Najważniejsze w pigułce
  • Bank nigdy nie poprosi Cię o podanie pełnego hasła, kodu BLIK, kodu autoryzacyjnego z SMS/aplikacji ani o instalację oprogramowania do zdalnego pulpitu (AnyDesk, TeamViewer).
  • Nie klikaj w linki przesyłane w wiadomościach SMS i e-mail od rzekomych banków, kurierów czy urzędów. Adres logowania wpisuj zawsze ręcznie.
  • Przed zatwierdzeniem operacji w aplikacji mobilnej zawsze dokładnie sprawdź kwotę oraz dane odbiorcy. Oszuści liczą na Twoje odruchowe kliknięcie „Potwierdź”.
  • Jeśli padłeś ofiarą przestępstwa, w pierwszej kolejności zadzwoń na infolinię swojego banku, aby zablokować dostęp do konta. Dopiero potem zgłoś sprawę na Policję.
  • Za nieautoryzowane transakcje płatnicze bank co do zasady ponosi odpowiedzialność i musi zwrócić środki – wyjątkiem jest sytuacja, gdy wykaże Twoje rażące niedbalstwo.

Współczesne oszustwa na koncie bankowym rzadko opierają się na zaawansowanym „włamaniu” do systemów bezpieczeństwa instytucji finansowych. Przestępcy przenieśli środek ciężkości na najsłabsze ogniwo całego łańcucha — człowieka. Wykorzystując socjotechnikę, podszywają się pod doradców bankowych, firmy kurierskie czy organy państwowe, manipulacją zmuszając ofiarę do samodzielnego ujawnienia danych lub zatwierdzenia przelewu. Statystyki CERT Polska jednoznacznie wskazują, że fałszywe SMS-y oraz podrobione strony logowania stanowią od lat najliczniejszą grupę zgłaszanych incydentów. Na szczęście wyrobienie kilku prostych nawyków pozwala skutecznie zablokować większość ataków. Z tego poradnika dowiesz się, jak rozpoznać oszustwo internetowe, skutecznie zabezpieczyć swoje oszczędności oraz jak odzyskać pieniądze skradzione z konta.

Phishing, vishing i smishing — czym się różnią?

Wszystkie te metody klasyfikowane są jako techniki manipulacji (socjotechnika). Ich nadrzędnym celem jest uśpienie czujności ofiary, a główna różnica polega na wykorzystywanym kanale komunikacji:

Metoda oszustwa Kanał kontaktu Typowy scenariusz ataku Główny cel oszusta
Phishing Wiadomości e-mail, fałszywe witryny WWW „Twoje konto zostało zablokowane z przyczyn bezpieczeństwa — zaloguj się natychmiast, aby przywrócić dostęp”. Przejęcie loginu, hasła oraz kodu autoryzacyjnego do bankowości.
Smishing Wiadomości SMS „Wymagana dopłata 1,80 zł do paczki / rachunku za energię elektryczną, w przeciwnym razie usługa zostanie wstrzymana”. Wycofanie danych karty płatniczej lub danych logowania przez fałszywą bramkę płatności.
Vishing Połączenie telefoniczne (głosowe) „Dzwonię z działu bezpieczeństwa banku / Komendy Policji. Ktoś próbuje wyprowadzić środki z Pana konta, musimy je zabezpieczyć”. Wyłudzenie kodów autoryzacyjnych, nakłonienie do instalacji zdalnego pulpitu lub wykonania przelewu.

Warto pamiętać, że współczesne cyberzagrożenia coraz częściej przybierają formę ataków hybrydowych (łączonych). Scenariusz często zaczyna się od wiadomości SMS (smishing), a zaledwie kilka minut po jej otrzymaniu do ofiary dzwoni rzekomy „konsultant” (vishing), który pod pretekstem pomocy technicznej prowadzi użytkownika przez proces przekazywania danych. Taka wielokanałowość drastycznie zwiększa wiarygodność oszustwa i potęguje presję czasu.

Najczęstsze scenariusze oszustw bankowych w Polsce

1. Fałszywy SMS o dopłacie (Smishing)

To absolutny klasyk cyberprzestępczości. Ofiara otrzymuje wiadomość SMS z informacją o rzekomej konieczności niewielkiej dopłaty do przesyłki kurierskiej (np. InPost, DPD), rachunku za prąd lub gaz, mandatu czy opłaty e-TOLL. Zawarty w wiadomości link prowadzi do perfekcyjnie skopiowanej, fałszywej bramki płatności internetowych. Gdy wpisujesz tam dane karty lub logujesz się do „swojego banku”, przekazujesz pełną kontrolę nad kontem przestępcom. Kwota żądanej dopłaty jest celowo niska, aby nie wzbudzać podejrzeń — celem nadrzędnym jest wyczyszczenie salda rachunku.

2. Oszustwo „na pracownika banku” lub „na policjanta” (Vishing)

Podczas tego ataku na ekranie Twojego telefonu może wyświetlić się autentyczna nazwa lub numer infonilii Twojego banku. Jest to możliwe dzięki technologii zwanej spoofingiem numeru telefonu. Przestępca podający się za doradcę ds. bezpieczeństwa lub funkcjonariusza Policji informuje: „Wykryliśmy próbę nieautoryzowanego przelewu z Pana konta. Aby ratować oszczędności, musi Pan natychmiast przelać środki na bezpieczne konto techniczne”. Pamiętaj: ani pracownik banku, ani policjant nigdy nie zażąda od Ciebie wykonania przelewu ochronnego, podania haseł ani kodów z SMS.

3. Podrobione strony logowania (Phishing)

Oszuści masowo tworzą witryny internetowe, które wyglądem do złudzenia przypominają oficjalne panele logowania instytucji finansowych. Często promują je w wyszukiwarkach poprzez płatne reklamy, które wyświetlają się nad oficjalnymi wynikami wyszukiwania. Wpisanie loginu i hasła na takiej stronie oznacza przekazanie ich przestępcom, a podany chwilę później kod autoryzacyjny służy im do zdefiniowania zaufanego odbiorcy lub zlecenia natychmiastowego przelewu wychodzącego. Kluczowym elementem obrony jest skrupulatna weryfikacja adresu URL w pasku przeglądarki.

4. Wyłudzenia na portalach ogłoszeniowych (Oszustwo na BLIK)

Scenariusz ten dotyczy osób sprzedających przedmioty na platformach takich jak OLX, Vinted czy Facebook Marketplace. Rzekomy kupujący kontaktuje się zazwyczaj przez zewnętrzny komunikator (np. WhatsApp) i przesyła link mający służyć do „odebrania płatności” za towar. Na fałszywej stronie generowana jest prośba o podanie kodu BLIK. Należy zapamiętać fundamentalną zasadę: kodem BLIK realizuje się płatności oraz wypłaty z bankomatów — nigdy nie służy on do odbierania pieniędzy od innych osób.

5. Fałszywe platformy inwestycyjne i kryptowaluty

Przestępcy wykorzystują wizerunki znanych osób, polityków czy marek państwowych w fałszywych reklamach obiecujących gwarantowany i szybki zysk z inwestycji w akcje lub kryptowaluty. Po rejestracji telefonicznie kontaktuje się dedykowany „dedykowany doradca finansowy”. Warunkiem rozpoczęcia inwestycji jest instrukcja zainstalowania aplikacji do zdalnego zarządzania pulpitem (takich jak AnyDesk, TeamViewer czy QuickSupport). W ten sposób oddajesz przestępcy pełny podgląd swojego telefonu lub komputera, umożliwiając mu zalogowanie się do Twojego banku. Zanim zainwestujesz, zawsze sprawdź podmiot na liście ostrzeżeń publicznych KNF.

6. Kradzież tożsamości i wyrobienie duplikatu karty SIM (SIM swap)

Dysponując podstawowymi danymi osobowymi ofiary (często pozyskanymi z wcześniejszych wycieków danych), oszuści udają się do salonu operatora komórkowego z podrobionym dowodem osobistym i wyrabiają duplikat karty SIM. Po zalogowaniu do skradzionej karty przejmują wiadomości SMS z kodami autoryzacyjnymi. Właśnie dlatego eksperci rekomendują przejście na mobilną autoryzację tokenem wewnątrz aplikacji bankowej jako rozwiązanie znacznie bezpieczniejsze od tradycyjnych SMS-ów.

Czego bank NIGDY nie zrobi? Pracownik banku w żadnej sytuacji nie poprosi Cię o: podanie pełnego hasła do bankowości internetowej lub kodu PIN do karty płatniczej; wygenerowanie i podanie kodu BLIK; zainstalowanie aplikacji umożliwiających zdalną kontrolę nad urządzeniem (AnyDesk, TeamViewer); wykonanie przelewu na tzw. „konto techniczne” w celu ochrony kapitału. Jeśli usłyszysz taką prośbę – natychmiast przerwij połączenie i samodzielnie wybierz oficjalny numer infonilii znajdujący się na Twojej karcie płatniczej.

Czerwone flagi — po czym poznać oszustwo internetowe

  • Presja czasu, zastraszenie i manipulacja emocjonalna — sformułowania typu: „środki zostaną zablokowane”, „masz tylko 10 minut”, „trwa próba kradzieży”.
  • Bezpośrednie linki do logowania lub płatności przesyłane w wiadomościach SMS bądź e-mail – zwłaszcza te skrócone (np. bit.ly) lub z podejrzanymi domenami krajowymi.
  • Żądanie wrażliwych danych autoryzacyjnych, których instytucje finansowe nigdy nie wymagają podczas kontaktu telefonicznego.
  • Nietypowe kanały komunikacji z klientem — banki operują wewnątrz zabezpieczonych systemów transakcyjnych i aplikacji, nie wysyłają linków do autoryzacji przez zewnętrzne czaty.
  • Błędy językowe, stylistyczne lub ortograficzne, a także nietypowy adres e-mail nadawcy, nieposiadający oficjalnej domeny banku.
  • Obietnice nierealnych zysków, niespodziewane informacje o wygranych w loteriach lub nagłych „zwrotach nadpłat podatkowych”.

12 zasad cyberbezpieczeństwa, które chronią Twoje konto

  1. Stosuj silne, unikalne hasła dostępu oraz korzystaj z certyfikowanych menedżerów haseł. Nigdy nie używaj tego samego hasła w banku i w sklepach internetowych.
  2. Włącz dwuskładnikowe uwierzytelnianie (2FA) oraz zastąp autoryzację SMS-ową bezpieczną autoryzacją mobilną wewnątrz oficjalnej aplikacji bankowej.
  3. Kategorycznie unikaj klikania w linki otrzymywane w wiadomościach. Adres systemu bankowości internetowej zawsze wpisuj ręcznie w oknie przeglądarki.
  4. Skrupulatnie analizuj treść komunikatów autoryzacyjnych. Zanim zatwierdzisz operację, zweryfikuj czy kwota i numer konta odbiorcy zgadzają się z Twoją intencją.
  5. Weryfikuj tożsamość dzwoniących konsultantów. W przypadku jakichkolwiek wątpliwości rozłącz się i zadzwoń do banku samodzielnie.
  6. Nigdy nie instaluj zewnętrznego oprogramowania do zdalnego zarządzania systemem na prośby osób trzecich, niezależnie od podawanego przez nie stanowiska.
  7. Zdefiniuj bezpieczne limity transakcyjne dla operacji kartowych, przelewów internetowych oraz płatności BLIK bezpośrednio w panelu zarządzania kontem.
  8. Rygorystycznie sprawdzaj adres URL witryny. Pamiętaj, że obecność ikony kłódki (protokół HTTPS) gwarantuje jedynie szyfrowanie połączenia, a nie autentyczność samej domeny banku.
  9. Dbaj o regularne aktualizacje systemu operacyjnego urządzenia oraz aplikacji bankowej. Instaluj oprogramowanie wyłącznie z autoryzowanych sklepów (Google Play, App Store).
  10. Aktywuj powiadomienia typu Push/SMS o każdej operacji na rachunku i systematycznie monitoruj historię zaksięgowanych transakcji.
  11. Uruchom system Alerty BIK oraz zastrzeż swój numer PESEL (funkcja ta jest dostępna bezpłatnie w rządowej aplikacji mObywatel), co zablokuje możliwość wyłudzenia pożyczki na Twoje dane.
  12. Unikaj logowania się do bankowości elektronicznej przy użyciu publicznych, otwartych sieci Wi-Fi oraz na urządzeniach, które nie należą do Ciebie.

Wskazówka: Wybierając rachunek oszczędnościowo-rozliczeniowy, kluczowym kryterium powinny być zaawansowane mechanizmy bezpieczeństwa: stabilna autoryzacja mobilna, natychmiastowe powiadomienia push oraz elastyczne zarządzanie limitami. Porównanie tych funkcji w poszczególnych bankach znajdziesz w naszym rankingu kont osobistych.

Co zrobić, gdy padłeś ofiarą oszustwa — krok po kroku

W przypadku utraty kontroli nad środkami finansowymi kluczową rolę odgrywa czas reakcji. Postępuj zgodnie z poniższą procedurą ratunkową:

  1. Skontaktuj się natychmiast z infolinią swojego banku w celu całkowitego zablokowania dostępu do kanałów elektronicznych oraz cofnięcia oczekujących przelewów. Zastrzeż karty płatnicze bezpośrednio w aplikacji lub korzystając z ogólnokrajowego Systemu Zastrzegania Kart ZBP pod numerem telefonu: +48 828 828 828.
  2. Dokonaj natychmiastowej zmiany haseł dostępowych — zarówno do systemów bankowych, jak i do głównej skrzynki e-mail, która często służy przestępcom do resetowania haseł w innych serwisach.
  3. Zgłoś popełnienie przestępstwa na Policji. Oficjalny protokół przyjęcia zawiadomienia o przestępstwie będzie kluczowym załącznikiem w procesie reklamacyjnym.
  4. Złóż formalną reklamację nieautoryzowanej transakcji płatniczej w swoim banku. Szczegółowo opisz chronologię zdarzeń i załącz dokumentację uzyskaną od organów ścigania.
  5. Zgłoś incydent do odpowiednich służb: zabezpieczony link lub zrzut ekranu fałszywej strony wyślij do CERT Polska, a podejrzane wiadomości SMS przekaż bezpłatnie na dedykowany numer 8080.
  6. Jeżeli doszło do wycieku danych osobowych (np. serii i numeru dowodu osobistego), niezwłocznie zastrzeż numer PESEL w aplikacji mObywatel oraz pobierz raport BIK, by zweryfikować, czy nie podjęto prób wyłudzenia zobowiązań.
  7. W przypadku odmownej decyzji banku dotyczącej zwrotu środków, skieruj oficjalny wniosek o interwencję do Rzecznika Finansowego. Pomoc prawną w tym zakresie oferuje również UOKiK.

Czy bank odda skradzione pieniądze? Prawo bankowe

W przypadku wystąpienia nieautoryzowanej transakcji płatniczej (czyli operacji, na którą użytkownik nie wyraził świadomej zgody), polskie i europejskie ustawodawstwo stoi po stronie konsumenta. Zgodnie z zapisami ustawy o usługach płatniczych (implementacja unijnej dyrektywy PSD2), dostawca usług płatniczych (bank) ma bezwzględny obowiązek zrównać saldo konta do stanu sprzed wystąpienia incydentu najpóźniej do końca następnego dnia roboczego po powzięciu informacji o zgłoszeniu (tzw. zasada D+1).

Bank może uchylić się od tego obowiązku tylko w dwóch przypadkach: jeśli udowodni, że transakcja została przez klienta prawidłowo autoryzowana, bądź wykaże przed organami sądowymi, że do utraty środków doszło w wyniku umyślnego działania lub rażącego niedbalstwa konsumenta (np. poprzez dobrowolne udostępnienie haseł dostępu osobom nieuprawnionym).

Uwaga: Dochodzenie roszczeń staje się znacznie trudniejsze w sytuacji, gdy klient pod wpływem zaawansowanej manipulacji psychologicznej samodzielnie zlecił i autoryzował przelew wychodzący (np. na tzw. bezpieczne konto). Każdy incydent podlega indywidualnej ocenie prawnej i faktycznej przez departamenty ryzyka banku – powyższe zestawienie ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.

Bezpieczeństwo finansowe zaczyna się od świadomego wyboru dostawcy usług. Intuicyjny interfejs, nowoczesne standardy autoryzacji mobilnej oraz systemy natychmiastowego powiadamiania o ruchu na koncie to absolutny fundament ochrony kapitału. Sprawdź rozwiązania oferowane przez czołowe instytucje w naszym rankingu kont osobistych →

Najczęściej zadawane pytania (FAQ)

Po czym najszybciej poznać, że wiadomość SMS lub e-mail od banku jest fałszywa?

Głównymi wyznacznikami prób oszustwa są: obecność bezpośredniego linku nakazującego logowanie, silna presja czasu (np. groźba natychmiastowej blokady środków), rażące błędy językowe oraz nietypowy adres nadawcy. Pamiętaj, że banki nigdy nie wykorzystują masowych wiadomości SMS z linkami do weryfikacji tożsamości klienta. W razie wątpliwości zaloguj się do systemu, wpisując adres ręcznie.

Czy pracownik banku może poprosić telefonicznie o podanie kodu BLIK lub SMS?

Kategorycznie nie. Żaden legalnie działający pracownik banku, konsultant infolinii ani funkcjonariusz policji nie ma prawa żądać podania kodu BLIK, haseł dostępowych ani kodów autoryzacyjnych generowanych przez aplikację lub SMS. Każda próba wyłudzenia takich danych przez telefon stanowi vishing i próbę kradzieży pieniędzy.

Kliknąłem w podejrzany link i wpisałem dane logowania do banku — co robić?

Musisz działać natychmiast: zadzwoń bezpośrednio na infolinię swojego banku, zgłoś incydent i zażądaj blokady dostępu do bankowości internetowej. Następnie zmień hasła dostępowe do swojego e-maila, zastrzeż karty płatnicze, zgłoś sprawę na najbliższym komisariacie Policji i złóż w banku oficjalną reklamację. Fałszywą domenę zgłoś pod adresem incydent.cert.pl.

W jakim czasie bank ma obowiązek oddać pieniądze skradzione przez cyberprzestępców?

Zgodnie z ustawą o usługach płatniczych, w przypadku transakcji nieautoryzowanej bank ma obowiązek zwrócić środki najpóźniej do końca następnego dnia roboczego po zgłoszeniu (zasada D+1). Zwrot może zostać wstrzymany lub odrzucony, jeżeli bank wykaże rażące niedbalstwo klienta lub udowodni, że operacja została w pełni poprawnie autoryzowana przez użytkownika.

Gdzie zgłosić oszustwo internetowe — fałszywy SMS lub wyłudzenie?

Podejrzane wiadomości SMS należy niezwłocznie przekazać bezpłatnie na ogólnokrajowy numer 8080 zarządzany przez CERT Polska. Fałszywe linki, wiadomości e-mail oraz zrzuty ekranu podrobionych stron logowania zgłasza się poprzez dedykowany formularz na stronie incydent.cert.pl. Jeśli straciłeś środki, konieczne jest też zawiadomienie Policji.

Co to jest vishing i na czym polega obrona przed tym atakiem?

Vishing to metoda oszustwa polegająca na telefonicznym podszywaniu się pod zaufane instytucje (banki, Policję, KNF) w celu zmanipulowania ofiary i wyłudzenia danych. Przestępcy często fałszują numer wyświetlany na ekranie (spoofing). Skuteczna obrona polega na natychmiastowym przerwaniu rozmowy i samodzielnym zatelefonowaniu na oficjalny, zweryfikowany numer infolinii bankowej.

Dlaczego warto zastrzec numer PESEL w aplikacji mObywatel?

Oficjalne zastrzeżenie numeru PESEL w systemie państwowym stanowi prawną blokadę przed nieuprawnionym zaciągnięciem kredytów, pożyczek (tzw. chwilówek) czy wyłudzeniem abonamentów na Twoje dane osobowe. Zastrzeżenia dokonasz bezpłatnie na portalu gov.pl lub w aplikacji mObywatel. Możesz je w każdej chwili bez konsekwencji cofnąć i ponownie aktywować.

Jak bezpiecznie korzystać z transakcji BLIK w internecie?

Pamiętaj, że kod BLIK generujesz wyłącznie w celu autoryzacji własnego zakupu lub wypłaty gotówki. Nigdy nie podawaj kodu osobom trzecim, które twierdzą, że jest on potrzebny do przelania pieniędzy na Twoje konto. Zawsze aktywuj powiadomienia push, ustaw restrykcyjne limity dzienne dla operacji BLIK i dokładnie czytaj okna zatwierdzania transakcji w telefonie.

Źródła i instytucje bezpieczeństwa, które warto znać

  • CERT Polska — krajowy instytut ds. zgłaszania incydentów cyberbezpieczeństwa (incydent.cert.pl), przyjmowanie fałszywych SMS pod numerem 8080.
  • Komisja Nadzoru Finansowego (KNF) — publiczna lista ostrzeżeń przed nielegalnie działającymi podmiotami rynkowymi i platformami inwestycyjnymi.
  • Rzecznik Finansowy oraz UOKiK — państwowe instytucje wspierające konsumentów w sporach reklamacyjnych z bankami.
  • Związek Banków Polskich (ZBP) — ogólnokrajowy System Zastrzegania Kart Płatniczych, całodobowy telefon alarmowy: +48 828 828 828.
  • Komenda Główna Policji — organ powołany do przyjmowania oficjalnych zawiadomień o podejrzeniu popełnienia przestępstwa finansowego (numer alarmowy 112).

Materiał ma charakter wyłącznie edukacyjny oraz informacyjny i nie stanowi wiążącej porady prawnej ani finansowej. Szczegółowe procedury reklamacyjne oraz zakres odpowiedzialności odszkodowawczej banku zależą każdorazowo od indywidualnego stanu faktycznego sprawy oraz aktualnej wykładni przepisów prawa. W sprawach spornych zaleca się bezpośredni kontakt z bankiem, Rzecznikiem Finansowym lub niezależnym radcą prawnym.