Testy penetracyjne sektora ubezpieczeń: DORA, Solvency II i cyber-odporność EIOPA

Towarzystwa ubezpieczeniowe działają w warunkach DORA (obowiązuje od stycznia 2025 dla wszystkich podmiotów finansowych), Filaru II Solvency II (ryzyko operacyjne w tym cyber) oraz IDD (Insurance Distribution Directive). Wytyczne cyber-odporności EIOPA stosują się do wszystkich ubezpieczycieli UE. Matproof Sentinel wykonuje ukierunkowane pentesty ubezpieczeniowe skupione na systemach roszczeń, portalach klienta i API dystrybutorów, od 149 EUR.

Rozpocznij darmowy skan

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego towarzystwa ubezpieczeniowe stoją przed unikalnymi wyzwaniami pentestu cyber

Europejskie towarzystwa ubezpieczeniowe stoją przed nakładającymi się regulacjami: DORA (Digital Operational Resilience Act, obowiązuje od 17 stycznia 2025) nakazuje regularne pentesty dla wszystkich zakładów ubezpieczeń i reasekuracji. Filar II Solvency II wymaga obliczenia kapitału ryzyka operacyjnego w tym cyber. EIOPA (European Insurance and Occupational Pensions Authority) opublikowała wytyczne cyber-odporności od 2017. Krajowi nadzorcy dodają własne wymagania: BaFin VAIT w Niemczech, ACPR we Francji, IVASS we Włoszech. Poza zgodnością towarzystwa są celami w specyficzny sposób: oszustwa roszczeniowe (BEC, kradzież tożsamości dla fałszywych roszczeń), PII klientów na masową skalę (dane zdrowotne, finansowe, zdarzenia życiowe) oraz kompromitacje portali dystrybutorów / agentów, które mogą kaskadowo dotknąć tysięcy polis klientów.

DORA art. 24: obowiązkowy roczny pentest dla wszystkich zakładów ubezpieczeń i reasekuracji, w tym życiowych, majątkowych i zdrowotnych.
Filar II Solvency II: kapitał ryzyka operacyjnego obejmuje cyber, nieudokumentowana słabość pentestu może zwiększyć wymagania regulacyjne kapitału.
EIOPA Cyber Resilience Framework (2019): coroczne testy bezpieczeństwa rekomendowane dla wszystkich ubezpieczycieli UE.
BaFin VAIT (Niemcy): odpowiednik BAIT dla niemieckich ubezpieczycieli, coroczne testy techniczne systemów IT.
IDD (Insurance Distribution Directive): ochrona danych dystrybutorów, bezpieczeństwo onboardingu klienta, audyt dystrybucji transgranicznej.
Oszustwa roszczeniowe przez cyber: 18% wzrost oszustw ubezpieczeniowych umożliwionych przez cyber w latach 2022-2024 (Coalition Cyber Insurance Report 2024).
Ubezpieczenia zdrowotne specyficznie: GDPR art. 9 (dane szczególnej kategorii) i specyficzne krajowe przepisy zdrowotne, naruszenia ubezpieczeń zdrowotnych niosą najwyższe kary GDPR.

Co konkretnie testujemy w aplikacji ubezpieczeniowej

Portal klienta: dostęp do konta, przepływ składania roszczeń, IDOR na szczegółach polisy, eskalacja uprawnień między rolami klientów.
Przetwarzanie roszczeń: kontrole zapobiegania oszustwom roszczeniowym, logika automatycznego zatwierdzania, walidacja przesyłania dokumentów.
Portal dystrybutora / agenta: eskalacja uprawnień między poziomami dystrybutorów, cross-dystrybutorowy dostęp do danych, manipulacja prowizjami.
Zarządzanie polisami: audit log modyfikacji polis, manipulacja kalkulacją składki, przepływ wygaśnięcia/wznowienia polisy.
Dane zdrowotne (ubezpieczenia życiowe/zdrowotne): zgodność GDPR art. 9, szyfrowane przechowywanie, logowanie dostępu do danych szczególnej kategorii.
Integracje stron trzecich: oprogramowanie aktuarialne, API detekcji oszustw (LexisNexis, Verisk), systemy zarządzania brokerami.
Aplikacje mobilne InsurTech: roszczenia przez przesyłanie zdjęć, uwierzytelnianie klienta, przepływ weryfikacji biometrycznej.
API Open Insurance (FRISS, FRISS-FIRE dla UE): rozwijający się standard wymiany danych ubezpieczeniowych, zgodność OAuth2 + FAPI.
Zgodność VAIT (BaFin §6.3): coroczne testy techniczne ubezpieczeniowych systemów IT, udokumentowane w formacie BSI IT-Grundschutz.
Zarządzanie traktatami reasekuracyjnymi: bezpieczna kontrola dostępu dla partnerów reasekuracyjnych, audit log modyfikacji traktatów.

Sample finding

High

Przepływ składania roszczeń umożliwia manipulację składek przez naruszanie parametrów API

Portal klienta ubezpieczeń umożliwia składanie roszczeń przez /api/claims z parametrami, w tym policy_id, claim_amount i incident_date. Endpoint waliduje, że uwierzytelniony klient jest właścicielem policy_id, ale nie waliduje, że claim_amount mieści się w limitach polisy ani że incident_date wypada w okresie obowiązywania polisy. Test wykazał: (1) złożenie roszczenia z incident_date przed datą startu polisy; (2) złożenie roszczenia z claim_amount przekraczającym maksymalną wypłatę polisy; (3) złożenie roszczenia z policy_id wygasłej polisy. Wszystkie trzy scenariusze udały się, system przetwarzania roszczeń zatwierdziłby do 450 000 EUR oszukańczych roszczeń przed uruchomieniem ręcznej kontroli.

Fix: Działanie natychmiastowe: walidacja po stronie serwera claim_amount (w limitach polisy + minimalny próg), incident_date (w okresie efektywności polisy), statusu polisy (aktywna, nie wygasła/anulowana). Wdróż automatyczne czerwone flagi dla roszczeń przekraczających 80% maksimum polisy lub złożonych w pierwszych 30 dniach polisy. Dodaj kontrolę 2. poziomu dla roszczeń >10 000 EUR niezależnie od automatyzacji. Audytuj log wszystkich zmian parametrów podczas składania roszczenia.

Reference: OWASP A04:2021 Insecure Design · OWASP A01:2021 Broken Access Control · DORA art. 24 · EIOPA Cyber Resilience Framework · Solvency II art. 41 (Ryzyko operacyjne)

Porównanie opcji pentestu ubezpieczeniowego

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Pakiety pentestów ubezpieczeniowych

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęściej zadawane pytania o pentest ubezpieczeniowy

Czy Matproof Sentinel jest akceptowany dla audytu DORA art. 24 dla ubezpieczycieli?

Tak. DORA stosuje się do zakładów ubezpieczeń i reasekuracji od stycznia 2025. Nasz raport zawiera jednoznaczne mapowanie DORA art. 24. EIOPA i krajowi nadzorcy (BaFin, ACPR, IVASS) sprawdzają dokumentację pentestu w trakcie regularnego nadzoru cyber-odporności.

Czy testujecie ubezpieczenia zdrowotne konkretnie (GDPR art. 9 dane szczególnej kategorii)?

Tak. Dane zdrowotne mają specyficzne wymagania GDPR (art. 9 i krajowe przepisy o danych zdrowotnych). Testujemy szyfrowane przechowywanie, logowanie dostępu, gotowość powiadomienia o naruszeniu (reguła 72 godzin) oraz zarządzanie zgodą na przetwarzanie danych zdrowotnych.

Jak pentest wpływa na kapitał ryzyka operacyjnego Solvency II?

Udokumentowany roczny pentest ze śledzeniem remediation zmniejsza alokację kapitału ryzyka operacyjnego w ramach Filaru II Solvency II. Ubezpieczyciele bez aktualnego pentestu podlegają wyższym obciążeniom kapitałowym, zazwyczaj 10-15% wzrost w module ryzyka operacyjnego.

Czy testujecie platformy InsurTech konkretnie?

Tak. Specyficzne ryzyka InsurTech obejmują: błąd/manipulacja underwritingu opartego na AI, roszczenia przez przesyłanie zdjęć mobilnych (manipulacja obrazem), integracja cyfrowych danych zdrowotnych (Fitbit, Apple Health), triggery ubezpieczeń parametrycznych.

Jaki jest koszt w porównaniu do tradycyjnego audytu cyber dla ubezpieczycieli?

Tradycyjny audyt cyber dla ubezpieczycieli: 25 000-80 000 EUR za zaangażowanie. Matproof Sentinel: 149-799 EUR/mc dla ciągłego pokrycia. Większość ubezpieczycieli łączy: Matproof Sentinel miesięcznie oraz tradycyjny audyt cyber Big-4 rocznie.

Czy wspieracie InsurTech w wielu jurysdykcjach (UK + UE + Szwajcaria)?

Tak. Pokrywamy regulacje ubezpieczeniowe w UK (zasady cyber FCA), UE (DORA + EIOPA + krajowi nadzorcy), Szwajcarii (FINMA Circular 23/1 Operational Risks). Jeden raport Matproof Sentinel wspiera wszystkie trzy jurysdykcje.

Go deeper — related blog articles

Gotowość DORA art. 24 dla towarzystw ubezpieczeniowych

Pierwszy skan w 3 minuty, kompletny pentest ubezpieczeniowy z jednoznacznym mapowaniem DORA / EIOPA / VAIT. Od 149 EUR.