Cyfryzacja

2FA / MFA w bankowości firmowej 2026 — obowiązki i bezpieczeństwo

2 maja 2026 ~7 min czytania

Bankowość elektroniczna firm w Polsce wymaga silnej autoryzacji — to zarówno ochrona przed cyberatakami, jak i wymóg prawa (PSD2). W 2026 wszystkie banki obsługują 2FA / MFA, ale dla firm zasady są bardziej rygorystyczne. Pokazujemy obowiązki, narzędzia i praktyczne wskazówki.

Ilustracja artykułu — Księgowość 365

PSD2 i obowiązek silnej autoryzacji

Dyrektywa PSD2 (Payment Services Directive 2) z 2018 wymaga silnej autoryzacji klienta (SCA) przy:

  • Logowaniu do bankowości online
  • Zatwierdzaniu płatności powyżej 30 EUR
  • Zmianach w danych konta

Silna autoryzacja = co najmniej 2 z 3 elementów: wiedza (hasło), posiadanie (telefon/token), cecha biometryczna (odcisk, twarz).

Jakie metody 2FA oferują polskie banki

Bank2FA dostępne
PKO BPiPKO biznes mobile, SMS, token sprzętowy
INGAplikacja Moje ING, SMS, token
mBankAplikacja mobilna, autoryzacja w aplikacji
SantanderAplikacja, SMS, e-Token
PekaoPeoPay, SMS, eToken
Alior BankAplikacja, SMS, eToken

Większość banków preferuje aplikację mobilną — najtańsza, najszybsza i najbezpieczniejsza.

Specyficzne wymogi dla firm

Konta firmowe mają dodatkowe zabezpieczenia:

  • Wielokontowość — różne osoby z różnymi uprawnieniami (księgowy, dyrektor, wspólnik)
  • Limity transakcji — ustalone osobno dla każdego użytkownika
  • Autoryzacja kombinowana — niektóre operacje wymagają potwierdzenia 2 osób
  • Whitelisty — predefiniowane konta odbiorców (przelewy poza listę = dodatkowa weryfikacja)
  • Tokeny sprzętowe — zalecane dla dyrektorów (RSA, YubiKey)

Cyberbezpieczeństwo — najczęstsze zagrożenia

Firmy są celem ataków, w tym:

  • Phishing — fałszywe maile od „banku" z linkiem do logowania
  • Vishing — telefon od „pracownika banku" proszącego o kod SMS
  • Malware na komputerze — kradzież sesji bankowej
  • SIM swap — kradzież numeru SMS, potem przejęcie konta
  • Social engineering — wyłudzenie zmian uprawnień przez podszycie się pod współpracownika

Zabezpieczenia: aktualne oprogramowanie, oddzielny komputer do bankowości, pin/biometryka na telefonie, brak SMS-ów jako jedyna metoda 2FA.

Porównanie metod 2FA dla firm

MetodaBezpieczeństwoWygodaKoszt
SMSNiska (SIM swap, phishing)Wysoka0 zł
Token sprzętowy (YubiKey)Bardzo wysokaŚrednia (wymaga klucza fizycznego)250-400 zł/szt.
Aplikacja mobilna (banking app)WysokaWysoka0 zł
TOTP (Google Authenticator)WysokaWysoka0 zł
Push notificationWysoka, ale możliwe „fatigue attacks"Bardzo wysoka0 zł

Praktyczny przykład — atak SIM swap

Schemat ataku w 2025-2026:

  1. Phishing — atakujący wyciąga z firmy login i hasło do bankowości
  2. SIM swap — atakujący przekonuje operatora telekomunikacyjnego, że potrzebuje nowej karty SIM (fałszywy dowód)
  3. Przejęcie SMS-ów — wszystkie SMS-y z banku idą teraz do atakującego
  4. Wykonanie przelewu — atakujący wykonuje przelewy z autoryzacją SMS
  5. Strata — średnia wartość z polskich raportów Komisji Nadzoru Finansowego 2025: ~80 000 zł na firmę

Mitygacja: nie używaj SMS jako jedynej formy 2FA. Aplikacja mobilna lub token sprzętowy = bezpieczniej.

Najczęstsze błędy

  • Wszystkie podpisy na 1 osobie — pojedynczy punkt awarii, brak kontroli krzyżowej
  • Jedna aplikacja na wszystkie konta firmowe — utrata telefonu = utrata wszystkich
  • Brak backup tokenów — przy YubiKey kup ZAWSZE 2 sztuki (1 podstawowy + 1 zapasowy)
  • Hasło zapisane w przeglądarce — brak segmentacji, jeden zainfekowany komputer = wszystko
  • Brak procedury awarii — utrata urządzenia bez planu = blokada konta na tygodnie

Podstawa prawna

  • Dyrektywa PSD2 (2015/2366) — Strong Customer Authentication obowiązkowy w UE od 14.09.2019
  • Rozporządzenie delegowane Komisji 2018/389 — szczegółowe wymogi SCA
  • RTS-SCA — Regulacyjne Techniczne Standardy (EBA)
  • KNF (Komisja Nadzoru Finansowego) — wymóg „dwóch niezależnych czynników" przy autoryzacji

Case study — firma B2B traci 80 000 zł przez SMS 2FA

Wniosek dla każdego księgowego, dyrektora i właściciela firmy: SMS jako jedyna forma 2FA to dziś realne zagrożenie biznesowe. Polskie sieci komórkowe nie przeszkadzają SIM swap w wystarczającym stopniu, a banki wciąż akceptują SMS-y jako autoryzację. Migracja do aplikacji mobilnej / klucza sprzętowego = 30 minut konfiguracji, ale zmniejszenie ryzyka o ~95%.

Spółka logistyczna z Mazowsza, 12 pracowników, prosty handel B2B. W kwietniu 2026 atakujący:

  1. Phishing e-mail imitujący dostawcę faktury — księgowa kliknęła link i wprowadziła login + hasło do bankowości
  2. Wieczorem atakujący próbował się zalogować — bank wysłał SMS 2FA
  3. SIM swap w T-Mobile rano (sklep T-Mobile w Warszawie, fałszywy dowód osobisty) — atakujący otrzymał nową kartę SIM księgowej
  4. Przelew 80 000 zł na konto „dostawcy" w Estonii — wykonany w 11:23
  5. Księgowa zauważyła brak zasięgu w 14:00, dzwoniła do banku — przelew już zaksięgowany
  6. Bank odzyskał 18 000 zł (część jeszcze nie zeszła z konta odbiorcy). Reszta 62 000 zł przepadła.

Czego można było uniknąć: aplikacja mobilna zamiast SMS 2FA. Atakujący ma SIM, ale nie ma fizycznego telefonu księgowej z zainstalowaną aplikacją bankową = brak możliwości autoryzacji przelewu.

Najczęstsze pytania

Czy mogę zostawić tylko SMS jako 2FA?
Można, ale niezalecane. SMS najsłabsza metoda — podatna na SIM swap. Lepiej aplikacja mobilna lub token sprzętowy.
Co jeśli stracę telefon z aplikacją 2FA?
Każdy bank ma procedurę odzyskiwania — najczęściej wizyta w oddziale + dokument tożsamości + nowa konfiguracja. Niektóre banki oferują kody zapasowe na taką sytuację.
Czy YubiKey działa w polskich bankach?
Tak — większość polskich banków wspiera FIDO2 / WebAuthn (standard sprzętowy). YubiKey to jeden z najbezpieczniejszych tokenów.

Potrzebujesz pomocy?

Zespół Księgowość 365 — doświadczeni księgowi — zajmie się Twoją księgowością i rozliczeniami zgodnie z aktualnymi przepisami. Pierwsza konsultacja księgowa online w ramach specjalnej oferty dla nowych klientów.

Konsultacja wstępna