System płatności mobilnych BLIK, wprowadzony w 2015 roku przez Polski Standard Płatności, to jedno z najszybciej rosnących rozwiązań fintech w regionie. Analiza ujawnia wielowarstwową architekturę zabezpieczeń opartą na jednorazowych kodach, szyfrowaniu danych i wieloskładnikowej autoryzacji, która efektywnie chroni przed nieuprawnionym dostępem.
- Geneza i rozwój systemu BLIK w polskim ekosystemie płatniczym
- Wielowarstwowa architektura bezpieczeństwa systemu BLIK
- Widoczność danych w różnych typach transakcji BLIK
- Anonimowość i prywatność w kontekście systemu BLIK
- Zagrożenia bezpieczeństwa i metody oszustw w ekosystemie BLIK
- Najlepsze praktyki bezpieczeństwa dla użytkowników BLIK
- Aspekty regulacyjne i prawne ochrony danych w systemie BLIK
W płatnościach kodem BLIK (online i stacjonarnie) odbiorca nie otrzymuje danych identyfikujących nadawcę, co zapewnia wysoki poziom anonimowości. Inaczej wygląda to w przelewach P2P na numer telefonu, gdzie zakres widocznych danych zależy od typu transakcji i polityki banku.
W części wdrożeń systemu do odbiorcy trafia także nazwa kontaktu zapisana w telefonie nadawcy, co może nieświadomie ujawniać charakter relacji między stronami. Banki prowadzą pełną ewidencję transakcji – anonimowość dotyczy wyłącznie relacji użytkownik–sprzedawca, nie zaś całego systemu finansowego.
Geneza i rozwój systemu BLIK w polskim ekosystemie płatniczym
BLIK powstał jako odpowiedź na potrzebę szybkich, wygodnych i bezpiecznych płatności, konkurujących z kartami oraz portfelami elektronicznymi. Za projektem stoi Polski Standard Płatności – spółka największych banków, która połączyła innowacyjność z prostotą obsługi.
Od 2015 roku system przeszedł istotną ewolucję: od kodów jednorazowych do szerokiego ekosystemu płatniczego z wypłatami, płatnościami zbliżeniowymi i przelewami na telefon.
Najważniejsze funkcjonalności, które napędziły adopcję BLIK, to:
- płatności kodem BLIK w e‑commerce i POS,
- wypłaty gotówki z bankomatów bez karty,
- płatności zbliżeniowe NFC telefonem,
- przelewy na numer telefonu P2P.
Sukces BLIK wspiera kilka czynników systemowych:
- ogólnopolska dostępność w większości banków,
- interoperacyjność między instytucjami,
- masowa skala – dziesiątki milionów transakcji miesięcznie.
Architektura opiera się na współpracy trzech podmiotów: operatora centralnego (Polski Standard Płatności), banków (aplikacje i autentykacja użytkowników) oraz infrastruktury rozliczeniowej. Centralny mechanizm generowania i walidacji kodów zapewnia unikalność oraz bezpieczeństwo kryptograficzne, a banki odpowiadają za autoryzację i dostęp do aplikacji.
Przelewy na telefon zrewolucjonizowały rozliczenia P2P, eliminując konieczność znajomości 26‑cyfrowego numeru rachunku. W praktyce pieniądze wysyła się „tak łatwo, jak wiadomość tekstową” – numer telefonu mapowany jest na właściwy rachunek w bazie BLIK.
Wielowarstwowa architektura bezpieczeństwa systemu BLIK
Podstawą bezpieczeństwa są sześciocyfrowe kody jednorazowe ważne przez dwie minuty. Każdy kod jest unikalny i nie może być użyty ponownie. Centralizacja generowania kodów u operatora umożliwia stosowanie zaawansowanej kryptografii i wykrywania anomalii, przy czym dane osobowe pozostają w bankach.
Transmisja danych jest szyfrowana jak w bankowości elektronicznej, a każda operacja wymaga wieloskładnikowej autoryzacji w aplikacji bankowej (PIN/biometria/hasło). Nawet aktywny kod nie wystarczy bez odblokowania aplikacji bankowej na urządzeniu użytkownika.
Użytkownik otrzymuje przejrzyste podsumowanie operacji z kluczowymi danymi (kwota, odbiorca, nazwa sklepu/bankomat). Powyżej wybranych limitów – zwykle 50 zł – wymagane jest dodatkowe potwierdzenie PIN‑em, a część banków umożliwia zarządzanie limitami.
Banki prowadzą zaawansowany monitoring antyfraudowy w czasie rzeczywistym, z wykorzystaniem algorytmów wykrywania anomalii, a podejrzane operacje mogą być blokowane lub kierowane do dodatkowej weryfikacji.
Warstwy zabezpieczeń – skrót
Kluczowe warstwy ochrony działają równolegle i się uzupełniają:
- Jednorazowe kody i krótkie TTL – sześciocyfrowe kody ważne ok. 2 minuty, niewykorzystane wygasają, a ponowne użycie jest niemożliwe;
- Szyfrowanie danych – ochrona transmisji między aplikacją, bankiem i infrastrukturą, uniemożliwiająca odczyt przechwyconych pakietów;
- Wieloskładnikowa autoryzacja – każda transakcja wymaga potwierdzenia w aplikacji bankowej (PIN/biometria/hasło);
- Kontrola i powiadomienia – historia BLIK, alerty push/SMS oraz szybka reakcja użytkownika na anomalie;
- Monitoring antyfraudowy – analiza wzorców w czasie rzeczywistym, blokady i dodatkowa weryfikacja ryzykownych operacji.
Podczas autoryzacji zwracaj uwagę na najważniejsze elementy podsumowania transakcji:
- kwotę operacji,
- nazwę odbiorcy/sklepu lub urządzenia (bankomat),
- tytuł przelewu (jeśli występuje).
Widoczność danych w różnych typach transakcji BLIK
W płatnościach kodem BLIK sprzedawca widzi kwotę i ewentualny tytuł – bez danych osobowych kupującego. To poziom zbliżony do anonimowości gotówki.
W przelewach na telefon zakres danych jest szerszy i różni się między bankami. Poniżej zestawienie praktyk deklarowanych dla wybranych instytucji:
| Bank | Imię i nazwisko | Numer rachunku | Numer telefonu | Adres | Uwagi |
|---|---|---|---|---|---|
| ING Bank Śląski | nazwisko | tak | zamaskowany | nie | podejście ograniczające ujawniane dane do minimum |
| Credit Agricole | tak (nazwa nadawcy) | tak | brak | nie | przekazywane: nazwa nadawcy, numer rachunku, tytuł, kwota |
| BNP Paribas | tak (nazwa nadawcy) | tak | brak | nie | przekazywane: nazwa nadawcy, numer rachunku, tytuł, kwota |
| PKO Bank Polski | tak | tak | tak | nie | różnicowanie wewnętrzne vs międzybankowe (Express Elixir); brak adresu również międzybankowo |
| Bank Pekao | tak | tak | częściowo ukryty | tak (wewnętrznie) | wewnątrz banku pełny zakres jak zwykły przelew; międzybankowo: imię, nazwisko i rachunek |
| mBank | tak | tak | brak | tak | traktuje P2P jak zwykły przelew – przekazuje pełny adres nadawcy |
W wielu wdrożeniach do odbiorcy trafia także nazwa kontaktu zapisana przez nadawcę w telefonie. Może to niechcący ujawniać informacje o relacji i prowadzić do niezręcznych sytuacji; możliwość zmiany sposobu prezentacji zależy od aplikacji bankowej.
Anonimowość i prywatność w kontekście systemu BLIK
W relacji klient–sprzedawca BLIK zapewnia większą prywatność niż płatność kartą (sprzedawca nie otrzymuje danych kupującego). Nie oznacza to pełnej anonimowości w systemie finansowym – banki rejestrują szczegóły wszystkich operacji (nadawca, odbiorca, kwota, czas, miejsce) na potrzeby bezpieczeństwa i zgodności z regulacjami.
Dane mogą być udostępnione uprawnionym organom w toku postępowań. W e‑commerce tożsamość kupującego i tak bywa powiązana z kontem platformy lub danymi dostawy, więc anonimowość płatnicza ma ograniczenia praktyczne.
W przelewach P2P założeniem jest wzajemna identyfikacja stron, a zakres danych bywa szeroki (nawet adres). Dlatego trudno mówić o anonimowości – raczej o wygodnej identyfikacji bez znajomości numeru rachunku przed transakcją.
Jak BLIK wypada na tle innych metod płatności:
- Gotówka – pełna anonimowość i brak cyfrowego śladu, ale ograniczona wygoda i brak zdalności;
- Karta płatnicza – niższa prywatność u sprzedawcy (dane karty), szerokie wsparcie i chargeback;
- BLIK – wysoka prywatność u sprzedawcy, pełna rejestrowalność w bankach, wysoka wygoda;
- Kryptowaluty – potencjalnie wyższa prywatność (np. Monero), ale złożoność i zmienna akceptacja.
Zagrożenia bezpieczeństwa i metody oszustw w ekosystemie BLIK
Najczęstsze wektory ataków wykorzystują socjotechnikę, presję czasu i zaufanie. Poniżej kluczowe scenariusze, na które warto uważać:
- Phishing – fałszywe maile/SMS-y i strony podszywające się pod bank lub znajomych, wyłudzające dane lub kod BLIK;
- „Fałszywy znajomy” – przejęte konto w komunikatorze prosi o „pilny” kod BLIK lub pożyczkę;
- Fałszywe sklepy/oferty – atrakcyjne ceny, prośba o kod poza standardowym procesem płatności, brak wysyłki towaru;
- Pomyłkowa akceptacja – nieuwaga przy podsumowaniu transakcji i zaakceptowanie operacji niezgodnej z intencją;
- Podszywanie się pod instytucje – telefon „z banku/policji” o rzekomym zagrożeniu i instrukcja podania kodu/transferu na „bezpieczne konto”;
- Złośliwe oprogramowanie – malware/ransomware kradnące dane, przechwytywanie ekranu i klawiatury, próby kontroli aplikacji bankowej.
Kod BLIK należy traktować jak gotówkę i nigdy nie udostępniać go osobom trzecim. Legalne sklepy nie proszą o kod BLIK poza standardowym procesem płatności.
Najlepsze praktyki bezpieczeństwa dla użytkowników BLIK
Stosuj poniższe zasady, aby zminimalizować ryzyko i zwiększyć bezpieczeństwo swoich transakcji:
- Nigdy nie podawaj kodu BLIK – traktuj go jak gotówkę; każdorazowe żądanie kodu od osoby trzeciej to sygnał ostrzegawczy;
- Korzystaj z przelewów na telefon – zamiast przekazywania kodu; nadawca sam inicjuje i autoryzuje transakcję w aplikacji;
- Weryfikuj podsumowanie transakcji – sprawdzaj kwotę, odbiorcę i kontekst; w razie wątpliwości odrzuć operację;
- Uważaj na phishing – nie klikaj w podejrzane linki; wpisuj adres banku ręcznie i sprawdzaj certyfikat;
- Zabezpiecz urządzenie – silny PIN/wzór/biometria, aktualny system i aplikacje, blokada i zdalne wymazywanie;
- Używaj bezpiecznych sieci – unikaj publicznego Wi‑Fi; w razie potrzeby korzystaj z VPN;
- Włącz powiadomienia i monitoruj historię – reaguj natychmiast na nieznane transakcje, kontaktuj się z bankiem;
- Włącz 2FA wszędzie, gdzie się da – szczególnie w e‑mailu i mediach społecznościowych, by ograniczyć wektory ataku;
- Zarządzaj limitami – dostosuj limity kwotowe i dzienne w aplikacji bankowej do swojego profilu ryzyka.
Aspekty regulacyjne i prawne ochrony danych w systemie BLIK
BLIK działa w ramach przepisów sektora płatniczego oraz ogólnych regulacji o ochronie danych. Kluczowe znaczenie ma RODO, które wymaga m.in. legalności, minimalizacji, przejrzystości i bezpieczeństwa przetwarzania. Dane przetwarzane są w celu świadczenia usług płatniczych, bezpieczeństwa, wykrywania nadużyć, spełnienia obowiązków prawnych i dochodzenia roszczeń.
Okres przechowywania danych jest ograniczony do niezbędnego minimum: w trakcie umowy i – po jej zakończeniu – przez czas wymagany przepisami (np. księgowo‑podatkowymi) lub do przedawnienia roszczeń. Oznacza to, że historia transakcji może być przechowywana przez lata.
Użytkownikom przysługują prawa na mocy RODO. Oto najważniejsze z nich:
- Dostęp do danych – informacja, jakie dane są przetwarzane, w jakim celu i jak długo;
- Sprostowanie – poprawa nieprawidłowych lub niekompletnych danych;
- Usunięcie – w granicach prawa; ograniczone przez obowiązki archiwizacyjne instytucji finansowych;
- Ograniczenie przetwarzania – czasowe wstrzymanie operacji na danych w określonych sytuacjach;
- Przenoszenie danych – otrzymanie danych w ustrukturyzowanym formacie i przekazanie innemu podmiotowi;
- Sprzeciw – wobec przetwarzania opartego na uzasadnionym interesie administratora.
Przekazywanie danych podmiotom trzecim (np. bankom uczestniczącym) jest dopuszczalne, jeśli jest niezbędne do realizacji usługi i odpowiednio zabezpieczone. Dane mogą zostać ujawnione organom uprawnionym na podstawie przepisów prawa.
