Rosnący udział chińskich samochodów na polskim rynku rodzi konkretne pytania o bezpieczeństwo danych i odporność systemów telematycznych; poniżej znajdziesz uporządkowaną analizę zagrożeń, dowody techniczne, reakcje państwowe i praktyczne rekomendacje dla kupujących oraz instytucji.

Zarys głównych punktów

  • udział 7% po 9 miesiącach 2025 i 10% w październiku 2025,
  • ryzyko gromadzenia danych i możliwości zdalnego sterowania oraz wykorzystania w działaniach wywiadowczych i cyberatakach,
  • testy w Norwegii i Danii potwierdzające podatność systemów i przykłady działań państw (Izrael, Polska),
  • rekomendacje: lokalne przechowywanie danych, certyfikacja, fizyczne wyłączniki telematyki i zaufane kanały aktualizacji.

Krótka odpowiedź dla czytelnika

Jak eksperci ds. cyberbezpieczeństwa oceniają chińskie auta w polskich salonach?

Eksperci wskazują na realne ryzyko związane z gromadzeniem danych i możliwością zdalnego przejęcia funkcji pojazdów. Testy techniczne przeprowadzone w krajach skandynawskich potwierdzają podatność niektórych systemów na nieautoryzowany dostęp. Polskie służby publiczne, w tym SKW, sformułowały wytyczne ograniczające użycie takich pojazdów w pobliżu obiektów wojskowych i infrastruktury krytycznej.

Skala i przyczyny popularności

Udział chińskich marek w sprzedaży w Polsce rośnie: po dziewięciu miesiącach 2025 r. to około 7%, a w październiku 2025 r. udział wzrósł do około 10%. Ten wzrost wynika głównie z czterech czynników: konkurencyjnej ceny, bogatego wyposażenia standardowego (często porównywalnego z droższymi markami), atrakcyjnych warunków gwarancyjnych oraz rosnącej dostępności modeli w salonach. W praktyce dotyczy to zarówno samochodów osobowych marek takich jak ORA, BYD i Zeekr, jak i pojazdów użytkowych i autobusów — przykładowo Yutong jest jednym z producentów autobusów obecnych na rynku europejskim.

Techniczne źródła ryzyka

Gromadzenie i przesyłanie danych

Nowoczesne pojazdy zbierają ogromne ilości informacji: lokalizację GPS, dzienniki tras, zapisy z kamer, nagrania dźwiękowe, telemetrię czujników oraz dane o urządzeniach podłączonych do samochodu. Dane te są użyteczne dla producentów do optymalizacji produktów, ale jeśli trafiają na zewnętrzne serwery, stwarzają ryzyko nieautoryzowanego dostępu. Przykład: producent Yutong deklaruje przechowywanie danych związanych z pojazdami eksploatowanymi w UE w centrum AWS we Frankfurcie, z szyfrowaniem i kontrolą dostępu, jednak deklaracja ta koliduje z wymogami niektórych przepisów krajowych w Chinach.

Zdalne sterowanie i ataki na systemy

Badania i praktyczne testy wykazały, że luki w oprogramowaniu i błędy integracji mogą umożliwić zdalny dostęp do funkcji pojazdu. Testy w Norwegii i Danii pokazały, że w pewnych warunkach możliwe jest nieautoryzowane wpływanie na oprogramowanie pojazdu, w tym na podsystemy odpowiedzialne za bezpieczeństwo. Skutkiem może być przejęcie kontroli nad elementami krytycznymi lub zakłócenie działania sensorów, co stanowi realne zagrożenie dla zdrowia i życia użytkowników.

Dwuwarstwowe zagrożenia: wywiad i cyberatak

Z punktu widzenia bezpieczeństwa rozróżnić należy dwa komplementarne typy zagrożeń. Z jednej strony istnieje aspekt wywiadowczy — gromadzenie i analiza danych o trasach, lokalizacjach oraz zwyczajach użytkowników może posłużyć do budowy profili i mapowania infrastruktury. Z drugiej strony stoją zagrożenia cybernetyczne, gdzie celem jest zakłócenie działania pojazdu, manipulacja sensorami lub przejęcie sterowania. Obie warstwy mogą działać równocześnie i wzmacniać swoje skutki.

Przykłady działań państwowych

Izrael

Izrael przyjął restrykcyjne środki już w 2025 r.: zakaz wjazdu chińskich pojazdów na bazy wojskowe wprowadzono w sierpniu 2025 r., a w decyzji strategicznej przewidziano usunięcie chińskich samochodów z użycia w armii do końca I kwartału 2026 r. Decyzje te opierają się na ocenie ryzyka wywiadowczego i cybernetycznego.

Polska

Polskie struktury bezpieczeństwa również zareagowały: SKW opublikowała wytyczne dotyczące ochrony obiektów wojskowych przed zagrożeniami wynikającymi z używania chińskich urządzeń, natomiast Sztab Generalny wskazał, że zaawansowana elektronika w pojazdach może zagrażać bezpieczeństwu informacji. Planowane i częściowo już wdrażane działania obejmują zakazy wjazdu chińskich aut na teren jednostek wojskowych oraz ograniczenia dla parkingów przyległych. ABW prowadzi rozpoznanie w sprawie potencjalnych zagrożeń, choć szczegóły pozostają niejawne.

Dane i przechowywanie — deklaracje producentów kontra prawo chińskie

Producent Yutong i inni deklarują lokalne centrum przetwarzania danych dla pojazdów eksploatowanych w UE (np. AWS Frankfurt) oraz stosowanie szyfrowania i kontroli dostępu. Jednak w Chinach obowiązują regulacje, które zobowiązują firmy do współpracy ze służbami bezpieczeństwa państwa i mogą ograniczać przekazywanie danych poza granice kraju. W praktyce oznacza to, że nawet jeśli dane technicznie przechowywane są w UE, pozostaje ryzyko prawne i organizacyjne dostępu do nich przez podmioty powiązane z producentem, który podlega chińskiemu prawu. To z kolei powoduje napięcie między deklaracjami prywatności a realnymi możliwościami ingerencji.

Rekomendacje ekspertów ds. cyberbezpieczeństwa

Eksperci rekomendują połączenie środków technicznych, organizacyjnych i regulacyjnych, aby zminimalizować ryzyko. W praktyce krytyczne są: przechowywanie danych użytkowników na serwerach w UE, niezależna certyfikacja i testy penetracyjne systemów telematycznych, wprowadzenie fizycznych mechanizmów wyłączania funkcji śledzenia (nie tylko opcji w menu), jawność protokołów komunikacyjnych umożliwiająca audyt API oraz mechanizmy aktualizacji oprogramowania oparte na cyfrowych podpisach i możliwości lokalnej instalacji. Eksperci podkreślają także istotę audytów prowadzonych przez niezależne jednostki oraz konieczność stosowania polityki „least privilege” w dostępie do danych.

Co mogą zrobić kupujący

Przed zakupem warto uzyskać od dealera pisemne informacje dotyczące polityki przetwarzania danych: gdzie przechowywane są dane, przez jaki czas, jakie mechanizmy wyłączające telematykę są dostępne i czy producent posiada certyfikaty bezpieczeństwa. Po zakupie praktyczne działania obejmują świadome wyłączanie niepotrzebnych funkcji łączności (np. śledzenia GPS, transmisji nagrań do chmury), stosowanie oddzielnych urządzeń mobilnych do łączności zamiast integrowania prywatnego telefonu z systemami auta oraz preferowanie modeli z przejrzystą polityką bezpieczeństwa i niezależnymi audytami. W przypadku instytucji i służb bezpieczeństwa rekomendowane są zakazy wjazdu lub wyznaczenie stref parkingowych poza terenem obiektów.

Ocena ryzyka: liczby i dowody

Dane rynkowe i wyniki testów technicznych tworzą obraz składający się z kilku elementów: udział chińskich aut w polskiej sprzedaży wzrósł do około 7% po 9 miesiącach 2025 r. i osiągnął około 10% w październiku 2025 r.; testy w Norwegii i Danii potwierdziły możliwość zdalnego dostępu do oprogramowania pojazdów; państwa takie jak Izrael podjęły decyzje o wycofaniu chińskich pojazdów z użycia wojskowego. Wszystkie te punkty razem wskazują, że problem ma zarówno skalę rynkową, jak i praktyczne potwierdzenie podatności technologicznych.

Aspekty prawne i regulacyjne w UE

W Unii Europejskiej obowiązują przepisy RODO dotyczące przetwarzania danych osobowych, lecz nie regulują one wprost specyfiki telematyki i bezpieczeństwa systemów pojazdów. Dlatego eksperci i analitycy, w tym OSW, proponują uzupełnienia regulacyjne: obowiązek przechowywania danych kierowców na serwerach na terenie UE, wymóg certyfikacji bezpieczeństwa dla systemów komunikacyjnych w autach oraz testy penetracyjne i audyty zgodności. Implementacja takich regulacji wymaga współpracy na poziomie europejskim, ponieważ separatyczne rozwiązania krajowe mogłyby ograniczyć swobodę rynku i skomplikować handel.

Konkretny plan kontroli ryzyka w organizacjach

Organizacje powinny rozpocząć od inwentaryzacji floty i identyfikacji pojazdów z funkcjami łączności oraz ich sposobów łączenia z chmurą. Kolejne kroki to ograniczenie dostępu do wrażliwych obszarów przez zakazy wjazdu lub wyznaczenie stref parkingowych poza terenem obiektu, wdrożenie procedur aktualizacji i audytu oprogramowania (w tym kontroli cyfrowych podpisów), oraz szkolenia personelu w zakresie wykrywania anomalii telematycznych i reakcji na incydenty. Regularne testy penetracyjne i współpraca z niezależnymi audytorami podnoszą odporność systemu.

Wnioski techniczne dla producentów i regulatorów

Producentom zaleca się transparentność w przetwarzaniu danych, stosowanie mechanizmów umożliwiających fizyczną kontrolę nad telematyką oraz wdrażanie rygorystycznych procesów aktualizacji i audytu bezpieczeństwa. Regulatorzy powinni dążyć do ujednolicenia wymogów dotyczących miejsca przechowywania danych oraz do wprowadzenia obowiązkowych testów bezpieczeństwa dla systemów łączności w pojazdach użytkowanych na terenie UE.

Źródła dowodów i badań

Analiza opiera się na raportach i dokumentach opublikowanych w 2025 r.: wytyczne SKW, analizy Sztabu Generalnego, testy przeprowadzone w Norwegii i Danii dowodzące podatności systemów, dane sprzedażowe z 2025 r. (7% po 9 miesiącach; 10% w październiku 2025), oraz decyzje państwowe, jak ustalenia Izraela dotyczące wycofania chińskich pojazdów z armii do końca I kwartału 2026 r. Eksperci zwracają również uwagę, że podobne zagrożenia dotyczą wszystkich inteligentnych pojazdów, niezależnie od kraju pochodzenia, dlatego rozwiązania powinny być uniwersalne i technologicznie neutralne.

POWIĄZANE ARTYKUŁYWIĘCEJ OD AUTORA