Co grozi za phishing i jak uniknąć odpowiedzialności prawnej?
Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl
Phishing to metoda oszustwa polegająca na podszywaniu się pod zaufany podmiot (bank, urząd, firmę kurierską) w celu wyłudzenia danych logowania, numerów kart lub środków. Polskie prawo nie zna odrębnego przestępstwa o nazwie „phishing”, ale działania te wypełniają znamiona kilku czynów z Kodeksu karnego. Dla ofiar kluczowe jest szybkie zgłoszenie sprawy bankowi i organom ścigania, bo od tego zależą szanse na odzyskanie pieniędzy.
Jak prawo kwalifikuje phishing
Najczęstszą kwalifikacją jest oszustwo komputerowe z art. 287 Kodeksu karnego – bezprawne wpływanie na przetwarzanie danych w celu osiągnięcia korzyści majątkowej, zagrożone karą od 3 miesięcy do 5 lat pozbawienia wolności. W zależności od sposobu działania w grę wchodzą też: klasyczne oszustwo (art. 286 KK), bezprawne uzyskanie dostępu do informacji (art. 267 KK), a przy podszywaniu się pod inną osobę – kradzież tożsamości z art. 190a § 2 KK. W wypadku mniejszej wagi sąd może orzec łagodniejszą karę.
Obowiązki banku przy nieautoryzowanej transakcji
Zgodnie z ustawą z dnia 19 sierpnia 2011 r. o usługach płatniczych bank co do zasady zwraca kwotę nieautoryzowanej transakcji niezwłocznie, nie później niż do końca następnego dnia roboczego po zgłoszeniu, przywracając rachunek do stanu sprzed transakcji. Bank może odmówić, jeśli wykaże, że transakcję autoryzowano albo że klient umyślnie lub wskutek rażącego niedbalstwa naruszył zasady bezpieczeństwa. Spór o to, czy doszło do rażącego niedbalstwa, często rozstrzyga sąd.
Co zrobić po ataku phishingowym
Po pierwsze należy natychmiast zmienić hasła i zablokować kartę lub dostęp do bankowości. Po drugie – zgłosić nieautoryzowaną transakcję bankowi, co uruchamia procedurę zwrotu z ustawy o usługach płatniczych. Po trzecie – zawiadomić organy ścigania (policję lub prokuraturę) oraz, w razie potrzeby, zespół CERT Polska. Warto zachować całą dokumentację: wiadomości, zrzuty ekranu, potwierdzenia transakcji – będą potrzebne zarówno w postępowaniu karnym, jak i ewentualnym cywilnym.
Jak chronić się przed phishingiem
Profilaktyka obejmuje silne, unikalne hasła, uwierzytelnianie dwuskładnikowe oraz ostrożność wobec linków w niezamówionych wiadomościach. Adresy stron banków najlepiej wpisywać ręcznie, a nie klikać w odnośniki z e-maili czy SMS-ów. Należy zwracać uwagę na typowe sygnały oszustwa: presję czasu, ogólne powitania, błędy językowe i podejrzane adresy nadawcy. Bank nigdy nie prosi o podanie pełnego hasła czy kodu BLIK w wiadomości.
Najczęstsze pytania
Jaka kara grozi za phishing w Polsce?
Phishing najczęściej kwalifikuje się jako oszustwo komputerowe z art. 287 Kodeksu karnego, zagrożone karą od 3 miesięcy do 5 lat pozbawienia wolności. W zależności od okoliczności mogą mieć zastosowanie także art. 286, 267 lub 190a § 2 KK.
Czy bank musi zwrócić pieniądze utracone wskutek phishingu?
Co do zasady bank zwraca kwotę nieautoryzowanej transakcji najpóźniej do końca następnego dnia roboczego po zgłoszeniu. Może odmówić, jeśli wykaże, że transakcja była autoryzowana albo że klient dopuścił się rażącego niedbalstwa lub działał umyślnie.
Czy ofiara phishingu może liczyć na odszkodowanie?
Tak. Niezależnie od zwrotu od banku poszkodowany może dochodzić naprawienia szkody od sprawcy – w postępowaniu karnym (obowiązek naprawienia szkody) lub na drodze cywilnej po ustaleniu odpowiedzialności sprawcy.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę