Gdzie kończy się bezpieczeństwo banku, a zaczyna problem klienta?

23.04.2026 00:40 | Secfence

Udostępnij

Gdzie kończy się bezpieczeństwo banku, a zaczyna problem klienta?

Beata Kwiatkowska – absolwentka Wyższej Szkoły Zarządzania na kierunku Zarządzanie i Marketing w zakresie zarządzania strategicznego oraz studiów MBA Oxford Brookes University. Ukończyła także studia podyplomowe SGH na kierunku Blockchain, Inteligentne Kontrakty oraz Waluty Cyfrowe, jak też Zarządzanie Cyberbezpieczeństwiem w Akademii Leona Koźmińskiego. Zawodowo z branżą IT związana jest od ponad 25 lat, z czego ostatnia dekada to zdobywanie doświadczenia w obszarze cyberbezpieczeństwa. Aktualnie na pokładzie polskiego producenta oprogramowania Secfense, wspiera organizacje we wdrażaniu skutecznej ochrony cyfrowej tożsamości. Legitymuje się certyfikatami Audytora Wiodącego systemu ISO 27001, PTI Zarządzanie cyberbezpieczeństwem – specjalista, Certified in Cybersecurity od (ISC)2, Wykorzystanie AI w rozwoju firmy od Google/SGH oraz Chief Artificial Intelligence Officer (CAIO). Społecznie aktywnie działa w Radzie Dyrektorów Stowarzyszenia ISSA Polska. Jest także członkinią Rady Programowej konferencji cyberbezpieczeństwa SEMAFOR oraz organizacji branżowych: ISSA International, (ISC)2 oraz WomenGoCyber. Kierując się maksymą „To nie korporacje robią biznes, lecz ludzie” uwielbia pracę z ludźmi i dla ludzi.

Więcej zabezpieczeń nie zawsze oznacza większe bezpieczeństwo, a tradycyjne metody MFA stają się iluzoryczną ochroną, która generuje koszty i frustrację klienta. Wyjaśniamy, dlaczego realna odporność banku nie zależy od kolejnej metody logowania, lecz od dojrzałej architektury dostępu.

Pułapka „więcej znaczy bezpieczniej”

Proces logowania to jeden z tych punktów, w których spotykają się interes klienta, wymagania regulatora i realna odporność organizacji na incydenty. To tutaj najłatwiej pomylić „więcej kontroli” z „większym bezpieczeństwem”.

Klient nie widzi architektury uwierzytelniania, tylko jej efekt: jak szybko może uzyskać dostęp do usługi, czy proces jest intuicyjny, czy musi pamiętać kolejne hasła, przepisywać kody albo wykonywać dodatkowe kroki, które z jego perspektywy nie wnoszą żadnej wartości. Bank patrzy na ten sam proces inaczej: przez pryzmat zgodności, audytowalności, odporności na phishing, ryzyka przejęcia kont i odpowiedzialności za ochronę środków oraz danych.

Tutaj rodzi się napięcie definiujące dostęp do kanałów cyfrowych. Z jednej strony organizacja potrzebuje mocniejszej kontroli, a z drugiej – nie może utrudniać klientowi dostępu do usług. Jest jednak trzeci, równie ważny aspekt: organizacja musi mieć pewność, że zastosowane zabezpieczenia realnie ograniczają ryzyko, a nie tylko mnożą zbędne kolejne kroki w procesie.

– W bankowości problemem coraz rzadziej jest sam brak dodatkowego zabezpieczenia, częściej chodzi o sposób ich wdrożenia. Budujemy rozwiązania, które znacząco zwiększają złożoność procesu, nie oferując w zamian proporcjonalnego spadku ryzyka – zauważa Beata Kwiatkowska, Business Development Officer w Secfense.

Standard to nie wszystko

Nie każde zabezpieczenie, które spełnia wymogi formalne, realnie poprawia odporność na współczesne ataki. NIST zwraca uwagę, że phishing-resistant authentication (czyli uwierzytelniania odporne na phishing) eliminuje potrzebę ręcznego wpisywania danych uwierzytelniających przez użytkownika w internecie, bo opierają się na kryptografii i lokalnym odblokowaniu klucza. To istotna różnica, ponieważ część starszych metod nadal zakłada manualne wpisywanie kodu, co pozostawia przestrzeń do przejęcia lub pośredniczenia w ataku. NIST wskazuje też wprost, że metody oparte na ręcznym wpisywaniu kodu nie są odporne na phishing.

W praktyce problem nie sprowadza się już tylko do pytania „czy wdrożyliśmy MFA?”, ale: „czy nasza architektura uwierzytelniania rzeczywiście redukuje ryzyko przejęcia tożsamości, nie stając się przy tym barierą dla klienta?”.

Przez lata wiele organizacji budowało swoją cyfrową ochronę poprzez dokładanie kolejnych warstw do istniejących procesów, a każda z nich była uzasadniona wymogiem bezpieczeństwa, zaleceniem audytowym albo rosnącą presją regulacyjną – szczególnie w kontekście unijnych wymogów DORA i dyrektywy NIS2, które bezwzględnie egzekwują silne mechanizmy uwierzytelniania. Efekt bywał jednak odwrotny do zamierzonego – podczas gdy dla użytkownika proces stawał się coraz bardziej uciążliwy, dla organizacji rosły koszty wsparcia, liczba resetów haseł i operacyjnych kompromisów. Co więcej, ryzyko wcale nie zniknęło.

Architektura kontra dług technologiczny

Coraz większego znaczenia nabiera nie sama metoda logowania, lecz architektura dostępu. To ona decyduje, czy bank jest w stanie wdrożyć mechanizmy odporne na phishing spójnie w różnych kanałach i aplikacjach, czy tylko punktowo tam, gdzie pozwala na to technologia. To ona przesądza, czy bezpieczeństwo da się poprawić bez wieloletnich projektów przebudowy środowiska.

Ten aspekt jest szczególnie ważny w sektorze finansowym, gdzie nowoczesne kanały cyfrowe współistnieją z systemami starszej generacji, aplikacjami o ograniczonej elastyczności i procesami, których nie da się łatwo zmienić bez ryzyka dla ciągłości działania. W takim środowisku deklaracja „odchodzimy od haseł” nie wystarcza. Potrzebne jest podejście, które łączy trzy elementy: kontrolę, wygodę i wykonalność technologiczną.

– W praktyce kluczowe pytanie nie brzmi dziś: czy bank chce nowocześniejszego logowania, tylko czy potrafi wdrożyć je w istniejącym środowisku bez kosztownej przebudowy aplikacji i bez paraliżu procesów biznesowych – komentuje Beata Kwiatkowska z Secfense.

A tym kontekście rola rozwiązań, takich jak Secfense, wykracza poza samo dodanie nowej metody logowania. Broker staje się centralnym punktem zarządzania dostępem, niewidoczną warstwą, która bez ingerencji w architekturę pozwala bankowi narzucić spójne polityki bezpieczeństwa i uwierzytelnianie odporne na phishing w całym ekosystemie usług. Niezależnie od tego, czy mówimy o bankowości detalicznej, korporacyjnej czy wewnętrznych systemach pracowniczych, organizacja zyskuje jeden standard ochrony, który można skalować bez konieczności prowadzenia długoletnich i kosztownych projektów przebudowy systemu.

Dlatego dyskusja o dostępie nie sprowadza się wyłącznie do kwestii bezpieczeństwa, a staje się rozmową o jakości architektury cyfrowej banku. Czy organizacja jest w stanie objąć spójnymi zasadami zarówno nowe usługi, jak i środowiska legacy? Czy potrafi ograniczyć zależność od metod podatnych na phishing? Czy jest w stanie zadbać o jakość doświadczenia użytkownika bez osłabiania kontroli?

Bezpieczeństwo i wygoda użytkownika

Ten kierunek dobrze opisuje również FIDO Alliance, stowarzyszenie branżowe rozwijające otwarte standardy nowoczesnego uwierzytelniania. Organizacja wskazuje wprost na passkeys (klucze dostępu) formę logowania opartą na parach kluczy kryptograficznych. To rozwiązanie, które już teraz staje się globalnym standardem u największych graczy technologicznych, zastępując hasła i zapewniając całkowitą odporność na phishing przy jednoczesnym radykalnym uproszczeniu życia użytkownika. W praktyce oznacza to model, w którym użytkownik nie musi pamiętać i wpisywać hasła, a samo uwierzytelnienie opiera się na kluczu prywatnym odblokowywanym lokalnie, np. biometrią lub PIN-em.

To zresztą coraz wyraźniej widać także w zaleceniach instytucji publicznych. Amerykańska CISA rekomenduje stosowanie odpornego na phishing MFA tam, gdzie jest dostępne, i podkreśla, że warto dążyć do najsilniejszych dostępnych metod uwierzytelniania właśnie z naciskiem na odporność na phishing. To ważny sygnał dla rynku: nie chodzi już tylko o samą obecność dodatkowego czynnika, ale o jego realną odporność na możliwości współczesnych ataków.

Dla banku oznacza to konieczność odejścia od myślenia, w którym bezpieczeństwo i wygoda są przeciwieństwami, zwłaszcza że coraz częściej są one skutkiem tej samej decyzji architektonicznej. Dobrze zaprojektowany dostęp może jednocześnie ograniczać ryzyko przejęcia tożsamości, upraszczać ścieżkę logowania drastycznie ciąć koszty wsparcia IT oraz helpdesku, który dziś tonie w zgłoszeniach dotyczących resetów haseł czy wyjątków procesowych. Źle zaprojektowany przyniesie odwrotne skutki: zwiększy uciążliwość procesu, pozostawi luki i dołoży pracy zespołom bezpieczeństwa, IT oraz wsparcia.

– Najbardziej dojrzałe organizacje przestają traktować uwierzytelnianie jako osobny problem technologiczny. Zaczynają patrzeć na nie jak na element jakości całego kanału cyfrowego – równie ważny dla bezpieczeństwa, jak dla doświadczenia klienta i efektywności operacyjnej – podkreśla Beata Kwiatkowska.

W tym sensie doszło do przesunięcia granicy między bezpieczeństwem banku a problemem klienta. Nie chodzi już o wybór między silną kontrolą a wygodą. Mamy wybór między podejściem warstwowym, które dokłada użytkownikowi kolejne obowiązki, a podejściem dojrzałym, które traktuje uwierzytelnianie jako element architektury odporności cyfrowej.

Ta zmiana oprócz zespołów bezpieczeństwa, IAM czy IT, dotyka również sam obszar biznesu. Sposób, w jaki bank projektuje dostęp do usług cyfrowych, wpływa dziś nie tylko na poziom ryzyka, ale również na aktywność klientów, korzystanie z kanałów zdalnych, skuteczność procesów sprzedażowych i ogólną jakość doświadczenia. Dla tych funkcji nie jest to już wyłącznie kwestia ochrony dostępu, ale również element wpływający na konwersję, retencję i postrzeganie banku jako instytucji nowoczesnej oraz godnej zaufania.

Transformacja sposobu logowania to proces, który wymaga połączenia perspektywy bezpieczeństwa, IT i biznesu. Jeśli szukają Państwo sposobu na szybkie wdrożenie standardów odpornych na phishing bez ryzyka dla ciągłości działania systemów, zapraszamy do wymiany doświadczeń z ekspertami Secfense.