Czy pożyczkodawca może żądać dostępu do konta? Open banking w praktyce

Przez
Małgorzata Dąbrowski
-
0
14
Rate this post

Nawigacja po artykule:

Cel czytelnika: kontrola, a nie ślepa zgoda na dostęp do konta

Osoba rozważająca pożyczkę pozabankową chce zwykle dwóch rzeczy naraz: szybkiej decyzji i możliwie małej ingerencji w prywatność. Otwarta bankowość (open banking) obiecuje przyspieszenie procedur, ale jednocześnie oznacza przekazanie bardzo wrażliwych danych o finansach. Sedno sprawy to zrozumienie, kiedy pożyczkodawca może żądać dostępu do konta, jak to się odbywa technicznie i prawnie, oraz jakie granice można i warto postawić.

Czym jest open banking i dlaczego łączy się z pożyczkami pozabankowymi

Istota otwartej bankowości: dane rachunku za zgodą klienta

Otwarta bankowość to model, w którym podmioty trzecie (fintechy, aplikacje finansowe, firmy pożyczkowe – zwykle przez pośrednika) mogą uzyskać dostęp do Twoich danych bankowych, jeśli wyrazisz na to świadomą i konkretną zgodę. Chodzi głównie o:

  • informacje o rachunkach (numery, salda, waluty),
  • historię transakcji (wpływy, wydatki, przelewy, płatności kartą),
  • dane identyfikacyjne posiadacza rachunku (imię, nazwisko, czasem adres).

Pożyczkodawcę interesuje przede wszystkim ocena zdolności do spłaty. Zamiast prosić o papierowe zaświadczenie o zarobkach czy wyciąg w PDF, może poprosić o jednorazowy dostęp do historii rachunku za pośrednictwem usługi AIS (Account Information Service). To szybsze i trudniejsze do sfałszowania niż dokumenty przysyłane mailem.

Podstawy prawne w UE i w Polsce: PSD2 i krajowe przepisy

Open banking w Unii Europejskiej reguluje przede wszystkim dyrektywa PSD2 (Payment Services Directive 2). W Polsce jej wdrożenie nastąpiło głównie poprzez:

  • nowelizację ustawy o usługach płatniczych,
  • powiązane zmiany w Prawie bankowym i ustawach sektorowych.

Kluczowe skutki PSD2 dla klienta pożyczkowego:

  • pojawili się nowi, licencjonowani dostawcy usług płatniczych (m.in. AISP – dostawcy informacji o rachunku),
  • banki muszą udostępniać API (interfejsy) do bezpiecznej wymiany danych,
  • dostęp do rachunku jest możliwy tylko za Twoją zgodą, a dostawca musi spełnić rygorystyczne wymogi bezpieczeństwa i nadzoru.

Nadzór nad dostawcami usług dostępu do rachunku w Polsce sprawuje głównie Komisja Nadzoru Finansowego (KNF). W rejestrze KNF można sprawdzić, czy dany podmiot ma zezwolenie na świadczenie usług AIS/PIS, czy działa jako krajowa instytucja płatnicza, mała instytucja płatnicza lub inny licencjonowany typ instytucji.

Dlaczego otwarta bankowość „przyjęła się” w pożyczkach pozabankowych

Firmy pożyczkowe, zwłaszcza te działające online, mają trzy podstawowe problemy:

  • jak szybko potwierdzić dochody klienta,
  • jak wykryć ukryte zobowiązania i problemy (np. zajęcia komornicze),
  • jak odsiać próbę wyłudzenia pożyczki na cudze dane.

Otwarta bankowość adresuje wszystkie trzy punkty naraz. Wgląd w historię konta pozwala zobaczyć:

  • regularne wpływy z wynagrodzenia, świadczeń czy działalności,
  • raty innych kredytów i pożyczek, opłaty za karty, limity w rachunku,
  • ewentualne potrącenia komornicze, alimentacyjne czy inne stałe obciążenia,
  • czy konto faktycznie należy do osoby składającej wniosek.

Dla pożyczkodawcy to narzędzie jednocześnie wygodne, tanie i trudne do obejścia. Stąd tak częste żądania dostępu do konta przy pożyczkach pozabankowych – zwłaszcza tych udzielanych całkowicie online i „na szybko”.

AIS a PIS – dostęp do danych a możliwość zlecania przelewów

W ramach otwartej bankowości wyróżnia się dwie główne usługi:

  • AIS (Account Information Service) – usługa dostępu do informacji o rachunku,
  • PIS (Payment Initiation Service) – usługa inicjowania płatności.

Dla pożyczek kluczowe jest AIS. AIS oznacza dostęp „czytelniczy”: podmiot widzi, ale nie może wykonywać żadnych operacji na Twoim koncie. W typowym scenariuszu:

  • zbierane są dane o saldach i historii transakcji z określonego okresu,
  • dane są przetwarzane i agregowane (kategorie wydatków, suma wpływów itp.),
  • pożyczkodawca otrzymuje raport i na tej podstawie podejmuje decyzję.

PIS to coś innego – pozwala podmiotowi (za zgodą) zainicjować przelew z Twojego rachunku. Czasem jest używany, aby potwierdzić numer konta (np. symboliczny przelew 1 zł). W standardowych procesach oceny zdolności nie ma potrzeby, aby pożyczkodawca miał PIS. Jeśli podczas wniosku o pożyczkę widzisz, że aplikacja chce „inicjować płatności w Twoim imieniu”, warto uważnie sprawdzić, po co jest to potrzebne i czy na pewno chcesz na to pozwolić.

Pożyczkodawca a dostęp do konta – co może, a czego nie

Dostęp do konta nie jest pełną kontrolą nad rachunkiem

Przy poprawnie wdrożonym open bankingu pożyczkodawca nie „dostaje się” do Twojego konta jak Ty przez bankowość internetową. W praktyce:

  • nie widzi numerów PIN, haseł ani kodów SMS,
  • nie może zlecać przelewów (jeśli zgoda dotyczy tylko AIS),
  • nie może modyfikować ustawień konta, limitów ani danych,
  • nie loguje się za Ciebie do serwisu banku.

Dostęp polega na tym, że bank przesyła określone dane (transakcje, salda, informacje o rachunku) do licencjonowanego podmiotu (AISP), który je przetwarza i udostępnia w formie raportu pożyczkodawcy. Technicznie to zupełnie inny poziom niż przekazanie loginu i hasła do bankowości.

Jeśli podczas procesu pożyczkowego ktoś żąda od Ciebie loginu i hasła do banku na swojej stronie, a nie kieruje Cię do oficjalnej strony banku / aplikacji, jest to bardzo wyraźny sygnał ostrzegawczy. To nie jest standard open banking, tylko technika zbliżona do dawnego screen scrapingu, a bywa też po prostu phishingiem.

Zgoda klienta jako warunek konieczny

Przepisy PSD2 i RODO są w tym punkcie jednoznaczne: dostęp do danych rachunku może być udzielony tylko i wyłącznie na podstawie zgody klienta. Zgoda powinna być:

  • konkretna – wskazująca, jakie rachunki i jaki zakres danych obejmuje,
  • świadoma – po wcześniejszym poinformowaniu o celu i skutkach przetwarzania,
  • dobrowolna – formalnie klient ma prawo odmówić.

Prawo nie zabrania jednak uzależnienia udzielenia pożyczki od przekazania danych potrzebnych do oceny zdolności kredytowej. W praktyce oznacza to, że:

  • masz prawo nie wyrazić zgody na dostęp do konta przez AIS,
  • pożyczkodawca ma prawo w takiej sytuacji odmówić pożyczki, jeśli nie ma innej drogi rzetelnej oceny ryzyka.

Granica biegnie gdzie indziej: pożyczkodawca nie może pobrać danych z banku bez Twojej zgody ani wykorzystać ich w celu szerszym niż deklarowany (np. sprzedać innym podmiotom marketingowym, jeśli nie zostało to jasno wskazane i zaakceptowane).

Jednorazowa analiza vs. stały dostęp – gdzie jest granica

W praktyce rynkowej spotkasz dwa główne modele:

  • jednorazowy dostęp – system pobiera np. historię z ostatnich 3–12 miesięcy tylko raz, na etapie rozpatrywania wniosku,
  • dostęp cykliczny – przez określony czas (np. 90 dni) podmiot może ponawiać zapytania o dane z Twojego rachunku.

Drugi model pojawia się rzadziej przy klasycznych pożyczkach konsumenckich, ale może występować np. przy odnawialnych limitach czy produktach „ciągłych”, gdzie firma chce stale monitorować Twoją sytuację finansową.

Z punktu widzenia klienta różnica jest istotna:

  • jednorazowy dostęp to mniejsze ryzyko nadmiernej inwigilacji – raz pobrane dane, ograniczony czas przydatności,
  • stały dostęp oznacza, że firma (lub jej dostawca AIS) potencjalnie wiedzą o każdej nowej transakcji przez czas obowiązywania zgody.

Przy udzielaniu zgody warto sprawdzić, czy formularz (lub ekran w banku) jasno pokazuje:

  • na jaki okres udzielasz dostępu,
  • czy ma to być dostęp jednorazowy, czy odnawialny,
  • w jaki sposób możesz go wcześniej cofnąć.

Różne formy „udostępnienia konta” – od wyciągu PDF do AIS

Na rynku funkcjonują równolegle różne sposoby weryfikacji:

Forma weryfikacjiJak to wygląda w praktycePlusy dla klientaRyzyka / minusy
Wyciąg PDF / zdjęciaSamodzielne pobranie z bankowości i wysłanie do pożyczkodawcyWiększa kontrola nad zakresem (można częściowo zanonimizować)Możliwość manipulacji, dłuższy proces, przesyłanie plików mailem
Login do banku na stronie pożyczkodawcyPodanie danych logowania poza stroną bankuTeoretycznie szybkie dla firmyBardzo wysokie ryzyko nadużyć, sprzeczne ze standardami bezpieczeństwa
Open banking (AIS)Przekierowanie do banku / aplikacji, autoryzacja, powrót do wnioskuSzybkość, brak konieczności wysyłania plików, wyższe bezpieczeństwoDuży zakres danych, trudniej „wyciąć” wrażliwe szczegóły

Z punktu widzenia bezpieczeństwa preferowany jest model z AIS i przekierowaniem do banku. Natomiast jeśli firma wciąż oczekuje loginu i hasła u siebie, trzeba podchodzić do niej bardzo ostrożnie – w wielu bankach jest to złamanie regulaminu korzystania z bankowości internetowej.

Odmowa udostępnienia konta a odmowa pożyczki

Pytanie, które pojawia się najczęściej: czy pożyczkodawca ma prawo odmówić pożyczki, jeśli nie zgodzisz się na dostęp do konta?

Ogólna zasada jest taka:

  • przedsiębiorca może dowolnie kształtować warunki udzielenia pożyczki, o ile nie narusza przepisów o dyskryminacji i ochronie konsumenta,
  • ma też obowiązek oceny ryzyka kredytowego – nie może udzielać finansowania w sposób całkowicie „w ciemno”.

Jeśli więc firma pożyczkowa uzna, że bez dostępu do historii rachunku nie jest w stanie rzetelnie ocenić Twojej zdolności do spłaty, może odmówić udzielenia pożyczki. Sam fakt, że to robi, nie jest bezprawny.

Problem pojawia się, gdy:

  • pożyczkodawca nie oferuje żadnej alternatywy (np. wyciąg PDF, zaświadczenie o zarobkach),
  • łączy żądanie dostępu do konta z innymi, nieuzasadnionymi wymaganiami (np. zgoda na szeroki marketing, udostępnianie danych partnerom),
  • nie informuje jasno, jakie dane będą pobrane i do czego wykorzystane.

Jeśli zależy Ci na pożyczce, a nie akceptujesz danego modelu weryfikacji, zwykle pozostaje jedno: szukanie innego pożyczkodawcy, który oferuje bardziej przejrzyste i mniej inwazyjne metody potwierdzania dochodów.

Zbliżenie kart kredytowych i debetowych symbolizujących bezpieczeństwo danych
Źródło: Pexels | Autor: Towfiqu barbhuiya

Podstawy prawne: zgoda, RODO i PSD2 w praktyce klienta pożyczkowego

Kto może być dostawcą usług dostępu do rachunku (AISP)

Usługodawca, który realizuje techniczny dostęp do Twojego konta (często fintech współpracujący z firmą pożyczkową), musi posiadać odpowiedni status:

  • licencjonowany AISP (dostawca usług dostępu do informacji o rachunku),

    • Jak sprawdzić, czy podmiot ma uprawnienia AISP

    Status dostawcy nie powinien opierać się na zapewnieniach z reklamy. W praktyce da się go zweryfikować w kilku krokach:

  • na stronie fintechu lub pożyczkodawcy szukaj informacji o licencji KNF (dla Polski) lub innego europejskiego nadzoru,
  • sprawdź nazwę firmy w rejestrze usług płatniczych prowadzonym przez KNF lub w europejskim rejestrze EBA,
  • zwróć uwagę, czy na ekranie zgody (w banku) widnieje dokładna firma oraz kraj siedziby podmiotu, który ma uzyskać dostęp,
  • unikaj sytuacji, gdy nazwa na stronie pożyczkodawcy i nazwa na ekranie banku różnią się bez logicznego wyjaśnienia.

Jeśli nie potrafisz odnaleźć dostawcy AIS w oficjalnym rejestrze albo nazwa z ekranu banku „nie istnieje” w wyszukiwarce KNF, lepiej przerwać proces i wyjaśnić to z obsługą klienta lub po prostu zrezygnować.

Jaka jest podstawa prawna przetwarzania danych z konta

Zgoda na dostęp do rachunku to jedno, druga rzecz to podstawa przetwarzania danych w rozumieniu RODO. Przy pożyczkach zwykle łączą się co najmniej trzy podstawy:

  • art. 6 ust. 1 lit. b RODO – przetwarzanie niezbędne do zawarcia lub wykonania umowy (ocena zdolności, ryzyka, obsługa umowy),
  • art. 6 ust. 1 lit. c RODO – obowiązek prawny (np. przeciwdziałanie praniu pieniędzy, ewentualne obowiązki sprawozdawcze),
  • art. 6 ust. 1 lit. a RODO – zgoda, gdy firma chce robić coś „ponad to”, np. wykorzystać dane do marketingu profilowanego czy ofert partnerów.

W praktyce klient często widzi jedynie ogólny checkbox „Zgadzam się na przetwarzanie danych”. Tymczasem:

  • dane do oceny zdolności kredytowej mogą być przetwarzane nawet bez dodatkowego „marketingowego” checkboxa, bo mieszczą się w ramach umowy i obowiązków pożyczkodawcy,
  • na marketing, przekazywanie danych innym podmiotom czy analizę wykraczającą poza ocenę ryzyka potrzebna jest osobna, wyraźna zgoda.

Jeżeli formularz „spina” wszystko w jednym ogólnym zezwoleniu, a regulamin sugeruje szerokie wykorzystanie danych do innych celów niż sama pożyczka, trudno mówić o dobrowolności. Z punktu widzenia klienta to sygnał, że firma testuje granice zgodności z RODO.

Okres przechowywania danych z rachunku

Częsta iluzja: dane z konta są „zaciągane” tylko do chwilowej analizy, a potem znikają. W praktyce bywa różnie. Instytucje powołują się na kilka kategorii:

  • okres rozpatrywania wniosku – dane są wykorzystywane bieżąco,
  • okres trwania umowy – dane służą również późniejszemu monitorowaniu ryzyka i ewentualnym sporom,
  • okres przedawnienia roszczeń – po spłacie zobowiązania informacje mogą być nadal przechowywane np. przez kilka lat.

Z perspektywy klienta granica jest dość prosta: im dalej od realnej potrzeby dowodowej i oceny ryzyka, tym trudniej uzasadnić dalsze składowanie pełnych historii transakcji. Warto szukać w polityce prywatności informacji:

  • jak długo przechowywane są surowe dane z konta,
  • czy po pewnym czasie są anonimizowane lub agregowane (np. zostają tylko wskaźniki scoringowe zamiast listy transakcji),
  • czy firma nie wykorzystuje ich do „doszkalania” algorytmów bez wyraźnego ograniczenia czasowego.

Twoje prawa z RODO wobec firmy pożyczkowej

Klient, który udzielił dostępu do konta, zyskuje cały pakiet uprawnień. Te najpraktyczniejsze przydają się, kiedy chcesz sprawdzić, czy nie przesadzono z zakresem danych:

  • prawo dostępu – możesz zażądać kopii danych, które dotyczą Twojego rachunku, wraz z opisem celów i kategorii odbiorców,
  • prawo do ograniczenia przetwarzania – w określonych sytuacjach (np. spór co do prawidłowości danych) możesz żądać „zamrożenia” ich użycia,
  • prawo sprzeciwu – w razie wykorzystywania danych do marketingu czy profilowania niezwiązanego bezpośrednio z umową, masz prawo się sprzeciwić,
  • prawo do usunięcia – po wygaśnięciu umowy i upływie ustawowych terminów przechowywania możesz domagać się usunięcia.

W praktyce realizacja tych praw bywa powolna, a odpowiedzi lakoniczne. Jednak sam fakt złożenia wniosku o dostęp czy usunięcie danych mocno zmienia relację – firma wie, że klient czyta dokumenty i nie podchodzi do tematu bezrefleksyjnie.

Open banking a profilowanie i automatyczne decyzje

Wiele procesów pożyczkowych, zwłaszcza online, opiera się na zautomatyzowanym scoringu. Dane z konta są przepuszczane przez algorytmy, które na tej podstawie przydzielają „punkty ryzyka”. RODO wprowadza tutaj dodatkową warstwę ochrony:

  • jeżeli decyzja o przyznaniu lub odmowie pożyczki jest oparta wyłącznie na automatycznym przetwarzaniu (bez realnej oceny człowieka), masz prawo:
    • uzyskać wyjaśnienie najważniejszych czynników stojących za decyzją,
    • zakwestionować tę decyzję i zażądać interwencji człowieka.

Firmy niechętnie wchodzą w szczegóły algorytmów, zasłaniając się tajemnicą przedsiębiorstwa, ale powinny przynajmniej wskazać, czy powodem odmowy były np. niskie, nieregularne wpływy, duża liczba chwilówek czy powtarzające się opóźnienia w spłacie. Zupełna cisza lub ogólnikowa formułka to znak, że transparentność pozostawia sporo do życzenia.

Po co pożyczkodawcy wgląd w konto? Argumenty firm vs. interes klienta

Jak firmy pożyczkowe uzasadniają dostęp do konta

Najczęściej powtarzające się argumenty pożyczkodawców to:

  • dokładniejsza ocena zdolności kredytowej – zamiast opierać się wyłącznie na oświadczeniach klienta i BIK, firma widzi faktyczne wpływy i wydatki,
  • szybsza decyzja – automatyczna analiza transakcji pozwala udzielić pożyczki w kilkanaście minut, bez papierowych zaświadczeń,
  • mniejsza skala wyłudzeń – historia konta pomaga wykryć „fałszywe” dochody, konta używane tylko do pożyczek, nieregularne lub podejrzane przelewy,
  • lepsze dopasowanie oferty – dane z rachunku umożliwiają dopasowanie raty do realnych możliwości klienta.

Gdy spojrzy się na statystykę spóźnionych spłat i wyłudzeń w sektorze chwilówek, część tych tez ma swoje podstawy. Problemem nie jest sam dostęp, lecz to, co dokładnie dzieje się dalej z danymi i na ile proces jest przejrzysty dla klienta.

Czy faktycznie chodzi tylko o bezpieczeństwo pożyczki

Dane z konta to dużo więcej niż informacja o pensji. Analiza transakcji pozwala z dużym prawdopodobieństwem wywnioskować:

  • stan zdrowia (płatności w określonych klinikach, aptekach, gabinetach),
  • preferencje światopoglądowe (składki na związki wyznaniowe, darowizny na organizacje aktywistyczne),
  • styl życia i hobby (częste wydatki w barach, klubach, bukmacherce, grach online),
  • relacje rodzinne (alimenty, przelewy na rzecz byłych partnerów).

Te informacje wprost zahaczają o tzw. szczególne kategorie danych (np. zdrowie, poglądy), które podlegają ostrzejszej ochronie. Pożyczkodawca zazwyczaj twierdzi, że:

  • jego algorytmy „nie patrzą na nazwę odbiorcy, tylko na kategorię wydatku”,
  • szczególne kategorie danych są automatycznie filtrwane lub pseudonimizowane,
  • informacje służą wyłącznie ocenie zdolności i ryzyka, a nie np. segmentacji marketingowej.

Rzeczywistość zależy od konkretnego podmiotu i jakości nadzoru. Jeżeli regulamin nie rozróżnia w ogóle typów danych, a zgoda na „marketing spersonalizowany” jest domyślnie zaznaczona, trudno uwierzyć, że cały pakiet informacji o kliencie nie będzie wykorzystywany szerzej.

Interes klienta: gdzie przebiega granica rozsądku

Z punktu widzenia klienta dopuszczalny kompromis zwykle wygląda inaczej niż z perspektywy firmy. Kilka punktów odniesienia pomaga ocenić, czy model jest jeszcze „zdrowy”:

  • zakres czasowy danych – żądanie historii z 6–12 miesięcy można obronić przy ocenie stabilności dochodów; dostęp do pełnego archiwum przez lata jest słabo uzasadniony,
  • poziom szczegółowości – do oceny zdolności wystarczą zwykle kategorie wydatków i sumy, a nie dokładne opisy każdej transakcji,
  • wyłączenie „wrażliwych” kategorii – technicznie da się odsiać płatności, które mogą ujawniać szczególne dane (organizacje religijne, placówki medyczne, partie polityczne),
  • brak powiązania z marketingiem – dane z rachunku do oceny ryzyka nie powinny automatycznie służyć do targetowania reklam.

Jeżeli polityka prywatności i umowa nie wspominają o żadnych ograniczeniach w tych obszarach, a do tego pojawiają się ogólne zapisy typu „dane mogą być wykorzystywane do innych, zgodnych z prawem celów biznesowych”, to raczej układ asymetryczny – korzyści po stronie firmy, ryzyka po stronie klienta.

Kiedy dostęp do konta może pomóc również klientowi

Istnieją sytuacje, w których open banking rzeczywiście działa na korzyść konsumenta. Typowe przykłady:

  • klient ma niestandardowe źródła dochodu (freelancerzy, zlecenia, umowy krótkoterminowe) i nie jest ich w stanie dobrze udokumentować tradycyjnym zaświadczeniem,
  • dochody są nieregularne, ale stabilne w skali kilku miesięcy, co algorytm może wychwycić lepiej niż statyczny PIT sprzed roku,
  • klient miał gorszy okres w przeszłości, ale ostatnie miesiące pokazują wyraźną poprawę sytuacji – co nie zawsze widać w BIK.

W takich sytuacjach historia z konta pomaga „opowiedzieć” historię finansową klienta bardziej precyzyjnie niż sztywny scoring z baz zewnętrznych. Kluczowe jest jednak, aby klient wiedział, co dokładnie pokazuje i rozumiał, że równolegle ujawnia całą resztę transakcji – także te, które mogą zostać odczytane na jego niekorzyść.

Nadużycia i szare strefy w wykorzystaniu danych z konta

Najwięcej kontrowersji rodzi się nie przy samej decyzji kredytowej, ale przy tym, co firmy robią z danymi „przy okazji”. Typowe ryzykowne praktyki to:

  • profilowanie marketingowe na podstawie wydatków – np. kierowanie ofert pożyczek osobom często płacącym u bukmacherów, bo algorytm uznaje je za bardziej skłonne do zaciągania zobowiązań,
  • doskalowywanie modeli behawioralnych – dane z konta wszystkich klientów (także tych, którzy odmówili pożyczki) są używane do trenowania algorytmów bez wyraźnego ograniczenia celu,
  • sprzedaż lub współdzielenie danych w ramach grupy kapitałowej – np. bank, firma pożyczkowa i towarzystwo ubezpieczeniowe wymieniają się informacjami w sposób trudny do kontrolowania przez klienta.

Część z tych działań da się „podciągnąć” pod realizację prawnie uzasadnionego interesu administratora, ale im dalej od bezpośredniej obsługi pożyczki, tym większe ryzyko wejścia w kolizję z RODO. Z perspektywy klienta warto wyłapywać w dokumentach hasła w stylu „inne cele analityczne”, „optymalizacja procesów biznesowych” czy „rozwój produktów” – to najczęstsze „szuflady”, w których lądują dane z Twojego rachunku.

Jak wygląda technicznie udzielenie dostępu do konta przy pożyczce pozabankowej

Typowy przebieg procesu krok po kroku

Szczegóły różnią się między firmami, ale większość legalnych procesów AIS wygląda podobnie:

  1. Wniosek online – na stronie pożyczkodawcy podajesz podstawowe dane (PESEL, adres, dane kontaktowe, deklarowany dochód).
  2. Wybór metody weryfikacji – pojawia się propozycja skorzystania z „szybkiej analizy rachunku bankowego”, często obok tradycyjnych opcji (przelew weryfikacyjny, zaświadczenie o dochodach).
  3. Przekierowanie do dostawcy AIS – po kliknięciu w przycisk zgody system przenosi Cię na stronę lub do okna pośrednika (np. serwisu typu „open banking”). W tym momencie nie logujesz się jeszcze do banku, tylko wybierasz go z listy.
  4. Prezentacja informacji o dostępie – dostawca AIS powinien jasno pokazać:
    • kto jest administratorem danych (z nazwą firmy i adresem),
    • jakiego zakresu informacji z konta żąda (np. historia, saldo, dane identyfikacyjne rachunku),
    • na jaki okres ma zostać przyznany dostęp (jednorazowo czy cyklicznie),
    • w jakim konkretnym celu dane zostaną udostępnione pożyczkodawcy.
  5. Przekierowanie do bankowości elektronicznej – dopiero teraz następuje przeniesienie do Twojego banku. Adres strony (URL) i certyfikat powinny jednoznacznie wskazywać na bank, a logowanie odbywa się standardowymi metodami (login, hasło, SMS, aplikacja mobilna).
  6. Autoryzacja zgody na dostęp – w systemie banku widzisz komunikat o udzieleniu dostępu zewnętrznej firmie:
    • z nazwą dostawcy AIS,
    • zakresem uprawnień (najczęściej „podgląd rachunku” bez możliwości zlecania transakcji),
    • czasem obowiązywania zgody.

    Zwykle zatwierdzasz to dodatkowym kodem SMS lub push w aplikacji.

  7. Pobranie i analiza danych – po autoryzacji dostawca AIS technicznie „ściąga” historię rachunku przez API banku i przekazuje ją pożyczkodawcy, często już z wstępną kategoryzacją wpływów i wydatków.
  8. Decyzja kredytowa – na podstawie raportu z AIS system scoringowy (czasem z udziałem analityka) wydaje decyzję o przyznaniu lub odmowie pożyczki, proponuje kwotę i harmonogram spłat.

Z punktu widzenia klienta proces może trwać kilka minut, ale po drodze dzieje się sporo automatycznego przetwarzania, nad którym nie masz realnej kontroli w czasie rzeczywistym.

Jak odróżnić legalny proces AIS od „screen scrapingu”

W praktyce obok rozwiązań zgodnych z PSD2 nadal funkcjonują bardziej ryzykowne metody, w których podajesz login i hasło do banku zewnętrznej firmie. Kilka cech pomaga odróżnić oba modele:

  • Legalny AIS:
    • logujesz się wyłącznie na stronie lub w aplikacji banku,
    • dostawca AIS nigdy nie widzi Twojego hasła – dostaje tylko token dostępu,
    • bank pokazuje Ci ekran zgody na dostęp i listę uprawnień dla konkretnej firmy,
    • zgodę można potem podejrzeć i cofnąć w ustawieniach konta.
  • Screen scraping / „logowanie przez pośrednika”:
    • wpisujesz login i hasło na stronie pożyczkodawcy lub pośrednika, a nie banku,
    • pośrednik technicznie „udaje” Ciebie w banku i ma możliwość pełnego dostępu do rachunku,
    • trudniej ocenić, jakie dokładnie dane są pobierane i jak długo przechowywane.

Screen scraping jest wypychany z rynku regulacyjnie, ale całkiem nie zniknął. Jeżeli jakakolwiek instytucja prosi Cię o wpisanie danych logowania do banku poza serwisem banku, rozsądniej przerwać proces, nawet kosztem rezygnacji z oferty.

Czas trwania i odwołanie zgody na dostęp

Dostęp przy pożyczce pozabankowej najczęściej ma charakter jednorazowy, co jednak nie oznacza, że ślad po danych znika po kilku minutach. W praktyce:

  • zgoda w banku – może obejmować jednorazowe pobranie historii (np. z ostatnich 12 miesięcy) lub dostęp powtarzalny przez określony czas (np. 90 dni),
  • przetwarzanie u pożyczkodawcy – trwa zwykle tak długo, jak to konieczne do obsługi pożyczki i spełnienia wymogów prawa (np. obowiązków księgowych, przeciwdziałania praniu pieniędzy).

Z perspektywy klienta są dwie płaszczyzny rezygnacji:

  1. Cofnięcie zgody w banku – w panelu bankowości elektronicznej wyszukujesz listę podmiotów z dostępem do rachunku (sekcja typu „dostawcy zewnętrzni”, „otwarta bankowość”) i odwołujesz uprawnienia dla konkretnego AIS. Od tego momentu pośrednik nie powinien już mieć technicznego dostępu do aktualnych danych.
  2. Cofnięcie zgody u pożyczkodawcy – możesz złożyć żądanie ograniczenia przetwarzania danych pozyskanych z rachunku (np. po wygaśnięciu umowy). Firma nie musi od razu wszystkiego skasować, ale powinna wyjaśnić, co konkretnie dalej robi z danymi i na jakiej podstawie prawnej je trzyma.

Jeżeli otrzymujesz informacje niespójne (np. bank pokazuje ciągły dostęp, choć pożyczka dawno spłacona), dobrze jest zażądać doprecyzowania na piśmie. Rozbieżności pomiędzy deklaracjami marketingowymi a faktycznym czasem przetwarzania danych zdarzają się częściej, niż przyznają same firmy.

Jakie dane z konta zwykle trafiają do pożyczkodawcy

Oficjalnie mowa jest o „historii transakcji niezbędnej do oceny zdolności kredytowej”. W praktyce raport z AIS zawiera zazwyczaj:

  • podstawowe dane rachunku – numer konta, nazwa właściciela, nazwa banku,
  • salda – aktualne saldo i często saldo historyczne z poszczególnych dni,
  • listę transakcji z wybranego okresu – kwota, data, tytuł przelewu, nadawca/odbiorca,
  • kategoryzację wpływów – np. wynagrodzenie, świadczenia, przelewy od rodziny,
  • kategoryzację wydatków – rachunki, wynajem, zakupy, rozrywka, kredyty i pożyczki.

Część dostawców AIS od razu wylicza wskaźniki typu:

  • średni miesięczny dochód z ostatnich kilku miesięcy,
  • procent dochodu przeznaczany na stałe zobowiązania,
  • liczbę aktywnych kredytów i pożyczek identyfikowanych po tytułach przelewów,
  • częstotliwość opóźnień w regulowaniu rachunków.

Po stronie pożyczkodawcy raport może zostać zapisany w systemie w formie „surowej” (pełna lista transakcji) lub wyłącznie jako zestaw wskaźników. Mało który podmiot jasno komunikuje, który wariant stosuje. Jeżeli widzisz w regulaminie zastrzeżenie o „archiwizacji historii rachunku na potrzeby dowodowe”, raczej przechowywana jest pełna treść przelewów.

Współpraca pożyczkodawcy z zewnętrznym dostawcą AIS

Z punktu widzenia ochrony danych kluczowe jest to, że pożyczkodawca nie korzysta z API banków bezpośrednio, tylko najczęściej angażuje wyspecjalizowanego pośrednika. To oznacza dodatkowy podmiot, który ma dostęp do Twoich informacji finansowych. Typowa konfiguracja wygląda następująco:

  • pożyczkodawca jest administratorem danych w kontekście oceny wniosku,
  • dostawca AIS działa jako osobny administrator lub procesor – zależnie od modelu umowy,
  • bank jest osobnym administratorem realizującym usługę płatniczą i udostępniającym dane na podstawie Twojej zgody.

Każdy z tych podmiotów ma swój obowiązek informacyjny i własne cele przetwarzania. W praktyce klient dostaje trzy odrębne polityki prywatności, często napisane innym językiem i w różnym stopniu szczegółowości. Rozsądne minimum to sprawdzenie, czy:

  • dostawca AIS został wymieniony z nazwy w dokumentach pożyczkodawcy,
  • ma ważne uprawnienia nadzorcze (np. widnieje w rejestrze KNF lub odpowiedniego organu w innym kraju UE),
  • jasno opisuje, jak długo przechowuje dane z Twojego rachunku i w jakim celu je dalej wykorzystuje.

Jeżeli pożyczkodawca mówi o „zaufanym partnerze technologicznym”, ale nie wskazuje, kto to jest, trudno zweryfikować, z kim naprawdę dzielisz się historią konta.

Typowe czerwone flagi w procesie udzielania dostępu

Przy przeglądzie realnych formularzy pożyczkowych da się zauważyć powtarzające się sygnały ostrzegawcze. Kilka z nich:

  • Brak wyraźnego oznaczenia, kto prosi o dostęp – pojawia się ogólne hasło „współpracujemy z zewnętrznym dostawcą”, bez nazwy firmy i linku do jej polityki prywatności.
  • Wymuszenie zgody „pakietowej” – jedna zgoda obejmuje jednocześnie:
    • dostęp do rachunku na potrzeby oceny wniosku,
    • bieżący monitoring konta przez cały okres umowy,
    • wykorzystanie danych do profilowania marketingowego.

    Brak opcji rozbicia tego na osobne wybory to sygnał, że interes klienta jest na drugim planie.

  • Nacisk czasowy – komunikaty typu „tylko przy zgodzie na szybki dostęp do konta możemy zagwarantować decyzję w 15 minut” w praktyce utrudniają świadomy wybór alternatywy (np. zaświadczenia o dochodach).
  • Niejasny opis zakresu danych – ogólnikowe sformułowania w stylu „dostęp do informacji o rachunku bankowym” bez wskazania, czy chodzi o:
    • tylko saldo i historię z ostatnich miesięcy,
    • czy również dane o innych produktach (lokaty, karty kredytowe, limity).
  • Domyślnie zaznaczone zgody dodatkowe – np. pola dotyczące „analiz behawioralnych” czy „profilowania oferty” już odhaczone, zanim cokolwiek klikniesz.

Przy jednym z głośniejszych przypadków klient dopiero po odmowie pożyczki zauważył, że w systemie banku widnieje zgoda na stały dostęp zewnętrznej firmy na 90 dni, choć w formularzu mówiło się wyłącznie o „jednorazowej analizie”. Po interwencji zgoda została odwołana, ale to dobry przykład, jak rozjeżdżają się deklaracje marketingowe i realne uprawnienia techniczne.

Bezpieczne zachowanie klienta w procesie open banking

Nawet przy uczciwych podmiotach część odpowiedzialności spada na klienta. Kilka praktycznych kroków pozwala znacząco ograniczyć ryzyko:

  • Sprawdzenie adresu strony przed logowaniem – przed wpisaniem danych do banku upewnij się, że:
    • adres w przeglądarce odpowiada oficjalnej domenie banku,
    • certyfikat SSL jest ważny i wystawiony dla właściwej instytucji.
  • Kontrola treści zgody w banku – nie potwierdzaj „w ciemno”. Zwróć uwagę:
    • na nazwę firmy, której dajesz dostęp,
    • na czas obowiązywania zgody,
    • czy uprawnienia obejmują tylko podgląd, czy także inicjowanie płatności.
  • Przegląd zgód po zakończeniu procesu – po uzyskaniu decyzji (niezależnie, czy pozytywnej, czy negatywnej) zaloguj się do banku i sprawdź sekcję otwartej bankowości. Jeżeli widzisz aktywne zgody, których nie potrzebujesz, cofnij je.
  • Ostrożność wobec ofert z mediów społecznościowych – część agresywnych pożyczkodawców pozabankowych promuje „błyskawiczne” decyzje z użyciem podejrzanych integracji. Jeżeli formularz wygląda amatorsko, a komunikacja jest chaotyczna, lepiej poszukać innej oferty.
  • Dokumentowanie wątpliwości – w razie sporu przydają się zrzuty ekranu z procesu składania wniosku (szczególnie z fragmentem zgód). To często jedyny sposób, by wykazać rozbieżność między tym, co pokazano klientowi, a tym, co firma faktycznie robiła z danymi.

Klient nie ma narzędzi, by szczegółowo zweryfikować algorytmy scoringowe czy wewnętrzne procedury pożyczkodawcy. Może jednak utrudnić życie podmiotom, które liczą na bezrefleksyjne akceptowanie wszystkiego, co pojawi się na ekranie.

Różnice między bankami a firmami pożyczkowymi w praktyce open banking

Najczęściej zadawane pytania (FAQ)

Czy pożyczkodawca może legalnie żądać dostępu do mojego konta bankowego?

Może poprosić o dostęp do danych z konta, ale wyłącznie za Twoją wyraźną zgodą. Podstawą są przepisy PSD2 oraz polska ustawa o usługach płatniczych – bez zgody klienta bank nie może przekazywać takich informacji żadnemu podmiotowi trzeciemu.

Firmy pożyczkowe powołują się przy tym na obowiązek badania zdolności kredytowej. Prawo nie zabrania im uzależnić udzielenia pożyczki od przedstawienia danych finansowych, więc w praktyce często wygląda to tak: masz prawo odmówić udostępnienia historii rachunku, ale pożyczkodawca ma prawo odmówić udzielenia pożyczki.

Czym jest AIS i czy firma pożyczkowa może robić przelewy z mojego konta?

AIS (Account Information Service) to usługa dostępu do informacji o rachunku. Podmiot widzi dane o saldzie i historii transakcji, ale nie może wykonywać żadnych operacji na koncie: nie zleci przelewu, nie zmieni limitów, nie ma dostępu do PIN-u czy haseł. To „podgląd”, a nie „sterowanie” rachunkiem.

Przelewy z Twojego konta może inicjować tylko podmiot, któremu udzielisz zgody w ramach PIS (Payment Initiation Service). W standardowym procesie oceny zdolności kredytowej firmy pożyczkowej PIS nie jest potrzebny. Jeśli widzisz komunikat, że aplikacja chce „inicjować płatności w Twoim imieniu”, zatrzymaj się i sprawdź, czy to faktycznie konieczne i od jakiego licencjonowanego dostawcy pochodzi ta usługa.

Czy muszę wyrazić zgodę na dostęp do konta, żeby dostać pożyczkę pozabankową?

Prawnie zgoda jest dobrowolna – nikt nie może zmusić Cię do jej udzielenia. Jednak z punktu widzenia firmy pożyczkowej dostęp do danych z konta to często podstawowe źródło informacji o dochodach i zobowiązaniach. Jeśli jej odmówisz, pożyczkodawca może zaproponować alternatywę (np. zaświadczenie z pracy, wyciąg PDF), ale może też po prostu nie zawrzeć z Tobą umowy.

Kluczowy jest zakres zgody. Zwróć uwagę, czy chodzi o jednorazowe pobranie historii rachunku, czy o stały, cykliczny dostęp. To często ukryte w szczegółach zgody, a później wpływa na poziom „wglądu” firmy w Twoje finanse.

Czy przekazanie loginu i hasła do banku pożyczkodawcy jest bezpieczne?

Nie. Przekazywanie loginu i hasła do bankowości internetowej komukolwiek (w tym firmie pożyczkowej) jest sprzeczne z zasadami bezpieczeństwa banku i nie ma nic wspólnego z poprawnie wdrożonym open bankingiem. To typowa czerwona flaga – takie praktyki przypominają screen scraping lub wręcz phishing.

Przy legalnym wykorzystaniu otwartej bankowości logujesz się zawsze na oficjalnej stronie lub w aplikacji banku, a pośrednik (dostawca AIS) widzi tylko to, co bank mu udostępnia przez swoje API. Jeśli formularz żąda wpisania danych do logowania „u nich na stronie”, zrezygnuj z procesu i zgłoś sprawę do banku lub UOKiK/KNF.

Jak sprawdzić, czy firma korzystająca z open bankingu jest wiarygodna?

Podstawowy krok to weryfikacja, czy podmiot ma odpowiednie zezwolenie KNF. W publicznym rejestrze KNF można sprawdzić, czy dany dostawca widnieje jako AISP, krajowa instytucja płatnicza, mała instytucja płatnicza lub inna licencjonowana instytucja. Jeśli nazwy firmy lub pośrednika nie ma w rejestrze – to sygnał ostrzegawczy.

Dodatkowo zwróć uwagę na kilka elementów: czy komunikacja odbywa się po bezpiecznym połączeniu (https), czy w procesie jesteś przekierowywany bezpośrednio na stronę banku, czy jasno opisano cel i zakres dostępu do rachunku oraz czas obowiązywania zgody. Im więcej niedomówień i „drobnego druku”, tym większy powód do ostrożności.

Na jaki czas pożyczkodawca może dostać dostęp do mojego konta i czy mogę to cofnąć?

Standardowo przy pożyczkach konsumenckich stosuje się jednorazowy dostęp – system pobiera historię rachunku z określonego okresu (np. ostatnie 6–12 miesięcy) tylko raz, na etapie rozpatrywania wniosku. Coraz częściej pojawiają się jednak modele z dostępem cyklicznym, np. na 90 dni, szczególnie przy liniach odnawialnych czy limitach w koncie.

Zgoda może zostać cofnięta. Masz dwie drogi: odwołanie zgody u dostawcy AIS/pożyczkodawcy oraz odwołanie jej bezpośrednio w bankowości internetowej, jeśli Twój bank udostępnia listę aktywnych zgód. Formalnie po cofnięciu zgody nowy dostęp do bieżących danych nie powinien już następować, choć przetwarzanie danych z okresu, gdy zgoda obowiązywała, zwykle jest dopuszczalne przez określony czas (np. na potrzeby rozliczeń lub obrony przed roszczeniami).

Czy firma pożyczkowa może wykorzystywać dane z mojego konta do marketingu lub innych celów?

Co do zasady dane z rachunku powinny być używane wyłącznie do celu, w jakim wyraziłeś zgodę – najczęściej chodzi o ocenę zdolności kredytowej i przeciwdziałanie wyłudzeniom. Wykorzystanie tych samych danych do profilowania marketingowego, sprzedaży innym podmiotom czy „budowy oferty partnerów” wymaga dodatkowych, jasno sformułowanych zgód.

Jeżeli w formularzu pojawia się kilka osobnych zgód, nie musisz zaznaczać wszystkich. Technicznie pożyczkodawca nie może uzależniać rozpatrzenia wniosku od przyjęcia zgód marketingowych, ale w praktyce bywa różnie, dlatego dobrze przejrzeć, które zgody są faktycznie obowiązkowe, a które „dodatkowe” i służą głównie rozszerzeniu możliwości wykorzystania Twoich danych.

Bibliografia i źródła

  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 (PSD2). Dziennik Urzędowy Unii Europejskiej (2015) – Podstawy prawne otwartej bankowości, AIS i PIS w UE
  • Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych. Dziennik Ustaw Rzeczypospolitej Polskiej (2011) – Implementacja PSD2 w Polsce, regulacja dostępu do rachunku
  • Rekomendacje dotyczące otwartej bankowości (open banking). Europejski Urząd Nadzoru Bankowego (EBA) – Wytyczne EBA dla AIS/PIS, bezpieczeństwo i zgoda klienta
  • Informacje o dostawcach usług płatniczych i rejestry licencji. Komisja Nadzoru Finansowego – Rejestr AISP/PISP, krajowe instytucje płatnicze, nadzór KNF

Zobacz, co jeszcze dla Ciebie mamy: