Bankers Blanket Bond (BBB) to specjalistyczna polisa all-risks dla instytucji finansowych: banków komercyjnych, spółdzielczych i domów maklerskich. Chroni przed stratami ze sprzeniewierzenia pracowników, utraty gotówki i walorów, fałszerstwa dokumentów oraz przyjęcia fałszywych pieniędzy. W Polsce stać na nią ok. 30–50 instytucji.

To nie Better Business Bureau ani blok serca RBBB. W ubezpieczeniach BBB oznacza wyłącznie Bankers Blanket Bond. Według analiz branżowych większość strat z tytułu fraudów w bankach pochodzi od własnych pracowników, nie z zewnątrz. To dokładnie ryzyko, dla którego stworzono ten produkt.

BBB należy do najbardziej niszowych polis na rynku. Jedyny pogłębiony polski materiał o nim pochodził z 2001 roku, na długo przed DORA, fintechami i masową cyberprzestępczością. Ten przewodnik wypełnia tę lukę: wyjaśnia, czym jest BBB, co obejmuje, ile wynoszą sumy i franszyzy, czym różni się od cyber i D&O oraz co mówi Rekomendacja M KNF.

Najważniejsze informacje

  • BBB (Bankers Blanket Bond) to polisa all-risks chroniąca instytucje finansowe przed przestępstwami wobec aktywów.
  • Rdzeń ochrony stanowi sprzeniewierzenie pracownika — ryzyko wewnętrzne, nie zewnętrzne.
  • Suma ubezpieczenia sięga od 1 mln zł w polisach modułowych do 200 mln USD dla największych banków.
  • Franszyza własna w klasycznych polisach wynosi od ok. 100 tys. do 10 mln USD.
  • Bez klauzuli Electronic Computer Crime (ECC) polisa nie pokryje cyberataków ani phishingu.
  • Rekomendacja M KNF wskazuje BBB jako narzędzie ograniczania ryzyka operacyjnego — brak polisy trudno obronić przed nadzorem.
  • Modułowe polisy crime obniżyły próg wejścia — z ochrony korzystają już fintechy, SKOK-i i instytucje płatnicze.

Czym jest Bankers Blanket Bond (BBB)?

Bankers Blanket Bond (BBB) to polisa all-risks chroniąca instytucje finansowe przed sprzeniewierzeniem pracowników, fałszerstwem dokumentów i utratą walorów. Polska Izba Ubezpieczeń definiuje ją jako ubezpieczenie wszystkich ryzyk bankowych, którego rdzeniem jest ochrona przed nieuczciwością pracownika. Dla menedżera ryzyka wniosek jest jeden: największe zagrożenie często siedzi wewnątrz organizacji.

Definicja

Kompleksowa polisa all-risks dla instytucji finansowych, chroniąca przede wszystkim przed stratami ze sprzeniewierzenia i nieuczciwości pracowników, a dodatkowo przed utratą walorów, fałszerstwem dokumentów i przyjęciem fałszywych pieniędzy. Definicja zgodna ze Słownikiem pojęć Polskiej Izby Ubezpieczeń.

Słowo „blanket” znaczy „kocowy” — polisa jednym pakietem przykrywa wiele ryzyk. Konstrukcja all-risks działa odwrotnie niż typowa polisa wymieniająca pojedyncze zdarzenia: chronione jest wszystko, co nie zostało wprost wyłączone. W polskim systemie BBB klasyfikuje się w Dziale II, Grupie 16 (ubezpieczenia różnych ryzyk finansowych) ustawy o działalności ubezpieczeniowej i reasekuracyjnej. To z kolei wyznacza ramy nadzoru KNF nad zakładem oferującym produkt.

Kluczowe informacje
  • BBB to nie „ubezpieczenie banku w ogóle”, lecz polisa typu crime/fidelity skoncentrowana na nieuczciwości i przestępstwie wobec aktywów
  • Rdzeń ochrony to sprzeniewierzenie pracownika — ryzyko wewnętrzne, nie zewnętrzne
  • Realnie produkt dostępny dla ok. 30–50 instytucji w Polsce; dawniej domena największych banków, dziś dzięki polisom modułowym także mniejszych podmiotów
Warto wiedzieć

Standard wywodzi się z rynku anglosaskiego (formularz Bankers Blanket Bond). Stąd angielska nazwa i klauzulowa budowa polisy stosowana w Polsce do dziś.

Co obejmuje polisa BBB? Zakres ochrony i klauzule rozszerzające

Polisa BBB stoi na czterech filarach ryzyka: nieuczciwość pracowników, utrata gotówki w transporcie, fałszerstwo dokumentów i weksli oraz przyjęcie fałszywych pieniędzy. To zamknięty katalog. Menedżer ryzyka powinien zmapować go na własne procesy: kasę, rozliczenia, transport walorów, obieg dokumentów.

Pierwszy filar, sprzeniewierzenie i nieuczciwość pracowników, pokrywa straty, gdy ktoś z wewnątrz wyprowadza aktywa instytucji. Drugi to utrata gotówki i walorów w siedzibie lub w transporcie. Trzeci obejmuje fałszerstwo dokumentów, weksli i papierów wartościowych. Czwarty — przyjęcie fałszywych pieniędzy lub czeków. Do tego dochodzą klauzule rozszerzające: Electronic/Computer Crime (ECC) na przestępstwa komputerowe, Plastic Card na ryzyka kart płatniczych, Professional Indemnity na odpowiedzialność zawodową oraz Unauthorised Trading na nieautoryzowany trading. Tymi modułami dopasowuje się polisę do profilu instytucji.

Lista kontrolna
  • Nieuczciwość i sprzeniewierzenie pracowników (rdzeń standardu)
  • Utrata gotówki i walorów w siedzibie oraz w transporcie
  • Fałszerstwo dokumentów, weksli i papierów wartościowych
  • Przyjęcie fałszywych pieniędzy lub czeków
  • Electronic/Computer Crime (ECC) — dokupowana klauzula
  • Plastic Card — ryzyka kart płatniczych
  • Professional Indemnity oraz Unauthorised Trading — rozszerzenia profilowe

BBB działa w formule discovery: pokrywa szkody odkryte po raz pierwszy w okresie ubezpieczenia (zwykle 12 miesięcy), niezależnie od momentu, w którym nieuczciwość faktycznie się rozpoczęła. To różni ją od polis działających na zdarzenie. Mechanika wyzwalania ochrony przesądza tu o wszystkim (zobacz pojęcia trigger ubezpieczeniowy i claims-made). Typowe wyłączenia: szkody z działań samego zarządu, straty czysto pośrednie i wizerunkowe oraz część ryzyk cyber bez wykupionej klauzuli ECC.

Kluczowe informacje
  • BBB chroni przed przestępstwem i nieuczciwością wobec aktywów — nie zastępuje cyber ani D&O
  • Granice ochrony wyznaczają wykupione klauzule i lista wyłączeń
  • Formuła discovery decyduje, czy szkoda kwalifikuje się do likwidacji

Ile kosztuje BBB? Sumy ubezpieczenia, franszyza i czynniki składki

Suma ubezpieczenia BBB w Polsce sięga od 1 mln zł w polisach modułowych do 200 mln USD dla największych banków. Składki nie znajdziesz w żadnym publicznym cenniku — jest negocjowana indywidualnie i ubezpieczyciele jej nie ujawniają. Każda „stawka” podana bez wyceny jest nierzetelna. Realnym punktem odniesienia są więc suma ubezpieczenia i franszyza, nie cena.

1–65 mln zł / 5–200 mln USD
suma ubezpieczenia BBB (polisy modułowe / klasyczne BBB na zdarzenie)
Źródło: Dane rynkowe 2025/2026

Franszyza własna w klasycznych polisach mieści się w przedziale od ok. 100 tys. do nawet 10 mln USD. Wartości należy traktować jako rzędy wielkości, nie sztywne stawki.

Franszyza własna to świadoma decyzja o retencji ryzyka. Wysoki udział własny obniża składkę, ale drobniejsze sprzeniewierzenia bank pokrywa wtedy sam. Polisa nie jest narzędziem do każdej szkody. O wysokości składki decyduje profil ryzyka: wielkość instytucji i liczba oddziałów, liczba i rotacja pracowników, wolumen transakcji i gotówki, historia szkodowości oraz jakość kontroli wewnętrznej. Czysta historia i dobre procedury realnie obniżają cenę.

Porównanie
ParametrPolisa modułowa (mniejsza instytucja)Klasyczne BBB (duży bank)
Suma na zdarzenie1–65 mln zł5–200 mln USD
Franszyza własnaniższa, dopasowana do skali100 tys.–10 mln USD
Okres12 miesięcy12 miesięcy
Formuładiscoverydiscovery

Polisę zawiera się zwykle na 12 miesięcy w formule discovery. To rzutuje na ciągłość ochrony przy zmianie ubezpieczyciela: przerwa między umowami tworzy lukę dla szkód odkrytych już po zakończeniu poprzedniej polisy.

Kluczowe informacje
  • O koszcie BBB decyduje profil ryzyka, nie cennik
  • Jakość kontroli wewnętrznej i historia szkodowości to dźwignie składki, którymi instytucja realnie steruje
  • Wysoka franszyza = niższa składka, ale większa retencja drobnych strat

BBB vs ubezpieczenie cyber vs D&O — jak zbudować pakiet ochrony instytucji finansowej

BBB chroni przed przestępstwem i sprzeniewierzeniem, cyber przed atakami IT, a D&O przed odpowiedzialnością zarządu. To produkty komplementarne, nie zamienne. BBB odpowiada za nieuczciwość wobec aktywów (sprzeniewierzenie, fałszerstwo, utrata walorów). Ubezpieczenie cyber obejmuje incydenty IT, naruszenia danych i przerwy w działaniu. Ubezpieczenie D&O odpowiada za roszczenia wobec członków zarządu i rady. Trzy różne ryzyka, trzy różne polisy.

Największa pułapka leży na styku BBB i cyber. Cyberatak prowadzący do kradzieży środków wpada w BBB tylko z klauzulą Electronic Computer Crime. Bez niej powstaje luka, którą trzeba świadomie domknąć: albo rozszerzeniem ECC, albo komplementarną polisą cyber. Pakiet uzupełnia OC zawodowe (Professional Indemnity), które pokrywa roszczenia klientów z tytułu błędów w usługach finansowych — obszar poza zakresem BBB. Razem tworzą spójną architekturę Financial Lines. Kontekst nieuczciwości pracowniczej domyka temat fraudu ubezpieczeniowego.

Porównanie
ProduktCo chroniKluczowy triggerPriorytet dla
BBBAktywa przed sprzeniewierzeniem, fałszerstwem, utratą walorówOdkrycie szkody (discovery)Zarząd, ryzyko operacyjne
CyberSystemy IT, dane, ciągłość działaniaIncydent IT / naruszenie danychIT, bezpieczeństwo
D&OOdpowiedzialność członków zarządu i radyRoszczenie wobec osobyCzłonkowie organów
PIBłędy w usługach finansowych wobec klientówRoszczenie klientaDziałalność doradcza

Decyzja zakupowa zaczyna się od mapy ryzyk instytucji: fraud wewnętrzny, IT, odpowiedzialność zarządu, błąd zawodowy. Dopiero potem dobiera się polisy tak, by zakresy się uzupełniały, a nie dublowały.

Kluczowe informacje
  • BBB, cyber, D&O i PI są komplementarne — optymalny pakiet powstaje z mapy ryzyk, nie z wyboru jednej najlepszej polisy
  • Klauzula ECC to most między światem fraudu a cyber
Warto wiedzieć

Bez klauzuli ECC w BBB dwie polisy — BBB i cyber — mogą „minąć się” przy jednym zdarzeniu: cyber wskaże na ryzyko fraudu, BBB na brak rozszerzenia komputerowego.

BBB w polskim systemie nadzoru — Rekomendacja M, Prawo bankowe i DORA

BBB nie jest ubezpieczeniem obowiązkowym, ale Rekomendacja M KNF wskazuje je jako instrument ograniczania ryzyka operacyjnego banku. Żadna ustawa nie nakazuje bankowi posiadania tej polisy. Bywa to mylnie odczytywane jako „niepotrzebne”.

Rekomendacja M KNF (uchwała z 8 stycznia 2013) wprost wymienia ubezpieczenie jako narzędzie ograniczania ryzyka operacyjnego i oczekuje, że bank oceni jego skuteczność. W praktyce czyni to BBB elementem dobrze zarządzanego systemu ryzyka, a jego brak staje się trudny do uzasadnienia przed nadzorem. Prawo bankowe (tekst jednolity Dz.U. 2026 poz. 38) nakłada obowiązek zarządzania ryzykiem operacyjnym — to rama, w której zarząd decyduje o transferze ryzyka do ubezpieczyciela. DORA (Rozporządzenie UE 2022/2554, stosowane od 17 stycznia 2025) podnosi wymogi odporności operacyjnej cyfrowej i wzmacnia rolę klauzul cyber/ECC obok klasycznego BBB.

Kluczowe informacje
  • BBB nie jest obowiązkowe, ale w świetle Rekomendacji M i wymogów zarządzania ryzykiem operacyjnym jego brak trudno obronić przed nadzorem
  • Decyzja o BBB to decyzja zarządu o transferze ryzyka operacyjnego

Krąg podmiotów wykracza poza klasyczne banki. Domy maklerskie, instytucje płatnicze z licencją KNF, SKOK-i i fintechy mają analogiczne ryzyka fraudu pracowniczego i przestępstw komputerowych. Coraz częściej sięgają po modułowe polisy crime będące odpowiednikiem BBB.

Warto wiedzieć

Fintech, instytucja płatnicza i SKOK mają te same ryzyka co bank: nieuczciwość pracownika i przestępstwo komputerowe. Modułowe polisy crime pełnią dla nich funkcję BBB i obniżyły próg wejścia.

Najczęstsze błędy i nieporozumienia wokół BBB

Klasyczna polisa BBB nie obejmuje nowoczesnych cyberataków bez rozszerzenia Electronic Computer Crime. To najczęstsze i najkosztowniejsze nieporozumienie menedżerów ryzyka. Bank zakłada, że BBB pokryje atak na systemy, a bez klauzuli ECC zostaje z luką między BBB a polisą cyber.

Drugi błąd to ignorowanie formuły discovery. Instytucja zakłada ochronę „na zdarzenie”, a BBB pokrywa szkody odkryte w okresie ubezpieczenia. Przerwa między polisami tworzy ryzyko luki dla wcześniejszych, niewykrytych sprzeniewierzeń. Trzeci to niedoszacowanie franszyzy własnej — udział rzędu kilkuset tysięcy USD oznacza, że drobniejsze straty bank ponosi sam. Czwarty: założenie, że mały bank, SKOK czy fintech „nie kwalifikuje się”. Modułowe polisy crime obniżyły próg wejścia, a pominięcie tematu zostawia zarząd z osobistą ekspozycją w świetle Rekomendacji M. Piąty — traktowanie BBB jako formalności bez mapy procesów. Bez powiązania zakresu z realnymi punktami ryzyka (kasa, rozliczenia, dostęp do systemów) polisa działa na papierze, nie w rzeczywistości.

Przykład z praktyki

Sprzeniewierzenie w dziale rozliczeń (scenariusz ilustracyjny)

Scenariusz: pracownik działu rozliczeń przez kilkanaście miesięcy wyprowadza środki, korzystając z luki w kontroli wewnętrznej. Bez BBB: całość straty oraz odpowiedzialność za zarządzanie ryzykiem pozostaje po stronie instytucji i zarządu. Z BBB (formuła discovery): szkoda odkryta w okresie ubezpieczenia kwalifikuje się do likwidacji po przekroczeniu franszyzy własnej — instytucja odzyskuje większość straty.

Kluczowe informacje
  • BBB chroni realnie tylko wtedy, gdy zakres, klauzule (ECC) i franszyza są dopasowane do mapy ryzyk instytucji
  • Polisa kupiona „kopiuj-wklej” działa na papierze, nie w rzeczywistości
  • Formuła discovery wymaga ciągłości ochrony przy zmianie ubezpieczyciela

BBB to nie cennikowy produkt z półki, lecz polisa negocjowana pod profil ryzyka konkretnej instytucji. O tym, czy zadziała w razie szkody, decydują trzy rzeczy: dopasowana suma i franszyza, świadomie wykupione klauzule (przede wszystkim ECC) oraz powiązanie zakresu z realną mapą procesów — kasą, rozliczeniami, dostępem do systemów. W świetle Rekomendacji M KNF i wymogów zarządzania ryzykiem operacyjnym brak takiej ochrony jest dziś trudny do obronienia przed nadzorem, a fintechy, SKOK-i i instytucje płatnicze mają te same ryzyka co klasyczny bank.

Najwięcej daje spojrzenie na BBB, cyber, D&O i PI razem — jako spójną architekturę Financial Lines, w której zakresy się uzupełniają, a nie dublują.

Sprawdź ofertę

Porozmawiajmy — bezpłatna konsultacja dla instytucji finansowych. Przeanalizujemy zakres polisy, klauzule i franszyzę za Ciebie i pokażemy, gdzie powstaje luka między BBB a ochroną cyber.

Kluczowe informacje do zapamiętania

  • Bankers Blanket Bond koncentruje się na ryzyku wewnętrznym — nieuczciwości własnych pracowników wobec aktywów instytucji.
  • Brak klauzuli ECC tworzy lukę ochronną: jeden incydent może nie kwalifikować się ani do BBB, ani do polisy cyber.
  • Polisa nie figuruje w żadnym cenniku — koszt i zakres wynikają wyłącznie z indywidualnego profilu ryzyka instytucji.
  • Rekomendacja M KNF i wymogi zarządzania ryzykiem operacyjnym sprawiają, że decyzja o rezygnacji z BBB wymaga uzasadnienia przed nadzorem.
  • Fintechy, SKOK-i i instytucje płatnicze mają te same ryzyka co klasyczne banki i mogą korzystać z modułowych polis crime jako odpowiednika BBB.
  • Optymalna ochrona Financial Lines łączy BBB, cyber, D&O i PI — zakresy powinny się uzupełniać, a nie wzajemnie wykluczać.

Najczęściej zadawane pytania

Co oznacza skrót BBB w ubezpieczeniach?

W ubezpieczeniach BBB oznacza wyłącznie Bankers Blanket Bond — kompleksową polisę all-risks dla instytucji finansowych. Chroni przed stratami ze sprzeniewierzenia pracowników, utratą gotówki i walorów, fałszerstwem dokumentów oraz przyjęciem fałszywych pieniędzy. Nazwa i klauzulowa budowa polisy wywodzą się z rynku anglosaskiego i do dziś stosowane są w Polsce.

Czy BBB jest ubezpieczeniem obowiązkowym dla banków?

BBB nie jest ubezpieczeniem obowiązkowym — żadna ustawa nie nakazuje bankom jego posiadania. Rekomendacja M KNF z 8 stycznia 2013 r. wprost wymienia jednak ubezpieczenie jako narzędzie ograniczania ryzyka operacyjnego i oczekuje, że bank oceni jego skuteczność. W praktyce brak polisy jest trudny do uzasadnienia przed nadzorem, a decyzja o transferze ryzyka spoczywa na zarządzie instytucji.

Czym różni się BBB od ubezpieczenia cyber?

BBB chroni aktywa instytucji przed sprzeniewierzeniem, fałszerstwem i utratą walorów — jego osią jest ryzyko nieuczciwości pracowniczej i przestępstw wobec aktywów. Ubezpieczenie cyber obejmuje natomiast incydenty IT, naruszenia danych i przerwy w działaniu systemów. Oba produkty są komplementarne, nie zamienne — największa pułapka leży na ich styku: cyberatak prowadzący do kradzieży środków kwalifikuje się do BBB wyłącznie wtedy, gdy polisa zawiera klauzulę Electronic Computer Crime (ECC).

Czy fintech, SKOK lub instytucja płatnicza może kupić BBB?

Tak. Klasyczne BBB było historycznie dostępne dla ok. 30–50 największych instytucji w Polsce, ale modułowe polisy crime pełnią dla fintechów, SKOK-ów i instytucji płatniczych analogiczną funkcję i znacząco obniżyły próg wejścia. Podmioty te mają te same ryzyka co klasyczny bank — nieuczciwość pracownika i przestępstwo komputerowe — dlatego coraz częściej po taką ochronę sięgają.

Ile kosztuje polisa BBB?

Składki BBB nie ma w żadnym publicznym cenniku — jest negocjowana indywidualnie i nieujawniana przez ubezpieczycieli. O jej wysokości decyduje profil ryzyka: wielkość instytucji, liczba pracowników i ich rotacja, wolumen transakcji i gotówki, historia szkodowości oraz jakość kontroli wewnętrznej. Czysta historia i dobre procedury to realna dźwignia obniżająca cenę, a wysoka franszyza własna redukuje składkę kosztem większej retencji drobnych strat.

Kto pokrywa straty banku w przypadku sprzeniewierzenia przez pracownika?

Bez BBB całość straty oraz odpowiedzialność za zarządzanie ryzykiem operacyjnym spoczywa po stronie instytucji i jej zarządu. Polisa BBB w formule discovery pozwala objąć szkodę odkrytą w okresie ubezpieczenia — niezależnie od tego, kiedy nieuczciwość faktycznie się zaczęła — i po przekroczeniu franszyzy własnej odzyskać większość straty od ubezpieczyciela. Franszyza w klasycznych polisach wynosi od ok. 100 tys. do nawet 10 mln USD, więc drobniejsze incydenty instytucja pokrywa samodzielnie.

Czy BBB obejmuje cyberataki i phishing?

Klasyczne BBB bez klauzuli Electronic Computer Crime (ECC) nie pokrywa nowoczesnych cyberataków ani phishingu wymierzonego w systemy banku. ECC to dokupywane rozszerzenie, które stanowi most między ochroną przed fraudem a ryzykami cyfrowymi. Bez niej przy jednym incydencie może dojść do sytuacji, w której polisa cyber wskaże na ryzyko fraudu, a BBB na brak rozszerzenia komputerowego — i instytucja nie otrzyma wypłaty z żadnej z nich.