System płatności mobilnych BLIK zyskał w ostatnich latach ogromną popularność w Polsce, stając się jedną z najczęściej wykorzystywanych metod płatności zarówno w transakcjach internetowych, jak i stacjonarnych.
- Podstawy funkcjonowania systemu BLIK
- Rodzaje transakcji BLIK i ich specyfika
- Pełna widoczność danych dla instytucji bankowych
- Widoczność danych dla odbiorców płatności
- Dane widoczne dla nadawców płatności
- Aspekty prawne i regulacyjne ochrony danych
- Bezpieczeństwo systemu BLIK i ochrona przed zagrożeniami
- Porównanie polityk anonimowości w różnych bankach
- Kwestia nazw kontaktów w książce telefonicznej
BLIK nie jest w pełni anonimowym systemem płatności – banki rejestrują kompletne informacje o każdej operacji, natomiast zakres danych widocznych dla odbiorcy jest ograniczony i zależy od typu transakcji oraz polityk banków.
W praktyce odbiorca nie zawsze widzi pełne dane nadawcy (np. adres), ale zakres ujawnianych informacji nie jest jednolity między bankami ani typami transakcji.
Podstawy funkcjonowania systemu BLIK
System BLIK, opracowany przez Polski Standard Płatności, to krajowy system płatności mobilnych dostępny w aplikacjach największych banków. Kluczowym mechanizmem jest sześciocyfrowy kod BLIK ważny przez dwie minuty, co istotnie podnosi bezpieczeństwo.
Aby korzystać z BLIK, użytkownik potrzebuje spełnić kilka warunków:
- konto w banku obsługującym BLIK,
- zainstalowana i zweryfikowana aplikacja mobilna banku,
- powiązanie aplikacji z rachunkiem bankowym,
- zabezpieczenie dostępu (PIN, odcisk palca, biometria),
- aktywne połączenie z internetem (dane komórkowe lub Wi‑Fi).
Dwuetapowa autoryzacja każdej płatności oraz krótki czas ważności kodu to filary bezpieczeństwa BLIK.
Rodzaje transakcji BLIK i ich specyfika
BLIK obsługuje kilka typów transakcji, które różnią się wygodą, procesem i zakresem widocznych danych. W skrócie:
- Płatność kodem w sklepie – klient generuje kod w aplikacji i potwierdza transakcję w telefonie; sprzedawca widzi jedynie dane niezbędne do rozliczenia;
- Płatność zbliżeniowa BLIK – wystarczy odblokować telefon i zbliżyć do terminala; działa jak transakcja kartą zbliżeniową, z minimalnym zakresem danych u akceptanta;
- Płatność online – wybór BLIK w sklepie, wpisanie kodu i potwierdzenie w aplikacji; sprzedawca otrzymuje zakres danych zależny od integracji i banku;
- Przelew na telefon (P2P) – przelew na numer telefonu odbiorcy, wewnątrz banku lub międzybankowo (Express Elixir); zakres danych widocznych dla odbiorcy zależny od banków;
- Bankomat (wypłata/wpłata) – operacje bez karty, z użyciem kodu BLIK; pełna rejestracja w banku, brak udostępniania danych osobom trzecim.
W płatnościach w sklepach stacjonarnych i online sprzedawca co do zasady nie otrzymuje pełnych danych osobowych płacącego. Przy przelewach P2P zakres ujawnianych danych dla odbiorcy jest najbardziej zróżnicowany i zależy od banku oraz tego, czy przelew jest wewnętrzny czy międzybankowy.
Pełna widoczność danych dla instytucji bankowych
Banki mają dostęp do pełnego zestawu informacji o każdej transakcji BLIK i przechowują je przez okres wymagany przepisami. Wynika to z obowiązków regulacyjnych (AML/CFT, RODO, PSD2) oraz konieczności zapewnienia bezpieczeństwa i audytu.
Najczęściej rejestrowane elementy obejmują:
- dane identyfikacyjne klienta (imię i nazwisko, numer rachunku, numer telefonu powiązany z usługą),
- dane adresowe znajdujące się w kartotece klienta,
- szczegóły transakcji (kwota, data i godzina, tytuł),
- dane odbiorcy płatności lub akceptanta (sprzedawca/usługodawca),
- parametry operacji w bankomatach (lokalizacja, typ operacji),
- unikalne identyfikatory operacji wykorzystywane przy reklamacjach.
Z perspektywy banków i uprawnionych organów państwowych anonimowość transakcji BLIK praktycznie nie istnieje.
Przetwarzanie danych odbywa się zgodnie z RODO (GDPR). Podstawy prawne to m.in. wykonanie umowy, obowiązki prawne, prawnie uzasadniony interes (np. zapobieganie oszustwom) i w określonych przypadkach zgoda. Polski Standard Płatności (operator BLIK) przetwarza dane w mniejszym zakresie, m.in. dla bezpieczeństwa i celów analitycznych, bez profilowania w rozumieniu RODO.
Widoczność danych dla odbiorców płatności
Zakres danych widocznych dla odbiorcy przelewu BLIK nie jest jednolity i zależy od banku nadawcy, banku odbiorcy oraz rodzaju przelewu (wewnętrzny vs. międzybankowy).
Najczęściej odbiorca widzi ograniczony zestaw informacji, przy czym w przelewach wewnątrz jednego banku zakres może być szerszy. Przykładowo: w Banku Pekao dla przelewów wewnętrznych odbiorca widzi imię i nazwisko, numer rachunku oraz adres nadawcy (telefon częściowo ukryty), a w przelewach międzybankowych – imię i nazwisko, numer rachunku i częściowo ukryty numer telefonu (bez adresu). W PKO Banku Polskim odbiorca przelewu BLIK na telefon otrzymuje imię i nazwisko, numer rachunku oraz numer telefonu nadawcy; w przelewach międzybankowych PKO BP nie przekazuje adresu. Z kolei mBank przekazuje szerokie spektrum danych: imię i nazwisko, numer rachunku oraz adres nadawcy.
Dla orientacji, najczęściej widoczne u odbiorcy elementy to:
- imię i nazwisko nadawcy,
- numer rachunku nadawcy (czasem ukryty lub skrócony),
- numer telefonu nadawcy (często zamaskowany lub niewidoczny),
- kwota, data i tytuł przelewu,
- w niektórych bankach: adres nadawcy (głównie przy przelewach wewnętrznych lub w określonych instytucjach).
Płatności BLIK w sklepach stacjonarnych i online są projektowane tak, by minimalizować ujawnianie danych osobowych sprzedawcy. W P2P zakres danych jest efektem decyzji poszczególnych banków i może się różnić także między przelewami wewnętrznymi a międzybankowymi.
Dane widoczne dla nadawców płatności
Po stronie nadawcy BLIK zapewnia przejrzystość i kontrolę. Jeszcze przed zatwierdzeniem operacji aplikacja pokazuje szczegóły transakcji, co ułatwia weryfikację i zapobiega pomyłkom.
Najważniejsze elementy, które nadawca widzi i kontroluje, to:
- nazwa/identyfikator odbiorcy (np. sklep, numer telefonu lub nazwa kontaktu),
- kwota i tytuł przelewu,
- szczegóły operacji w historii (data, godzina, status, identyfikator transakcji),
- potwierdzenie transakcji możliwe do pobrania/udostępnienia,
- limity transakcyjne, które można modyfikować w aplikacji banku.
Limity transakcyjne znacząco ograniczają potencjalne straty w razie nadużycia. W przypadku problemów reklamacje składa się w banku, z którego aplikacji wykonano transakcję – to bank posiada pełny zapis operacji.
Aspekty prawne i regulacyjne ochrony danych
Przetwarzanie danych w BLIK regulują przepisy UE i krajowe: RODO (GDPR), PSD2, ustawa o usługach płatniczych oraz regulacje AML/CFT (przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu).
Prawa użytkownika wynikające z RODO obejmują m.in.:
- Dostęp do danych – prawo uzyskania kopii danych oraz informacji o celach i podstawach przetwarzania;
- Sprostowanie – możliwość poprawy nieprawidłowych lub niekompletnych danych;
- Usunięcie (prawo do bycia zapomnianym) – w sytuacjach przewidzianych prawem;
- Ograniczenie przetwarzania – czasowe wstrzymanie przetwarzania w określonych przypadkach;
- Przenoszenie danych – otrzymanie danych w ustrukturyzowanym formacie i przekazanie ich innemu administratorowi;
- Sprzeciw – wobec przetwarzania opartego na uzasadnionym interesie lub w celach marketingu bezpośredniego;
- Skarga do PUODO – możliwość zgłoszenia naruszeń do organu nadzorczego.
Bezpieczeństwo systemu BLIK i ochrona przed zagrożeniami
BLIK wykorzystuje wielowarstwowe mechanizmy bezpieczeństwa. Każda transakcja jest autoryzowana w aplikacji bankowej, a kod BLIK jest jednorazowy i ważny tylko dwie minuty.
Najważniejsze zabezpieczenia obejmują:
- dwuetapową autoryzację transakcji (kod + potwierdzenie w aplikacji),
- krótki czas ważności i jednorazowość kodu BLIK,
- szyfrowaną komunikację (SSL/TLS) między aplikacją, bankiem i operatorem,
- weryfikację i przypisanie aplikacji do konkretnego rachunku,
- zabezpieczenia urządzenia (PIN, biometryka, automatyczne wylogowanie).
Najczęstsze zagrożenie to socjotechnika, np. „oszustwo na znajomego” w komunikatorach. Najważniejsza zasada: nigdy nie udostępniaj kodu BLIK osobom trzecim.
Dobre praktyki ograniczające ryzyko obejmują:
- weryfikację prośby o pieniądze (telefon do znajomego, pytanie kontrolne),
- włączenie powiadomień o transakcjach i bieżące monitorowanie historii,
- natychmiastowy kontakt z bankiem przy podejrzeniu nadużycia,
- aktualizowanie systemu i aplikacji, instalowanie tylko z zaufanych źródeł,
- niewykonywanie roota/jailbreak urządzenia.
Porównanie polityk anonimowości w różnych bankach
Poniższe zestawienie podsumowuje różnice w zakresie danych przekazywanych odbiorcy przelewu BLIK (P2P). Zakres może się zmieniać i zależy od scenariusza (wewnętrzny vs. międzybankowy):
| Bank | Przelew wewnętrzny (dane dla odbiorcy) | Przelew międzybankowy (dane dla odbiorcy) | Widoczność telefonu nadawcy | Widoczność adresu nadawcy |
|---|---|---|---|---|
| ING Bank Śląski | Nazwisko, numer rachunku (tel. zamaskowany) | Nazwisko, numer rachunku (tel. zamaskowany) | częściowo/ukryty | nie |
| Credit Agricole | Numer rachunku nadawcy, nazwa nadawcy, tytuł, kwota, numer rachunku i nazwa odbiorcy | Numer rachunku nadawcy, nazwa nadawcy, tytuł, kwota, numer rachunku i nazwa odbiorcy | brak danych | nie |
| BNP Paribas | Numer rachunku zleceniodawcy, nazwisko, data, tytuł, kwota | Numer rachunku zleceniodawcy, nazwisko, data, tytuł, kwota | brak danych | nie |
| PKO Bank Polski | Imię i nazwisko, numer rachunku, numer telefonu | Imię i nazwisko, numer rachunku, numer telefonu | tak | wewnętrzny: możliwy; międzybankowy: nie |
| Bank Pekao | Imię i nazwisko, numer rachunku, adres (tel. częściowo ukryty) | Imię i nazwisko, numer rachunku (tel. częściowo ukryty) | częściowo/ukryty | wewnętrzny: tak; międzybankowy: nie |
| mBank | Imię i nazwisko, numer rachunku, adres | Imię i nazwisko, numer rachunku, adres | brak danych | tak |
Różnice wynikają z autonomii banków w implementacji usługi BLIK – operator (Polski Standard Płatności) potwierdza brak jednolitego standardu co do zakresu danych dla odbiorcy.
Kwestia nazw kontaktów w książce telefonicznej
W części banków podczas przelewu na telefon BLIK do odbiorcy może trafić także nazwa kontaktu, pod jaką nadawca zapisał odbiorcę w swojej książce telefonicznej. To potrafi wywołać niezręczne sytuacje, jeśli kontakt ma żartobliwy lub nieoficjalny opis. Aby ograniczyć ryzyko, warto postępować tak:
- przed wysłaniem sprawdzić, jak aplikacja wyświetla nazwę odbiorcy i czy można ją edytować,
- używać neutralnych nazw w książce adresowej lub wpisać nazwę ręcznie,
- wykorzystać pole „tytuł przelewu” do opisu celu płatności zamiast prywatnych uwag.
Jeśli aplikacja oferuje przełączniki prywatności, sprawdź, czy można wyłączyć przekazywanie nazwy kontaktu. W razie wątpliwości skorzystaj z centrum pomocy lub infolinii banku, aby potwierdzić, jakie dane trafiają do odbiorcy w danym scenariuszu.
