Nieustanny wyścig między cyberprzestępcami a firmami finansowymi sprawia, że te drugie stosują coraz wymyślniejsze mechanizmy uwierzytelniania dostępu do swoich kont przez klientów: od kodów SMS przez biometrię aż po sprzętowe klucze U2F. Jak korzystający z banków, biur maklerskich, kantorów walutowych czy platform inwestycyjnych oceniają te zabezpieczenia?
Wszystkie socjotechniki stosowane przez przestępców mają jeden cel: przejęcie danych uwierzytelniających, Dlatego samo hasło, nawet jeśli jest długie, skomplikowane i unikalne, przestało być wystarczającą barierą ochronną, zwłaszcza w obszarze usług finansowych obejmujących bankowość, giełdy, platformy inwestycyjne oraz płatności online. W tych dziedzinach cyberbezpieczeństwo powinno być traktowane jako absolutny priorytet, bo od tego zależy bezpieczeństwo naszych pieniędzy.
Jak Polacy oceniają zabezpieczenia stosowane przez firmy finansowe i z których z nich najczęściej korzystają sprawdzono w badaniu przeprowadzonym przez Business Growth Review na zlecenie zondacrypto na grupie aktywnych klientów banków, brokerów i platform inwestycyjnych.
Każdy z respondentów korzysta z loginu i hasła, ale dla niemal wszystkich jest to jedynie pierwszy krok do konta. Aż 94% ankietowanych przy logowaniu regularnie otrzymuje kod SMS lub wprowadza dodatkowy PIN, a blisko dwie trzecie weryfikuje tożsamość odciskiem palca albo skanując twarz.
Powiadomienia push z dedykowanych aplikacji (np. Microsoft Authenticator czy mobilne autoryzacje bankowe) wykorzystuje ponad 40% badanych, natomiast z fizycznego klucza U2F lub FIDO korzysta co siódmy respondent.
Kiedy pytanie dotyczyło tego, które zabezpieczenia są absolutnie niezbędne, rozkład odpowiedzi był wyraźnie inny. Wszyscy ankietowani wskazali login i hasło jako podstawowy element zabezpieczający, 90% dołożyło autoryzację SMS-em, ale tylko niemal 42% uznało za obowiązkową autoryzację push z aplikacji mobilnej. Biometrię postrzega jako konieczną zaledwie ok. 17% badanych, a sprzętowy klucz – 7%. Różnica między faktycznym użyciem a wymaganiem minimalnym dobrze ilustruje, że doświadczeni klienci odróżniają wygodę od konieczności. Są gotowi korzystać z biometrii, lecz nie oczekują, by była jedyną drogą do rachunku.
Z kolei SMS – mimo relatywnie wysokich kosztów i podatności na ataki typu SIM-swap – pozostał elementem finansowego zaufania, od którego banki powoli odchodzą.
W pięciostopniowej skali komfortu użytkowania aż 85,6% respondentów wybrało ocenę 4, a kolejne 4,9% maksymalną notę 5. Średnia ocena 3,9 pokazuje, że Polacy czują się chronieni, ale widzą jeszcze przestrzeń do poprawy. Jedynie 0,7% badanych nie ma zupełnie poczucia bezpieczeństwa, a 2,8% wskazało ocenę 2.
Ponad 43% ankietowanych aktualizuje dane do logowania rzadziej niż raz do roku, a ponad 8%. uczestników badania nie potrafiło sobie przypomnieć, by kiedykolwiek aktualizowali dane logowania.
Blisko 35% ankietowanych deklaruje modyfikację hasła z częstotliwością od trzech do sześciu miesięcy, a w okresie od jednego do trzech miesięcy – jedynie niespełna 4%.
Aż 83,6% badanych korzysta z bankowości internetowej lub inwestycji online od czterech do sześciu lat, a kolejne 8,6% dłużej niż sześć lat. Respondenci pamiętają wprowadzenie PSD2, boom na bankowość mobilną oraz wzrost liczby ataków phishingowych. Niewielki odsetek nowicjuszy (7,7%) z krótszym stażem niż cztery lata oznacza, że opinie z badania odzwierciedlają raczej perspektywę rynku dojrzałego, w którym podstawowe mechanizmy zostały już oswojone.
Zaledwie 0,7% badanych stwierdziło, że w ciągu ostatnich dwunastu miesięcy padło ofiarą udanej próby oszustwa online, Koreluje to z wysokim poczuciem bezpieczeństwa i pokazuje skuteczność wielowarstwowych zabezpieczeń. Z drugiej jednak strony 16% respondentów nie potrafiło określić, czy mieli do czynienia z próbą cyberprzestępstwa. Wskazuje to, jak wiele instytucje finansowe mają jeszcze do zrobienia w zakresie edukacji klientów.
Łączne spojrzenie na wszystkie odpowiedzi prowadzi do kilku kluczowych wniosków. Po pierwsze, polski sektor finansowy zbudował zaufanie oparte na dwustopniowej weryfikacji, w której SMS pozostaje filarem, ale biometria i autoryzacje push dynamicznie rosną. Po drugie użytkownicy przyjmują wyższy poziom zabezpieczeń, jeśli jest on możliwie bezbolesny – aż 62,5% używa biometrii, choć tylko co szósty uważa ją za absolutnie niezbędną.
Po trzecie, bezpiecznie czują się niemal wszyscy, lecz maksymalną pewność deklaruje niewielka grupa. Przyszłe wzrosty satysfakcji będą wymagały nie tylko kolejnych form zabezpieczeń, ale i jasnej komunikacji, dlaczego nowe rozwiązania są lepsze od kodów SMS.
Co więcej, edukacja pozostaje krytycznym składnikiem rzeczywistości. Prawie jedna piąta ankietowanych nie wie, czy była celem oszustwa, a ponad połowa rzadko zmienia hasła, ufając instytucjom w sposób, który może okazać się zbyt beztroski.
Organizatorzy badanie nie mają wątpliwości, że każda instytucja finansowa powinna stawiać bezpieczeństwo środków klientów na pierwszym miejscu, czego wyrazem może być m.in. zobowiązanie użytkowników do korzystania z dodatkowych zabezpieczeń. Na co dzień może się to wiązać z mniejszym komfortem korzystania z usług, ale gdy chodzi o finanse nie powinno być kompromisów w zakresie bezpieczeństwa. To, co może wydawać się utrudnieniem, jest w istocie jedną z największych zalet i świadectwem bezkompromisowego podejścia do jak najlepszej ochrony środków klientów.
Przestępcy stosują przeróżne socjotechniki, by nas zmanipulować, skłonić do określonych działań. Ważne jest, aby umieć je rozpoznać i właściwie zareagować.
Gdy dzwoni do nas osoba z banku z nieznanego numeru, warto przerwać rozmowę i potwierdzić jej tożsamość kontaktując się bezpośrednio z dostawcą usług (np. infolinią banku). W przypadku otrzymania SMS/e-maila z banku z linkiem do panelu logowania, należy wejść na stronę wpisując adres samodzielnie, a nie klikając w link. Krótko mówiąc, wszelkie podejrzane wiadomości, przekazywane zarówno telefonicznie, jak i online, powinny być weryfikowane poprzez kontakt z oficjalną infolinią instytucji finansowej, która rzekomo kontaktuje się z nami.
O swoje bezpieczeństwo możemy zadbać też sami, stosując unikalne i trudne do odgadnięcia hasła w poszczególnych serwisach, nie zapisując ich w sposób, który pozwoli uzyskać do nich dostęp osobom niepowołanym, unikając logowania do serwisów finansowych z ogólnodostępnych sieci Wi-Fi.
Badanie zostało przeprowadzone w lipcu 2025 r. przez Business Growth Review na zlecenie zondacrypto na grupie aktywnych klientów banków, brokerów i platform inwestycyjnych.
