Phishing i oszustwa internetowe - jak odzyskać pieniądze i co robi adwokat (art. 286 i 287 k.k.)
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Phishing i oszustwa internetowe to dziś jedne z najczęstszych przestępstw, z jakimi stykają się zwykli użytkownicy bankowości elektronicznej, sklepów i portali ogłoszeniowych. Sprawca podszywa się pod bank, kuriera, urząd lub znajomego, podsyła fałszywy link albo SMS i wyłudza dane logowania, kody BLIK lub dane karty, by przejąć pieniądze z konta. W polskim prawie takie działania kwalifikuje się przede wszystkim jako oszustwo (art. 286 Kodeksu karnego), oszustwo komputerowe (art. 287 k.k.) oraz nieuprawniony dostęp do systemu informatycznego i podsłuch danych (art. 267 k.k.). Ten artykuł wyjaśnia, jakie kroki podjąć od razu po wykryciu oszustwa, jak realnie odzyskać środki dzięki przepisom o usługach płatniczych, gdzie zgłosić sprawę i jaką rolę pełni adwokat - zarówno po stronie pokrzywdzonego, jak i osoby niesłusznie podejrzanej. Tekst ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.
Jak prawo karne kwalifikuje phishing i oszustwa internetowe
Klasyczne wyłudzenie pieniędzy przez podszycie się pod inny podmiot i wprowadzenie ofiary w błąd to oszustwo z art. 286 § 1 k.k., zagrożone karą pozbawienia wolności od 6 miesięcy do 8 lat. Gdy sprawca nie oszukuje człowieka, lecz manipuluje danymi w systemie - np. wykorzystując przejęte dane logowania zleca przelew bez zgody posiadacza - mówimy o oszustwie komputerowym z art. 287 § 1 k.k. (kara od 3 miesięcy do 5 lat). Samo nielegalne uzyskanie dostępu do cudzego konta, przełamanie zabezpieczeń lub przechwycenie danych (np. przez fałszywą stronę logowania) to przestępstwo z art. 267 k.k. Jeżeli sprawca podszywa się pod konkretną osobę, używając jej wizerunku lub danych osobowych, by wyrządzić jej szkodę majątkową lub osobistą, wchodzi w grę kradzież tożsamości z art. 190a § 2 k.k. Czyny dotyczące podrabiania kart płatniczych i instrumentów płatniczych mogą być kwalifikowane z art. 310 k.k. Wartość wyłudzenia oraz sposób działania decydują o ostatecznej kwalifikacji.
Jak rozpoznać próbę phishingu - praktyczne sygnały ostrzegawcze
Phishing żeruje na pośpiechu i strachu. Typowy scenariusz to SMS lub e-mail z informacją o rzekomej dopłacie do paczki, blokadzie konta, zaległej fakturze albo wygranej, zawierający link prowadzący do fałszywej strony logowania. Sygnały ostrzegawcze: presja czasu ("masz 24 godziny", "konto zostanie zablokowane"), adres nadawcy łudząco podobny do prawdziwego, ale z literówką lub obcą domeną, prośba o podanie hasła, kodu BLIK, PIN-u lub pełnych danych karty (bank ani urząd nigdy o to nie proszą), błędy językowe oraz linki, które po najechaniu kursorem prowadzą pod inny adres niż widoczny. Coraz częściej spotyka się też vishing (telefon od rzekomego konsultanta banku lub policjanta) i spoofing numeru, gdy na ekranie wyświetla się prawdziwy numer infolinii. Złota zasada: nigdy nie klikaj linków z wiadomości, tylko wpisz adres banku ręcznie lub użyj oficjalnej aplikacji, a w razie telefonu - rozłącz się i oddzwoń na numer z karty płatniczej.
Pierwsze godziny po oszustwie - co zrobić natychmiast
Czas jest kluczowy, bo szybka reakcja zwiększa szansę na zatrzymanie pieniędzy. Najpierw zadzwoń na infolinię banku i zgłoś nieautoryzowaną transakcję - poproś o zablokowanie karty i konta oraz o próbę zatrzymania (recall) przelewu, jeśli środki jeszcze nie dotarły do odbiorcy. Zmień hasła do bankowości, poczty i innych kont, których dane mogły wyciec, oraz włącz uwierzytelnianie dwuskładnikowe. Jeśli podałeś dane karty, zastrzeż ją. Zabezpiecz dowody: zrób zrzuty ekranu wiadomości, e-maili, fałszywej strony i potwierdzeń transakcji, zapisz adresy URL, numery telefonów i godziny zdarzeń - nie kasuj nic. Jeśli ujawniono Twój PESEL, rozważ zastrzeżenie numeru PESEL (usługa dostępna m.in. w aplikacji mObywatel i w bankach), co utrudni zaciągnięcie kredytu na Twoje dane. Dopiero potem przechodź do formalnych zawiadomień. Ta dokumentacja będzie podstawą zarówno reklamacji w banku, jak i zawiadomienia o przestępstwie.
Odzyskanie pieniędzy - prawo do zwrotu nieautoryzowanej transakcji
Polskie prawo daje ofierze konkretne narzędzie. Zgodnie z ustawą o usługach płatniczych, jeśli transakcja była nieautoryzowana (czyli nie wyraziłeś na nią zgody), bank co do zasady ma obowiązek zwrócić kwotę do końca następnego dnia roboczego po zgłoszeniu (zasada D+1) i przywrócić konto do stanu sprzed obciążenia. Reklamację warto złożyć jak najszybciej; ustawowy nieprzekraczalny termin na zgłoszenie nieautoryzowanej transakcji to 13 miesięcy od dnia obciążenia rachunku. Bank może odmówić zwrotu tylko wtedy, gdy wykaże, że transakcję autoryzowano albo że doszło do rażącego niedbalstwa lub umyślności posiadacza (np. samodzielnego przekazania kodów oszustowi mimo wyraźnych ostrzeżeń). Granica między "oszukaniem ofiary" a jej "rażącym niedbalstwem" bywa sporna - to częsty punkt zapalny w sprawach z bankiem. Jeśli płaciłeś kartą, dodatkową drogą jest chargeback (obciążenie zwrotne) uruchamiany przez bank wobec organizacji płatniczej. Gdy bank odrzuci reklamację, można odwołać się do Rzecznika Finansowego, a następnie dochodzić roszczeń przed sądem cywilnym.
Gdzie zgłosić oszustwo - policja, prokuratura, CERT i UOKiK
Oszustwo i oszustwo komputerowe to przestępstwa ścigane z urzędu, dlatego zawiadomienie o popełnieniu przestępstwa (art. 304 Kodeksu postępowania karnego) można złożyć na komisariacie policji lub w prokuraturze - osobiście, pisemnie albo elektronicznie. Do zawiadomienia dołącz zebrane dowody. Niezależnie od tego zgłoś incydent do CERT Polska (zespół przy NASK) przez stronę incident.cert.pl lub przekazując podejrzane SMS-y na numer 8080 - to pomaga blokować fałszywe domeny i ostrzegać innych. Oszustwa w sklepach i serwisach internetowych warto zgłaszać także do UOKiK, który chroni zbiorowe interesy konsumentów, oraz do administratora portalu ogłoszeniowego. Jeśli wyciekły Twoje dane osobowe na dużą skalę, incydent można zgłosić Prezesowi Urzędu Ochrony Danych Osobowych (UODO). Warto zachować potwierdzenia wszystkich zgłoszeń - przydadzą się w postępowaniu i przy reklamacji.
Rola adwokata po stronie pokrzywdzonego
Adwokat reprezentujący ofiarę pomaga przede wszystkim odzyskać środki i skutecznie poprowadzić sprawę karną. Sporządza profesjonalne zawiadomienie o przestępstwie z prawidłową kwalifikacją (art. 286, 287 lub 267 k.k.) i wnioskami dowodowymi, a w postępowaniu reprezentuje pokrzywdzonego, który może działać jako oskarżyciel posiłkowy (art. 53-54 k.p.k.) i wnosić o naprawienie szkody (art. 46 k.k.). Po stronie cywilnej prowadzi spór z bankiem o zwrot nieautoryzowanej transakcji - od reklamacji, przez wniosek do Rzecznika Finansowego, po pozew - i pomaga obalić zarzut rażącego niedbalstwa. Adwokat ocenia też szanse odzyskania pieniędzy bezpośrednio od sprawcy, jeśli zostanie ustalony, oraz koordynuje działania z bankiem w sprawie zatrzymania przelewu. Im wcześniej włączy się prawnik, tym większa szansa na zabezpieczenie środków i dowodów.
Rola obrońcy osoby podejrzanej - słupy i niesłuszne oskarżenia
Nie każda osoba powiązana z oszustwem internetowym jest sprawcą. Częstym zjawiskiem są tzw. słupy - osoby, które (niekiedy nieświadomie, zwabione ofertą "łatwego zarobku" lub "pracy zdalnej") udostępniły swoje konto bankowe do przelewu skradzionych środków. Takie osoby same bywają oskarżane o pomocnictwo do oszustwa, oszustwo komputerowe lub pranie pieniędzy (art. 299 k.k.). Obrońca w takiej sprawie bada przede wszystkim stronę podmiotową - czy podejrzany w ogóle wiedział lub mógł przypuszczać, że uczestniczy w przestępstwie, bo bez umyślności (lub wymaganej nieumyślności przy praniu pieniędzy) odpowiedzialność karna nie powstaje. Linie obrony to m.in. brak zamiaru, działanie w błędzie, status ofiary manipulacji, a także kwestionowanie wartości dowodowej zabezpieczonych danych. Obrońca dba o prawa podejrzanego od pierwszego przesłuchania, w tym o prawo do odmowy składania wyjaśnień (art. 175 k.p.k.) i domniemanie niewinności (art. 5 k.p.k.).
Najczęstsze pytania
Czy bank musi zwrócić pieniądze skradzione w wyniku phishingu?
Co do zasady tak, jeśli transakcja była nieautoryzowana, czyli nie wyraziłeś na nią zgody. Zgodnie z ustawą o usługach płatniczych bank powinien zwrócić środki do końca następnego dnia roboczego po zgłoszeniu (zasada D+1). Bank może odmówić tylko wtedy, gdy wykaże, że transakcję autoryzowano albo że doszło do rażącego niedbalstwa lub umyślności z Twojej strony - np. samodzielnego przekazania oszustowi haseł i kodów mimo ostrzeżeń. To właśnie ocena "rażącego niedbalstwa" bywa głównym punktem sporu, dlatego warto walczyć o reklamację i w razie odmowy zwrócić się do Rzecznika Finansowego.
W jakim terminie muszę zgłosić nieautoryzowaną transakcję?
Zgłoś ją bankowi tak szybko, jak to możliwe - najlepiej natychmiast po zauważeniu. Ustawa o usługach płatniczych wyznacza nieprzekraczalny termin 13 miesięcy od dnia obciążenia rachunku. Po jego upływie roszczenie o zwrot z tytułu nieautoryzowanej transakcji wygasa. Szybkie zgłoszenie zwiększa też szansę na zatrzymanie przelewu, zanim środki zostaną wypłacone przez oszusta.
Co grozi sprawcy phishingu i oszustwa internetowego?
Klasyczne oszustwo z art. 286 § 1 k.k. zagrożone jest karą pozbawienia wolności od 6 miesięcy do 8 lat. Oszustwo komputerowe (art. 287 § 1 k.k.) podlega karze od 3 miesięcy do 5 lat. Nieuprawniony dostęp do systemu lub przechwycenie danych (art. 267 k.k.) oraz kradzież tożsamości (art. 190a § 2 k.k.) to odrębne przestępstwa. Przy mieniu znacznej lub wielkiej wartości albo działaniu w zorganizowanej grupie kary mogą być znacznie surowsze.
Gdzie zgłosić phishing oprócz banku?
Złóż zawiadomienie o przestępstwie na policji lub w prokuraturze (oszustwo jest ścigane z urzędu). Zgłoś też incydent do CERT Polska przez stronę incident.cert.pl, a podejrzane SMS-y przekaż na numer 8080 - to pomaga blokować fałszywe strony. Oszustwa w sklepach i serwisach internetowych warto zgłosić do UOKiK, a poważny wyciek danych osobowych - do UODO. Zachowaj potwierdzenia wszystkich zgłoszeń.
Udostępniłem swoje konto bankowe za wynagrodzeniem - czy popełniłem przestępstwo?
Możliwe, że nieświadomie zostałeś tzw. słupem. Udostępnienie konta do przelewu skradzionych pieniędzy może być kwalifikowane jako pomocnictwo do oszustwa lub pranie pieniędzy (art. 299 k.k.). Kluczowe jest, czy wiedziałeś lub mogłeś przypuszczać, że uczestniczysz w przestępstwie. Jeśli padłeś ofiarą manipulacji, niezwłocznie skontaktuj się z adwokatem i rozważ samodzielne zawiadomienie organów - świadomość i postawa procesowa mają duże znaczenie dla oceny Twojej odpowiedzialności.
Czy mam szansę odzyskać pieniądze, jeśli bank odmówi zwrotu?
Tak. Po odmowie banku można złożyć wniosek do Rzecznika Finansowego o interwencję lub postępowanie polubowne, a następnie skierować sprawę na drogę sądową (pozew cywilny przeciwko bankowi). Niezależnie od tego można dochodzić naprawienia szkody od sprawcy w postępowaniu karnym (art. 46 k.k.), o ile zostanie on ustalony. Adwokat oceni, która droga daje największe szanse w konkretnej sytuacji.
Powiązane poradniki
- Oszustwo finansowe online - jak odzyskać pieniądze i co robi prawnik
- Przestępstwa przeciwko bezpieczeństwu infrastruktury finansowej - jakie kary grożą według polskiego prawa?
- Co robić w przypadku oszustwa? Praktyczny poradnik krok po kroku
- Prawnik dla osób pokrzywdzonych przestępstwami finansowymi — jakie masz prawa i jak wybrać pełnomocnika
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 286, 287, 267, 190a, 299, 310, 46)
- Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (zwrot nieautoryzowanych transakcji, zasada D+1, termin 13 miesięcy)
- CERT Polska (NASK) - zgłaszanie incydentów i podejrzanych wiadomości
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (art. 304, 53-54, 175, 5)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę