Cyfryzacja

2FA / MFA w bankowości firmowej 2026 — obowiązki i bezpieczeństwo

2 maja 2026 ~7 min czytania Anna Wiśniewska

Bankowość elektroniczna firm w Polsce wymaga silnej autoryzacji — to zarówno ochrona przed cyberatakami, jak i wymóg prawa (PSD2). W 2026 wszystkie banki obsługują 2FA / MFA, ale dla firm zasady są bardziej rygorystyczne. Pokazujemy obowiązki, narzędzia i praktyczne wskazówki.

PSD2 i obowiązek silnej autoryzacji

Dyrektywa PSD2 (Payment Services Directive 2) z 2018 wymaga silnej autoryzacji klienta (SCA) przy:

  • Logowaniu do bankowości online
  • Zatwierdzaniu płatności powyżej 30 EUR
  • Zmianach w danych konta

Silna autoryzacja = co najmniej 2 z 3 elementów: wiedza (hasło), posiadanie (telefon/token), cecha biometryczna (odcisk, twarz).

Jakie metody 2FA oferują polskie banki

Bank2FA dostępne
PKO BPiPKO biznes mobile, SMS, token sprzętowy
INGAplikacja Moje ING, SMS, token
mBankAplikacja mobilna, autoryzacja w aplikacji
SantanderAplikacja, SMS, e-Token
PekaoPeoPay, SMS, eToken
Alior BankAplikacja, SMS, eToken

Większość banków preferuje aplikację mobilną — najtańsza, najszybsza i najbezpieczniejsza.

Specyficzne wymogi dla firm

Konta firmowe mają dodatkowe zabezpieczenia:

  • Wielokontowość — różne osoby z różnymi uprawnieniami (księgowy, dyrektor, wspólnik)
  • Limity transakcji — ustalone osobno dla każdego użytkownika
  • Autoryzacja kombinowana — niektóre operacje wymagają potwierdzenia 2 osób
  • Whitelisty — predefiniowane konta odbiorców (przelewy poza listę = dodatkowa weryfikacja)
  • Tokeny sprzętowe — zalecane dla dyrektorów (RSA, YubiKey)

Cyberbezpieczeństwo — najczęstsze zagrożenia

Firmy są celem ataków, w tym:

  • Phishing — fałszywe maile od „banku" z linkiem do logowania
  • Vishing — telefon od „pracownika banku" proszącego o kod SMS
  • Malware na komputerze — kradzież sesji bankowej
  • SIM swap — kradzież numeru SMS, potem przejęcie konta
  • Social engineering — wyłudzenie zmian uprawnień przez podszycie się pod współpracownika

Zabezpieczenia: aktualne oprogramowanie, oddzielny komputer do bankowości, pin/biometryka na telefonie, brak SMS-ów jako jedyna metoda 2FA.

Najczęstsze pytania

Czy mogę zostawić tylko SMS jako 2FA?
Można, ale niezalecane. SMS najsłabsza metoda — podatna na SIM swap. Lepiej aplikacja mobilna lub token sprzętowy.
Co jeśli stracę telefon z aplikacją 2FA?
Każdy bank ma procedurę odzyskiwania — najczęściej wizyta w oddziale + dokument tożsamości + nowa konfiguracja. Niektóre banki oferują kody zapasowe na taką sytuację.
Czy YubiKey działa w polskich bankach?
Tak — większość polskich banków wspiera FIDO2 / WebAuthn (standard sprzętowy). YubiKey to jeden z najbezpieczniejszych tokenów.

Potrzebujesz pomocy?

Zespół Księgowość 365 pomoże Ci rozwiązać sprawę zgodnie z polskim prawem podatkowym. Bezpłatna pierwsza konsultacja online.

Bezpłatna konsultacja