Europejski Portfel Tożsamości Cyfrowej zmieni sposób pozyskiwania danych klientów

24 grudnia 2026 r. zadebiutuje najważniejszy projekt cyfrowy UE. Przedsiębiorcy, banki i inne instytucje muszą stopniowo przygotowywać się do jego obsługi. Ma on ograniczyć ilość przetwarzanych informacji, zapewnić ich wiarygodność i usprawnić proces zawierania umów. Wymusi jednak kosztowne zmiany w systemach informatycznych oraz procedurach obsługi.

Europejski Portfel Tożsamości Cyfrowej (European Digital Identity Wallet; dalej: EDIW) to nie tylko kolejna aplikacja mobilna, lecz także budowa wspólnej infrastruktury identyfikacji elektronicznej, która ma funkcjonować we wszystkich państwach członkowskich.

Podstawę tych zmian stanowi unijne rozporządzenie tzw. eIDAS 2.0, które istotnie zmienia sposób, w jaki instytucje w określonych sektorach, takich jak transport, energia czy bankowość, a także duże platformy i wyszukiwarki internetowe będą identyfikować klientów i weryfikować ich dane.

Choć eIDAS 2.0 obowiązuje od maja 2024 r., jego praktyczne, „narzędziowe” zastosowanie ujawni się w 2027 r. Istotne momenty na osi czasu to:

• 24 grudnia 2026 r. – udostępnienie portfela tożsamości cyfrowej, wzajemna uznawalność w każdym kraju członkowskim, a także możliwość korzystania z nieodpłatnego kwalifikowanego podpisu elektronicz nego do celów prywatnych (podpis ten wywoła skutki prawne równoważne podpisowi własnoręcznemu),
• 24 grudnia 2027 r. – obowiązek akceptacji portfela tożsamości cyfrowej jako jednej z metod silnego uwierzytelniania użytkownika (SCA, np. przy logowaniu do rachunku lub zlecaniu transakcji) oraz integracja z nowymi regulacjami AML (pakietem AML, w tym rozporządzeniem AMLR 2024/1624, które zacznie obowiązywać od 10 lipca 2027 r.).

Standard uwierzytelniania

Każde państwo członkowskie UE musi do 24 grudnia 2026 r. wdrożyć EDIW. Od tego momentu rozwiązanie to będzie ewoluować w kierunku standardu uwierzytelnienia nie tylko względem administracji publicznej, lecz sukcesywnie także względem sektora prywatnego. W tym kontekście EDIW będzie aplikacją umożliwiającą m.in. przechowywanie i prezentowanie cyfrowych potwierdzeń tożsamości oraz prawa jazdy, danych zawodowych czy dokumentów potwierdzających określone uprawnienia. Użytkownik będzie sam decydował, czy chce użyć EDIW, a także jakie informacje udostępnia i komu.

Uwaga! Dla przedsiębiorców szczególnie istotne jest to, że portfel cyfrowy może ograniczyć konieczność pozyskiwania kopii dokumentów tożsamości oraz uprościć procesy zawierania umów i weryfikacji klientów.

AML i eIDAS zaczną działać wspólnie

Rozporządzenie AMLR, tworzące wspólne ramy prawne przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w Unii Europejskiej, nie odwołuje się wprost ani do rozporządzenia eIDAS, ani do EDIW. Niemniej jednak dopuszcza stosowanie elektronicznych mechanizmów weryfikacji tożsamości, a projektowane przez AMLA (Anti-Money Laundering Authority – nowy unijny urząd ds. przeciwdziałania praniu pieniędzy) standardy techniczne określają wymagania dotyczące zdalnej weryfikacji klientów.

Zakładają one, że instytucje (m.in. banki) będą zobowiązane do korzystania ze środków identyfikacji elektronicznej jako rozwiązań zapewniających odpowiedni poziom pewności identyfikacji (tj. znaczny lub, jak EDIW, wysoki). Oznacza to, że EDIW w określonych sytuacjach będzie musiał być uwzględniany jako pełnoprawne narzędzie identyfikacji w procesach onboardingu klienta oraz honorowany w innych przypadkach wymagających stosowania środków bezpieczeństwa finansowego.

Znaczenie tych rozwiązań wykracza jednak poza samą wygodę użytkowników. W perspektywie nowych wymogów AML cyfrowa tożsamość staje się elementem systemu bezpieczeństwa finansowego.

Ostrzeżenie UODO

Istotnym sygnałem dla rynku w kontekście nadchodzących zmian była decyzja prezesa Urzędu Ochrony Danych Osobowych wobec ING Banku Śląskiego z 2025 r. (DKN.5112.6.2020). Organ uznał, że bank nie miał podstaw do masowego skanowania dokumentów tożsamości klientów i potencjalnych klientów bez przeprowadzenia indywidualnej oceny ryzyka oraz przy braku wykazania konieczności takiego działania w ramach obowiązków AML. Według prezesa UODO tego rodzaju praktyki w wielu przypadkach naruszały zasadę minimalizacji danych oraz wymogi proporcjonalności.

Wspomniana decyzja organu wskazuje, że nawet w reżimie AML automatyzm w stosowaniu metod identyfikacji może prowadzić do naruszeń ochrony danych osobowych.

Pośrednio naprzeciw wyzwaniom związanym z nadmiarowym przetwarzaniem danych wychodzi eIDAS 2.0. EDIW umożliwia bowiem użytkownikowi użycie selektywnie dobranych, elektronicznych poświadczeń atrybutów, co oznacza przekazywanie odbiorcom – w tym instytucjom finansowym – jedynie wybranego zestawu danych, niezbędnych do realizacji konkretnego celu.

Nieuchronny efekt synergii

W trakcie prac legislacyjnych wiele kontrowersji budził projektowany art. 14d ustawy o zmianie ustawy o usługach zaufania i identyfikacji elektronicznej. Początkowo pojawiały się wątpliwości, czy obowiązek akceptacji danych pochodzących z EDIW będzie dotyczył także sytuacji, w których klient i przedstawiciel instytucji spotykają się osobiście, a instytucja ta ma prawny obowiązek potwierdzenia tożsamości lub obywatelstwa klienta. Chodziło o obowiązek akceptacji danych z EDIW stacjonarnie, np. przy stanowisku w banku. Ostatecznie przyjęto rozwiązanie, zgodnie z którym obowiązek ten zostanie utrzymany również dla procesów stacjonarnych, choć jego wejście w życie odroczono do 24 grudnia 2027 r. Oznacza to, że bank będzie musiał pozwolić klientowi np. otwierającemu rachunek w oddziale banku na potwierdzenie tożsamości przy użyciu portfela tożsamości cyfrowej na równi z okazaniem paszportu czy dowodu osobistego.

Znaczenie tego rozwiązania wykracza jednak poza działalność samych banków. Może ono objąć również procesy obsługi klienta realizowane przez podmioty współpracujące z instytucjami finansowymi, np. sklepy z AGD czy inne oferujące klientowi sprzedaż ratalną.

Wagę stosowania środków identyfikacji elektronicznej pośrednio potwierdza także stanowisko Urzędu Komisji Nadzoru Finansowego z 19 marca 2026 r. dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Choć dokument w znacznej mierze porządkuje zagadnienia wcześniej omawiane w komunikatach GIIF, stanowiskach KNF (w tym implementujących wytyczne EBA), zawiera także wskazówki dotyczące przechowywania informacji uzyskanych w ramach stosowania środków bezpieczeństwa finansowego, w tym uzyskiwanych przy wykorzystaniu środków identyfikacji elektronicznej oraz usług zaufania umożliwiających identyfikację elektroniczną w rozumieniu eIDAS (1.0).

To nie opcja

Wśród przedstawicieli instytucji obowiązanych często pojawia się pytanie, czy korzystanie z EDIW będzie obowiązkowe. Niezależnie od ostatecznego kształtu krajowych przepisów, a także ścisłych dat nakładających obowiązki akceptacji na określony katalog podmiotów, kierunek zmian wydaje się jednoznaczny. Instytucje obowiązane nie tylko będą musiały, lecz także powinny być zainteresowane uwzględnianiem obsługi EDIW przy projektowaniu procesów onboardingu oraz procedur związanych z przeciwdziałaniem praniu pieniędzy. Narzędzia cyfrowej tożsamości zwiększają bowiem pewność i bezpieczeństwo obrotu, są przyjazne użytkownikowi, mogą powodować obniżenie poziomu ryzyka klienta i nie powinny być traktowane jedynie jako element upraszczania procesu obsługi klienta.

Uwaga! Jeżeli klient zdecyduje się wykorzystać portfel tożsamości cyfrowej, czyli EDIW, podczas otwierania rachunku lub korzystania z innej usługi finansowej, instytucja będzie musiała być przygotowana na obsługę takiego procesu. Co więcej, można przypuszczać, że w wielu przypadkach cały proces onboardingowy będzie realizowany wyłącznie w środowisku EDIW. Narzędzie to pozwoli bowiem zarówno uwierzytelnić klienta, jak i pozyskać dane niezbędne do przeprowadzenia środków bezpieczeństwa finansowego.

Kosztowna modernizacja systemów dopiero przed nami

Przyjęcie nowych regulacji to dopiero pierwszy etap zmian. Znacznie większym wyzwaniem może się okazać dostosowanie infrastruktury technicznej. Dlatego jednym z głównych zadań państw członkowskich jest integracja istniejących baz danych (rejestrów publicznych – rejestrów PESEL czy prawa jazdy) z nowym systemem, a podmiotów prywatnych – przygotowanie własnych systemów do bezpiecznej wymiany danych.

Uwaga! Oznacza to, że zarówno administracja publiczna, jak i podmioty prywatne (tzw. strony ufające) muszą zbudować nowoczesne interfejsy programistyczne, które pozwolą na bezpieczną, zautomatyzowaną wymianę danych w czasie rzeczywistym. Wielu przedsiębiorców i wiele instytucji finansowych będzie więc musiało:

• przeprowadzić kosztowną modernizację systemów oraz
• dostosować się do rygorystycznych wymogów certyfikacji.

A to potężne obciążenie budżetowe i kadrowe dla działów IT.

Polska ma przewagę dzięki mObywatelowi

Na tle wielu państw członkowskich Polska jest w stosunkowo korzystnej sytuacji. Doświadczenia zdobyte przy rozwoju aplikacji mObywatel są bezcennym kapitałem.

Polska infrastruktura już obecnie realizuje wiele rozwiązań przewidzianych przez eIDAS 2.0, które dla innych krajów są nowością. A zatem proces wdrażania europejskiego portfela będzie w dużej mierze polegał na dostosowaniu istniejących mechanizmów do wspólnych unijnych protokołów komunikacyjnych. ©℗

Olga Mędraś

LL.M., Head of Legal – Authologic