Bank Cię ocenia. Od pierwszego dnia. I ma do tego pełne prawo.

Bank Cię ocenia. Od pierwszego dnia. I ma do tego pełne prawo.

Zanim dostaniesz kartę, zanim zlecisz pierwszy przelew, zanim w ogóle zostaniesz klientem – bank już wie o Tobie więcej niż myślisz. I buduje profil który będzie Ci towarzyszył przez cały czas trwania relacji.


Jest pytanie które padło na mojej ostatniej konferencji i zostało mi w głowie.

"Czy bank prowadzi scoring bezpieczeństwa klientów? Czy jeśli raz dałem się nabrać na phishing to system wrzuca mnie do grupy podwyższonego ryzyka i blokuje mi potem legalne transakcje?"

Pytanie brzmiało jak teoria spiskowa. Ale nie jest.

Jest tylko niekompletne.

Bo bank nie zaczyna Cię oceniać gdy dasz się nabrać na phishing. Zaczyna Cię oceniać zanim w ogóle otworzysz u niego konto.


Skąd bank wie kim jesteś zanim zostaniesz klientem

Proces weryfikacji klienta zaczyna się od KYC – Know Your Customer. To obowiązek prawny wynikający z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Bank musi wiedzieć kim jesteś zanim nawiąże z Tobą relację.

Ale KYC to tylko wierzchołek góry lodowej.

Zanim dostaniesz konto bank sprawdza Cię w BIK i BIG – historia kredytowa, zaległości, liczba zapytań kredytowych. Sprawdza bazy dłużników. Weryfikuje czy nie figurujesz na listach sankcyjnych – krajowych i międzynarodowych. Sprawdza czy Twój dowód osobisty nie jest zastrzeżony.

To wszystko dzieje się automatycznie w ciągu sekund gdy wypełniasz wniosek online.

I to wszystko jest legalne. Podstawa prawna to wykonanie umowy z art. 6 ust. 1 lit. b RODO oraz wypełnienie obowiązku prawnego z art. 6 ust. 1 lit. c. Bank nie pyta Cię o zgodę na te sprawdzenia bo nie musi – ma obowiązek prawny który to uzasadnia.


Scoring kredytowy to tylko jeden z wymiarów

Większość ludzi słyszała o scoringu kredytowym. Liczba która mówi bankowi czy jesteś wiarygodnym kredytobiorcą.

Ale banki prowadzą znacznie więcej rodzajów scoringu jednocześnie.

Scoring behawioralny analizuje jak korzystasz z konta. Jak często logujesz się do aplikacji. O której godzinie zlecasz przelewy. Z jakich urządzeń. Jakie są typowe kwoty Twoich transakcji. Gdzie płacisz kartą. Jakie kategorie wydatków dominują.

Ten scoring nie ocenia czy spłacisz kredyt. Ocenia czy Twoje zachowanie jest spójne z Twoim profilem. Każde odchylenie od wzorca jest sygnałem – nie dowodem, ale sygnałem – który może uruchomić dodatkową weryfikację.

Scoring antyfraudowy działa w czasie rzeczywistym przy każdej transakcji. Każde zlecenie przelewu, każde płatności kartą jest oceniane przez algorytm który porównuje tę konkretną transakcję z Twoim historycznym wzorcem zachowań i z wzorcami znanych fraudów.

To dlatego bank czasem blokuje płatność za hotel w kraju do którego właśnie poleciałeś. Twój scoring antyfraudowy nie wiedział że wyjeżdżasz. Transakcja odbiegła od wzorca.


Jak to działa technicznie

Systemy antyfraudowe banków to w praktyce modele uczenia maszynowego które trenowane są na miliardach transakcji.

Model "wie" że przelew o 3:47 w nocy na nowe konto którego nigdy wcześniej nie było w historii odbiorców na kwotę która jest wielokrotnością typowych przelewów tego klienta – jest statystycznie podobny do fraudów które system widział wcześniej.

Nie ma człowieka który to ocenia w czasie rzeczywistym. Jest algorytm który w ułamku sekundy przypisuje transakcji ocenę ryzyka. Poniżej progu – transakcja przechodzi. Powyżej progu – blokada, dodatkowa weryfikacja SMS, telefon z banku.

Próg jest dynamiczny i różny dla różnych klientów. Klient który przez pięć lat robi przelewy na podobne kwoty do podobnych odbiorców ma inny próg niż klient który właśnie otworzył konto i od razu zleca duże przelewy na zagraniczne rachunki.


Czy bank naprawdę "oznacza" ofiary fraudu

Tu wracamy do pytania z konferencji.

Tak – ale nie w sposób który intuicyjnie przychodzi do głowy.

Jeśli byłeś ofiarą fraudu to informacja o tym incydencie jest w systemie banku. Nie jako stygmat. Jako dane historyczne które wpływają na kalibrację modelu dla Twojego profilu.

Praktyczny skutek może być taki że system będzie bardziej czuły na odchylenia od wzorca przy Twoich transakcjach. Że blokady będą się zdarzać przy niższym progu ryzyka niż przed incydentem.

Czy to jest dyskryminacja ofiary? Z perspektywy banku – nie. To jest zarządzanie ryzykiem oparte na danych historycznych. Osoba która raz dała się nabrać na atak socjotechniczny jest statystycznie bardziej narażona na kolejny.

Z perspektywy klienta który przez rok dostaje blokady przy legalnych transakcjach – może to być frustrujące.


Podstawa prawna – czy bank może to robić bez Twojej zgody

Może. I to na kilku podstawach jednocześnie.

Wykonanie umowy z art. 6 ust. 1 lit. b RODO. Umowa rachunku bankowego zobowiązuje bank do bezpiecznego prowadzenia konta. Monitoring transakcji jest niezbędny do realizacji tego zobowiązania. Nie potrzebujesz zgody klienta na coś co jest warunkiem koniecznym wykonania umowy.

Uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO. Bank ma uzasadniony interes w wykrywaniu fraudów – chroni siebie przed stratami finansowymi i chroni innych klientów przed finansowaniem przestępczości. Test równowagi między interesem banku a prawami klienta wypada na korzyść banku gdy chodzi o antyfraud.

Obowiązek prawny z art. 6 ust. 1 lit. c RODO. Ustawa o przeciwdziałaniu praniu pieniędzy nakłada na banki obowiązek monitorowania transakcji i raportowania podejrzanych operacji do GIIF. To nie jest wybór banku – to jest wymóg regulacyjny.

Zgoda klienta nie jest potrzebna do żadnej z tych operacji. I nie byłaby wystarczającą podstawą nawet gdyby była – bo bank ma obowiązek monitorować transakcje niezależnie od tego czy klient się zgadza.


Co bank może a czego nie może

Granice nie są jednak nieograniczone.

Bank może profilować Twoje zachowanie transakcyjne w celu wykrywania fraudów i oceny ryzyka kredytowego. Może korzystać z zewnętrznych baz danych do weryfikacji Twojej tożsamości i historii kredytowej. Może blokować transakcje które system ocenia jako ryzykowne. Może przekazywać informacje o podejrzanych transakcjach do GIIF bez Twojej wiedzy i zgody – bo tak nakazuje prawo.

Bank nie może profilować Cię w celach marketingowych bez Twojej zgody. Nie może sprzedawać Twoich danych transakcyjnych podmiotom trzecim w celach komercyjnych. Nie może stosować w pełni zautomatyzowanych decyzji które istotnie wpływają na Twoje prawa bez zapewnienia Ci prawa do interwencji człowieka – tu wchodzi art. 22 RODO.

Ten ostatni punkt jest szczególnie ważny w kontekście decyzji kredytowych. Jeśli bank odmawia Ci kredytu wyłącznie na podstawie algorytmu scoring bez możliwości odwołania do człowieka – to jest naruszenie art. 22 RODO. Masz prawo żądać żeby człowiek zweryfikował decyzję algorytmu.


Co możesz zrobić jako klient

Masz prawo wiedzieć że takie przetwarzanie ma miejsce. Obowiązek informacyjny z art. 13 RODO wymaga żeby bank poinformował Cię o celach i podstawach prawnych przetwarzania danych – w tym o profilowaniu. Znajdziesz to w polityce prywatności banku. Zazwyczaj w akapicie który nikt nie czyta.

Masz prawo dostępu do swoich danych. Możesz złożyć wniosek o dostęp do danych które bank przetwarza na Twój temat. Bank ma miesiąc na odpowiedź. Nie dostaniesz wglądu do samego modelu scoringowego – to jest tajemnica handlowa – ale dostaniesz informację jakie kategorie danych są przetwarzane i w jakich celach.

Masz prawo do sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie. Możesz złożyć sprzeciw wobec profilowania marketingowego. Wobec profilowania antyfraudowego i kredytowego – nie, bo bank ma obowiązek prawny który to uzasadnia.

Masz prawo do wyjaśnienia decyzji algorytmicznej. Jeśli bank odmówił Ci produktu na podstawie scoringu masz prawo wiedzieć jakie czynniki miały na to wpływ i poprosić o weryfikację przez człowieka.


Jedna rzecz której większość klientów nie wie

Jest mechanizm który banki stosują i który jest mało znany poza środowiskiem compliance.

Współdzielenie informacji o fraudach między bankami.

Banki w Polsce uczestniczą w systemach wymiany informacji o podejrzanych transakcjach i znanych metodach ataków. Jeśli Twój numer konta był użyty jako konto przejściowe w fraudzie – ta informacja może trafić do systemu który widzą inne banki.

Nie jako "ten klient jest przestępcą" – ale jako "ten rachunek był powiązany z podejrzaną transakcją." Subtelna różnica która w praktyce może wpłynąć na to jak inne instytucje oceniają ryzyko związane z Twoim rachunkiem.


Podsumowanie dla tych którzy chcą wiedzieć ile bank o nich wie

Dużo. I legalnie.

Scoring behawioralny, antyfraudowy, kredytowy – wszystkie działają równolegle od pierwszego dnia relacji z bankiem. Podstawy prawne są solidne: wykonanie umowy, uzasadniony interes, obowiązek prawny.

To nie jest spisek. To jest zarządzanie ryzykiem które chroni Cię przed fraudem – nawet jeśli czasem przy okazji blokuje legalną transakcję.

Jedyne co możesz zrobić to być świadomym że ten system istnieje i korzystać z praw które RODO Ci daje – prawa dostępu, prawa do wyjaśnienia decyzji algorytmicznej i prawa do interwencji człowieka gdy algorytm podejmuje decyzję która istotnie wpływa na Twoje interesy.

Reszta dzieje się w tle. Przez całą długość Waszej relacji.

Czy mogę sprawdzić jaki mam scoring w swoim banku?

Możesz złożyć wniosek o dostęp do danych na podstawie art. 15 RODO – bank ma miesiąc na odpowiedź. Dostaniesz informację jakie kategorie danych przetwarza i w jakich celach. Nie dostaniesz wglądu do samego modelu scoringowego ani konkretnej liczby – to jest tajemnica handlowa chroniona przepisami o działalności bankowej. Ale dostaniesz potwierdzenie że profilowanie ma miejsce i na jakiej podstawie. Jeśli bank odmówił Ci produktu na podstawie scoringu masz prawo do wyjaśnienia jakie czynniki miały wpływ na decyzję – i to już jest coś konkretnego.


Bank zablokował mi legalną transakcję przez system antyfraud. Co robię?

Zadzwoń na infolinię i wyjaśnij transakcję. W większości przypadków wystarczy potwierdzenie że to Ty zlecasz płatność i że jest ona zamierzona. Systemy antyfraudowe uczą się na Twoim zachowaniu – im bardziej Twoje transakcje są przewidywalne tym rzadziej będą blokowane. Jeśli blokady zdarzają się regularnie przy legalnych transakcjach masz prawo złożyć reklamację i poprosić o weryfikację przez człowieka a nie tylko przez algorytm.


Czy bank wie o transakcjach które robię w innych bankach?

Bezpośrednio – nie. Banki nie mają dostępu do historii transakcyjnej klientów w konkurencyjnych instytucjach. Pośrednio – częściowo. Przelewy przychodzące i wychodzące na rachunki w innych bankach są widoczne. BIK zawiera informacje o zobowiązaniach kredytowych we wszystkich bankach. Systemy wymiany informacji o fraudach pozwalają bankom widzieć czy rachunek był powiązany z podejrzaną transakcją w innej instytucji. Pełnego obrazu Twojej aktywności finansowej w całym sektorze żaden pojedynczy bank nie ma – ale ma znacznie więcej niż większość klientów przypuszcza.


Czy scoring bankowy wpływa na moją zdolność kredytową w innych bankach?

Scoring wewnętrzny każdego banku jest jego własnością i nie jest współdzielony z konkurencją. Ale BIK jest wspólny – i to co tam widnieje wpływa na ocenę w każdym banku gdzie złożysz wniosek. Dużo zapytań kredytowych w krótkim czasie obniża scoring BIK bo sygnalizuje że intensywnie szukasz finansowania. Zaległości w spłatach zostają w BIK przez lata. Pozytywna historia kredytowa – regularne spłaty, brak zaległości – buduje scoring który działa na Twoją korzyść w każdym banku.


Mój rachunek był użyty przez oszusta bez mojej wiedzy. Czy teraz jestem oznaczony w systemach bankowych?

To jest sytuacja której banki są świadome i która ma określone procedury. Jeśli rachunek był użyty jako konto przejściowe w fraudzie bez Twojej wiedzy i zgody – po wyjaśnieniu sprawy i udokumentowaniu że byłeś ofiarą a nie sprawcą – bank powinien to odnotować w systemie. Praktyka różni się między instytucjami. Warto złożyć pisemne wyjaśnienie do banku i zachować potwierdzenie zgłoszenia. Jeśli mimo wyjaśnień masz problemy z dostępem do usług bankowych masz prawo złożyć skargę do Rzecznika Finansowego.


Czy algorytm bankowy może podjąć decyzję kredytową bez udziału człowieka?

Może wspomagać decyzję ale nie może jej zastępować gdy ta decyzja istotnie wpływa na Twoje prawa – tak mówi art. 22 RODO. W praktyce większość decyzji kredytowych w bankach detalicznych jest wspomagana przez algorytm ale formalnie zatwierdza je człowiek. Problem polega na tym że ten "człowiek" często klika zatwierdź bez realnej analizy – co jest fikcją Human in the Loop o której pisałem przy okazji AI Act. Jeśli uważasz że decyzja kredytowa była niesprawiedliwa masz prawo złożyć wniosek o jej weryfikację przez człowieka który faktycznie przejrzy Twój przypadek. Bank ma obowiązek zapewnić Ci tę możliwość.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.