Banki w Polsce z dostępem do zdjęć z Rejestru Dowodów Osobistych — co to znaczy dla bezpieczeństwa, prywatności i technologii weryfikacji tożsamości

  • Home
  • Szczegóły artykułu
8 września 2025

Wprowadzenie — co się stało (na skróty)

Rząd i parlament wprowadziły zmiany legislacyjne, które otwierają dostęp do fotografii z Rejestru Dowodów Osobistych (RDO) dla wybranych podmiotów prywatnych — w tym banków i innych instytucji finansowych. Zmiana ma umożliwić szybszą i bardziej pewną weryfikację, czy osoba okazywana przy okienku lub podczas wideoweryfikacji jest właścicielem dokumentu. Ustawa została opublikowana i podpisana; dostęp do zdjęć ma być realizowany w określonych warunkach, z nadzorem ministra cyfryzacji oraz z ograniczeniem możliwości przechowywania zdjęć przez podmioty weryfikujące. Gov.plCzasopismo Lege ArtisBankier.pl

Najważniejsze fakty (skondensowane):

  • Prawo umożliwia udostępnianie zdjęcia z RDO bankom i innym określonym podmiotom. Gov.pl
  • Dostęp ma być udzielany w sposób kontrolowany (m.in. za zgodą ministra cyfryzacji) i z zakazem przechowywania zdjęć przez podmioty weryfikujące. Bankier.plGov.pl
  • Zmiana ma wejść w życie z harmonogramem wdrożenia (różne komunikaty wskazują terminy wdrożenia/udostępnienia usług; w niektórych materiałach pojawia się data operacyjnego udostępnienia usług jako np. 30 czerwca 2026 r.). cyberdefence24.pl

Tło prawne — co dokładnie zmieniono

Nowelizacja (część pakietu deregulacyjnego i „mniej formalności, więcej ochrony” komunikowanego przez Ministerstwo Cyfryzacji) rozszerza katalog podmiotów, które w określonych warunkach mogą uzyskać dostęp do danych przechowywanych w rejestrze państwowym — w tym zdjęcia posiadacza dowodu. Ustawodawca doprecyzował, kto i w jakim celu może wystąpić o zdjęcie, oraz wprowadził ograniczenia (np. zakaz trwałego przechowywania fotografii, wymóg zgody ministra lub innych mechanizmów autoryzacji dostępu). Jednocześnie zmiany są przedstawiane przez rząd jako uzupełnienie mechanizmów przeciwdziałania wyłudzeniom tożsamości (m.in. uzupełnienie usługi zastrzegania numeru PESEL). Gov.plCzasopismo Lege Artis

Dokumenty i źródła aktów: w komentarzach prawnych i portalach prawniczych widnieje odniesienie do publikacji w Dzienniku Ustaw (Dz.U. 2025 poz. 1006) oraz do roboczych druków sejmowych, które szczegółowo określają katalog podmiotów i warunki dostępu. orka.sejm.gov.plCzasopismo Lege Artis

Jak to będzie działać — model techniczny (praktyczny scenariusz)

Ustawodawca i komunikaty rządowe wskazują, że udostępnianie zdjęcia będzie realizowane w sposób kontrolowany — praktycznie: za pośrednictwem API rejestru lub usługi pośredniczącej, z kilkoma kluczowymi właściwościami:

  1. Dwustopniowy proces weryfikacji (opisywany w komunikatach):
    • najpierw podmiot (np. bank) weryfikuje dane z dowodu (numer, seria, imię/nazwisko, data ważności itp.) — zapytanie „czy dane się zgadzają?”;
    • jeśli weryfikacja strukturalna/identyfikacyjna przejdzie poprawnie, dopiero wtedy system umożliwia pobranie (lub zobaczenie) fotografii z RDO. Takie dwustopniowe podejście ma zmniejszyć ryzyko nieuzasadnionego odsłonięcia zdjęcia. niebezpiecznik.plGov.pl
  2. Mechanizm dostępu technicznego:
    • najpewniej REST/JSON API udostępniane przez operatora rejestru (z obowiązkowymi mechanizmami uwierzytelniania: mTLS / certyfikaty klienta / OAuth2 + JWT z krótkim TTL),
    • ograniczenia po stronie API: logowanie żądań, rate limiting, monitoring anomalii, wsparcie dla audytu i inspekcji (niezbędne dla nadzoru),
    • transfer obrazu w formie strumienia/tymczasowego tokenu (bez możliwości trwałego zapisania przez odbiorcę) lub jedynie prezentacja „do wglądu” (embedded viewer) z blokadą pobrania. (Szczegóły techniczne będą zależeć od finalnej implementacji, ale komunikaty rządowe akcentują brak prawa do przechowywania zdjęć przez weryfikującego). Gov.plBankier.pl
  3. Kontrola dostępu decyzyjna: dostęp do zdjęć ma być dostępny wyłącznie dla ściśle określonych kategorii podmiotów (m.in. banki, SKOK-i, operatorzy płatniczy, dostawcy usług zaufania itp.) i realizowany za zgodą/wnioskiem opartej o procedury ministra cyfryzacji / centralnego operatora. Czasopismo Lege ArtisFintek

Uwaga techniczna: z punktu widzenia integratora bankowego oznacza to konieczność przygotowania klientów API obsługujących mTLS i krótkotrwałe tokeny oraz architektury, które nigdy nie zapisują otrzymanego obrazu w formie surowego pliku, a jedynie prezentują go w kontrolowanym widoku.

Zalety proponowanego rozwiązania

  1. Wyższa pewność weryfikacji tożsamości — porównanie zdjęcia z dokumentu z oficjalną fotografią z RDO zmniejsza ryzyko użycia skradzionych/wydrukowanych fałszywych dokumentów (situations where real document but wrong person). To uzupełnia mechanizmy zastrzegania PESEL. Gov.pl
  2. Szybsze procesy onboardingowe i mniejsza liczba operacji manualnych — weryfikacja w czasie rzeczywistym może skrócić czas obsługi klienta przy zakładaniu konta czy weryfikacji transakcji. Fintek
  3. Standaryzacja procesu — centralne API i jednolite zasady (brak lokalnego przechowywania zdjęć) mogą ułatwić audyt i jednolitą politykę bezpieczeństwa. Czasopismo Lege Artis

Zalecenia techniczne — dobre praktyki dla banków i integratorów

Architektura dostępu

  • mTLS + certyfikaty klienta jako obowiązkowy mechanizm uwierzytelnienia (client certificates wydawane i rotowane centralnie).
  • Krótkotrwałe tokeny (JWT) do autoryzacji pojedynczych sesji weryfikacyjnych, z bardzo krótkim TTL i jednokrotnego użytku (nonce).
  • API Gateway — rate limiting, WAF, DPI (deep packet inspection) na warstwie HTTP(S) i kontrole anomalii.
  • Viewer zamiast pobierania — zamiast dawać bankowi surowy plik z obrazem, rozważyć „viewer” (strona/iframe z hostowaną prezentacją obrazu), gdzie pobranie pliku jest zablokowane (technicznie i prawnie).

Zasady przetwarzania danych

  • Brak trwałego zapisu: implementacje po stronie banku muszą technicznie uniemożliwiać trwałe zapisanie obrazu (np. blokowanie zapisu do dysku, zakaz logowania raw image w SIEM).
  • Audit i nierozstrzygalne logi: wszystkie żądania i odpowiedzi muszą być auditowane (kto wystąpił, kiedy, z jakiego powodu), ale logi nie mogą zawierać treści zdjęć.
  • DPIA i zgoda DPO: przed aktywacją usługi przeprowadzić DPIA, z udziałem Inspektora Ochrony Danych i prawników.
  • Kontrola dostępu: separacja ról w banku (np. tylko wybrany personel back-office może inicjować weryfikację; logowanie operacji).
  • Monitoring anomalii i alertowanie: wykrywanie nietypowych wzorców dostępu (np. dużej liczby żądań z jednego konta API).
  • Testy bezpieczeństwa i audyty: regularne pentesty i audyty 3rd-party, w tym testy na wyciekze kluczy/credential stuffing.

Jeśli planujecie automatyczny matching (face match)

  • stosować model hybrydowy: najpierw automatyczny scoring (z sensownymi progami), a przy wątpliwościach — ręczna weryfikacja.
  • monitorować metryki jakości (FAR, FRR) i dopasować próg zgodnie z ryzykiem operacyjnym.
  • przechowywać wyłącznie metadane dopasowania (np. score, timestamp, ID żądania) — nie obrazów.

Zalecenia dla operatora RDO / administracji publicznej

  • Ścisła polityka nadawania certyfikatów i provisioningu — tylko uprawnione instytucje, z mechanizmem szybkiego odwołania (CRL/OCSP).
  • Mechanizmy techniczne zapobiegające pobraniu/retencji obrazu — tokeny jednokrotnego użycia, viewer z Watermarkingiem na prezentacji (dynamiczne, widoczne znaki, uniemożliwiające replay), oraz techniczne blokady zapisu.
  • Transparentność i raportowanie — publikowanie rejestru uprawnień i statystyk dostępu (bez ujawniania danych osobowych) i audytów zabezpieczeń.
  • Wymóg DPIA dla odbiorców i obowiązek wykazania zgodności z RODO przed przyznaniem dostępu.
  • Bezpieczeństwo łańcucha dostaw — kontrola zabezpieczeń po stronie integratorów (banków), w tym wymóg pentestów i certyfikatów bezpieczeństwa.

Co to oznacza dla obywatela / klienta banku?

  • Przy wizycie w oddziale lub przy wideoweryfikacji bank może poprosić o sprawdzenie zdjęcia w RDO — efekt: łatwiejsza ochrona przed wyłudzeniem tożsamości. Gov.pl
  • Prawo ma zakazywać trwałego przechowywania zdjęcia przez bank; jednak praktyczna ochrona zależy od tego, jak bank wdroży wymagania i jak państwo wyegzekwuje zakazy. Bankier.pl
  • Warto pytać bank o politykę prywatności: jak długo przechowywane są logi weryfikacji, kto ma dostęp do wyników, czy działa automatyczne dopasowanie twarzy.

Potencjalne luki i scenariusze nadużyć — na co zwracać uwagę

  • Przechwycenie kluczy mTLS / tokenów: skompromitowane poświadczenia umożliwią masowy pobyt obrazów — operator RDO i banki muszą mieć szybkie procedury rotacji i revoke.
  • Zrzuty ekranu / social engineering: zakaz przechowywania nie eliminuje ryzyka, że pracownik zrobi zrzut ekranu; procesy HR/kary i techniczne blokowanie (np. screen-watermarking) są wymagane.
  • Rozszerzenie katalogu uprawnień: z czasem lista podmiotów może zostać rozszerzona — warto dbać o mechanizmy oceny wpływu prywatności dla każdego rozszerzenia.

Reasumując — bilans korzyści i zagrożeń

  • Korzyści: poprawa skuteczności weryfikacji tożsamości, szybsze procesy KYC, zmniejszenie wyłudzeń tożsamości (cel publiczny). Gov.pl
  • Zagrożenia: zwiększona powierzchnia ataku, ryzyko nadużyć wewnętrznych i problemów z ochroną prywatności, zależność od jakości wdrożeń po stronie sektora prywatnego. Czasopismo Lege ArtisBankier.pl

Aby uzyskać realne korzyści z tej zmiany, potrzebne jest ścisłe techniczne i procesowe wdrożenie: mTLS, viewer zamiast pobierania, DPIA, audyty, audit trails bez obrazów w logach, zabezpieczenia anty-insider oraz mechanizmy szybkiego odwołania dostępu.

Źródła i najważniejsze materiały (wybrane)

  • Oficjalny komunikat Ministerstwa Cyfryzacji: „Mniej formalności — ważna ustawa przyjęta” (opis koncepcji i celu udostępnienia zdjęć). Gov.pl
  • Analizy prawne / Dziennik Ustaw: opis nowelizacji i wskazanie opublikowanego aktu (Dz.U. 2025 poz. 1006). Czasopismo Lege Artis
  • Materiały prasowe: Bankier.pl / Rzeczpospolita / TVN24 — relacje o treści zmian, podpisie prezydenta i praktycznych ograniczeniach (zakaz przechowywania zdjęć, zgoda ministra). Bankier.plRzeczpospolitaTVN24
  • Komentarze techniczne / branżowe: Niebezpiecznik, Fintek i portale IT — opisy dwustopniowego procesu weryfikacji, terminy wdrożeń i praktyczne implikacje dla banków. niebezpiecznik.plFintek
  • Informacje o harmonogramie wdrożenia (przykładowa data operacyjna wskazywana w niektórych analizach): CyberDefence24 (wzmianka o 30 czerwca 2026 r. jako terminie udostępnienia pewnych danych). cyberdefence24.pl

Checklist — co powinni wdrożyć architekci i zespoły bezpieczeństwa w banku (szybko)

  1. Przeprowadzić DPIA i uzyskać akceptację DPO.
  2. Wymusić mTLS i rotację certyfikatów z automatycznym revoke.
  3. Implementować viewer zamiast pobierania obrazów.
  4. Nie logować obrazów — logować tylko metadane i wynik weryfikacji.
  5. Zaimplementować monitoring anomalii i limity zapytań.
  6. Testy bezpieczeństwa (co najmniej kwartalnie) i audyty 3rd-party.

Podsumowanie

Umożliwienie bankom dostępu do zdjęć z Rejestru Dowodów Osobistych jest istotną zmianą — ma realny potencjał poprawy bezpieczeństwa procesów KYC i zmniejszenia liczby wyłudzeń tożsamości. Efekt jednak w dużym stopniu zależy od jakości technicznych i organizacyjnych wdrożeń po stronie zarówno operatora rejestru, jak i banków. Kluczowe warunki sukcesu to mechanizmy techniczne uniemożliwiające utrwalanie zdjęć, silne uwierzytelnianie (mTLS), audytowalność, DPIA oraz ścisły nadzór nad przyznawaniem i odwoływaniem uprawnień.

Poprzedni Następny

1 Komentarz

Anna
8 września, 2025

Podobno przechowywanie zdjęć z RDO zostało zakwestionowane przez organa UE i polskie prawo musi być zmienione. Cała ta szopka z udostępnianiem zdjęć bankom nie będzie miała sensu bo nie będzie zdjęć w RDO 🙂

Reply

Skomentuj

Dodając komentarz, wyrażasz zgodę na przetwarzanie danych osobowych (nazwa, e-mail, treść komentarza) w celu publikacji komentarza. Szczegóły znajdziesz w naszej Polityce prywatności.