Jeszcze dekadę temu logowanie do banku mobilnego uchodziło za nowinkę technologiczną, a dziś stało się dla większości Polaków czynnością równie codzienną jak sprawdzanie pogodowej aplikacji.
Z taką samą naturalnością użytkownicy przyjęli coraz bardziej złożone mechanizmy uwierzytelniania: od kodów SMS przez biometrię aż po sprzętowe klucze U2F. Jak jednak oceniają te zabezpieczenia? Odpowiedź przynosi badanie przeprowadzone w lipcu 2025 r. na próbie 720 aktywnych klientów banków, brokerów i platform inwestycyjnych, zrealizowane przez Business Growth Review na zlecenie zondacrypto.
Jak się logujemy – praktyka dnia codziennego
Uzyskane wyniki pokazują, że każdy respondent korzysta z klasycznego duetu login plus hasło, ale dla przytłaczającej większości jest to jedynie pierwszy krok do konta. Aż 94 proc. ankietowanych deklaruje, że przy logowaniu regularnie otrzymuje kod SMS lub wprowadza dodatkowy PIN, a blisko dwie trzecie – dokładnie 62,5 proc. – weryfikuje tożsamość odciskiem palca albo skanując twarz.
Powiadomienia push z dedykowanych aplikacji (np. Microsoft Authenticator czy mobilne autoryzacje bankowe) wykorzystuje 44,4 proc. badanych, natomiast z fizycznego klucza U2F lub FIDO korzysta co siódmy respondent (14,29 proc.). To i tak wysoki udział sprzętowej metody, co wyróżnia rodzimy rynek na tle innych badań europejskich i świadczy o istnieniu świadomej niszy klientów inwestycyjnych skłonnych zapłacić za „twarde” bezpieczeństwo.
„Wykorzystując krzykliwe hasła oraz zdjęcia znanych osób, a także manipulując obrazami i kolorami, oszuści wywołują w nas sztuczne poczucie bezpieczeństwa oraz zaufania, że to, co się nam proponuje, ma odzwierciedlenie w rzeczywistości. Socjotechnika może zostać wykorzystana przy tym na wiele różnych sposobów, w tym w ramach phishingu, vishingu, malware, ransomware czy honey trap. Wszystkie techniki, mimo różnorodności, sprowadzają się zasadniczo do jednego celu: przejęcia danych uwierzytelniających, a wskutek tego przejęcia kontroli nad danymi lub zasobami ofiary. Dobitnie to pokazuje, dlaczego samo hasło, nawet jeśli jest długie, skomplikowane i unikalne, przestało być wystarczającą barierą ochronną” – komentuje Paulina Gomoła, Head of Security w giełdzie kryptowalut zondacrypto.
„W obszarze usług finansowych – obejmujących bankowość, giełdy, platformy inwestycyjne oraz płatności online – cyberbezpieczeństwo powinno być traktowane jako absolutny priorytet, bo od tego zależy bezpieczeństwo naszych pieniędzy. W ostatnich tygodniach spotkaliśmy się z przypadkami, w których przestępcy przejęli dostęp do kont klientów jednego z domów maklerskich, co prowadziło do kradzieży ich środków finansowych. Mechanizm działań cyberprzestępców zazwyczaj opiera się na phishingu lub wykorzystaniu danych dostępowych przechwyconych wcześniej, np. poprzez złośliwe oprogramowanie lub wycieki z innych usług” – mówi Paweł Jurek, Business Development Director w DAGMA Bezpieczeństwo IT.
„W tego typu atakach dużą rolę odgrywa czynnik ludzki. Użytkownicy często stosują te same hasła do wielu kont, przechowują dane logowania w przeglądarkach lub ignorują alerty bezpieczeństwa. Tymczasem podstawowe zasady higieny cyfrowej mogą znacząco zmniejszyć ryzyko. Przede wszystkim warto korzystać z unikalnych, silnych haseł do każdego serwisu finansowego i przechowywać je w menedżerach haseł zamiast w przeglądarce. Niezbędne jest także używanie uwierzytelnienia dwuskładnikowego (2FA), najlepiej z użyciem aplikacji uwierzytelniającej, a nie wiadomości SMS. Skuteczną zaporą przeciw cyberprzestępcom będzie również oprogramowanie antywirusowe, które m.in. zablokuje niebezpieczne strony czy złośliwe oprogramowanie służące do wykradania danych dostępowych” -dodaje ekspert z DAGMA Bezpieczeństwo IT.
Co naprawdę musi być w pakiecie – oczekiwania minimalne
Kiedy pytanie dotyczyło tego, które zabezpieczenia są absolutnie niezbędne, rozkład odpowiedzi zmienił się wyraźnie. Wciąż wszyscy ankietowani wskazali login i hasło jako fundament, 90,3 proc. dołożyło do niego SMS-owy drugi czynnik, lecz już tylko 41,7 proc. uznało za obowiązkową autoryzację push. Biometrię postrzega jako konieczną zaledwie 16,7 proc. użytkowników, a sprzętowy klucz – 6,9 proc. Różnica między faktycznym użyciem a wymaganiem minimalnym dobrze ilustruje, że doświadczeni klienci odróżniają wygodę od konieczności. Są gotowi korzystać z biometrii, lecz nie oczekują, by była jedyną drogą
do rachunku.
Z kolei SMS – mimo relatywnie wysokich kosztów i podatności na ataki typu SIM-swap – pozostał elementem finansowego zaufania, od którego banki będą odchodzić powoli i z rozbudowaną kampanią edukacyjną.
„Na naszej giełdzie wymagamy od użytkowników korzystania z uwierzytelniania dwuskładnikowego (2FA), które stanowi dodatkowy mur pomiędzy loginem i hasłem, a dostępem do konta z danymi wrażliwymi czy środków użytkownika. W praktyce oznacza to, że po wpisaniu poprawnego hasła system poprosi użytkownika o podjęcie dodatkowej czynności, np. wygenerowanie jednorazowego kodu w aplikacji Google Authenticator. Ta prosta procedura tworzy w konsekwencji istotną barierę dla oszusta – nawet bowiem jeśli pozna on hasło, bez dostępu do kodu uwierzytelniającego nie będzie w stanie przejść dalej. Nie mam wątpliwości, że każda instytucja, w szczególności zaś obsługująca środki finansowe klientów, powinna stawiać ich bezpieczeństwo na pierwszym miejscu, czego wyrazem może być m.in. zobowiązanie użytkowników do korzystania z dodatkowych zabezpieczeń. Na co dzień może się to wiązać z mniejszym komfortem korzystania z usług, ale gdy chodzi o finanse, nie ma żartów. To, co mogłoby wydawać się utrudnieniem, jest w istocie jedną z największych zalet i świadectwem bezkompromisowego podejścia do jak najlepszej ochrony środków klientów” – podkreśla Paulina Gomoła z zondacrypto.
Subiektywne poczucie bezpieczeństwa – mocna czwórka
W pięciostopniowej skali komfortu użytkowania aż 85,6 proc. respondentów wybrało ocenę 4, a kolejne 4,9 proc. maksymalną notę 5, co łącznie daje 90,4 proc. osób deklarujących wysoki lub bardzo wysoki poziom zaufania do obecnych zabezpieczeń. Średnia ocena 3,9 pokazuje, że Polacy czują się chronieni, ale widzą jeszcze przestrzeń do poprawy.
Jedynie 0,7 proc. badanych czuje się zupełnie niebezpiecznie, a 2,8 proc. wskazało ocenę 2. To grupa, której wizerunek sektora finansowego nie przekonał do końca lub która sama miała negatywne doświadczenia np. z phishingiem.
Największym zaskoczeniem badania okazała się częstotliwość zmiany haseł i PIN-ów. Ponad 43 proc. ankietowanych robi to rzadziej niż raz do roku, a 8,3 proc. uczestników badania nie potrafi sobie przypomnieć, by kiedykolwiek aktualizowali dane logowania.
Jednocześnie 34,7 proc. deklaruje rotację co trzy do sześciu miesięcy, a co jeden do trzech miesięcy – jedynie 3,9 proc. Wyniki wskazują na rosnącą świadomość, że mocne, unikalne hasło wsparte 2FA bywa skuteczniejsze niż comiesięczna zmiana łatwej frazy. To spójne z nowoczesnym podejściem NIST czy wytycznymi ENISA, które rekomendują unikalność i menedżery haseł zamiast sztywnego kalendarza wymuszającego rotację.
Doświadczenie użytkowników. Polska to rynek dojrzały
Aż 83,6 proc. badanych korzysta z bankowości internetowej lub inwestycji online od czterech do sześciu lat, a kolejne 8,6 proc. dłużej niż sześć lat. Respondenci pamiętają wprowadzenie PSD2, boom na bankowość mobilną oraz wzrost liczby ataków phishingowych, dlatego potrafią świadomie ocenić zarówno wady SMS-ów, jak i zalety FIDO.
Niewielki odsetek nowicjuszy – 7,7 proc. z krótszym stażem niż cztery lata – oznacza, że opinie z badania odzwierciedlają raczej perspektywę rynku dojrzałego, w którym podstawowe mechanizmy zostały już oswojone.
Zaledwie pięć osób stwierdziło, że w ciągu ostatnich dwunastu miesięcy padło ofiarą udanej próby oszustwa online, co przekłada się na znikomą wartość 0,7 proc. Tak niski odsetek koreluje z wysokim poczuciem bezpieczeństwa i pokazuje skuteczność wielowarstwowych zabezpieczeń.
W oczy rzuca się jednak inna liczba: 116 respondentów, czyli 16,1 proc., nie potrafiło określić, czy incydent miał miejsce. Ta niepewność dodaje instytucjom pilności w zakresie edukacji klientów. Jeśli co szósty użytkownik nie jest w stanie rozpoznać próby wyłudzenia, to nawet najbardziej zaawansowane technologie mogą zostać ominięte metodami socjotechnicznymi.
„Ważne jest, aby bezpiecznie komunikować się z dostawcą usług finansowych. Gdy dzwoni do nas osoba z banku z nieznanego numeru, warto przerwać rozmowę i potwierdzić jej tożsamość kontaktując się bezpośrednio z dostawcą usług (np. infolinią banku). W przypadku otrzymania SMS/maila z banku z linkiem do panelu logowania, warto wejść na stronę wpisując adres samodzielnie, a nie klikając w link. Wszelkie podejrzane wiadomości od dostawcy usług warto również potwierdzać, komunikując się z oficjalną infolinią banku lub giełdy” – radzi Wiktor Patkowski, dyrektor działu integracji systemów cyberbezpieczeństwa w ComCERT SA.
Co wynika z całości obrazu
Łączne spojrzenie na wszystkie odpowiedzi prowadzi do kilku kluczowych wniosków. Po pierwsze, polski sektor finansowy zbudował zaufanie oparte na dwustopniowej weryfikacji, w której SMS pozostaje filarem, ale biometria i autoryzacje push dynamicznie rosną. Po drugie użytkownicy przyjmują wyższy poziom zabezpieczeń, jeśli jest on możliwie bezbolesny – aż 62,5 proc. używa biometrii, choć tylko co szósty uważa ją za absolutnie niezbędną.
Po trzecie, bezpiecznie czują się niemal wszyscy, lecz maksymalną pewność deklaruje niewielka grupa. Przyszłe wzrosty satysfakcji będą wymagały nie tylko kolejnych warstw ochrony – takich jak passkeys czy behawioralne MFA – lecz także jasnej komunikacji, dlaczego nowe rozwiązania
są lepsze od kodów SMS.
Co więcej, edukacja pozostaje krytycznym składnikiem ekosystemu. Prawie jedna piąta ankietowanych nie wie, czy była celem oszustwa, a ponad połowa rzadko zmienia hasła, ufając instytucjom w sposób, który może okazać się zbyt beztroski.
Dojrzały rynek finansowy w Polsce wszedł w fazę, w której technologia wyprzedza percepcję ryzyka. Banki, brokerzy i platformy inwestycyjne stają dziś przed zadaniem stopniowego odchodzenia od SMS-ów na rzecz FIDO i passkeys, bez wywoływania niepokoju klienta przyzwyczajonego do znanego dźwięku wiadomości z jednorazowym kodem. Tylko połączenie bezproblemowej obsługi, silnych standardów kryptograficznych i stale podnoszonej świadomości zagrożeń pozwoli utrzymać w kolejnych latach wysoki wynik zadowolonych użytkowników.
Źródło: zondacrypto
