Metody oszustw internetowych - jak je rozpoznać i co grozi sprawcom
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Oszustwa internetowe to jedne z najszybciej rosnących kategorii przestępstw w Polsce. Oszuści wykorzystują nasze zaufanie, pośpiech i nawyki - podszywają się pod banki, urzędy, sklepy i znajomych, by wyłudzić pieniądze albo dane. Z prawnego punktu widzenia większość tych działań to przestępstwo oszustwa z art. 286 Kodeksu karnego lub oszustwa komputerowego z art. 287 KK, często powiązane z kradzieżą tożsamości i nieuprawnionym dostępem do danych. Poniżej opisujemy najczęstsze metody - phishing, vishing, oszustwa na kod BLIK, fałszywe sklepy - tłumaczymy, jak je rozpoznać, jaka jest ich kwalifikacja prawna oraz co konkretnie zrobić, gdy padniemy ofiarą.
Phishing - wyłudzanie danych przez podszywanie się
Phishing polega na podszywaniu się pod zaufaną instytucję (bank, operatora, urząd, firmę kurierską), by skłonić ofiarę do podania loginu, hasła, danych karty czy kliknięcia w fałszywy link. Występuje w wielu odmianach: e-mailowy, smishing (SMS, np. fałszywa 'dopłata do paczki' czy 'niedopłata za prąd') oraz spear phishing (atak ukierunkowany na konkretną osobę). Sygnały ostrzegawcze: presja czasu i straszenie ('konto zostanie zablokowane'), ogólnikowe powitania, drobne błędy w adresie nadawcy i w domenie linku, błędy językowe, prośba o 'potwierdzenie' danych przez link. Zasada bezpieczeństwa: bank nigdy nie prosi o pełne hasło, kod PIN ani dane karty przez e-mail czy SMS. Zamiast klikać w link, należy samodzielnie wpisać adres banku w przeglądarce. Tworzenie fałszywych stron i wyłudzanie danych wypełnia znamiona oszustwa (art. 286 KK), a podszywanie się pod cudzą stronę i pozyskiwanie danych - także art. 267 KK (nielegalne uzyskanie informacji).
Vishing - oszustwo przez telefon
Vishing to phishing głosowy - oszust dzwoni i odgrywa rolę pracownika banku ('wykryliśmy podejrzaną transakcję'), funkcjonariusza, pracownika 'wsparcia technicznego' albo konsultanta. Posługuje się socjotechniką: buduje poczucie pilności i autorytetu, by ofiara nie zdążyła pomyśleć. Częsty scenariusz to nakłonienie do zainstalowania aplikacji do zdalnego pulpitu (np. AnyDesk, TeamViewer) pod pretekstem 'zabezpieczenia konta' - w rzeczywistości oszust przejmuje wtedy kontrolę nad urządzeniem i wykonuje przelewy. Często też numer dzwoniącego jest sfałszowany (spoofing) tak, by wyświetlał się jako prawdziwy numer banku. Reguła obronna: rozłącz się i oddzwoń na oficjalny numer banku z odwrotu karty lub strony. Prawdziwy pracownik nigdy nie poprosi o hasło, kod BLIK, kody autoryzacyjne SMS ani o instalację aplikacji zdalnego dostępu.
Oszustwa na kod BLIK i 'na członka rodziny'
Oszustwa na kod BLIK to obecnie jedna z najpopularniejszych metod. Klasyczny scenariusz: oszust włamuje się na konto w komunikatorze (Messenger, WhatsApp) i pisze z niego do znajomych ofiary, podszywając się pod nią, z prośbą o pilne podanie kodu BLIK 'bo nie mam dostępu do swojego konta'. Podany kod, połączony z akceptacją transakcji w aplikacji oszusta, pozwala wypłacić pieniądze lub zrobić zakupy. Wariant 'na wnuczka/na policjanta' przeniesiony do sieci działa podobnie. Trzy żelazne zasady: (1) nigdy nie podawaj kodu BLIK osobie, która prosi o niego przez wiadomość lub telefon; (2) zawsze zweryfikuj prośbę innym kanałem - zadzwoń do bliskiej osoby; (3) czytaj treść powiadomienia w aplikacji banku przed zatwierdzeniem - tam widać kwotę i odbiorcę. Wyłudzenie kodu i wypłata środków to oszustwo z art. 286 KK.
Fałszywe sklepy internetowe i oszustwa na portalach sprzedażowych
Fałszywe sklepy kuszą cenami 'zbyt dobrymi, by były prawdziwe', a po opłaceniu towar nigdy nie dociera. Czerwone flagi: brak danych firmy (NIP, adres, regulamin), wyłącznie przedpłata przelewem na konto osoby fizycznej, brak potwierdzenia zamówienia, świeżo zarejestrowana domena, presja 'ostatnie sztuki'. Wariant na portalach ogłoszeniowych (OLX, Vinted) to fałszywe linki do 'odbioru płatności' lub 'finalizacji wysyłki', które w rzeczywistości prowadzą do strony wyłudzającej dane karty. Zasada: kupuj u sprzedawców z historią i opiniami, sprawdzaj dane firmy w CEIDG/KRS, korzystaj z bezpiecznych form płatności (karta z chargebackiem, system płatności portalu), a nie z bezpośredniego przelewu na konto prywatne. Strona płatności powinna mieć adres banku i protokół HTTPS.
Kwalifikacja prawna - art. 286 i 287 Kodeksu karnego
Podstawą odpowiedzialności jest art. 286 § 1 KK (oszustwo): kto w celu osiągnięcia korzyści majątkowej doprowadza inną osobę do niekorzystnego rozporządzenia mieniem za pomocą wprowadzenia w błąd, podlega karze pozbawienia wolności od 6 miesięcy do 8 lat. Gdy sprawca działa bez kontaktu z człowiekiem - np. manipulując danymi, włamując się do systemu lub przejmując dane do bankowości - zastosowanie ma art. 287 § 1 KK (oszustwo komputerowe), zagrożony tą samą karą. Towarzyszą im często: art. 267 KK (bezprawne uzyskanie informacji, włamanie do systemu), art. 269b KK (narzędzia hakerskie), a w przypadku podszywania się pod inną osobę i wykorzystywania jej wizerunku lub danych - art. 190a § 2 KK (kradzież tożsamości, do 3 lat). Przy mniejszej szkodzie czyn może być wykroczeniem z art. 119 Kodeksu wykroczeń (mienie do 800 zł), ale oszustwo internetowe co do zasady pozostaje przestępstwem ściganym z urzędu.
Co zrobić, gdy padłeś ofiarą - pierwsze kroki
Czas jest kluczowy. (1) Natychmiast skontaktuj się z bankiem - zgłoś nieautoryzowaną transakcję i poproś o zablokowanie karty/konta oraz próbę zatrzymania przelewu. Zgodnie z ustawą o usługach płatniczych bank co do zasady ma obowiązek zwrócić środki z nieautoryzowanej transakcji, chyba że wykaże, że klient dopuścił się rażącego niedbalstwa lub umyślnie udostępnił dane. (2) Zmień hasła do bankowości, poczty i komunikatorów; włącz uwierzytelnianie dwuskładnikowe. (3) Złóż zawiadomienie o przestępstwie na Policji lub w prokuraturze. (4) Zgłoś incydent do CERT Polska (https://incydent.cert.pl) - to instytucja koordynująca reagowanie na zagrożenia w sieci, która m.in. blokuje fałszywe domeny. (5) Jeśli wyciekły Twoje dane osobowe, rozważ zgłoszenie do Prezesa UODO i zastrzeżenie numeru PESEL.
Jak zabezpieczyć dowody i odzyskać pieniądze
Przed zgłoszeniem zbierz pełną dokumentację - to ona decyduje o skuteczności postępowania: zrzuty ekranu wiadomości i strony, adresy e-mail i URL, numery telefonów, numer rachunku odbiorcy, daty i kwoty przelewów, potwierdzenia transakcji. Zachowaj oryginalną korespondencję (nie kasuj SMS-ów ani e-maili). W przypadku płatności kartą można skorzystać z procedury chargeback (obciążenie zwrotne) w swoim banku - to droga odzyskania środków za niezrealizowany towar lub oszukańczą transakcję. Przy przelewie zwykłym szanse na odzysk maleją z każdą godziną, dlatego liczy się natychmiastowy kontakt z bankiem. Warto też rozważyć pomoc adwokata lub radcy prawnego, zwłaszcza gdy strata jest znaczna, a bank odmawia zwrotu - prawnik pomoże w korespondencji z bankiem, w reklamacji i w ewentualnym powództwie cywilnym o zwrot środków.
Najczęstsze pytania
Jak rozpoznać e-mail lub SMS phishingowy?
Zwróć uwagę na presję czasu i straszenie ('konto zostanie zablokowane'), ogólnikowe powitania, drobne literówki w adresie nadawcy i w domenie linku, błędy językowe oraz prośbę o podanie danych przez link. Bank nigdy nie prosi o pełne hasło, PIN ani dane karty przez e-mail czy SMS. Zamiast klikać, wpisz adres banku ręcznie.
Co zrobić, jeśli odebrałem podejrzany telefon z 'banku' (vishing)?
Rozłącz się i oddzwoń na oficjalny numer banku z odwrotu karty lub ze strony banku. Nigdy nie podawaj hasła, kodu BLIK, kodów autoryzacyjnych z SMS ani nie instaluj aplikacji do zdalnego pulpitu (AnyDesk, TeamViewer) na prośbę dzwoniącego. Numer dzwoniącego może być sfałszowany.
Czy bank zwróci mi pieniądze utracone w wyniku oszustwa?
W przypadku nieautoryzowanej transakcji bank co do zasady ma obowiązek zwrócić środki na podstawie ustawy o usługach płatniczych, chyba że wykaże rażące niedbalstwo lub umyślne udostępnienie danych przez klienta. Dlatego ważne jest natychmiastowe zgłoszenie i zachowanie dowodów. Przy płatności kartą można skorzystać z chargebacku.
Jakie przestępstwo popełnia oszust internetowy?
Najczęściej oszustwo z art. 286 § 1 KK (od 6 miesięcy do 8 lat pozbawienia wolności), a gdy działa bez kontaktu z człowiekiem, manipulując danymi lub systemem - oszustwo komputerowe z art. 287 KK. Towarzyszą im często art. 267 KK (bezprawny dostęp do danych) i art. 190a § 2 KK (kradzież tożsamości).
Gdzie zgłosić oszustwo internetowe?
Złóż zawiadomienie o przestępstwie na Policji lub w prokuraturze, a incydent zgłoś do CERT Polska (incydent.cert.pl), który blokuje fałszywe domeny i koordynuje reagowanie. Najpierw jednak skontaktuj się z bankiem, by zablokować konto i spróbować zatrzymać przelew. Przy wycieku danych rozważ zgłoszenie do UODO i zastrzeżenie PESEL.
Jak zabezpieczyć dowody oszustwa?
Zachowaj zrzuty ekranu wiadomości i stron, adresy e-mail i URL, numery telefonów, numer rachunku odbiorcy oraz potwierdzenia i daty przelewów. Nie kasuj oryginalnej korespondencji. Kompletna dokumentacja jest niezbędna zarówno dla Policji, jak i dla reklamacji w banku oraz ewentualnego powództwa cywilnego.
Powiązane poradniki
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 286, 287, 267, 269b, 190a)
- Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (odpowiedzialność za nieautoryzowane transakcje)
- CERT Polska - zgłaszanie incydentów i oszustw internetowych
- Ustawa z dnia 20 maja 1971 r. - Kodeks wykroczeń (art. 119)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę