Najbezpieczniejsza aplikacja open banking w Polsce — jak rozpoznać i czego unikać

Co znaczy „bezpieczna" — pięć konkretnych kryteriów

Bezpieczeństwo aplikacji finansowej to nie subiektywne wrażenie. To pięć mierzalnych kryteriów, które albo są spełnione, albo nie. Bez znaczenia, jak ładny jest interfejs i jak przekonujący marketing.

1. Aplikacja nie zna Twojego hasła

To pierwszy i najważniejszy filtr. W modelu open banking PSD2 hasło do bankowości internetowej wpisujesz wyłącznie na stronie banku — aplikacja przekierowuje Cię tam, Ty się logujesz, bank wystawia aplikacji jednorazowy token dostępu. Aplikacja nigdy nie widzi ciągu znaków, który stanowi Twoje hasło. Token można unieważnić jednym kliknięciem.

2. Ograniczony zakres dostępu — tylko odczyt

Token AISP (Account Information Service Provider) ma uprawnienia wyłącznie do odczytu transakcji i sald. Aplikacja nie może wykonać przelewu, zmienić ustawień konta, założyć lokaty ani zmienić Twojego adresu. To różni się od starszych aplikacji opartych o screen scraping, które logowały się jako Ty i miały pełny dostęp.

3. Szyfrowane przechowywanie

Dane na serwerach aplikacji powinny być zaszyfrowane w spoczynku (at-rest, najczęściej AES-256) i w transmisji (in-transit, TLS 1.2 lub nowszy). Atakujący, który włamuje się do bazy danych, dostaje zaszyfrowane bloby — nie czytelne transakcje. To dotyczy też backupów, replik i logów aplikacji.

4. Regulator, który nadzoruje

Aplikacja open banking musi działać na licencji PSD2 — albo własnej AISP wydanej przez krajowy organ nadzoru w UE, albo przez partnera technicznego, który tę licencję posiada. W Polsce nadzór sprawuje KNF, na Łotwie FCMC (Finanšu un kapitāla tirgus komisija), w Niemczech BaFin, w Wielkiej Brytanii FCA. Bez tego wpisu nie ma prawa łączyć się z bankami przez oficjalne API.

5. Jurysdykcja UE — RODO i tylko RODO

Dane przechowywane na terenie UE objęte są RODO (GDPR) — masz prawo dostępu, sprostowania, usunięcia, sprzeciwu, przenoszenia. Dane przekazywane poza UE wymagają konkretnego mechanizmu prawnego (standardowe klauzule umowne, certyfikacja DPF dla USA). Jeśli aplikacja przechowuje dane w USA bez jasnego wyjaśnienia podstawy prawnej — operuje w szarej strefie. Bezpieczna aplikacja jasno pisze w polityce prywatności, gdzie fizycznie leżą Twoje dane.

Co regulator wymaga — PSD2, RTS, KNF

Open banking w Polsce nie jest dziką strefą. Działa w ramach europejskiej dyrektywy PSD2 (Payment Services Directive 2), implementowanej w Polsce przez ustawę o usługach płatniczych z 19 sierpnia 2011 r. Trzy poziomy regulacji.

PSD2 — dyrektywa europejska

PSD2 wprowadziła dwa nowe typy regulowanych podmiotów: AISP (Account Information Service Provider — dostęp do informacji o rachunku) i PISP (Payment Initiation Service Provider — inicjowanie płatności). Aplikacje budżetowe to AISP — działają wyłącznie w trybie odczytu. Każdy bank w UE obsługujący rachunki płatnicze ma obowiązek udostępnić ustandaryzowane API zgodne z PSD2.

RTS — regulacyjne standardy techniczne EBA

EBA (European Banking Authority) opublikowała Regulatory Technical Standards on Strong Customer Authentication and Common and Secure Communication, obowiązujące od 14 września 2019 r. RTS definiuje SCA jako uwierzytelnianie oparte na minimum dwóch niezależnych elementach z trzech kategorii:

• •Wiedza (knowledge) — coś, co tylko Ty wiesz: hasło, PIN
• •Posiadanie (possession) — coś, co tylko Ty masz: telefon z aplikacją bankową, token sprzętowy, karta
• •Cecha (inherence) — coś, czym jesteś: odcisk palca, Face ID, biometria głosowa

Trzy kategorie, dwa elementy minimum. Kompromitacja jednego nie wystarcza, by ktoś przejął kontrolę. RTS wymaga też dynamicznego powiązania kodu autoryzacyjnego z konkretnymi danymi transakcji (przy płatnościach). To sprawia, że nawet przechwycony jednorazowy kod nie pozwala na inne operacje. Nowelizacja RTS z 2022 r. (EBA/RTS/2022/03) wprowadziła obowiązkowe wyłączenie z SCA, gdy klient korzysta z usług AISP do odczytu danych — pod określonymi warunkami, pozwalając na rzadszą ponowną autoryzację (do 180 dni).

KNF — polski nadzór

W Polsce nadzór nad PSD2 sprawuje Komisja Nadzoru Finansowego. Dwa zadania: prowadzenie rejestru dostawców usług płatniczych oraz przyjmowanie zgłoszeń incydentów bezpieczeństwa od banków i AISP. Działalność AISP nie wymaga zezwolenia, ale wymaga wpisu do rejestru — KNF musi dokonać wpisu w ciągu 3 miesięcy od złożenia kompletnego wniosku. Rejestr jest publiczny.

W praktyce: aplikacja, która chce świadczyć usługę dostępu do rachunku w Polsce, musi być widoczna albo w rejestrze KNF (jako polski AISP), albo w zestawieniu unijnych dostawców notyfikowanych do działalności transgranicznej w RP, albo działać przez partnera technicznego widocznego w jednym z tych rejestrów. Pełną ścieżkę regulacyjną i model PSD2 opisuję w przewodniku po open bankingu w Polsce.

7 sygnałów, że aplikacja open banking jest bezpieczna

Checklista, którą warto przejść przed założeniem konta w jakiejkolwiek aplikacji finansowej. Jeśli któryś z punktów nie jest spełniony — zadaj pytanie supportowi albo szukaj alternatywy.

1. 1.
   Licencja PSD2 widoczna w rejestrze

   Sprawdź na stronie aplikacji, kto jest dostawcą usługi open banking. Może to być sama aplikacja (jako licencjonowany AISP) albo partner techniczny (np. GoCardless, Tink, Salt Edge, TrueLayer). Nazwę podmiotu odszukaj w polskim rejestrze KNF (e-rup.knf.gov.pl) albo w rejestrze odpowiedniego organu nadzoru w UE.

2. 2.
   Hasło bankowe wpisywane wyłącznie na stronie banku

   Przy łączeniu konta aplikacja powinna przekierować Cię do oficjalnego okna logowania Twojego banku — z domeną banku w pasku adresu, z normalnym wyglądem panelu logowania. Hasło wpisujesz tam, nie w aplikacji.

3. 3.
   Dane przechowywane w UE (RODO)

   W polityce prywatności sprawdź sekcję „Lokalizacja danych" lub „Międzynarodowe transfery danych". Powinno być jasno napisane, że dane są przechowywane na terenie UE/EOG. Jeśli pojawiają się transfery do USA — wymagana jest podstawa prawna (standardowe klauzule umowne, certyfikacja DPF).

4. 4.
   Dostęp tylko do odczytu

   Aplikacja widzi salda i transakcje, ale nie może zlecać przelewów. Jeśli aplikacja oferuje funkcję zlecania przelewów, musi mieć osobną licencję PISP — i każdy taki przelew wymaga oddzielnej autoryzacji w banku przez SCA. Nigdy nie powinna dawać sobie ogólnego prawa do operacji w imieniu klienta.

5. 5.
   Szyfrowanie at-rest i in-transit

   TLS 1.2 lub nowszy w transmisji (poznasz po kłódce w przeglądarce i certyfikacie). AES-256 lub równoważny w spoczynku. To informacja, która powinna być w polityce bezpieczeństwa albo whitepaperze technicznym aplikacji.

6. 6.
   Procedura zgłaszania incydentów

   Aplikacje regulowane mają obowiązek zgłaszania incydentów bezpieczeństwa do KNF (zgodnie z PSD2) i organu ochrony danych (zgodnie z RODO, w 72h od wykrycia). Bezpieczna aplikacja publikuje procedurę zgłaszania problemów i adres kontaktu w sprawach bezpieczeństwa (security@…).

7. 7.
   Polityka prywatności mówi, czego NIE zbiera

   Dobra polityka prywatności jest konkretna. Lista tego, co aplikacja zbiera (transakcje, salda, kategorie). I lista tego, czego NIE zbiera (hasła bankowe, dane logowania, numery kart, CVV). PSD2 art. 66 i 67 wprost zakazują używania danych do celów innych niż świadczona usługa — bezpieczna aplikacja potwierdza to w swojej polityce.

5 czerwonych flag, które powinny Cię zatrzymać

Pięć sytuacji, w których nie powinieneś klikać „Połącz konto" — niezależnie od tego, jak ciekawie wygląda aplikacja w marketingu.

Jak wygląda bezpieczne logowanie krok po kroku

Bezpieczne łączenie konta z aplikacją open banking sprowadza się do pięciu ekranów. Jeśli któryś z nich wygląda inaczej — zatrzymujesz proces. Niżej, jak to wygląda w praktyce na przykładzie łączenia konta polskiego banku przez aplikację działającą zgodnie z PSD2.

Ekran 1: „Połącz konto" w aplikacji

Klikasz „Dodaj konto" albo „Połącz bank". Aplikacja pokazuje listę banków. Wybierasz swój. To jedyny moment, w którym jesteś w interfejsie aplikacji — i jedyne, co tu robisz, to wybór instytucji z listy. Brak pól „login" i „hasło".

Ekran 2: Przekierowanie do banku

Aplikacja zamyka swój widok i otwiera oficjalną stronę logowania Twojego banku. Sprawdzasz pasek adresu — domena powinna być Twojego banku (np. ipko.pl, mbank.pl, ing.pl, santander.pl), a połączenie HTTPS z certyfikatem. Wygląd panelu logowania powinien być identyczny z tym, którego używasz, gdy logujesz się normalnie do bankowości.

Ekran 3: Logowanie + SCA

Wpisujesz login i hasło — w oficjalnym oknie banku, nie aplikacji. Bank prosi o silne uwierzytelnianie SCA: PIN i potwierdzenie push w aplikacji bankowej, biometrię, ewentualnie SMS. To krok wymagany przez PSD2 RTS. Aplikacja open banking nigdy tego ekranu nie widzi — widzisz go tylko Ty i bank.

Ekran 4: Lista uprawnień + zgoda

Bank pokazuje konkretną listę uprawnień, których aplikacja żąda: odczyt sald, odczyt historii transakcji, dane konta. Bank pokazuje też nazwę aplikacji i jej dostawcy AISP (np. GoCardless). Klikasz „Wyrażam zgodę" albo „Odrzucam". Bank wyraźnie informuje o czasie obowiązywania zgody (po nowelizacji RTS może to być nawet 180 dni).

Ekran 5: Powrót do aplikacji

Bank przekierowuje Cię z powrotem do aplikacji. Aplikacja potwierdza, że konto jest połączone i pokazuje pierwsze transakcje. Aplikacja w żadnym z pięciu kroków nie zna Twojego hasła — ma tylko jednorazowy token wystawiony przez bank.

Pełny proces wraz z instrukcjami dla mBank, PKO BP i ING opisuję w osobnym artykule: jak połączyć konto bankowe z aplikacją krok po kroku. A jeśli chcesz zobaczyć, jak wygląda flow specyficzny dla PKO BP, tu jest synchronizacja konta PKO BP w szczegółach.

Co Martia robi z Twoimi danymi — bez ogólników

Sześć konkretnych decyzji, które wpływają na bezpieczeństwo Twoich danych w Martii. Bez marketingowych zwrotów. Każdą z nich sprawdzisz w polityce prywatności albo w stopce strony.

1. Open banking przez GoCardless Bank Account Data

Połączenia z bankami obsługuje GoCardless Bank Account Data (dawniej Nordigen) — licencjonowany dostawca AISP regulowany przez łotewski FCMC (Finanšu un kapitāla tirgus komisija) i autoryzowany do działalności w 31 krajach UE. To partner techniczny używany przez setki europejskich aplikacji finansowych. Łączy z 2400+ bankami, w tym wszystkimi głównymi polskimi: PKO BP, mBank, ING, Santander, Pekao, BNP Paribas, Millennium, Alior, Credit Agricole.

2. Hasło bankowe nigdy nie wpisywane w Martii

Przy łączeniu konta Martia przekierowuje Cię na oficjalną stronę Twojego banku. Wpisujesz tam swoje hasło, potwierdzasz SCA — i wracasz do Martii. Aplikacja nigdy nie ma kontaktu z Twoim hasłem. Nie ma go w bazie, w logach, w pamięci. Ma tylko token dostępu wystawiony przez bank.

3. Dane w Neon PostgreSQL, region UE

Transakcje, salda i metadane konta przechowuję w Neon PostgreSQL w regionie europejskim. RODO. Bez transferów do USA, bez niezdefiniowanych „partnerów na całym świecie". Polityka prywatności jasno opisuje listę podmiotów przetwarzających i lokalizację danych.

4. Dostęp tylko do odczytu

Token, który Martia otrzymuje od banku, ma uprawnienia AISP — czyli wyłącznie odczyt transakcji i sald. Martia nie ma technicznej możliwości zlecenia przelewu z Twojego konta. Nawet gdyby ktoś przejął kontrolę nad infrastrukturą Martii, nie ruszy Twoich pieniędzy.

5. Cofnięcie zgody — dwa miejsca, jedno kliknięcie

Zgodę cofniesz w dwóch miejscach: (1) w ustawieniach Martii — sekcja „Połączone konta" → „Odłącz" przy banku, (2) w bankowości internetowej Twojego banku — sekcja „Bezpieczeństwo" → „Zgody na dostęp" → „Cofnij" przy GoCardless. Po cofnięciu Martia natychmiast traci dostęp do nowych danych. Możesz też usunąć dotychczas pobraną historię.

6. Czego Martia NIE zbiera

Lista, której polityki prywatności rzadko są wprost: Martia nie zbiera Twojego hasła do banku (nie ma do niego dostępu), numerów kart kredytowych ani CVV (nie pojawiają się w API PSD2), danych biometrycznych, geolokalizacji w czasie rzeczywistym. Nie sprzedaje danych do podmiotów trzecich w celach marketingowych — PSD2 art. 67 wprost tego zakazuje dla AISP.

Inne aplikacje open banking w Polsce — porównanie bezpieczeństwa

Krótkie zestawienie najpopularniejszych aplikacji open banking dostępnych dla polskich użytkowników w 2026 r. — według trzech kryteriów bezpieczeństwa: jurysdykcja regulatora dostawcy AISP, lokalizacja danych, model dostępu do banku. Stan na maj 2026, na podstawie publicznie dostępnych polityk prywatności i informacji regulacyjnych.

Trzy obserwacje. Po pierwsze, każda aplikacja open banking obecna na polskim rynku w 2026 r. działa albo z polskim, albo z unijnym regulatorem AISP — to wymóg regulacyjny, nie wybór. Po drugie, dane w przeważającej większości leżą w UE. Po trzecie, wszystkie używają oficjalnego API PSD2, a nie scrapingu. Różnice sprowadzają się do dostawcy AISP, lokalizacji konkretnych podwykonawców i tego, jak transparentnie aplikacja opisuje swoje wybory. Pełniejsze porównanie funkcjonalne (cena, AI, banki) w rankingu aplikacji open banking w Polsce 2026.

Często zadawane pytania