Testy penetracyjne dla banków: DORA, TLPT, BAIT i unijny nadzór bankowy

Europejskie banki podlegają najbardziej wymagającemu reżimowi nadzoru cyberbezpieczeństwa: DORA art. 24 (pentest roczny) i art. 26 (TLPT co 3 lata dla banków systemowych), BaFin BAIT §9.4 (Niemcy), wytyczne ACPR (Francja), Banca d'Italia Circolare 285/2013 (Włochy), DNB Goede Praktijk (Holandia). Matproof Sentinel zapewnia ciągły bazowy pentest z jednoznacznym mapowaniem do wszystkich kluczowych unijnych ram nadzorczych dla banków, od 149 EUR.

Rozpocznij darmowy skan

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego banki podlegają najbardziej rygorystycznemu reżimowi pentestowemu w UE

Europejskie banki działają w warunkach krzyżujących się reżimów nadzoru cyberbezpieczeństwa: na poziomie UE DORA (Digital Operational Resilience Act) nakazuje coroczny pentest dla wszystkich banków (art. 24) oraz Threat-Led Pentest dla wyznaczonych instytucji znaczących co 3 lata (art. 26). Na poziomie krajowym BaFin BAIT w Niemczech, ACPR/AMF we Francji, Banca d'Italia we Włoszech, DNB w Holandii, Banco de España w Hiszpanii, każdy dodaje własne cykle kontroli i wymagania dla inspekcji IT. Poza zgodnością regulacyjną banki są celami o wysokiej wartości: średni koszt naruszenia w bankowości to 5,85 mln EUR (IBM Cost of a Data Breach Report 2024). Specyficzne dla bankowości wzorce ataków obejmują: oszustwa związane ze SWIFT (zgodność z CSP CSCF), kompromitacje korespondenckich korytarzy bankowych, ataki na sieć bankomatów przez dostawców zewnętrznych oraz ryzyka ICT stron trzecich (art. 28 DORA, rejestr krytycznych dostawców).

DORA art. 24: obowiązkowy roczny pentest dla wszystkich instytucji kredytowych, instytucji płatniczych, instytucji pieniądza elektronicznego, w tym systemów ICT obsługujących funkcje krytyczne.
DORA art. 26 TLPT: Threat-Led Pentest co 3 lata dla wyznaczonych banków, zazwyczaj G-SIB (Deutsche Bank, BNP Paribas, ING, Santander, UniCredit, Intesa Sanpaolo itd.) i instytucji znaczących wg kryteriów EBC.
BaFin BAIT (Niemcy): §9.4 nakazuje coroczne testy techniczne dla niemieckich instytucji kredytowych; §6.3 obejmuje bezpieczeństwo aplikacji; §44 KWG umożliwia kontrole specjalne.
ACPR (Francja): coroczna ocena cyberbezpieczeństwa SREP dla francuskich banków; Banque de France TIBER-FR dla instytucji systemowych.
Banca d'Italia (Włochy): Circolare 285/2013 (Disposizioni in materia di rischio operativo) wymaga corocznych ocen technicznych; ramy TIBER-IT dla znaczących włoskich banków.
DNB (Holandia): Goede Praktijk Informatiebeveiliging 2024 nakazuje coroczne pentesty dla holenderskich banków; TIBER-NL to najbardziej dojrzała europejska implementacja TIBER.
SWIFT CSP CSCF v2024: 31 obowiązkowych kontroli, w tym testy penetracyjne infrastruktury SWIFT w środowisku banku.

Co konkretnie testujemy w aplikacji bankowej

Uwierzytelnianie w bankowości online: zgodność MFA z PSD2 RTS, bezpieczeństwo photoTAN/pushTAN, implementacja uwierzytelniania biometrycznego.
Przepływ autoryzacji przelewów: dwustopniowa autoryzacja (zasada 4 oczu), rozdział autoryzacji między systemami, weryfikacja podpisu dla przelewów wysokiej wartości.
Sieć bankomatów: kontrola dostępu dostawcy zewnętrznego serwisu (wg art. 28 DORA), segmentacja sieci zarządzania bankomatami, wektory ataku zdalnego.
Bankowość korespondencka: integralność wiadomości SWIFT, zgodność CBPR+ dla migracji ISO 20022, próby obejścia sankcji.
Aplikacje bankowości mobilnej: pentest aplikacji Android/iOS (wykrywanie root/jailbreak, SSL pinning, wrażliwe dane w pamięci, blokada zrzutów ekranu).
Platformy tradingowe: integralność danych rynkowych, logika routingu zleceń, race conditions w systemach handlu wysokoczęstotliwościowego.
API gateway: API Open Banking (Berlin Group NextGenPSD2 dla dostępu zgodnego z SCA), API bankowości korporacyjnej, systemy płatności natychmiastowych (SCT Inst, TIPS).
Portal klienta: kontrola dostępu do konta, IDOR na szczegółach konta i wyciągach, eskalacja uprawnień między poziomami ról.
Systemy antyfraudowe: próby obejścia silnika reguł, przejmowanie kont przez session hijacking, odporność na inżynierię społeczną (call center, czat).
Ryzyko ICT stron trzecich (art. 28 DORA): kompletność rejestru krytycznych dostawców, klauzule umowne dotyczące testów, weryfikacja strategii wyjścia.

Sample finding

Critical

Kompromitacja sieci bankomatów przez zewnętrznego dostawcę serwisu, czyli art. 28 DORA

Nasz pentest europejskiego banku detalicznego wykazał, że serwis bankomatów był zlecony zewnętrznemu dostawcy z dostępem administracyjnym do sieci zarządzania bankomatami banku. System helpdesk dostawcy miał 2-letnią niezałataną podatność RCE (CVE jeszcze nie zidentyfikowane w momencie odkrycia). Test wykorzystał helpdesk, przeszedł lateralnie do kontrolera domeny dostawcy, użył buforowanych poświadczeń do uzyskania dostępu do VLAN bankomatów banku i zademonstrował zdolność zdalnego wypłacania gotówki z bankomatów, nigdy nie kompromitując bezpośrednio perymetru banku. Całkowity czas od pierwszego dostępu do kontroli bankomatów: 6 tygodni (symulacja w stylu TLPT). To klasyczny scenariusz art. 28 DORA, krytyczny dostawca z niewystarczającymi testami bezpieczeństwa.

Fix: Działanie natychmiastowe: awaryjne łatanie systemu helpdesk dostawcy; przegląd bezpieczeństwa dostawcy zgodnie z art. 28 DORA. Działania systemowe: wdrożenie rejestru krytycznych dostawców art. 28 DORA z ciągłym monitoringiem postawy bezpieczeństwa wszystkich dostawców z dostępem uprzywilejowanym; przegląd segmentacji sieci, czyli eliminacja bezpośredniego dostępu dostawcy do VLAN bankomatów, zastąpiona bramkowymi hostami bastion z MFA; wspólne ćwiczenia w stylu TIBER z krytycznymi dostawcami w przyszłości (pool testing w ramach TIBER-EU); dodanie reguł detekcji dla konkretnego wzorca ruchu lateralnego. Naprawa to nie tylko łatanie, to przeprojektowanie relacji zaufania z dostawcą.

Reference: DORA art. 28 (Ryzyko stron trzecich) · TIBER-EU Framework v2.0 · MITRE ATT&CK T1078.002 Valid Accounts — Domain Accounts · BaFin BAIT §11 IKT-Dienstleistermanagement · EBA/GL/2019/02 Outsourcing Guidelines

Porównanie opcji pentestu bankowego

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Pakiety pentestów bankowych

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęściej zadawane pytania o pentest bankowy

Czy Matproof Sentinel może zastąpić TLPT (DORA art. 26)?

Nie. TLPT (Threat-Led Pentest) wymaga dostawcy red-team akredytowanego przez EBC dla wyznaczonych banków systemowych (zazwyczaj tylko 100-200 największych banków UE). Matproof Sentinel zapewnia ciągły bazowy pentest dla DORA art. 24 (obowiązkowy dla wszystkich banków) i pokrycie między 3-letnimi cyklami TLPT. Rekomendujemy Matproof Sentinel miesięcznie oraz akredytowany TLPT co 3 lata dla banków systemowych.

Czy wasz raport jest akceptowany przez krajowe organy nadzoru bankowego?

Nasz raport techniczny jest zorganizowany tak, by mógł być sprawdzony przez BaFin (DE), ACPR (FR), Banca d'Italia (IT), DNB (NL), Banco de España (ES). Zawiera jednoznaczne mapowanie do DORA art. 24/25/26/28, BaFin BAIT (DE), wytycznych cybersecurity ACPR (FR), Banca d'Italia Circolare 285/2013 (IT), DNB Goede Praktijk Informatiebeveiliging (NL) oraz SWIFT CSP CSCF v2024.

Czy testujecie infrastrukturę SWIFT?

Tak, w obrębie środowiska SWIFT banku. Testujemy zgodność SWIFT CSP CSCF v2024 (31 obowiązkowych kontroli), bezpieczeństwo Alliance Gateway, kontrolę integralności wiadomości. Sieci SWIFT jako takiej nie testujemy, dostawca Swift ma własny Customer Security Programme (CSP); testujemy zgodność waszego środowiska.

Jak obsługujecie wrażliwe testy bankowe, czyli brak wpływu na produkcję?

Dla wrażliwych środowisk (produkcyjne systemy bankowe) testujemy na środowiskach staging o identycznej konfiguracji. Dla perymetru (bankowość online internetowa, API mobile) wykonujemy skany automatyczne w trybie pół-intruzywnym z jawnym rate-limitingiem i unikamy testów destrukcyjnych (brak DoS, brak rzeczywistego ruchu środków). Nasze ubezpieczenie odpowiedzialności zawodowej wynosi 5 mln EUR.

Czy obejmujecie testy ryzyka ICT stron trzecich (art. 28 DORA)?

Tak, za zgodą waszych dostawców. Zgodnie z art. 30 DORA banki muszą mieć umowne prawo do testowania (lub zlecania testów) krytycznych dostawców ICT. Koordynujemy z dostawcami wspólne testy lub testujemy perymetr z zewnątrz.

Czy wspieracie raportowanie ESG/sustainability w zakresie cyber?

Tak, nasz raport może być zorganizowany dla raportowania CSRD/ESG, gdzie cyber-odporność jest tematem ujawnień środowiskowo-zarządczych. Dostarczamy metryki ilościowe zgodne z ramami raportowania cyberbezpieczeństwa EBA.

Jaki jest typowy model zaangażowania dla banków?

Dla bazowego pokrycia DORA art. 24: miesięczny zautomatyzowany pentest Matproof Sentinel. Dla testów wywołanych zmianami: po dużym wydaniu lub zmianie architektury. Dla DORA art. 26 TLPT (tylko banki wyznaczone): co 3 lata akredytowany test red-team. Rekomendujemy łączenie: Matproof Sentinel ciągły + akredytowany TLPT okresowo.

Jak szybko możecie zmobilizować pilny pentest bankowy?

Skan automatyczny może rozpocząć się w ciągu 15 minut od zamówienia. Pełny raport gotowy do audytu w ciągu 24 godzin. Dla reakcji na incydent (po naruszeniu) oferujemy ekspresowy skan 4-godzinny z wstępnymi ustaleniami tego samego dnia (plan Growth).

Go deeper — related blog articles

Pentest DORA art. 24 gotowy do audytu dla banków

Pierwszy skan w 3 minuty, kompletny pentest bankowy w 60-90 minut z jednoznacznym mapowaniem DORA / BAIT / ACPR / Banca d'Italia / DNB. Raport od 149 EUR.