Poniższa lista to procedura „zatrzymaj i sprawdź” — do użycia zawsze, gdy kwota jest istotna albo gdy ktoś próbuje przyspieszyć Państwa decyzję.

Zasada bazowa (zanim w ogóle Państwo zaczną)

Jeśli kwota „boli” albo ktoś Państwa pogania — proszę zrobić pauzę na 2 minuty. To wystarcza, by przerwać presję i wrócić do trybu weryfikacji. Oszuści „żyją” z pośpiechu.

Komentarz ekspercki: Najlepszy bezpiecznik to nie kolejna aplikacja, tylko stała reguła operacyjna: pauza + drugi kanał potwierdzenia.

13 pytań przed kliknięciem „Wyślij”

Prosta reguła: jeśli na choć jedno pytanie odpowiedź brzmi „nie wiem” — przelew proszę wstrzymać i wrócić do weryfikacji.

Część I: Kontekst i urządzenie (1–3)

Typowy scenariusz: „Pilna płatność”, link w SMS lub e-mailu, działanie na autopilocie w drodze / w stresie.

  1. Czy mam 2 minuty spokoju?

    Jeśli ktoś dzwoni i naciska („natychmiast”, „ostatnia szansa”), to czerwona flaga. Proszę się rozłączyć i oddzwonić samodzielnie na numer z umowy / oficjalnej strony / aplikacji.

  2. Czy jestem na swoim urządzeniu i w bezpiecznych warunkach?

    Cudzy komputer = ryzyko. Pośpiech = ryzyko. Publiczne Wi-Fi samo w sobie nie „kradnie przelewu”, ale zwiększa skłonność do błędów (np. logowanie przez link, pomyłki w danych, brak weryfikacji).

  3. Czy wchodzę do banku „po swojemu”?

    Proszę korzystać z aplikacji banku lub ręcznie wpisanego adresu. Nie z linku w SMS/mailu. Linki to klasyczny wektor phishingu.

Komentarz ekspercki: Jeśli „coś się dzieje tu i teraz”, to najczęściej dokładnie o to chodzi. Bank i firma mogą poczekać 120 sekund — oszust nie chce.

Część II: Odbiorca i rachunek (4–9)

Typowy scenariusz: „Zmiana rachunku na fakturze”, przejęta skrzynka e-mail kontrahenta, podmienione dane w korespondencji.

  1. Czy potwierdziłem rachunek drugim kanałem?

    Proszę zadzwonić do firmy/kontrahenta na numer wzięty z umowy, panelu klienta lub oficjalnej strony. Nie na numer z wiadomości z prośbą o płatność.

  2. Skąd mam numer rachunku?

    Umowa / panel klienta / wcześniejsza faktura = zwykle OK. „Nowy e-mail z aktualizacją konta” = STOP i weryfikacja.

  3. Czy nazwa odbiorcy i sens transakcji się zgadzają?

    W praktyce decyduje numer rachunku, ale niespójność w nazwie/opisie to sygnał ostrzegawczy, że warto wrócić do weryfikacji danych.

  4. Czy to nie jest „zmiana rachunku w ostatniej chwili”?

    Jeśli rachunek „nagle” się zmienił — proszę założyć, że to ryzyko i potwierdzić drugim kanałem. Bez wyjątków.

  5. Czy kwota i waluta zgadzają się co do grosza?

    Proszę sprawdzić zera i walutę. Błędy typu 50 000 zamiast 5 000 zdarzają się częściej niż ataki „hakerskie”.

  6. (Firmy) Czy przy transakcji > 15 000 zł brutto rachunek jest na Białej Liście VAT (na dzień zlecenia)?

    To kwestia bezpieczeństwa i konsekwencji podatkowych. Proszę zachować dowód weryfikacji (PDF/screenshot z datą).

Komentarz ekspercki: Najprostsza procedura przy nowym odbiorcy i dużej kwocie: porównać rachunek znak po znaku (zwłaszcza końcówkę), a następnie potwierdzić go telefonicznie z numeru pozyskanego niezależnie od wiadomości o płatności.

Część III: Autoryzacja i zabezpieczenia (10–13)

Typowy scenariusz: „Konsultant” prowadzi przez aplikację, prosi o zatwierdzanie krok po kroku, czasem o instalację zdalnego pulpitu.

  1. Czy czytam dane w ekranie autoryzacji?

    Proszę świadomie sprawdzić: kwota + rachunek + odbiorca. To ostatni checkpoint.

  2. Czy mam sensowne limity transakcji?

    Limity dzienne i limity pojedynczej transakcji mają ograniczać skutki jednego błędu. Warto je ustawić „pod życie”.

  3. Czy nie instaluję żadnej „aplikacji do weryfikacji” / zdalnego pulpitu?

    Jeśli ktoś prosi o narzędzia typu zdalny pulpit lub „certyfikat bezpieczeństwa” — proszę założyć próbę wyłudzenia i przerwać kontakt.

  4. Czy nikt nie prowadzi mnie głosowo przez przelew?

    „Teraz kliknij… teraz zatwierdź…” to czerwony alarm. Proszę się rozłączyć i oddzwonić na oficjalny numer banku.

Uwaga (2026): Proszę zakładać, że głos w słuchawce może być syntetyczny (deepfake audio) — nawet jeśli brzmi „znajomo”. Dlatego kluczowy jest drugi kanał: rozłączyć się i oddzwonić samodzielnie.

Komentarz ekspercki: Ekran autoryzacji nie jest formalnością. To kontrola jakości. 10 sekund „wolniej” bywa warte dziesiątki tysięcy złotych.

Dla firm: Biała Lista VAT i ZAW-NR

Jeśli płatność B2B przekracza 15 000 zł brutto, dobrą praktyką jest sprawdzenie rachunku kontrahenta w wykazie podatników VAT („Biała Lista”) na dzień zlecenia przelewu oraz zachowanie dowodu weryfikacji.

  • Płatność na rachunek spoza wykazu może wiązać się z negatywnymi konsekwencjami (m.in. w VAT i kosztach podatkowych), zależnie od okoliczności transakcji.
  • Jeśli przelew poszedł na rachunek spoza wykazu, „bezpiecznikiem” bywa zgłoszenie ZAW-NR w terminie 7 dni (warto zawsze sprawdzić aktualne zasady).

Źródła: informacje o wykazie VAT oraz ZAW-NR dostępne są w serwisach administracji skarbowej: gov.pl (KAS — wykaz), podatki.gov.pl (ZAW-NR).

Czerwone flagi: kiedy natychmiast przerwać i weryfikować

Jeśli pojawia się choć jeden sygnał — STOP i weryfikacja drugim kanałem:

  • Presja czasu: „natychmiast”, „ostatnia szansa”, „konto zostanie zablokowane”.
  • „Zmieniliśmy rachunek”, „konto tymczasowe”, „konto w weryfikacji”.
  • Link do „potwierdzenia płatności” / „dopłaty” / „weryfikacji” prowadzący poza bank.
  • Ktoś prowadzi przez autoryzację krok po kroku.
  • Prośba o instalację aplikacji „pomocniczej”, zdalnego pulpitu lub „certyfikatu”.

Reguła drugiego kanału: proszę się rozłączyć i oddzwonić na numer z umowy/karty/aplikacji. Nie z wyszukiwarki i nie z wiadomości.

Dodatkowe materiały o schematach „fałszywy konsultant”: CERT Polska.

SORBNET/SORBNET2: gdy kwota jest naprawdę duża (np. zakup nieruchomości)

Przy bardzo dużych kwotach (np. rozliczenia nieruchomości lub wysokie rozliczenia firmowe) warto rozważyć przelew w trybie SORBNET (rozliczany w systemie SORBNET2, RTGS — w czasie rzeczywistym w dniu operacyjnym). Zwykle jest droższy niż standardowy ELIXIR, ale skraca oczekiwanie na zaksięgowanie.

  • Działa w dni robocze; banki mają własne godziny graniczne przyjmowania zleceń.
  • Opłata zależy od taryfy banku (warto sprawdzić z wyprzedzeniem).
  • Ma sens, gdy potrzebują Państwo potwierdzenia „na czas” (np. u notariusza).

Źródło techniczne: zasady funkcjonowania SORBNET2 (NBP): NBP (PDF).

„Mały przelew testowy” – kiedy ma sens

Przy nowym odbiorcy i bardzo dużej kwocie czasem warto wysłać symboliczną kwotę (np. 1–10 zł) i potwierdzić wpływ niezależnym kanałem, a dopiero potem zlecić właściwy przelew. To nie zastępuje weryfikacji rachunku, ale ogranicza ryzyko literówki.

Plan SOS: jeśli przelew poszedł i pojawia się podejrzenie oszustwa

Pierwsze 15 minut ma znaczenie. Proszę działać w tej kolejności:

  1. Natychmiast kontakt z bankiem — numer z aplikacji/karty lub zapisany w telefonie (nie z SMS-a i nie z wyszukiwarki).
  2. Jeśli w grę wchodziła socjotechnika (telefon/link/zdalny pulpit): proszę zabezpieczyć dostęp (zmiana haseł, blokada kanałów, przegląd metod autoryzacji — zgodnie z procedurą banku).
  3. Proszę zabezpieczyć dowody: screeny SMS, e-maile, numery telefonów, linki, opis przebiegu zdarzenia.

Komentarz ekspercki: Warto mieć zapisany oficjalny numer infolinii banku w kontaktach („BANK — ALARM”). W stresie łatwo wejść w fałszywą reklamę lub podrobić numer.

Materiał edukacyjny. Szczegóły procedur (limity, tryby przelewów, godziny graniczne) zależą od banku i konkretnej sytuacji. W sprawach podatkowych proszę zawsze weryfikować aktualne zasady w oficjalnych źródłach.