twoje dane z dokumentem tożsamości, zbiera podstawowe informacje wymagane przepisami i ocenia poziom ryzyka. Wygląda to nieco inaczej przy wizycie w oddziale, a inaczej w kanale online, ale cel jest ten sam: bezpiecznie potwierdzić tożsamość klienta przed podpisaniem umowy.

Nowy klient w oddziale

Przy otwieraniu konta w placówce doradca prosi o dokument tożsamości, dane kontaktowe oraz informacje wymagane przepisami o przeciwdziałaniu praniu pieniędzy. Bank ustala między innymi:

• rezydencję podatkową,
• to, czy działasz we własnym imieniu, czy jako pełnomocnik,
• ogólny cel korzystania z rachunku lub produktu kredytowego.

Na końcu klient składa podpis na umowie i formularzach zgód, a dane trafiają do systemu wraz z oceną ryzyka.

Wniosek online

Podczas wnioskowania w kanale cyfrowym bank może:

• poprosić o uzupełnienie formularza z danymi osobowymi,
• zastosować zdalną weryfikację z użyciem e-dowodu, Profilu Zaufanego lub innej metody powiązanej z rachunkiem płatniczym klienta,
• zlecić dodatkowe sprawdzenia, jeśli dane są niespójne.

W wielu bankach cały proces przebiega bez wizyty w oddziale, ale poziom szczegółowości pytań zależy od oceny ryzyka klienta i rodzaju produktu.

Co się zmienia w weryfikacji w czasie zwiększonego ryzyka?

Jeżeli bank identyfikuje podwyższone ryzyko – na przykład ze względu na ostrzeżenia dotyczące konkretnego typu oszustwa albo nietypowe zachowanie na rachunku – musi zastosować wzmocnione środki bezpieczeństwa finansowego.

Może to oznaczać:

• dokładniejsze pytania o źródło środków i cel transakcji,
• prośbę o dodatkowe dokumenty,
• czasowe ograniczenie możliwości wykonywania niektórych operacji do czasu wyjaśnienia,
• ponowną ocenę profilu ryzyka klienta.

Organy odpowiedzialne za krajowy system przeciwdziałania praniu pieniędzy wskazują, że przy wyższym ryzyku instytucja nie może ograniczyć się do minimalnego zestawu danych. Musi aktywnie oceniać sytuację klienta przez cały okres trwania relacji.

Jak zabezpieczyć swoje dane podczas korzystania z bankowości online?

Bezpieczne korzystanie z bankowości online wymaga kilku prostych nawyków. Rządowe serwisy i zespoły bezpieczeństwa podkreślają, że wiele udanych ataków wynika z nieuwagi po stronie użytkownika, a nie z błędów banku.

Warto:

• logować się wyłącznie przez oficjalną stronę banku albo aplikację mobilną pobraną z zaufanego sklepu,
• sprawdzać, czy adres strony jest poprawny i czy połączenie jest szyfrowane,
• nie podawać kodów SMS i danych logowania przez telefon ani komunikatory,
• włączyć powiadomienia o operacjach na rachunku,
• aktualizować system operacyjny i oprogramowanie na urządzeniu mobilnym,
• sceptycznie podchodzić do wiadomości z prośbą o natychmiastowe działania, przelewy lub instalację dodatkowego oprogramowania.

Jeżeli weryfikacja wydaje się podejrzana, lepiej samodzielnie zadzwonić na infolinię banku, niż podawać jakiekolwiek dane rozmówcy, który twierdzi, że reprezentuje instytucję finansową.

Dodatkowy aspekt bezpieczeństwa dotyczy świadomego zarządzania uprawnieniami i dostępem do danych.

W usługach zdalnych, w tym przy potwierdzaniu tożsamości przez dostawcę usług, system często prosi o wyrażenie zgody na przekazanie wybranych danych. Warto każdorazowo przeczytać, jakie informacje otrzyma konkretny dostawca usług komercyjnych i czy zakres nie wykracza poza to, co jest rzeczywiście potrzebne.

Dobrym nawykiem jest także:

• kontrola urządzeń, na których zainstalowano aplikacje z dostępem do rachunków,
• regularna zmiana haseł do usług finansowych,
• wylogowywanie się z sesji po zakończeniu korzystania z serwisu.

Czy odmowa weryfikacji tożsamości może zablokować dostęp do usług?

Tak. Ustawa AML nakazuje bankom przerwać relację z klientem lub odmówić wykonania transakcji, jeśli instytucja nie jest w stanie zastosować wymaganych środków bezpieczeństwa finansowego, w tym zweryfikować tożsamości.

W takiej sytuacji bank:

• nie otworzy konta,
• nie przeprowadzi transakcji okazjonalnej,
• może rozwiązać umowę rachunku bankowego.

Odmowa podania danych, okazania dokumentu lub przejścia dodatkowej weryfikacji nie jest więc indywidualną karą, lecz skutkiem ustawowych obowiązków banku.

Oprócz formalnego obowiązku wynikającego z ustawy AML bank musi brać pod uwagę również rekomendacje nadzorców dotyczące ograniczania ryzyka (tzw. deriskingu) i racjonalnego podejścia do ryzyka. Materiały przygotowane dla instytucji obowiązanych wyjaśniają, że brak możliwości potwierdzenia tożsamości klienta nie pozwala na bezpieczną kontynuację relacji.

Jeżeli klient odmawia udziału w dodatkowej weryfikacji lub podaje dane niespójne z dokumentami, bank może zablokować dostęp do wybranych usług do czasu wyjaśnienia sytuacji, a w skrajnym przypadku wypowiedzieć umowę.

Weryfikacja tożsamości w banku – najczęściej zadawane pytania

Czy bank ma prawo żądać zdjęcia twarzy?

Przy zdalnych formach identyfikacji bank może korzystać z biometrii, w tym z wizerunku twarzy, o ile robi to na podstawie przepisów prawa oraz odpowiednio informuje klienta o zakresie przetwarzania danych. Wytyczne dotyczące środków bezpieczeństwa finansowego przewidują możliwość stosowania rozwiązań biometrycznych przy identyfikacji i weryfikacji klienta, szczególnie poza kontaktem osobistym.

Instytucja musi jednak zapewnić wysoki poziom ochrony takich danych oraz umożliwić klientowi świadomą zgodę na ich użycie.

Czy można korzystać z banku bez podawania PESEL-u?

Dla polskich obywateli numer PESEL należy do podstawowego zestawu danych, które bank ma obowiązek pozyskać przy identyfikacji osoby fizycznej. Ustawa AML wskazuje minimalny zakres danych, w tym imię, nazwisko, obywatelstwo oraz numer PESEL lub datę urodzenia, jeżeli PESEL nie został nadany.

Osoba bez numeru PESEL (np. cudzoziemiec) może przedstawić inne dane identyfikacyjne z dokumentu podróży, ale całkowite pominięcie identyfikatora nie jest możliwe.

Czy trzeba potwierdzać tożsamość przy każdej operacji?

Nie każda operacja wymaga pełnego powtórzenia danych osobowych, ale silne uwierzytelnianie w kanałach elektronicznych pełni rolę dynamicznego potwierdzania tożsamości użytkownika. Regulacje dotyczące usług płatniczych wymagają stosowania co najmniej dwóch elementów uwierzytelniania przy logowaniu i autoryzacji określonych operacji, na przykład przelewów.

Dlatego przy każdej istotniejszej czynności klient musi potwierdzić, że to on zleca daną operację, nawet jeśli nie wpisuje ponownie wszystkich danych osobowych.

Jak często trzeba odnawiać dane?

Przepisy nie wskazują jednej konkretnej częstotliwości. Ustawa AML nakłada na bank obowiązek ciągłego monitorowania relacji z klientem oraz aktualizowania danych w oparciu o ocenę ryzyka.

W praktyce instytucja może poprosić o odświeżenie informacji przy przedłużeniu umowy, istotnej zmianie produktu, podejrzeniu wyższego ryzyka lub zauważeniu niezgodności danych z rejestrami publicznymi.

Podsumowanie

Wzrost liczby ataków na klientów banków oraz zaostrzenie wymogów przeciwdziałania praniu pieniędzy powodują, że procedury weryfikacji tożsamości stają się bardziej szczegółowe i częstsze. Bank ma obowiązek zadawać dodatkowe pytania, prosić o dokumenty i stosować silne uwierzytelnianie, gdy ocenia ryzyko jako podwyższone.

Jeśli przygotowujesz się do zaciągnięcia kredytu lub pożyczki, opłaca się wcześniej uporządkować kwestie dokumentów, zadbać o aktualność danych oraz dobre nawyki bezpieczeństwa w sieci. Gdy mimo ostrożności pojawi się potrzeba szybkiego finansowania, możesz rozważyć pożyczkę na raty w KredytOK i zaplanować spłatę rat tak, aby nie naruszyć swojego domowego budżetu. Warto jednak traktować każde zobowiązanie ostrożnie i włączać je do budżetu równie starannie, jak dbasz o bezpieczeństwo swojej tożsamości.

Źródła

• Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu – serwis Ministerstwa Finansów i GIIF.
• „Analiza ryzyka prania pieniędzy oraz finansowania terroryzmu” – materiały informacyjne Ministerstwa Finansów i GIIF.
• Raporty Narodowego Banku Polskiego dotyczące oszustw w obrocie bezgotówkowym i transakcji kartowych.
• Komunikaty CERT Polska i CSIRT KNF dotyczące cyberzagrożeń dla klientów banków.
• Informacje o Profilu Zaufanym, login.gov.pl, e-dowodzie oraz mDowodzie w aplikacji mObywatel – serwisy gov.pl oraz informacje mObywatel.