Pytanie to nabiera szczególnej wagi w kontekście decyzji prezesa Urzędu Ochrony Danych Osobowych z 23 lipca 2025 roku o sygn. DKN.5112.6.2020 („Decyzja”), która uznaje praktykę kopiowania przez banki dokumentów tożsamości za nadmiarową. Decyzja ta unaocznia także trudność, z jaką mierzy się sektor finansowy, by pogodzić obowiązki wynikające z RODO z wymogami AML. W naszej ocenie, stanowisko organu nie uwzględnia specyfiki sektora finansowego ani realnych zagrożeń związanych z rozwojem zaawansowanych metod fałszowania tożsamości. W obliczu rosnącego ryzyka nadużyć tradycyjne podejście do ochrony danych wymaga zatem rewizji. Niniejszy artykuł analizuje zagrożenia związane z rozwojem nowych technologii i wskazuje kluczowe wyzwania, przed którymi stają banki w obliczu presji regulacyjnej.

Nowa era przestępczości cyfrowej

Sektor bankowy stoi w obliczu rosnącego zagrożenia dla dotychczas stosowanych metod weryfikacji tożsamości klientów. Sztuczna inteligencja, w szczególności jej modele generatywne, przekształciła się w narzędzie umożliwiające sprawcom przestępstw skuteczne podszywanie się pod klientów banków. Wykorzystanie AI do kradzieży tożsamości i fałszerstw dokumentów przybiera różne formy. Sprawcy potrafią nie tylko generować syntetyczne zdjęcia, ale również z dużą precyzją odtworzyć pełny wizerunek dokumentu, łącznie z jego charakterystycznymi elementami, takimi jak hologramy, zabezpieczenia tła czy znaki wodne, co czyni podróbki trudnymi do wykrycia. Choć wykonanie wysokiej jakości falsyfikatów wciąż wymaga specjalistycznego sprzętu, sztuczna inteligencja znacząco upraszcza etap ich projektowania.

Według raportu SOCTA (Serious and Organised Crime Threat Assessment) z 2025 r. opublikowanego przez Europol grupy przestępcze coraz częściej wykorzystują zaawansowane technologie, takie jak monitoring CCTV, chipy, drony, systemy GPS czy druk 3D, a perspektywa rozwoju komputerów kwantowych, metawersum, sieci 6G, systemów bezzałogowych i interfejsów mózg-komputer dodatkowo potęguje skalę zagrożeń. Szczególnie niepokojąca zdaje się być prognozowana przez raport strategia „store now, decrypt later” polegająca na gromadzeniu i przechowywaniu przez przestępców zaszyfrowanych danych wrażliwych z zamiarem ich późniejszego odszyfrowania po uzyskaniu dostępu do zaawansowanych mocy obliczeniowych np. komputerów kwantowych zdolnych do złamania obecnych metod kryptograficznych.

Powagę sytuacji potwierdza stanowisko prezesa Związku Banków Polskich dra Tadeusza Białka, który ogłaszając współpracę ZBP z Ministerstwem Cyfryzacji i Centralnym Ośrodkiem Informatyki w obszarze bezpieczeństwa tożsamości elektronicznej, wskazał, że „W świecie, w którym coraz więcej usług przenosi się do kanałów cyfrowych, bezpieczeństwo tożsamości elektronicznej staje się fundamentem stabilności całego systemu.” Deklaracja ta potwierdza świadomość sektora bankowego co do skali zagrożenia oraz konieczności systemowej odpowiedzi na ewoluujące wektory ataku przestępców.

Przedsprzedaż

-25%

Przedsprzedaż

AI Act. Europejska regulacja sztucznej inteligencji [PRZEDSPRZEDAŻ]

Artur Bogucki

Sprawdź  

Nowe technologie, stare przepisy. Banki i klienci w pułapce regulacyjnej

W art. 33 ust. 1 ustawa AML obliguje banki do stosowania środków bezpieczeństwa finansowego, a zatem m.in. do identyfikacji i weryfikacji tożsamości klienta. Instytucje obowiązane mają ponadto prawo przetwarzać dane z dokumentów tożsamości i sporządzać ich kopie (art. 34 ust. 4 ustawy AML).

Powyższe obowiązki banków w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu prezes UODO w swojej Decyzji konfrontuje z wymogami nakładanymi przez RODO w ramach realizacji zasady minimalizacji danych. Organ nadzorczy wymaga, aby bank każdorazowo oceniał ryzyko związane ze skanowaniem dokumentów tożsamości i weryfikował, czy w danej sytuacji jest to niezbędne do osiągnięcia celu przetwarzania. Podejście to nie uwzględnia wymogów ustawy AML, w tym wymagań oceny ryzyka instytucjonalnego ani realiów rynkowych, bowiem w obliczu rozwoju nowoczesnych narzędzi ryzyko prania pieniędzy, finansowania terroryzmu oraz kradzieży tożsamości jest immanentnie związane z każdą relacją bankową i występuje stale.

Prezes UODO nie wskazuje jakie alternatywne metody identyfikacji i weryfikacji klientów miałyby spełniać równoważny standard bezpieczeństwa. Tymczasem rozwój cyfrowych usług bankowych, w tym zdalnych form weryfikacji tożsamości opartych na biometrii czy analizie obrazu, generuje własne ryzyka, w tym podatność na deepfake’i i automatyczne fałszerstwa, co dodatkowo uzasadnia potrzebę stosowania tradycyjnych, materialnych form kontroli dokumentów.

Równocześnie ustawa AML obliguje podmioty obowiązane do dokumentowania zastosowanych środków bezpieczeństwa finansowego oraz do wykazania ich prawidłowego wykorzystania na żądanie organów wskazanych w art. 130 tej ustawy. Zatem w pierwszej linii to bank zostaje postawiony w sytuacji, w której ma obowiązek udowodnić skuteczną weryfikację tożsamości klienta, przy jednoczesnym kwestionowaniu przez prezesa UODO podstawowego środka jej dokumentowania w postaci np. skanu dowodu. Z drugiej strony, negatywne konsekwencje zaistniałej sytuacji dotkną także klientów, co jest rozwiązaniem niepożądanym również dla banków. Zatem rodzi się pytanie o to jak realnie pogodzić zasad ochrony danych z obowiązkami przeciwdziałania praniu pieniędzy.

Instytucje finansowe stoją przed regulacyjnym dylematem, wynikającym z braku skoordynowanego stanowiska pomiędzy GIIF a prezesem UODO. Oba organy egzekwują swoje kompetencje nadzorcze za pomocą wysokich kar, nie uwzględniając przy tym wzajemnych oczekiwań regulacyjnych nakładanych na banki. Zasadne byłoby zatem wypracowanie wspólnych standardów sektorowych z udziałem wszystkich zainteresowanych stron, które pozwoliłyby pogodzić cele obu regulacji. Bezpieczeństwo obrotu finansowego i ochrona danych osobowych nie powinny być traktowane jako wartości konkurencyjne, lecz jako komplementarne elementy właściwie funkcjonującego systemu.

Konieczność redefinicji pojęcia „niezbędności”

W świetle aktualnych zagrożeń dla bezpieczeństwa systemu finansowego należy zakwestionować stanowisko prezesa UODO, zgodnie z którym rutynowe skanowanie dowodów tożsamości przez banki jest nadmiarowe. Niemniej interpretacja przesłanki „niezbędności” z art. 5 ust. 1 pkt. c RODO powinna uwzględniać realia rozwoju nowych technologii, obowiązków wynikających z ustawy AML oraz ryzyka związane z przestępczością finansową.  Co więcej, jak wynika z art. 35 ust. 2 ustawy AML, dbałość o pewność obrotu nie ma wymiaru jednorazowego, lecz jest procesem ciągłym, a banki mają obowiązek stosować środki bezpieczeństwa finansowego również podczas nawiązanej już relacji z klientem. W konsekwencji przetwarzanie danych z kopii dokumentów tożsamości należy traktować jako standardowy środek bezpieczeństwa, a nie wyjątek wymagający każdorazowej indywidualnej analizy ryzyka.

Ponadto, rozwój technologii wymaga dostosowania regulacji prawnych do nowych warunków. Gdyby intencją ustawodawcy była zmiana dotychczasowej praktyki banków w powyższym zakresie, to - zgodnie z zasadą stabilności prawa - powinno to zostać jednoznacznie wyrażone w treści art. 112b Prawa bankowego. Zgodnie z tym przepisem banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Zatem w naszej ocenie, obecny stan prawny wymaga zmian - z uwagi na nakładające się obowiązki wynikające z RODO i AML konieczne jest stworzenie klarownych ram regulacyjnych, które wyeliminują wątpliwości interpretacyjne i zagwarantują proporcjonalność przetwarzania danych.

Podsumowanie

Rozwój nowych technologii, takich jak AI czy komputery kwantowe, istotnie wpływa na krajobraz zagrożeń w sektorze finansowym, stawiając pod znakiem zapytania adekwatność dotychczasowego rozumienia zasady minimalizacji danych z RODO w kontekście obowiązków AML. Decyzja prezesa UODO pogłębia ten konflikt regulacyjny, nie uwzględniając rosnących ryzyk cyfrowej przestępczości. Konieczna jest zatem reinterpretacja pojęcia „niezbędności” przetwarzania danych oraz kompleksowe dostosowanie przepisów, by zapewnić bezpieczeństwo klientów i stabilność sektora bankowego.

Czytaj także: ​Banki ukarane za utrudnianie wakacji kredytowych klientom

Autorki:

Justyna Wilczyńska-Baraniak, adwokat, EY Law Partner, AI & Digital Law Competency Leader Central Europe, Zespół Nowych Technologii, Ochrony Danych i Własności Intelektualnej

Gabriela Sacha, radca prawny, LL.M., EY Law Project Manager, Zespół Nowych Technologii, Ochrony Danych i Własności Intelektualnej