Emil Radziszewski – Dyrektor Zarządzający Pionem Nadzoru Bankowego, Krzysztof Dąbrowski – Dyrektor Zarządzający Pionem Bezpieczeństwa, Łukasz Hardt – Doradca Przewodniczącego KNF oraz Dominika Waltz-Komierowska – Zastępca Dyrektora Departamentu Prawnego, wystąpili podczas 17. Kongresu Prawa Bankowego i Technologii Finansowych.

Emil Radziszewski wziął udział w debacie „Bezpieczeństwo, technologia, odpowiedzialność. Strategiczny dialog o przyszłości sektora bankowego w Polsce”. Podczas dyskusji mówił o roli regulacji, wyzwaniach związanych z rozwojem technologii oraz znaczeniu cyberbezpieczeństwa dla sektora bankowego.

Jak podkreślił, „choć regulacje opisują zjawiska rynkowe, nie to jest ich celem. Przede wszystkim mają one przeciwdziałać zidentyfikowanym zagrożeniom pojawiającym się wraz z tymi zjawiskami, np. rozwojem nowych technologii i usług”. Kluczowe znaczenie ma strategia regulacyjna pozwalająca skonkretyzować i uświadomić to, co powinno podlegać regulacji oraz w jaki sposób i w którym momencie należy wdrażać nowe rozwiązania. Jak zaznaczył, planowanie strategiczne powinno poprzedzać proces tworzenia regulacji na każdym poziomie – od inicjatorów legislacji przez regulatorów po organizacje i podmioty opracowujące swoje regulacje wewnętrzne.

Ważnym elementem dyskusji było cyberbezpieczeństwo. Emil Radziszewski podkreślił, że jest to jeden z kluczowych tematów nie tylko dla sektora bankowego, ale dla całej gospodarki. Zwrócił uwagę na konieczność rozróżniania bezpieczeństwa systemów bankowych od bezpieczeństwa klienta. Wskazał, że materializacja ryzyka ICT może utrudnić klientowi dostęp do środków, jednak nie oznacza ich utraty.

Jak zaznaczył, zagrożenia dla bezpieczeństwa środków klienta banku pojawiają się na styku systemów bankowych z klientem, czyli w aplikacji bankowej. Ze względu na metody działania przestępców to użytkownik aplikacji i jego działania stanowią zasadniczy czynnik ryzyka. Dlatego rozwiązania zwiększające bezpieczeństwo klientów powinny koncentrować się przede wszystkim w kanałach komunikacji elektronicznej z klientem, czyli tam, gdzie inicjowane są zdalne usługi bankowe i gdzie najczęściej atakują przestępcy.

Odpowiadając na pytanie czy polskie banki mają szansę być liderem odpowiedzialnej transformacji cyfrowej w Europie, Emil Radziszewski wskazał, że mają one ku temu niezbędne atuty – są nowoczesne, dobrze skapitalizowane, otwarte na innowacje, a jednocześnie wrażliwe na ryzyko. To, czego jednak obecnie polskim bankom brakuje, to zasięgi. Polskie banki i polski rynek bankowy mają charakter lokalny, nie dysponują siecią za pomocą której mogłyby czy to samodzielnie czy nawet wspólnie wytworzyć masę krytyczną pozwalającą aktywnie wyznaczać trendy na poziomie choćby regionalnym. Podsumował, że obecnie polskie banki mają wszelkie predyspozycje, by w obszarze transformacji cyfrowej stać się przynajmniej prekursorem i wzorem do naśladowania, z którego doświadczeń będą mogły korzystać rozwiązania o zasięgu europejskim.

W ramach panelu „Cyfrowe euro — ewolucja czy rewolucja pieniądza w UE?”, głos zabrał Łukasz Hardt.  W swoim wystąpieniu zaznaczył, że ocena nowych form pieniądza, w tym cyfrowego pieniądza banków centralnych (CBDC), musi uwzględniać m.in. to, na ile pieniądz w tych nowych formach redukuje koszt transakcyjny wymiany rynkowej. Wskazał ponadto na rosnące znaczenie stablecoins w globalnym systemie finansowym. W kontekście planów wprowadzenia cyfrowego euro zaznaczył, że jego wpływ na system finansowy strefy euro będzie ograniczony, m.in. ze względu na limity jego posiadania w portfelach prywatnych oraz brak oprocentowania. 

Dominika Walt-Komierowska wzięła udział w panelu „Od dzikiego rynku do regulowanego sektora - wpływ MiCA na polskich użytkowników, dostawców usług krypto i instytucje finansowe”.

Podkreśliła, że Komisja Nadzoru Finansowego jest gotowa do sprawowania nadzoru nad rynkiem kryptoaktywów. KNF sprawuje nadzór nad różnymi sektorami rynku finansowego od 20 lat i ma know-how, jak to robić. Nadzór nad rynkiem kryptoaktywów nie odbiega znacząco od tego, jak wygląda on w innych sektorach. Rozporządzenie MICA jest tak naprawdę połączeniem tego, co zostało uwzględnione w MiFID, PSD2, Rozporządzeniu Prospektowym i dostosowane do realiów kryptoaktywów. 

Proces licencyjny może wydawać się trudny dla nowych podmiotów m.in. ze względu na szczegółową weryfikację, w tym chociażby wiedzy i doświadczenia członków zarządu, czy inne wymogi proceduralne. Wiele podmiotów z rynku kryptoaktywów, widniejących obecnie w rejestrze VASP, może zrezygnować z ubiegania się o licencję również ze względu na wymogi kapitałowe. To wszystko ma jednak na celu ochronę potencjalnych klientów, spełnienie wizji i misji KNF, czyli dbania o stabilny i bezpieczny rynek finansowy.

W swojej wypowiedzi nawiązała także do ryzyk związanych z inwestowaniem na platformach obrotu działających w Polsce transgranicznie. Podkreśliła także, że dla Urzędu KNF bardzo ważna jest edukacja finansowa – aby klient potrafił odróżnić ryzyka związane z depozytem bankowym, z instrumentami finansowymi, jak akcje czy obligacje, i z kryptoaktywami. Inwestorzy powinni być świadomi ryzyk związanych z inwestowaniem i powinni rozumieć w co inwestują.

Krzysztof Dąbrowski wziął udział w panelu „Od DORA do NIS 2 – nowe obowiązki banków w zakresie cyberbezpieczeństwa”, w trakcie którego wskazał, że przy obecnym poziomie cyfryzacji procesów wewnętrznych w podmiotach finansowych oraz digitalizacji relacji z klientem, zapewnienie adekwatnych nakładów na cyberbezpieczeństwo jest koniecznością a nie opcją. Brak należytego zarządzania ryzykiem ICT może spowodować, że organizacja przestanie istnieć np. w wyniku skutecznego ataku ransomware, który w najgorszym scenariuszu sparaliżuje operacyjnie organizację oraz zniszczy zaufanie klientów. „Cyberbezpieczeństwo to cykliczny proces, to nie jest jednorazowa kampania” – podkreślił. 

Najlepszym dowodem na wysoki poziom cyfrowej odporności polskich podmiotów finansowych jest przekierowanie uwagi cyberprzestępców na klienta. To właśnie klienta biorą na celownik przestępcy motywowani chęcią zarobku, dlatego tak ważna jest edukacja w zakresie zasad cyberhigieny, a także zgłaszanie podejrzanych wiadomości czy reklam co pomaga instytucjom krajowego systemu cyberbezpieczeństwa w zwalczaniu takich praktyk. 

Wskazał także, że zgłoszenia wpływające w 2025 roku do CSIRT KNF pokazują, że większość poważnych incydentów cyberbezpieczeństwa, które dotykają podmioty finansowe, ma swoje pierwotne źródło u ich dostawców. Taki obraz rzeczywistości potwierdza adekwatność wyraźnego nacisku rozporządzenia DORA i jej aktów wykonawczych na obszar łańcucha dostaw.

Obecnie, w związku z sytuacją geopolityczną, należy mieć świadomość, że nie wszyscy cyberprzestępcy kierują się motywami ekonomicznymi. Część z nich jest emanacją wrogich państw, które starają się wykorzystać cyberprzestrzeń do destabilizacji, podkopania zaufania społeczeństwa do rynku finansowego a w rezultacie do państwa. Działania tych grup to m.in. nasilone ataki DDoS, których celem jest przerwanie dostępu do aplikacji bankowych, również w celu utrudnienia możliwości korzystania z wielu usług publicznych.

Firmy powinny inwestować przede wszystkim w kompetencje zespołów, rozważnie podchodzić do nowych narzędzi wykorzystujących AI kierując się nie tylko ich funkcjonalnościami, ale również mając na uwadze zrozumienie ich działania oraz podatności.