Dla odbiorców · Instytucje finansowe

Dostępność dla banków, firm fintech i organizacji płatniczych — dla środowiska regulowanego.

Banki są narażone na ryzyko w obszarze dostępności na dwóch osiach: ADA Title III, którego sektor finansowy jest jednym z najbardziej obciążonych w postępowaniach sądowych dotyczących dostępności cyfrowej w USA, oraz Europejski Akt o Dostępności (EAA), który wyraźnie obejmuje usługi bankowe dla konsumentów w zakresie art. 2 ust. 2 lit. e). Aplikacje mobilne, przepływy uwierzytelniania dwuskładnikowego, wyciągi PDF i systemy IVR wymagają szczególnej uwagi. Niniejsza strona zawiera listę kontrolną 30 punktów WCAG 2.2 AA i uwagi platformowe przeznaczone dla zespołów inżynieryjnych instytucji finansowych działających w środowisku regulowanym.

Uruchom bezpłatny skaner WCAG 2.2 → Przejdź do listy kontrolnej 30 punktów

Dlaczego instytucje finansowe są celem o najwyższym priorytecie w zakresie dostępności

Dwóch regulatorów, jeden z najbardziej obciążonych sektorów w dostępności cyfrowej.

W Stanach Zjednoczonych usługi finansowe niezmiennie należą do pięciu sektorów z największą liczbą spraw z tytułu ADA Title III dotyczących dostępności cyfrowej każdego roku, odkąd dane są systematycznie zbierane. Banki zawarły szeroko komentowane ugody w sprawach zbiorowych dotyczących niedostępnych aplikacji mobilnych, nieoznakowanych wyciągów PDF i systemów IVR uniemożliwiających użytkownikom czytników ekranu dotarcie do żywego konsultanta. Ochrona „bez fizycznego powiązania" — nigdy silna dla banków detalicznych z oddziałami — osłabła jeszcze bardziej wraz ze wzrostem liczby banków wyłącznie internetowych; wiele sądów okręgowych odrzuciło ją kategorycznie, a równoległe sprawy na podstawie kalifornijskiej Ustawy Unruh i Ustawy o Prawach Stanu Nowy Jork rozszerzyły łączną ekspozycję nawet gdy federalne roszczenia nie powodzą się.

W Unii Europejskiej Europejski Akt o Dostępności (EAA) wyraźnie wskazuje „usługi bankowe dla konsumentów" w art. 2 ust. 2 lit. e) — obejmując rachunki bieżące dla klientów detalicznych, oszczędności, kredyty konsumenckie, kredyty hipoteczne i kanały cyfrowe, za pośrednictwem których są świadczone. Banki sektora publicznego były już związane Dyrektywą w sprawie dostępności stron internetowych (WAD) od 2018 r.; EAA obejmuje również sektor prywatny i warstwę konsumencką fintech. Wyjątek dla mikroprzedsiębiorstw w praktyce nie zwalnia żadnego rzeczywistego banku ani licencjonowanej instytucji płatniczej, a EN 301 549 — do którego EAA odsyła w kwestii zgodności technicznej — opiera się na kryteriach sukcesu WCAG 2.2.

Specyficzne ryzyka produktowe koncentrują się w pięciu obszarach. Po pierwsze, przepływy uwierzytelniania dwuskładnikowego z agresywnymi limitami czasu 30–60 sekund dla SMS-OTP i siatkami sześciu pól na kod bez prawidłowych oznaczeń aria. Po drugie, archiwa wyciągów PDF i dostarczanie formularzy podatkowych — nawet jeden nieoznakowany plik PDF niezgodny z PDF/UA wystarczy do pisma z roszczeniami. Po trzecie, systemy IVR bez wczesnego wyjścia „naciśnij 0, aby połączyć się z konsultantem" dla użytkowników, którzy nie mogą nawigować słuchowo. Po czwarte, platformy do podpisywania dokumentów i przepływy weryfikacji tożsamości polegające na przeciąganiu wyłącznie myszą lub nieoznakowanych polach podpisu. Po piąte, powierzchnie mobilnych aplikacji bankowych — oznaczenia VoiceOver / TalkBack, dostępność komunikatów biometrycznych i widżety na ekranie blokady — każda z nich to odrębna powierzchnia audytu na każdej platformie.

Koszt bezczynności jest konkretny i odczuwalny w dwóch miejscach jednocześnie: ekspozycja prawna i ryzyko reputacyjne. Ugody w sprawach ADA przeciwko bankom w USA są zazwyczaj znacznie wyższe niż podstawowa wartość 20 000–50 000 USD obserwowana w przypadku czystego e-commerce, ponieważ adwokaci powodów wiedzą, że warstwa regulacyjna jest gęstsza — kąt uczciwej bankowości, możliwość nakazu zgody ze strony CFPB, kwestia nadzorcza OCC — i odpowiednio wyceniają sprawy. W UE harmonogram kar na podstawie EAA jest określany na poziomie państwa członkowskiego i waha się od niskich pięciocyfrowych kwot w niektórych jurysdykcjach do znacznego odsetka obrotu w innych; Niemcy, Francja, Włochy, Hiszpania i Niderlandy zbudowały zespoły egzekwowania prawa w 2025 r. i wydały pierwszą serię kar w 2026 r. Koszty reputacyjne narastają: nawet jeden zrzut ekranu niedostępnej aplikacji bankowej, udostępniony przez klienta z dużą grupą odbiorców złożoną z osób z niepełnosprawnościami, wpływał na cenę akcji co najmniej jednego dużego banku amerykańskiego w ciągu ostatnich pięciu lat.

Dobra wiadomość jest taka, że dostępność instytucji finansowych ma rozpoznawalny zarys. Te same kilkanaście trybów awarii powtarza się praktycznie w każdym audycie produktu bankowego dla klientów detalicznych, neobanku lub aplikacji płatniczej, a większość z nich można naprawić za pomocą tokenów projektowych, bibliotek współdzielonych komponentów lub ukierunkowanego sprintu inżynieryjnego — a nie pełnej przebudowy. Poniższa lista kontrolna zawiera to, co przekazuje się zespołom inżynieryjnym i compliance instytucji finansowych, gdy pytają „od czego realnie zacząć?" — sześć powierzchni, pięć konkretnych sprawdzeń na powierzchnię, wszystkie zakorzenione w WCAG 2.2 AA i deklaracjach charakterystyk funkcjonalnych EN 301 549, do których EAA technicznie odsyła.

Lista kontrolna 30 punktów dla produktów instytucji finansowych

Sześć powierzchni × pięć sprawdzeń. Wydrukuj, zaznacz, przeprowadź audyt.

  1. 01 Zakładanie konta i rejestracja

  2. 02 Uwierzytelnianie i 2FA

  3. 03 Transakcje i płatności

  4. 04 Wyciągi i dokumenty

  5. 05 Aplikacje mobilne

  6. 06 Obsługa klienta

Uwagi wdrożeniowe dla poszczególnych platform

Gdzie lista kontrolna przejawia się w kodzie, według platform faktycznie używanych przez zespoły instytucji finansowych.

Temenos, FIS, Finastra — dzierżawa podstawowego systemu bankowego

Trzej główni dostawcy systemów bankowych dostarczają frontendo bankowości internetowej dla klientów jako konfigurowalne przez dzierżawcę szablony na platformowej powłoce. Platforma zapewnia bazowy poziom, jednak każda personalizacja — kolory marki, niestandardowe widżety, przekierowanie do CSR/agenta — dodaje ryzyko, za które odpowiada dzierżawca, nie dostawca. Należy zażądać od Temenos / FIS / Finastra aktualnego VPAT lub raportu zgodności z EN 301 549 dla konkretnej wersji produktu, na której działa wdrożenie, a następnie osobno przeprowadzić audyt własnej warstwy personalizacji. Powtarzającym się trybem awarii są niestandardowe widżety transakcyjne osadzone w skądinąd zgodnej powłoce bez dziedziczenia obsługi klawiatury i czytnika ekranu powłoki.

Plaid, Yodlee, MX — wbudowane agregatory danych

Łączenie kont to jeden z najczęściej używanych przepływów w nowoczesnym fintech i niemal powszechnie jest dostarczany jako wbudowany iframe od strony trzeciej. Plaid Link, Yodlee FastLink i MX Connect dostarczają widżety ze świadomością dostępności, jednak granica iframe przerywa zarządzanie fokusem przy wchodzeniu i wychodzeniu — fokus często spada na <body> po zamknięciu modalu, a czytniki ekranu tracą ogłoszenie „połączono pomyślnie". Należy opakować osadzenie we własną strefę aria-live, przywrócić fokus do znanej kotwicy po zamknięciu i jawnie testować ścieżki niepowodzeń (instytucja niedostępna, wyzwanie MFA) z technologiami wspomagającymi.

Stripe, Adyen — dostępność elementu płatności

Stripe Payment Element i Adyen Drop-in są znacznie lepsze od generacji starszego „iframe karty", jednak każdy jest dostarczany w iframe z własnym zarządzaniem fokusem i strefami aria-live. Najczęstszy błąd polega na tym, że przycisk wysyłania na stronie nadrzędnej nie czeka, aż stan fokusa iframe zostanie ustalony — co prowadzi do cichych błędów wysyłania, których czytnik ekranu nigdy nie ogłasza. Należy powiązać zdarzenia iframe-onReady / onChange ze strefą statusu aria-live na poziomie nadrzędnym i nigdy nie wyłączać przycisku wysyłania bez tekstowego powodu ogłoszonego przez aria-describedby.

DocuSign, Adobe Sign — przepływ podpisu elektronicznego

Przepływy podpisu elektronicznego są jedną z najczęściej cytowanych powierzchni w postępowaniach sądowych na podstawie ADA przeciwko bankom w USA, ponieważ pole podpisu jest kluczowym etapem umowy kredytowej, ujawnienia hipotecznego lub dokumentu wniosku o kartę. DocuSign i Adobe Sign mają funkcje dostępności (podpisywanie klawiaturą, pola ogłaszane przez czytnik ekranu), jednak każda wymaga konfiguracji koperty po stronie instytucji — domyślne ustawienia platformy tego nie robią. Należy skonfigurować szablony kopert z wyraźnymi etykietami pól, dostępną kolejnością odczytu i opcją podpisu bez obrazu (podpis wpisany klawiaturą) przed wysłaniem jakiejkolwiek produkcyjnej koperty.

Komercyjne interfejsy typu Bloomberg Terminal

Specjalistyczne desktopowe i webowe interfejsy transakcyjne to znana luka w dostępności, ponieważ większość platform jest zoptymalizowana pod kątem szybkości klawiaturowej dla widzących zaawansowanych użytkowników — nie dla użytkowników czytników ekranu. Przy budowaniu niestandardowego interfejsu transakcyjnego lub skarbowego należy traktować każdą komórkę tabeli obserwacji / arkusza zleceń jako oznaczony punkt orientacyjny, ujawniać aktualizacje przez aria-live z ograniczaniem szybkości (w przeciwnym razie kolejka technologii wspomagających zostanie przeciążona) i dostarczać tryb tylko do odczytu w czasie rzeczywistym, nie tylko tryb reagowania w czasie rzeczywistym, dla użytkowników, których technologie wspomagające nie nadążają za aktualizacjami poniżej sekundy. Gęstość typu Bloomberg jest osiągalna z dostępnością, ale tylko dzięki ukierunkowanemu inżynierstwu — nie jest bezpłatna i nie jest tym, co dają domyślne ustawienia platformy.

Natywne aplikacje bankowe iOS / Android

Mobilna aplikacja bankowa jest powierzchnią o największym ruchu dla większości banków detalicznych i najgęstszym celem w postępowaniach sądowych dotyczących dostępności aplikacji mobilnych na podstawie ADA w USA. Na iOS każdy interaktywny element musi mieć etykietę dostępności, prawidłowo ustawione cechy (button, header, adjustable) i logiczną kolejność elementów dostępności, nieomijającą aktywnego wyboru konta ani kwoty przelewu. Na Androidzie równoległe wymagania to content-description na każdym klikalnym widoku, prawidłowy importantForAccessibility na elementach dekoracyjnych i kolejność TalkBack zweryfikowana ręcznie — nie tylko zakładana na podstawie układu. Należy uruchamiać asercje dostępności XCUITest i Espresso w CI jako sieć bezpieczeństwa, jednak nigdy jako substytut rzeczywistego przeglądu z technologiami wspomagającymi przy każdym kandydacie do publikacji.

Cykl monitorowania i audytu

Jednorazowy audyt nie przeżywa nawet jednego wydania bankowego.

Banki i firmy fintech wdrażają tak często, jak każdy nowoczesny zespół programistyczny. Marketing zmienia grafikę we wtorek, dział kredytowy uruchamia nowy przepływ wstępnej kwalifikacji w czwartek, widżet zewnętrzny wydaje aktualizację w weekend. Jednorazowa naprawa dostępności wytrzymuje mniej więcej do następnego wydania — dlatego model, który realnie sprawdza się dla zespołów instytucji finansowych, to trzy warstwy, nie jedna. Każda warstwa wychwytuje inne defekty i warstwy nie są substytutami wzajemnymi.

Po pierwsze, należy uruchomić bezpłatny skaner WCAG 2.2 względem publicznego serwisu marketingowego i stron bankowości internetowej już dziś, aby ustalić poziom bazowy. Po drugie, należy włączyć ciągłe automatyczne monitorowanie względem każdego wdrożenia przedprodukcyjnego i każdego wdrożenia produkcyjnego — to warstwa wychwytująca regresje przed klientem i jedyna warstwa, która skaluje się do tempa wdrożeń, w jakim działa rzeczywisty bank. Po trzecie, należy zlecić ręczny audyt przez testerów z niepełnosprawnościami co najmniej raz w roku, a także po każdej dużej przeróbce, zmianie platformy lub nowym uruchomieniu produktu — zautomatyzowane narzędzia nigdy nie wychwycą czytelności ekranu potwierdzenia transakcji, intencji kolejności fokusa w przepływie 2FA ani tego, czy przepływ rejestracji jest realnie użyteczny od początku do końca. Archiwa wyciągów wymagają szczególnie ręcznego testowania; zob. dostępne pliki PDF od początku do końca dla przepływu pracy PDF/UA.

W kwestii przekazywania między monitorowaniem a ręcznym audytem nasz przewodnik po wyborze platformy monitorowania obejmuje platformy obsługujące przepływ od skanowania do audytu od początku do końca — Qualibooth, axe Monitor, Siteimprove i Level Access. Wybór powinien opierać się na trzech kryteriach specyficznych dla instytucji finansowych: zgodność integracji z CI i procesem zarządzania zmianami; czy sieć ręcznych audytorów platformy faktycznie obejmuje testerów z niepełnosprawnościami, jakie mają klienci instytucji (poznawcze, motoryczne, słabowzroczność, ślepota, głuchota i trudności ze słuchem — nie tylko niewidomi użytkownicy); oraz czy raportowanie platformy odpowiada artefaktowi skierowanemu do regulatora, którego potrzebuje zespół compliance (VPAT/ACR, raport zgodności z EN 301 549, deklaracja dostępności). Nie wszystkie platformy to zapewniają.

Uwaga specyficzna dla instytucji finansowych dotycząca zarządzania: warstwa monitorowania powinna funkcjonować w ramach procesu zarządzania zmianami, który bank lub licencjonowany fintech już stosuje dla zmian produkcyjnych. Jeśli proces publikacji wymaga zatwierdzenia przez dział bezpieczeństwa, bramka dostępności jest w tym samym miejscu — zazwyczaj jako sprawdzenie CI w potoku wdrożeniowym plus kwartalna weryfikacja na tym samym forum, które obsługuje dowody SOC 2, PCI-DSS i ISO 27001. Traktowanie dostępności jako odrębnego silosu compliance to sposób, w jaki ulega ona zaniedbaniu; traktowanie jej jako kolejnego elementu ryzyka i kontroli obok tych, którymi zespół już zarządza, to sposób, w jaki trwale się ugruntowuje.

Często zadawane pytania

Pytania zadawane przez zespoły inżynieryjne i compliance instytucji finansowych przed podjęciem decyzji.

Czy aplikacje bankowe wchodzą w zakres Europejskiego Aktu o Dostępności?

Tak. EAA wyraźnie wskazuje „usługi bankowe dla konsumentów" w art. 2 ust. 2 lit. e), obejmując rachunki bieżące i oszczędnościowe dla klientów detalicznych, kredyty osobiste, kredyty hipoteczne oraz kanały cyfrowe, za pośrednictwem których są świadczone — strony internetowe, aplikacje mobilne, bankomaty i terminale samoobsługowe. Bankowość między podmiotami gospodarczymi jest w dużej mierze poza zakresem EAA, jednak każdy produkt, który konsument w UE może otworzyć i zarządzać nim online, jest objęty. Wyjątek dla mikroprzedsiębiorstw (poniżej 10 pracowników I poniżej 2 mln euro obrotu) w praktyce nie zwalnia żadnego licencjonowanego banku w UE.

Czy wyciągi PDF są uznawane za „usługę bankową" dla celów dostępności?

Tak, i jest to jedna z najbardziej spornych powierzchni w pozwach na podstawie ADA przeciwko bankom w USA. Miesięczny wyciąg dostarczony jako plik PDF niezgodny z PDF/UA jest funkcjonalnie niedostępny dla wielu użytkowników czytników ekranu — EAA traktuje go jako część usługi objętej zakresem, a amerykańskie sądy konsekwentnie stwierdzają, że dostarczanie wyciągów jest nierozerwalnie związane z relacją bankową. Należy wydawać pliki PDF zgodne z PDF/UA i oferować alternatywę w formacie HTML lub CSV dla historii transakcji.

Jak w praktyce działa 2FA dla użytkownika czytnika ekranu?

Zależy to od kanału. SMS-OTP jest szeroko dostępny, ale limity czasu są agresywne — większość banków stosuje wygaśnięcie po 30–60 sekundach, co nie spełnia wymagania WCAG 2.2.1 Timing Adjustable. Kody z aplikacji uwierzytelniających działają dobrze, jeśli pole akceptuje wklejanie; problem pojawia się, gdy banki dzielą sześć cyfr na sześć oddzielnych pól bez prawidłowych oznaczeń aria. Klucze sprzętowe i passkey są coraz częściej najbardziej dostępną opcją, ponieważ interakcja (dotknięcie urządzenia, komunikat biometryczny) jest wbudowana w system operacyjny i dobrze ogłaszana — jednak rezerwowa opcja dla użytkowników bez kluczy jest obowiązkowa.

Czy istnieje certyfikacja dostępności specyficzna dla sektora finansowego?

Nie ma bankowego odpowiednika EN 301 549 — obowiązują te same standardy co dla każdej usługi cyfrowej. Specyficzne dla instytucji finansowych jest warstwa nadzorcza: w USA CFPB i OCC opublikowały wytyczne odsyłające do dostępności w ramach obowiązków związanych z uczciwą bankowością, a egzekwowanie EAA w UE odbywa się na poziomie państwa członkowskiego przez te same organy nadzorujące bankowość konsumencką. Banki zazwyczaj zlecają VPAT/ACR względem WCAG 2.2 AA i równoległy raport zgodności z EN 301 549.

Jakie jest ryzyko prawne związane z niedostępną aplikacją bankową na urządzenia mobilne?

W USA mobilne aplikacje bankowe są jednym z najbardziej obciążonych sektorów pod względem pozwów z tytułu ADA Title III, a kilka dużych banków zawarło ugody w sprawach zbiorowych na kwoty sześcio- i siedmiocyfrowe. Departament Sprawiedliwości oficjalnie stwierdził, że usługi miejsc publicznych muszą być dostępne, a stanowiska 11. i 9. Okręgu w kwestii ochrony „bez fizycznego powiązania" zostały osłabione do tego stopnia, że banki wyłącznie internetowe nie są lepiej chronione niż tradycyjne banki z oddziałami. W UE kary na podstawie EAA były nakładane od 2026 r. w kilku państwach członkowskich.

Czy użytkownik czytnika ekranu może zweryfikować transakcję bez pomocy osoby widzącej?

Powinno to być możliwe — i przy dobrze zbudowanym produkcie bankowym jest możliwe. Minimalne wymagania to: ekran potwierdzenia transakcji odczytuje kwotę, walutę, odbiorcę i datę jako powiązaną frazę; przycisk potwierdzenia jest jednoznacznie oznaczony (nie tylko „Potwierdź", lecz „Potwierdź przelew 250 zł do Jana Kowalskiego"); pomyślne działanie jest ogłaszane przez aria-live; a otrzymany paragon jest dostępny jako tekst możliwy do zaznaczenia, nie jako obraz. Jeśli którykolwiek z tych elementów jest nieobecny, użytkownik nie może samodzielnie zweryfikować, co autoryzował — co jest kwestią uczciwości bankowej, nie tylko dostępności.

Jak często bank lub firma fintech powinna przeprowadzać audyt swoich powierzchni cyfrowych?

Automatyczne skanowanie powinno być uruchamiane przy każdym wdrożeniu. Ciągłe monitorowanie powinno być stosowane względem środowiska produkcyjnego codziennie. Ręczny audyt przez testerów z niepełnosprawnościami powinien być zlecany co najmniej raz w roku dla ugruntowanych produktów, a także po każdej dużej przeróbce, zmianie platformy lub obowiązkowej zmianie wymaganej przez regulatora. Banki zmieniają się często — materiał marketingowy w poniedziałek, zmiana 2FA w piątek — a jednorazowy roczny audyt nie przeżywa nawet jednego wydania.

Trzy kolejne kroki

Wybierz ten, który odpowiada aktualnemu stanowi Państwa zespołu.

  1. Uruchom skaner

    Działający bezpłatny skaner WCAG 2.2 dla dowolnego publicznego URL. Obsługiwany przez Qualibooth, otwiera się w nowej karcie. Najlepszy punkt startowy, jeśli nie ma aktualnego poziomu bazowego dla powierzchni bankowości internetowej lub marketingowych.

    Otwórz skaner →

  2. Przeczytaj przewodnik po wyborze platformy monitorowania

    Nasz przewodnik po wyborze platformy monitorowania obejmuje platformy obsługujące przepływ od skanowania do audytu od początku do końca — z kryteriami specyficznymi dla instytucji finansowych (integracja CI, raportowanie dla regulatorów, rzeczywiste sieci testerów) naprawdę ważnymi dla banków i licencjonowanych firm fintech.

    Przeczytaj przewodnik →

  3. Poproś o wycenę audytu

    Przeczytaj nasz przewodnik dotyczący zlecania ręcznego audytu przez testerów z niepełnosprawnościami — czego wymagać, jaki budżet przewidzieć dla zaangażowania w sektorze instytucji finansowych i które platformy dysponują rzeczywistą siecią testerów, a które zlecają ją podwykonawcom.

    Przeczytaj przewodnik →