W jaki sposób działają oszuści dokonujący nieautoryzowanych transakcji?

02/09/2024 Artykuły

Najważniejsze informacje w skrócie:

  • Nieautoryzowana transakcja to operacja wykonana bez Twojej zgody wyrażonej w sposób przewidziany w umowie z bankiem.
  • Najczęstszy mechanizm oszustwa nie polega na „łamaniu banku”, tylko na doprowadzeniu do tego, że podasz kod, klikniesz potwierdzenie lub zainstalujesz zdalny dostęp.
  • Jeśli to dzieje się teraz: odetnij trzy dźwignie oszusta (link, kod, zdalny pulpit), ustaw niskie limity i włącz alerty o każdej operacji.
  • Po zgłoszeniu nieautoryzowanej transakcji bank co do zasady powinien przywrócić rachunek do stanu sprzed obciążenia najpóźniej do końca następnego dnia roboczego (chyba że zachodzą ustawowe wyjątki i bank ma podstawy do dalszej weryfikacji).

Oszuści doprowadzają do nieautoryzowanych transakcji, przejmując Twoją tożsamość w bankowości elektronicznej albo wciągając Cię w zatwierdzenie płatności, która wygląda na bezpieczną, a w praktyce przenosi pieniądze do przestępcy.

Jeśli widzisz w historii rachunku przelew, wypłatę lub płatność, której nie zlecałeś, najważniejsze pytanie brzmi: czy doszło do autoryzacji (Twojej zgody w formie przewidzianej w umowie), czy ktoś wykonał operację bez Twojej zgody. Poniżej masz mapę ataków krok po kroku oraz procedurę „po incydencie”, żeby szybciej zatrzymać straty i uporządkować reklamację.

Warianty ataków w skrócie – jak oszuści najczęściej dochodzą do pieniędzy?

Ścieżka atakuCo robi ofiaraCo robi oszustTypowa „kotwica” psychologicznaNajwiększe ryzyko
Wyłudzenie zatwierdzeniaPodaje kod, przepisuje SMS lub klika „potwierdź” w aplikacjiZleca przelew/BLIK i „podkłada” opis typu dopłata, anulowanie, weryfikacjaPośpiech, presja czasu, autorytetTransakcja wygląda na zatwierdzoną przez Ciebie
Phishing i fałszywe logowanieLoguje się na podstawioną stronę lub w fałszywej aplikacjiPrzejmuje login/hasło, przechwytuje kody, podejmuje próbę przejęcia sesji„Zablokujemy konto”, „dopłata do przesyłki”, „weryfikacja”Szybkie przejęcie rachunku i seria zleceń
Zdalny pulpit i „pomoc techniczna”Instaluje program do zdalnego dostępu, udostępnia ekranSteruje urządzeniem, zmienia ustawienia, inicjuje transakcje na oczach ofiaryUtrata kontroli, rzekomy „incydent”Pełny dostęp do banku i poczty na urządzeniu

Najkrótsza decyzja: jeśli ktoś prowadzi Cię do linku, kodu lub instalacji aplikacji „na szybko”, kończysz kontakt i przechodzisz na własny kanał, czyli sam wybierasz oficjalny numer banku.

Jeśli to dzieje się teraz: 7 kroków w 10 minut

  1. Zablokuj dostęp: zablokuj kartę/BLIK i dostęp do bankowości w aplikacji albo przez infolinię.
  2. Wstrzymaj kolejne transakcje: obniż limity przelewów i płatności online do minimum, wyłącz przelewy ekspresowe, jeśli bank daje taką opcję.
  3. Zmień hasła: bank, e-mail (jeśli jest odzyskiem), sklep z aplikacjami; wyloguj wszystkie urządzenia, jeśli to możliwe.
  4. Sprawdź zmiany: nowe urządzenia, dodani odbiorcy zaufani, zmienione limity, przekierowania powiadomień, reguły płatności.
  5. Zgłoś w banku: użyj sformułowania „nieautoryzowana transakcja” i poproś o numer sprawy.
  6. Zabezpiecz dowody: screeny historii, treści SMS/push, linki, numer telefonu, e-mail, godziny rozmów, nazwy aplikacji.
  7. Zgłoś incydent: do CERT Polska; jeśli jest strata lub podejrzenie przestępstwa, zgłoś także na Policję.

Na czym polega nieautoryzowana transakcja i czym różni się od transakcji autoryzowanej oraz oszustwa?

Nieautoryzowana transakcja to operacja bez Twojej zgody wyrażonej w sposób przewidziany w umowie, a autoryzowana transakcja ma Twoją zgodę, nawet jeśli oszust „wkręcił” Cię w zatwierdzenie pod presją.

W praktyce spór najczęściej dotyczy tego, czy doszło do autoryzacji, czyli czy potwierdziłeś operację kodem, PIN-em, biometrią albo potwierdzeniem w aplikacji. Oszustwo opisuje metodę działania przestępcy, a nie sam status transakcji. Status wynika z tego, czy Twoja zgoda dotyczyła konkretnej operacji, na konkretną kwotę i odbiorcę oraz czy bank może wykazać, że transakcja była prawidłowo uwierzytelniona i zarejestrowana zgodnie z przepisami.

Ostrzeżenie: Jeśli przepisujesz kod z SMS lub klikasz „potwierdź” bez sprawdzenia odbiorcy i kwoty, możesz nadać oszustowi „Twoją zgodę” na operację.

Powrót na górę

Jakie są najczęstsze metody, którymi oszuści przejmują dostęp do pieniędzy, czyli mapa ataków krok po kroku?

Typowy schemat to kontakt + uwiarygodnienie + przejęcie (link/kod/zdalny dostęp) + seria transakcji do limitu.
  1. Wejście: SMS, e-mail, telefon (vishing), komunikator, fałszywa reklama, fałszywa „dopłata”.
  2. Uwiarygodnienie: podszycie pod bank, urząd, kuriera, platformę sprzedażową, dział „bezpieczeństwa”.
  3. Przejęcie: link do fałszywego logowania, wyłudzenie kodu BLIK/SMS, instalacja zdalnego pulpitu, nakładka (overlay) na telefonie.
  4. Monetyzacja: przelew ekspresowy, wypłata BLIK, płatność kartą w internecie (CNP), dodanie odbiorcy zaufanego.
  5. Zacieranie śladów: presja, by się nie rozłączać, prośby o „wycofanie reklamacji”, odciąganie od kontaktu z bankiem.

W praktyce często wygląda to tak: oszust sprawdza „czy działa” małą kwotą, a potem powtarza operacje do limitu ustawionego w aplikacji. Dlatego limity i alerty są ważne, nawet jeśli korzystasz z dobrego hasła.

Powrót na górę

Jak działa socjotechnika w oszustwach finansowych i jakie scenariusze rozmów powtarzają się najczęściej?

Przestępca zarządza Twoją uwagą: daje prostą instrukcję, odcina weryfikację i wymusza szybkie „tak” w aplikacji lub w SMS.

Powtarzają się cztery scenariusze: „incydent bezpieczeństwa” (rzekome włamanie), „blokada konta” (rzekoma weryfikacja), „dopłata” (kurier, urząd, platforma), „na znajomego” (przejęty komunikator). Rdzeń jest stały: powód, dla którego nie możesz sprawdzić sprawy sam, a potem prowadzenie do linku, kodu lub instalacji aplikacji.

Wskazówka: Najsilniejszy „wyłącznik oszustwa” to przerwanie rozmowy i oddzwonienie na numer banku znaleziony w umowie lub na oficjalnej stronie. Jeśli rozmówca protestuje, traktuj to jako sygnał alarmowy.

Powrót na górę

W jaki sposób oszuści wyłudzają kody BLIK, SMS-y autoryzacyjne i potwierdzenia w aplikacji mobilnej?

Najczęściej nie chodzi o „złamanie” systemu, tylko o to, że podajesz kod albo potwierdzasz operację pod presją i w błędnym kontekście.

Kod BLIK jest jednorazowy, dlatego przestępca działa szybko: prosi o kod „do weryfikacji”, „do anulowania”, „do odbioru zwrotu”, a następnie wypłaca gotówkę albo inicjuje płatność. W SMS-ach autoryzacyjnych gra toczy się o to, żebyś nie czytał treści, czyli kwoty i odbiorcy. W potwierdzeniach w aplikacji oszust liczy na automatyzm: szybkie kliknięcie „zatwierdź”, bo „konsultant czeka”.

MechanizmCo widziszCo naprawdę zatwierdzaszJak przerwać schemat
BLIKProśba o 6-cyfrowy kod „na chwilę”Wypłatę lub płatność BLIK na rzecz oszustaNie podajesz kodu nikomu; jeśli to „zwrot”, to bank nie potrzebuje Twojego BLIK
SMS autoryzacyjnyKod i opis sugerujący „bezpieczeństwo”Przelew na konkretny rachunek i konkretną kwotęCzytasz odbiorcę i kwotę; brak zgodności = anulujesz i dzwonisz do banku
Potwierdzenie w aplikacjiOkno „zatwierdź”Transakcję, którą ktoś zainicjował na Twoim koncieZasada „pauza 10 sekund”: czytasz dane operacji, dopiero potem zatwierdzasz

Powrót na górę

Jak oszuści przejmują konto bankowe, czyli co oznaczają phishing, fałszywe logowanie i przejęcie sesji?

Phishing podszywa się pod bank lub usługę, a fałszywe logowanie kradnie Twoje dane; potem przestępca loguje się jako Ty i inicjuje operacje.

Phishing przyjmuje formę strony łudząco podobnej do banku albo usługi płatniczej, zwykle podlinkowanej w SMS-ie lub e-mailu. Fałszywe logowanie polega na tym, że wpisujesz login i hasło w „kopii” strony, a dane trafiają do oszusta. Przejęcie sesji to sytuacja, w której przestępca wykorzystuje Twoje dane i przechodzi proces logowania zanim zorientujesz się, że ktoś przejął kontrolę.

Porada: Wchodź do banku wyłącznie z zapisanej, własnej zakładki lub wpisując adres ręcznie, a nie z linku. To odcina najczęstszy punkt wejścia.

Powrót na górę

Jak działają oszustwa z kartą płatniczą, czyli skimming, card-not-present i płatności internetowe?

W oszustwach kartowych przestępca kradnie dane karty albo używa ich bez fizycznej karty, a potem rozlicza transakcje w internecie lub wypłaca gotówkę.

Skimming polega na skopiowaniu danych karty i często przechwyceniu PIN, np. przez nakładkę na bankomat lub kamerę. Card-not-present (płatność bez fizycznej obecności karty) opiera się na danych karty, czasem także na 3D Secure. Częsty punkt wejścia to fałszywy sklep, fałszywa bramka płatności albo „dopłata”, gdzie wprowadzasz dane na stronie kontrolowanej przez oszusta.

Wskazówka: Ustaw osobny limit płatności internetowych kartą, a do płatności w sieci używaj karty wirtualnej, jeśli bank ją udostępnia. To ogranicza straty, nawet gdy dane wyciekną.

Powrót na górę

Jak oszuści wykorzystują zdalny pulpit, fałszywe aplikacje i pomoc techniczną do przejęcia urządzenia?

Atak „na pomoc techniczną” działa, bo sam instalujesz narzędzie zdalnego dostępu, a oszust przejmuje ekran, klawiaturę i decyzje w Twoim imieniu.

Przestępca przedstawia się jako „pracownik banku” lub „dział bezpieczeństwa”, po czym instruuje, aby zainstalować aplikację do zdalnej pomocy. Gdy to zrobisz, oszust widzi, co wpisujesz, potrafi sterować urządzeniem i inicjuje operacje. Wariantem są fałszywe aplikacje podszywające się pod bank albo „nakładki” (overlay) na telefonie.

Ostrzeżenie: Bank nie wymaga instalowania zdalnego pulpitu do „ratowania środków”, a prośba o taką instalację oznacza próbę przejęcia urządzenia.

Powrót na górę

Dlaczego oszustwa bywają skuteczne mimo zabezpieczeń banku, czyli gdzie zawodzi człowiek, procedura i technologia?

Zabezpieczenia banku chronią proces techniczny, a przestępca atakuje Twoje decyzje, Twoje urządzenie i Twój kanał kontaktu.

Najczęściej zawodzi człowiek: działa w pośpiechu, nie czyta treści autoryzacji, ufa numerowi telefonu, który wygląda jak infolinia (spoofing). Zawodzi procedura, gdy limity są ustawione zbyt wysoko, a komunikaty autoryzacyjne są ignorowane. Zawodzi technologia, gdy telefon ma złośliwe aplikacje, brak aktualizacji lub zbyt szerokie uprawnienia aplikacji do SMS i powiadomień.

Wskazówka: Zasada „pauza 10 sekund”: czytasz odbiorcę i kwotę, dopiero potem zatwierdzasz. Ten nawyk przecina presję czasu.

Powrót na górę

Jakie sygnały ostrzegawcze i działania ochronne realnie zmniejszają ryzyko w praktyce?

Ryzyko spada, gdy odcinasz link, kod i zdalny dostęp, a do tego twardo ograniczasz limity i włączasz alerty o każdej operacji.

Sygnały ostrzegawcze są powtarzalne: presja czasu, prośba o kod BLIK lub SMS, namawianie do instalacji aplikacji, prośba o „testowy przelew”, komunikaty o blokadzie z linkiem, prośby o „weryfikację” lub „anulowanie” przez podanie kodu. Ochrona działa, gdy łączysz ustawienia banku z higieną telefonu: aktualizacje, aplikacje tylko ze sklepu, blokada ekranu, alerty o transakcjach, osobne limity płatności online.

Najprostsza zasada decyzyjna: jeśli ktoś chce, abyś kliknął w link, podał kod albo zainstalował aplikację, kończysz kontakt i przechodzisz na oficjalny kanał banku.

Powrót na górę

Jak odzyskać pieniądze po nieautoryzowanej transakcji: reklamacja, terminy, dowody, eskalacja?

Zgłaszasz „nieautoryzowaną transakcję” w banku i zabezpieczasz dowody; bank co do zasady powinien przywrócić rachunek do stanu sprzed obciążenia najpóźniej do końca następnego dnia roboczego, chyba że zachodzą ustawowe przesłanki do odmowy lub dalszej weryfikacji.
Ważne doprecyzowanie: termin 13 miesięcy jest graniczny, ale roszczenia zgłaszasz bez zbędnej zwłoki od wykrycia. Odkładanie zgłoszenia osłabia Twoją pozycję dowodową i może stać się osią sporu.

1) Zgłoszenie w banku: użyj sformułowania „nieautoryzowana transakcja” i poproś o numer sprawy. Zgłaszaj niezwłocznie, nawet jeśli równolegle składasz zawiadomienie na Policję. Jeśli incydent trwa, zacznij od blokad (karta/BLIK/dostęp) i dopiero potem dopracuj opis zdarzeń.

2) Co zbierać jako dowody: historia rachunku (kwoty, odbiorcy, godziny), screeny komunikatów autoryzacyjnych (SMS/push), treść SMS/e-mail z linkiem, adres strony (URL), numer telefonu, czas rozmowy, nazwy instalowanych aplikacji (zdalny pulpit), informacja o zmianach w banku (nowe urządzenie, odbiorcy zaufani, limity).

3) Oś sporu: bank bada, czy transakcja była prawidłowo uwierzytelniona i czy po Twojej stronie nie doszło do naruszenia zasad bezpieczeństwa. W praktyce spory dotyczą tego, czy zachowanie klienta było „rażąco niedbałe” oraz czy bank powinien wychwycić nietypową serię operacji (np. nowe urządzenie, seria przelewów do limitu, dodanie odbiorcy i szybka autoryzacja).

4) Płatność kartą w internecie: jeśli problem dotyczy transakcji kartowej, równolegle z reklamacją pytasz bank o procedurę chargeback. W rozmowie użyj prostego sformułowania: „proszę o uruchomienie chargeback i listę dokumentów, które mam dołączyć”.

5) Eskalacja: jeśli bank odmawia lub przewleka sprawę, poproś o uzasadnienie na piśmie i komplet danych, na których bank opiera stanowisko. Następnie rozważ wsparcie Rzecznika Finansowego oraz dalsze kroki zgodnie z trybem reklamacyjnym banku. W sprawach praktyk rynkowych przydatne są komunikaty UOKiK dotyczące nieautoryzowanych transakcji.

Porada: W reklamacji trzymaj chronologię: kontakt, treść instrukcji oszusta, co kliknąłeś, co było w treści autoryzacji, kiedy zauważyłeś transakcję i kiedy ją zgłosiłeś. To ogranicza „domysły” i ułatwia ocenę sprawy.

Powrót na górę

Checklista, co zrobić krok po kroku

  1. Ustaw limity: dzienny limit przelewów, limit BLIK, limit płatności internetowych kartą, dopasowane do realnych potrzeb.
  2. Włącz powiadomienia: o każdej transakcji, logowaniu, dodaniu urządzenia, dodaniu odbiorcy zaufanego, zmianie limitów.
  3. Weryfikuj rozmówcę: rozłącz się, sam wybierz numer banku z umowy lub oficjalnej strony, nie oddzwaniaj na numer z SMS.
  4. Odetnij linki: nie loguj się do banku z linków w SMS/e-mail; używaj własnej zakładki lub wpisanego adresu.
  5. Odetnij zdalny dostęp: nie instaluj aplikacji „pomocowych” na prośbę rozmówcy; usuń narzędzia zdalnego pulpitu, jeśli nie są potrzebne.
  6. Zadbaj o telefon: aktualizacje systemu, blokada ekranu, aplikacje tylko ze sklepu, ograniczenie uprawnień do SMS/powiadomień.
  7. Kontroluj „zmiany w tle”: sprawdzaj nowe urządzenia, odbiorców zaufanych, reguły płatności i podpięte metody odzysku.
  8. Zgłaszaj incydenty: phishing do CERT Polska; stratę i podejrzenie przestępstwa do banku oraz na Policję.

Powrót na górę

Słowniczek pojęć

Nieautoryzowana transakcja
Transakcja wykonana bez zgody płatnika wyrażonej w sposób przewidziany w umowie z dostawcą usług płatniczych.
Ang.: unauthorised transaction

Phishing
Podszycie pod zaufaną instytucję, najczęściej w celu wyłudzenia danych logowania lub danych karty.
Ang.: phishing

Vishing
Oszustwo telefoniczne, w którym przestępca podszywa się pod bank, urząd lub firmę i prowadzi ofiarę do zatwierdzenia operacji.
Ang.: voice phishing

Card-not-present
Płatność kartą bez fizycznej obecności karty, realizowana na podstawie danych karty, zwykle w internecie.
Ang.: card-not-present

Spoofing numeru
Podszycie numeru telefonu tak, aby na ekranie wyglądał jak numer banku lub instytucji, mimo że rozmowa pochodzi od oszusta.
Ang.: caller ID spoofing

Chargeback
Procedura zwrotu transakcji kartowej w systemie organizacji kartowej, uruchamiana przez bank na podstawie reklamacji i dowodów.
Ang.: chargeback

Powrót na górę

FAQ, najczęściej zadawane pytania

Jak rozpoznać, że ktoś próbuje wyłudzić kod BLIK lub SMS autoryzacyjny?

Jeśli ktoś prosi o kod „do weryfikacji”, „anulowania” lub „zwrotu”, to sygnał oszustwa. Kod służy do wykonania transakcji, więc nie podajesz go nikomu.

Czy potwierdzenie w aplikacji banku zawsze oznacza, że transakcja jest autoryzowana?

Potwierdzenie oznacza zgodę w przewidzianej formie, dlatego przed kliknięciem sprawdzasz kwotę i odbiorcę. Jeśli dane się nie zgadzają, anulujesz i kontaktujesz się z bankiem oficjalnym kanałem.

Czy bank może uzależnić zwrot pieniędzy od zgłoszenia sprawy na Policję?

Zgłoszenie na Policję jest ważne dowodowo, ale zwrot nie powinien zależeć wyłącznie od tego, czy masz zawiadomienie. Najpierw zgłaszasz sprawę w banku jako „nieautoryzowaną transakcję”.

Co to jest phishing i jak działa fałszywe logowanie do banku?

Phishing prowadzi na stronę udającą bank, gdzie wpisane dane logowania trafiają do oszusta. Potem przestępca loguje się jako Ty i inicjuje operacje.

Na czym polega oszustwo na zdalny pulpit i dlaczego jest groźne?

Oszust nakłania do instalacji programu do zdalnego sterowania i przejmuje kontrolę nad urządzeniem. Wtedy inicjuje transakcje, a Ty tracisz realną kontrolę nad tym, co zatwierdzasz.

Jak działają oszustwa kartowe typu card-not-present i co daje chargeback?

Przestępca używa danych karty w internecie bez fizycznej karty, a ochroną są limity, 3D Secure i alerty. Przy transakcjach kartowych pytasz bank także o procedurę chargeback.

Ile czasu masz na zgłoszenie nieautoryzowanej transakcji w banku?

Graniczny termin ustawowy to 13 miesięcy, ale w praktyce zgłaszasz bez zbędnej zwłoki od wykrycia. Szybka blokada dostępu zmniejsza straty i liczbę kolejnych operacji.

Powrót na górę

Źródła i podstawa prawna

Dane i procedury zebrane na dzień: 26/02/2026 r.

Jak liczone są przykłady: przykłady pokazują mechanikę ataków na uproszczonych założeniach. Limity i kwoty zależą od ustawień w Twoim banku, dlatego ustawiasz limity na poziomie realnych potrzeb, a większe operacje wykonujesz po ręcznej zmianie limitu.

Powrót na górę

Co możesz zrobić po przeczytaniu tego artykułu?

  • Ustaw limity i alerty tak, aby dzienny „sufit” utrudniał serię wypłat i przelewów.
  • Wdróż zasadę: rozłącz i oddzwoń, czyli każdą „pilną” sprawę weryfikujesz, sam wybierając oficjalny numer banku.
  • Przy incydencie działaj według modułu „7 kroków w 10 minut”, a w reklamacji trzymaj chronologię i dowody.

Powrót na górę

Aktualizacja artykułu: 26 lutego 2026 r.
Autor: Jacek Grudniewski

Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Artykuł ma charakter informacyjny i nie stanowi porady finansowej, prawnej ani inwestycyjnej. Decyzje podejmujesz na własną odpowiedzialność. Treść nie uwzględnia Twojej indywidualnej sytuacji, dlatego przed działaniem skonsultuj się ze specjalistą. Nie gwarantuję pełnej aktualności i kompletności informacji ani nie odpowiadam za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne bez dodatkowego kosztu dla Ciebie.

Powiązane posty

O Autorze

Jacek Grudniewski

Jacek Grudniewski - ekonomista, audytor, współtwórca porównywarek i blogów finansowych, były przedstawiciel ubezpieczeniowo-finansowy i konsultant kredytów hipotecznych online. Obecnie bloger o specjalizacji: bankowość, AML, Cybersec.