Banki pod presją cyberataków i regulacji. Jak nie stracić kontroli nad ryzykiem (DEBATA)

Świat finansów zmienia się w tempie, którego tradycyjne modele oceny ryzyka nie zawsze są w stanie dotrzymać. Napięcia geopolityczne, ataki cybernetyczne, gąszcz regulacji oraz nowatorskie formy oszustw stały się codziennością sektora bankowego. Podczas Europejskiego Kongresu Finansowego w Sopocie eksperci zastanawiali się, jak banki mogą utrzymać przewagę w nieprzewidywalnym otoczeniu.

CEE regionem wzrostu Europy

Dyskusja rozpoczęła się od szerokiej perspektywy na region Europy Środkowo-Wschodniej (CEE). Martin Boer, dyrektor generalny i główny przedstawiciel na Europę w Institute of International Finance (IIF), wskazał na solidne fundamenty ekonomiczne regionu, mimo panującej globalnie niepewności.

Myślę, że Europa Środkowo-Wschodnia, a także Polska, mają doskonałe fundamenty. Jeśli spojrzymy na wzrost, jest to najszybciej rozwijająca się gospodarka w UE wśród dużych krajów. Mamy 6 proc. w porównaniu do 3 proc. w innych

– Myślę, że Europa Środkowo-Wschodnia, a także Polska, mają doskonałe fundamenty. Jeśli spojrzymy na wzrost, jest to najszybciej rozwijająca się gospodarka w UE wśród dużych krajów. Mamy 6 proc. w porównaniu do 3 proc. w innych – mówił Martin Boer.

Dodał, że Polska ma szansę wyprzedzić Hiszpanię pod względem zamożności na mieszkańca. Podkreślił też, że lokalizacja regionu to zarówno atut, jak i ryzyko.

– Jesteśmy tuż obok Ukrainy, tuż obok Rosji, wiele się tutaj dzieje. Widzimy, że Ukraina na nowo definiuje nowoczesne działania wojenne – mówił Martin Boer.

W podobnym tonie wypowiedziała się Alexandra Habeler-Drabek, CRO w Erste Group. Wskazywała, że region CEE nie tylko goni Zachód, ale zaczyna pełnić rolę lidera. Jako przykład podała port w Gdańsku, który w ciągu kilku lat awansował z 13. na 6. miejsce w Europie pod względem wolumenu ładunków.

– Przyrost produktywności w Polsce w ciągu ostatnich ponad 10 lat był 10 razy silniejszy niż w Austrii i Niemczech, a nawet wyższy niż w USA – mówiła Alexandra Habeler-Drabek.

Zwróciła także uwagę na innowacyjność lokalnych firm.

– 37 proc. polskich firm inwestuje w innowacje, podczas gdy średnia europejska wynosi 32 proc. – mówiła szefowa ds. ryzyka w Erste Group.

Przeczytaj: Debata XYZ: Gdy nadzór nad bankami jest zbyt silny, rodzą się afery jak Zondacrypto

Banki w dobrej kondycji, ale pod coraz większą presją

Mimo, że wskaźniki makroekonomiczne wyglądają solidnie, polski sektor bankowy mierzy się z nowymi wyzwaniami operacyjnymi. Artur Głembocki, wiceprezes Erste Banku Polska odpowiedzialny za zarządzanie ryzykiem, zwrócił uwagę na dysproporcję między efektywnością modeli biznesowych a obciążeniami zewnętrznymi.

Wskaźnik kosztów do dochodów (C/I), nawet przy normalizacji stóp procentowych, nie powinien wzrosnąć powyżej 40 proc., co nadal świadczy o bardzo wysokiej efektywności sektora. Z mojej perspektywy równie istotnym wskaźnikiem jest zwrot z aktywów (ROA), ponieważ najlepiej pokazuje on efektywność modelu biznesowego. W Polsce wynosi on 1,6 proc. i jest najwyższy w Europie

– Wskaźnik kosztów do dochodów (C/I), nawet przy normalizacji stóp procentowych, nie powinien wzrosnąć powyżej 40 proc., co nadal świadczy o bardzo wysokiej efektywności sektora. Z mojej perspektywy równie istotnym wskaźnikiem jest zwrot z aktywów (ROA), ponieważ najlepiej pokazuje on efektywność modelu biznesowego. W Polsce wynosi on 1,6 proc. i jest najwyższy w Europie. Jednocześnie, jeśli spojrzymy na zwrot z kapitału własnego (ROE) w perspektywie ostatnich dziesięciu lat, okaże się, że pozostaje on poniżej kosztu kapitału – mówił Artur Głembocki.

Wskazał, że wynika to z szeregu czynników obciążających sektor, takich jak ryzyka, ale też podatek bankowy oraz niestabilne otoczenie prawne, które generuje wysokie koszty funkcjonowania.

– To elementy, które wywierają coraz większą presję na model operacyjny banków. Mimo to cały sektor pozostaje bardzo silny i bezpieczny – dodał Artur Głembocki.

Głos w sprawie kondycji sektora zabrał również Jacek Jastrzębski, przewodniczący Komisji Nadzoru Finansowego (KNF).

– Nasz sektor bankowy jest stabilny i ekstremalnie zyskowny. Rozumiemy oczywiście, że ta dochodowość opiera się w dużej mierze na marży odsetkowej netto, co oznacza, że jest ona w ogromnym stopniu zależna od potencjalnych zmian stóp procentowych – mówił Jacek Jastrzębski.

Wskazał też, że napięcia w regionie Cieśniny Ormuz zmniejszają prawdopodobieństwo gwałtownego spadku stóp, co paradoksalnie może przedłużyć okres wysokich zysków.

Przeczytaj: „Ryzyko prawne wpływa na bilanse”. Szef BFG o kondycji banków i corocznych składkach

USA vs Europa: Czy bezpieczeństwo zabija konkurencyjność?

Ważnym tematem była też kwestia globalnej konkurencyjności europejskich banków w obliczu deregulacji w Stanach Zjednoczonych. Martin Boer zauważył, że choć w USA następuje poluzowanie standardów, to Europejski Urząd Nadzoru Bankowego (EBA) i Europejski Bank Centralny (EBC) twierdzą, że amerykańskie wymogi kapitałowe i tak pozostaną wyższe niż europejskie. Wskazuje, że problem Europy leży w rozdrobnieniu rynku.

– Fragmentacja naprawdę nas powstrzymuje. Jeśli spojrzymy na raporty, mówią one o stratach idących w miliardy – mówił Martin Boer.

Alexandra Habeler-Drabek zgodziła się i wskazała, że regulacje bankowe i nadzór powinny koncentrować się na rzeczywistych i materialnych ryzykach, gdyż jeśli każdy element będzie traktowany z taką samą wagą, rośnie ryzyko przeoczenia kwestii, które faktycznie mogą mieć znaczący wpływ na stabilność sektora.

– Mam nadzieję, że również Europejski Bank Centralny uwzględnia tę perspektywę, ponieważ czasami można odnieść wrażenie, że znaczna część zasobów angażowana jest w obszary, które nie zawsze mają kluczowe znaczenie. Nie opowiadam się za kopiowaniem rozwiązań amerykańskich, lecz za szybszym wdrażaniem potrzebnych zmian, większą otwartością na szczere dyskusje oraz odważniejszym podejściem do reform – wskazywała Alexandra Habeler-Drabek.

Z kolei Jacek Jastrzębski zwrócił uwagę na fundamentalne różnice w kulturze biznesowej między Polską a USA.

Stany Zjednoczone mają odmienne podejście do ryzyka. Porażka nie jest tam postrzegana jako tragedia, lecz jako cenne doświadczenie i element procesu uczenia się – co szczególnie często podkreśla się w środowisku Doliny Krzemowej. To znacząco różni się od podejścia, które wciąż można obserwować w Polsce, gdzie niepowodzenie bywa traktowane niemal jak definitywny koniec drogi

– Stany Zjednoczone mają odmienne podejście do ryzyka. Porażka nie jest tam postrzegana jako tragedia, lecz jako cenne doświadczenie i element procesu uczenia się – co szczególnie często podkreśla się w środowisku Doliny Krzemowej. To znacząco różni się od podejścia, które wciąż można obserwować w Polsce, gdzie niepowodzenie bywa traktowane niemal jak definitywny koniec drogi. W amerykańskiej kulturze biznesowej jest ono raczej kolejnym etapem prowadzącym do sukcesu – mówił Jacek Jastrzębski.

Przewodniczący KNF opowiedział się także za uproszczeniem, a nie za czystą deregulacją. Jako przykład obszaru, w którym „poszliśmy za daleko”, podał przepisy RODO, które wpływają na konkurencyjność nie tylko banków, ale całego biznesu.

Przeczytaj: Autopay stawia na Europę i partnerstwa. Rozważa przejęcia za granicą

Ryzyko coraz mniej finansowe, coraz bardziej systemowe

Tradycyjne ryzyko kredytowe wydaje się schodzić na dalszy plan w porównaniu z zagrożeniami cybernetycznymi i skutkami geopolityki. Artur Głembocki wskazał, że w 2025 roku polski sektor bankowy przetrwał 800 ataków DDoS.

Wiceprezes Erste Banku Polska podkreślił, że profil zagrożeń w sektorze bankowym uległ znaczącemu przesunięciu z ryzyka kredytowego w stronę nowych, nieliniowych wyzwań operacyjnych. Zwrócił on uwagę na gwałtowny wzrost ryzyka wewnętrznego, które określił jako narastające wykładniczo i wymagające natychmiastowej uwagi ze strony menedżerów ds. ryzyka. Według niego proces ten jest bezpośrednio stymulowany przez dynamiczny rozwój i wdrażanie sztucznej inteligencji oraz liczne nowe inicjatywy technologiczne w Polsce, które znacząco zwiększyły skalę i skomplikowanie potencjalnych nadużyć wewnątrz organizacji.

Równie istotnym zagrożeniem wskazanym przez Głembockiego jest rosnąca zależność banków od podmiotów trzecich oraz zewnętrznych dostawców, wynikająca z faktu, że coraz więcej krytycznych procesów operacyjnych jest zlecana organizacjom poza bezpośrednimi strukturami banku.

– W kontekście zarządzania ryzykiem często wracam myślami do incydentu związanego z CrowdStrike w 2024 roku. Wszyscy pamiętamy sytuację, która na blisko dwa dni sparaliżowała funkcjonowanie wielu instytucji i usług. Wtedy pojawiła się we mnie refleksja, że zarówno na poziomie sektora finansowego, jak i całej gospodarki, powinniśmy stworzyć mapę kluczowych dostawców zewnętrznych odpowiedzialnych za obsługę procesów krytycznych. Chodzi nie tylko o identyfikację miejsc, w których outsourcing odgrywa strategiczną rolę, lecz także o lepsze zrozumienie wzajemnych zależności. Tylko mając taki obraz, możemy przygotowywać realistyczne scenariusze i testować, jakie konsekwencje miałaby awaria konkretnego dostawcy lub usługi dla funkcjonowania całej gospodarki – wskazywał Artur Głembocki.

Alexandra Habeler-Drabek przywołała perspektywę z 2019 roku, kiedy objęła stanowisko CRO w Erste Group, zauważając, że moment ten poprzedzała co najmniej dekada środowiska charakteryzującego się bardzo stabilnym wzrostem. Sytuacja ta zmieniła się gwałtownie na początku 2020 roku wraz z wybuchem pandemii, która zapoczątkowała trwającą do dziś serię następujących po sobie „czarnych łabędzi”.

Zarządzanie ryzykiem w dużej mierze opiera się na pomiarze ryzyka i niepewności, przy czym sama niepewność jest z natury trudna, a często wręcz niemożliwa do precyzyjnego zmierzenia. Największym ryzykiem jest jednak założenie lub oczekiwanie, że powrócą czasy stabilności i przewidywalności

– Zarządzanie ryzykiem w dużej mierze opiera się na pomiarze ryzyka i niepewności, przy czym sama niepewność jest z natury trudna, a często wręcz niemożliwa do precyzyjnego zmierzenia. Największym ryzykiem jest jednak założenie lub oczekiwanie, że powrócą czasy stabilności i przewidywalności. Zamiast tego, zamiast liczyć na przywrócenie mierzalności i przewidywalności ryzyka, konieczne jest przygotowanie znacznie bardziej zaawansowanych scenariuszy, testów warunków skrajnych oraz regularnych ćwiczeń symulacyjnych – mówiła Alexandra Habeler-Drabek.

Front walki z oszustwami. Od George'a Clooneya po odpowiedzialność Big Techów

Ostatnia część dyskusji dotyczyła walki z oszustwami, które stają się coraz bardziej wyrafinowane dzięki wykorzystaniu AI. Martin Boer przywołał model australijski, w którym walka z oszustwami jest wspólnym zadaniem banków, firm telekomunikacyjnych i gigantów technologicznych.

– Łańcuch oszustw nie zaczyna się w bankach, on się w nich kończy. Zaczyna się od pliku PDF, na Facebooku lub od SMS-a – tłumaczył Martin Boer.

Podkreślił, że banki nie powinny być zmuszane do zwracania pieniędzy w każdym przypadku, jeśli klient dokonał autoryzowanej płatności, będąc pod wpływem manipulacji.

Artur Głembocki wezwał do konkretnych zmian prawnych na poziomie lokalnym i unijnym. O ile włączenie firm telekomunikacyjnych do łańcucha odpowiedzialności jest możliwe w ramach polskiej jurysdykcji, o tyle dyscyplinowanie platform społecznościowych wymaga działań na szerszą skalę.

– Musimy mocniej naciskać, aby dostawcy mediów społecznościowych wzięli odpowiedzialność za niepokazywanie reklam, które w rzeczywistości są przestępstwami – mówił Artur Głębocki.

Jacek Jastrzębski odniósł się do toczącej się w Polsce debaty o nieautoryzowanych transakcjach. Wspomniał o przypadkach, gdy klienci, mimo ostrzeżeń banku, upierali się przy przelewach, wierząc w oferty od celebrytów.

– Wspomniano tu przypadki, niezależnie od tego, czy dotyczyły George’a Clooneya czy Brada Pitta, w których użytkownicy byli wprowadzani w błąd przez reklamy w mediach społecznościowych, a następnie dokonywali transakcji, czasem wbrew ostrzeżeniom banków. Zdarzało się, że banki próbowały powstrzymać takie przelewy, jednak klienci nalegali, powołując się na swoją wolność i prawo do dysponowania własnymi środkami. Później, w sytuacji poniesienia straty, argumentowali, że doszło do manipulacji i transakcja była nieautoryzowana, domagając się zwrotu pieniędzy. Uważam, że takie podejście idzie zbyt daleko – ocenił Jacek Jastrzębski.

Główne wnioski

1. Polski sektor bankowy osiąga najwyższy w Europie zwrot z aktywów (ROA) na poziomie 1,6 proc. i notuje rekordowe zyski. Mimo to wskaźnik zwrotu z kapitału własnego (ROE) w perspektywie ostatnich dziesięciu lat pozostaje poniżej kosztu kapitału – za sprawą podatku bankowego, niestabilnego otoczenia prawnego i rosnących obciążeń regulacyjnych.
2. Region CEE wypada na tle Europy korzystnie. Polska należy do najszybciej rozwijających się dużych gospodarek UE, a przyrost produktywności w ciągu ostatniej dekady był dziesięciokrotnie wyższy niż w Austrii i Niemczech. Eksperci wskazują jednak, że bliskość Ukrainy i Rosji oznacza podwyższone ryzyko geopolityczne.
3. Profil zagrożeń dla banków uległ zasadniczemu przesunięciu. W 2025 roku polski sektor bankowy odparł 800 ataków DDoS.