Synchronizacja konta bankowego z aplikacją — jak to działa i czy jest bezpieczne
Chcesz połączyć konto z aplikacją do budżetu, ale boisz się o bezpieczeństwo. Oto jak to naprawdę działa — bez żargonu, z konkretnymi regulacjami.
„Podłączyć konto bankowe do jakiejś apki? Nie ma mowy." Słyszę to regularnie. I rozumiem — brzmi jak podanie komuś klucza do sejfu. Tyle że synchronizacja konta przez Open Banking nie działa w ten sposób. Nie podajesz nikomu hasła. Nie dajesz dostępu do przelewów. Nie ryzykujesz pieniędzy.
Synchronizacja konta bankowego z aplikacją to regulowany przez UE proces, w którym bank udostępnia dane o transakcjach licencjonowanej aplikacji — za Twoją wyraźną zgodą i wyłącznie w trybie odczytu. 23 miliony Polaków korzysta z bankowości mobilnej (ZBP, Q3 2024). Zdecydowana większość z nich loguje się do banku przez telefon. A jednak wielu wciąż boi się połączyć konto z aplikacją budżetową. Ten artykuł wyjaśni dlaczego ten strach jest zrozumiały — ale nieuzasadniony.
Najważniejsze informacje
- Nigdy nie podajesz hasła aplikacji — logujesz się przez oficjalną stronę swojego banku
- Aplikacja ma dostęp wyłącznie do odczytu (AISP) — nie może wykonać przelewu ani zmienić danych konta
- Open Banking to regulacja UE (PSD2) — banki są zobowiązane do jej obsługi, a nadzór sprawuje KNF
- Według EBA-ECB (2025), oszustwa w płatnościach elektronicznych w Europie to zaledwie 0,002% wartości transakcji
- Martia korzysta z GoCardless — licencjonowanego dostawcy regulowanego przez FCA i łotewski FKTK w 31 krajach Europy
Jak działa synchronizacja konta bankowego z aplikacją?
Synchronizacja konta bankowego z aplikacją to proces, w którym aplikacja — za zgodą użytkownika — pobiera informacje o transakcjach i saldach z konta bankowego. Odbywa się to przez interfejs API udostępniany przez bank, zgodnie z europejską dyrektywą PSD2.
Proces wygląda tak: wybierasz bank → zostajesz przekierowany na oficjalną stronę logowania banku → logujesz się swoim loginem i hasłem (podajesz je bankowi, nie aplikacji) → bank pyta, czy wyrażasz zgodę na udostępnienie danych → zatwierdzasz. Od tego momentu transakcje pojawiają się w aplikacji automatycznie.
Co aplikacja widzi — a czego nie widzi?
Aplikacja z licencją AISP (Account Information Service Provider) widzi: listę transakcji, salda kont, daty i kwoty. Nie widzi: Twojego loginu, hasła, PIN-u, nie może wykonać przelewu, nie może zmienić żadnych ustawień konta. To jak przyznanie komuś dostępu do historii operacji w banku — bez możliwości dotknięcia pieniędzy.
Czym jest AISP?
AISP (Account Information Service Provider) to licencjonowany podmiot, który ma prawo — za zgodą klienta — odczytywać informacje z konta bankowego. Regulacja PSD2 rozróżnia AISP (odczyt danych) od PISP (inicjowanie płatności). Aplikacje budżetowe jak Martia korzystają z AISP — mają wyłącznie dostęp do odczytu, bez możliwości inicjowania jakichkolwiek płatności.
Open Banking w liczbach
Czy synchronizacja konta z aplikacją jest bezpieczna?
Synchronizacja konta bankowego z aplikacją przez Open Banking jest bezpieczna, ponieważ opiera się na trzech mechanizmach: regulacji UE (PSD2), obowiązkowym uwierzytelnianiu dwuskładnikowym (SCA) i licencjonowaniu podmiotów przez krajowe organy nadzoru.
Bądźmy szczerzy — strach przed połączeniem konta z aplikacją jest zrozumiały. Masz pieniądze na koncie i nie chcesz, żeby ktoś obcy miał do nich dostęp. To zdrowy instynkt. Ale Open Banking został zaprojektowany właśnie po to, żeby ten strach uczynić bezprzedmiotowym.
Trzy warstwy zabezpieczeń Open Banking
1. Regulacja — PSD2 i nadzór KNF. Każda aplikacja korzystająca z Open Banking musi posiadać licencję (AISP lub PISP) wydaną przez krajowy organ nadzoru — w Polsce to KNF. W Europie działa ponad 111 licencjonowanych dostawców usług płatniczych z prawem operowania w Polsce (KNF / EBA, 2023).
2. Uwierzytelnianie dwuskładnikowe (SCA). PSD2 wymaga silnego uwierzytelniania klienta przy każdym logowaniu. To znaczy: login + hasło nie wystarczą — potrzebujesz jeszcze potwierdzenia w aplikacji mobilnej banku lub kodem SMS. Według raportu EBA-ECB (2025), transakcje z zastosowaniem SCA mają znacząco niższy wskaźnik fraudu niż te bez SCA. Oszustwa kartowe są 17 razy częstsze gdy odbiorca jest poza EEA, gdzie SCA nie obowiązuje.
3. Dostęp wyłącznie do odczytu (AISP). Aplikacja budżetowa nie może wykonać przelewu, zmienić danych konta ani nawet zobaczyć Twojego hasła. Widzi transakcje i salda. I tyle.
Mit vs. rzeczywistość
Mit: „Podłączenie konta do aplikacji to jak danie komuś hasła do banku — mogą mi zabrać pieniądze."
Rzeczywistość: W modelu Open Banking nigdy nie podajesz hasła aplikacji — logujesz się przez oficjalną stronę banku. Aplikacja z licencją AISP ma dostęp wyłącznie do odczytu transakcji, bez możliwości inicjowania płatności. Według Huntsman Security, nie odnotowano żadnego przypadku naruszenia danych specyficznie przez API Open Banking zgodne z PSD2.
Jeśli chcesz zobaczyć, co automatyczna synchronizacja zmienia w codziennym budżetowaniu, przeczytaj nasz przewodnik po kontroli budżetu domowego.
Boisz się podłączyć konto? Sprawdź jak to działa
Martia korzysta z GoCardless — licencjonowanego dostawcy regulowanego przez FCA i łotewski FKTK. Dostęp wyłącznie do odczytu. Zero dostępu do przelewów. Zero haseł przechowywanych przez aplikację.
Co to jest Open Banking i dlaczego banki muszą to udostępniać?
Open Banking to system regulowany prawem europejskim, w którym banki udostępniają dane o transakcjach licencjonowanym aplikacjom — za wyraźną zgodą klienta. To nie jest opcja dla banków. To obowiązek wynikający z dyrektywy PSD2 (Payment Services Directive 2), która weszła w życie w 2018 roku.
Dlaczego UE to wprowadzała? Bo do 2018 roku dane o Twoich transakcjach były zamknięte w jednym banku. Chciałeś zobaczyć wydatki z trzech kont? Logowałeś się do trzech aplikacji bankowych. PSD2 zmienia reguły gry: Twoje dane finansowe należą do Ciebie, nie do banku. I masz prawo udostępnić je komu chcesz.
Open Banking w Polsce — KNF i PolishAPI
W Polsce nadzór nad Open Banking sprawuje KNF (Komisja Nadzoru Finansowego). KNF prowadzi rejestr licencjonowanych dostawców usług płatniczych — zarówno polskich, jak i tych działających na podstawie paszportu europejskiego.
Związek Banków Polskich (ZBP) opracował standard PolishAPI — ujednolicony sposób komunikacji między bankami a aplikacjami zewnętrznymi. Najnowsze wersje (2.1.4 i 3.0.1) zostały opublikowane w czerwcu 2025 roku. Dzięki PolishAPI wszystkie główne polskie banki obsługują Open Banking w spójny, standaryzowany sposób.
Co dalej — PSD3 i FIDA
UE pracuje nad następcami PSD2. PSD3 (oczekiwana w 2026) rozszerzy zakres regulacji, a FIDA (Financial Data Access) — oczekiwana w 2027 — otworzy dostęp nie tylko do kont bankowych, ale też do ubezpieczeń, inwestycji i emerytur. Kierunek jest jasny: więcej kontroli dla użytkownika, nie mniej.
Czym jest PSD2?
PSD2 (Payment Services Directive 2) to dyrektywa Unii Europejskiej regulująca usługi płatnicze. Nakłada na banki obowiązek udostępniania danych o transakcjach licencjonowanym aplikacjom (za zgodą klienta) oraz wymaga silnego uwierzytelniania (SCA) przy logowaniu i płatnościach. W Polsce PSD2 jest implementowana przez Ustawę o usługach płatniczych, a nadzór sprawuje KNF.
GoCardless i PSD2 — kto odpowiada za bezpieczeństwo Twoich danych?
Za bezpieczeństwo danych w Open Banking odpowiadają trzy podmioty: Twój bank, dostawca usługi (np. GoCardless) i krajowy organ nadzoru (KNF w Polsce). Każdy ma konkretne obowiązki regulacyjne — to nie jest kwestia dobrej woli, tylko prawa.
GoCardless — kto to jest?
GoCardless Ltd to brytyjska firma fintech autoryzowana przez FCA (Financial Conduct Authority) z numerem rejestracyjnym 597190. W 2022 roku GoCardless przejął Nordigen — łotewskiego dostawcę Open Banking, pierwszego AISP licencjonowanego przez łotewski FKTK (Finanšu un kapitāla tirgus komisija). Dziś jako GoCardless Bank Account Data łączą się z ponad 2 300 bankami w 31 krajach Europy.
Jakie dane udostępniasz — i jakie nie?
Udostępniasz: listę transakcji (daty, kwoty, opisy), salda kont, podstawowe informacje o koncie (numer IBAN, waluta).
Nie udostępniasz: hasła do banku, PIN-u, danych karty kredytowej, dostępu do przelewów, możliwości zmiany jakichkolwiek ustawień konta. Aplikacja nie ma fizycznej możliwości wykonania operacji na Twoim koncie.
DORA — dodatkowa warstwa ochrony od 2025
Od stycznia 2025 roku obowiązuje DORA (Digital Operational Resilience Act) — unijne rozporządzenie, które nakłada na instytucje finansowe jeszcze bardziej rygorystyczne wymogi dotyczące cyberbezpieczeństwa, raportowania incydentów i testowania odporności systemów. DORA zastępuje dotychczasowe zasady raportowania incydentów z PSD2.
Adam, założyciel Martia
Od założyciela
Kiedy wybierałem dostawcę Open Banking do Martia, sprawdziłem kilkanaście opcji. GoCardless wygrał nie dlatego, że był najtańszy — ale dlatego, że ma podwójną licencję regulacyjną (FCA + FKTK), łączy się z polskimi bankami przez PolishAPI i nie wymaga od użytkowników podawania danych logowania nikomu poza bankiem. Bezpieczeństwo nie było kompromisem. Było wymogiem.
Czym synchronizacja Open Banking różni się od podania hasła do banku?
Synchronizacja konta przez Open Banking to proces, w którym aplikacja nigdy nie widzi Twojego hasła — w przeciwieństwie do starszych metod, które wymagały podania danych logowania zewnętrznej firmie. To fundamentalna różnica i główny powód, dla którego Open Banking jest bezpieczny.
| Cecha | Stara metoda (screen scraping) | Open Banking (PSD2) |
|---|---|---|
| Hasło bankowe | Podajesz aplikacji | Podajesz tylko bankowi |
| Dostęp do przelewów | Teoretycznie możliwy | Niemożliwy (AISP = tylko odczyt) |
| Regulacja | Brak lub minimalna | PSD2, KNF, DORA |
| Uwierzytelnianie | Tylko hasło | SCA — dwuskładnikowe |
| Cofnięcie dostępu | Zmiana hasła | Jednym kliknięciem w banku |
Kluczowa różnica: w starym modelu (screen scraping) podawałeś login i hasło do banku zewnętrznej firmie. Firma logowała się „jako Ty" i pobierała dane. W Open Banking nie ma tego kroku — logujesz się sam, przez stronę banku, a bank przekazuje dane przez bezpieczne API. Aplikacja nigdy nie widzi Twojego hasła.
Które polskie banki obsługują synchronizację przez Open Banking?
Wszystkie główne polskie banki obsługują Open Banking — to wymóg PSD2, nie opcja. Standard PolishAPI opracowany przez ZBP (Związek Banków Polskich) zapewnia ujednolicony sposób komunikacji. Stan na marzec 2026:
GoCardless Bank Account Data (z którego korzysta Martia) łączy się z ponad 2 300 bankami w Europie. W Polsce obsługiwane są wszystkie banki udostępniające API zgodne z PolishAPI — czyli praktycznie każdy bank, w którym masz konto. Jeśli szukasz porównania aplikacji, które wykorzystują tę synchronizację, przeczytaj nasz ranking aplikacji do budżetu domowego.
Twój bank jest na liście — połącz konto w 2 minuty
PKO BP, mBank, ING, Santander, Pekao, BNP Paribas, Millennium, Alior Bank, Credit Agricole — Martia łączy się ze wszystkimi głównymi polskimi bankami. Automatycznie, przez Open Banking, tylko do odczytu.
Jak podłączyć konto bankowe do aplikacji — krok po kroku
Podłączenie konta bankowego do aplikacji Martia przez Open Banking trwa około 2 minut. Cały proces odbywa się na oficjalnej stronie Twojego banku — Martia nigdy nie widzi Twojego hasła.
1. Wybierz swój bank
W Martia wybierasz bank z listy obsługiwanych instytucji. Jeśli masz konta w kilku bankach — możesz połączyć je wszystkie, jedno po drugim. Każde konto dodajesz osobno.
2. Zaloguj się przez oficjalną stronę banku
Zostajesz przekierowany na oficjalną stronę logowania swojego banku. Podajesz login i hasło bezpośrednio bankowi — nie Martia. Potwierdzasz tożsamość kodem SMS lub w aplikacji mobilnej banku (SCA — uwierzytelnianie dwuskładnikowe).
3. Zatwierdź dostęp do odczytu transakcji
Bank wyświetli ekran zgody — zapyta, czy wyrażasz zgodę na udostępnienie danych o transakcjach aplikacji Martia. Zatwierdzasz. Od tego momentu transakcje synchronizują się automatycznie. Możesz cofnąć zgodę w dowolnym momencie — jednym kliknięciem w ustawieniach banku.
I tyle. Żadnych formularzy, żadnych skanów dokumentów, żadnych umów do podpisania. Trzy kroki, dwie minuty, pełny obraz finansów. Więcej o praktycznym wykorzystaniu tych danych znajdziesz w naszym przewodniku po planowaniu wydatków.
Często zadawane pytania
Czy synchronizacja konta bankowego z aplikacją jest bezpieczna?
Tak. Synchronizacja przez Open Banking (PSD2) oznacza, że aplikacja otrzymuje wyłącznie dostęp do odczytu transakcji — nie może wykonywać przelewów ani zmieniać danych konta. Logujesz się przez oficjalne okno swojego banku, nigdy nie podajesz hasła aplikacji. Według raportu EBA-ECB (2025), oszustwa w płatnościach elektronicznych w EEA stanowią zaledwie 0,002% wartości transakcji.
Czy aplikacja widzi moje hasło do banku?
Nie. W modelu Open Banking logujesz się bezpośrednio na stronie swojego banku. Aplikacja nie widzi, nie przechowuje i nie ma dostępu do Twojego hasła ani loginu. Otrzymuje wyłącznie token autoryzacyjny uprawniający do odczytu transakcji.
Czy aplikacja może wykonać przelew z mojego konta?
Nie, jeśli korzysta z licencji AISP (Account Information Service Provider). AISP to dostęp wyłącznie do odczytu — aplikacja widzi transakcje i salda, ale nie może inicjować żadnych płatności. Martia korzysta z GoCardless, który działa jako AISP.
Co to jest Open Banking i PSD2?
Open Banking to system, w którym banki udostępniają dane o transakcjach licencjonowanym aplikacjom za zgodą klienta. PSD2 (Payment Services Directive 2) to dyrektywa Unii Europejskiej, która zobowiązuje banki do udostępniania tych danych i reguluje zasady bezpieczeństwa. W Polsce nadzór sprawuje KNF.
Które polskie banki obsługują Open Banking?
Wszystkie główne polskie banki: PKO BP, mBank, ING, Santander, Pekao, BNP Paribas, Millennium, Alior Bank, Credit Agricole i inne. Standard PolishAPI opracowany przez ZBP zapewnia ujednolicony sposób komunikacji.
Jak podłączyć konto bankowe do aplikacji Martia?
Proces trwa 2 minuty: otwórz Martia, wybierz bank, zaloguj się przez oficjalną stronę banku (hasło podajesz bankowi, nie Martia), zatwierdź dostęp do odczytu transakcji. Od tego momentu synchronizacja działa automatycznie.
Źródła i literatura
- ZBP (2024), Raport NetB@nk — Q3 2024, zbp.pl
- EBA-ECB (2025), Joint Report on Payment Fraud, ecb.europa.eu
- KNF, Otwarta bankowość w świetle wymogów dyrektywy PSD2, knf.gov.pl
- GoCardless, Regulated Terms — FCA authorisation (reg. 597190), gocardless.com
- ZBP (2025), Aktualizacja Standardu PolishAPI (v2.1.4, v3.0.1), zbp.pl
- Huntsman Security, PSD2 Open Banking Security Incidents, huntsmansecurity.com
- ENISA (2024), Threat Landscape — Finance Sector, enisa.europa.eu
Czytaj dalej
Jak kontrolować budżet domowy — kompletny przewodnik 2026 →
Praktyczne metody kontroli budżetu domowego krok po kroku.
Aplikacja do budżetu domowego 2026 — którą wybrać →
Porównanie aplikacji do budżetu domowego z synchronizacją bankową.
Najlepsza aplikacja do śledzenia wydatków w Polsce 2026 →
Porównanie aplikacji do śledzenia wydatków z polskimi bankami.
Jak planować wydatki miesięcznie — krok po kroku →
Jak ustalić plan wydatków na miesiąc i się go trzymać.