Phishing i kradzież środków z konta – odpowiedzialność karna i odzyskanie pieniędzy
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Phishing to wyłudzanie poufnych danych (loginów, haseł, kodów, danych kart) przez podszywanie się pod bank, urząd, kuriera czy znajomego, najczęściej w wiadomości e-mail, SMS lub przez fałszywą stronę. Sam phishing jest zwykle etapem prowadzącym do dalszego celu: nieuprawnionego przelewu i kradzieży środków z konta bankowego. W polskim prawie nie istnieje jeden przepis o nazwie „phishing” – te zachowania kwalifikuje się z kilku artykułów Kodeksu karnego, w zależności od tego, co dokładnie zrobił sprawca. Z drugiej strony osoba pokrzywdzona, której zniknęły pieniądze z konta, ma konkretne uprawnienia wobec banku, wynikające z ustawy o usługach płatniczych. Ten artykuł wyjaśnia obie perspektywy: jak kwalifikowana i karana jest taka działalność, jak wygląda obrona osoby oskarżonej (w tym tzw. słupa, którego konto posłużyło do przelewu) oraz jak ofiara może odzyskać środki.
Jak polskie prawo kwalifikuje phishing i kradzież z konta
Kluczowym przepisem jest art. 287 § 1 Kodeksu karnego – oszustwo komputerowe. Karze podlega ten, kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody, bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych albo zmienia, usuwa lub wprowadza nowy zapis danych – czyli np. wykonuje przelew z cudzego konta przy użyciu wyłudzonych danych. Grozi za to kara pozbawienia wolności od 3 miesięcy do lat 5. Często stosuje się też art. 286 § 1 KK (oszustwo klasyczne), gdy sprawca wprowadza ofiarę w błąd i doprowadza ją do niekorzystnego rozporządzenia mieniem – zagrożenie od 6 miesięcy do 8 lat. Samo bezprawne uzyskanie dostępu do danych lub przełamanie zabezpieczeń to art. 267 KK. Przy mieniu znacznej wartości stosuje się surowszą kwalifikację z art. 294 KK.
Dodatkowe przestępstwa: fałszowanie stron, malware, pranie pieniędzy
Phishing rzadko bywa jednym czynem. Utworzenie fałszywej strony banku albo wysyłanie wiadomości podszywających się pod instytucję może wyczerpywać znamiona fałszerstwa (art. 270 KK) lub przestępstw przeciwko ochronie informacji. Posługiwanie się złośliwym oprogramowaniem, urządzeniami lub programami przeznaczonymi do popełniania tych przestępstw oraz hasłami i kodami dostępu jest karalne na podstawie art. 269b KK. Jeśli sprawca następnie przyjmuje, przekazuje lub wyprowadza skradzione środki, by ukryć ich pochodzenie, dochodzi przestępstwo prania pieniędzy z art. 299 KK, zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności. W praktyce prokuratura często łączy kilka kwalifikacji, a przy działaniu w grupie stosuje art. 258 KK (udział w zorganizowanej grupie przestępczej).
Najczęstsze pytania
Z jakiego artykułu kwalifikuje się kradzież pieniędzy z konta przez phishing?
Najczęściej z art. 287 Kodeksu karnego (oszustwo komputerowe) – nieuprawniony wpływ na przetwarzanie danych w celu wykonania przelewu, zagrożony karą od 3 miesięcy do 5 lat pozbawienia wolności. Często stosuje się też art. 286 KK (oszustwo), art. 267 KK (bezprawny dostęp) oraz art. 299 KK (pranie pieniędzy).
Czy bank musi zwrócić pieniądze skradzione z konta?
Co do zasady tak. Przy nieautoryzowanej transakcji bank ma obowiązek niezwłocznie, najpóźniej do końca następnego dnia roboczego po zgłoszeniu, zwrócić kwotę i przywrócić rachunek do stanu sprzed obciążenia (art. 46 ustawy o usługach płatniczych). Może odmówić tylko, gdy udowodni umyślność lub rażące niedbalstwo klienta.
Co grozi za udostępnienie konta do przyjęcia skradzionych pieniędzy?
Osoba, która udostępniła rachunek (tzw. słup), może odpowiadać za pomocnictwo do oszustwa komputerowego (art. 18 § 3 w zw. z art. 287 KK) lub za pranie pieniędzy (art. 299 KK). Kluczowe jest, czy działała świadomie i godziła się na udział w przestępstwie – to główny przedmiot obrony.
Jak bronić się przed zarzutem phishingu?
Obrona koncentruje się na braku zamiaru osiągnięcia korzyści (czyny z art. 286 i 287 KK są umyślne) oraz na słabości dowodów cyfrowych – adres IP czy logowanie z zainfekowanego urządzenia nie dowodzą jednoznacznie sprawstwa. Warto jak najwcześniej ustanowić obrońcę i nie składać pochopnych wyjaśnień.
Co zrobić zaraz po kradzieży środków z konta?
Natychmiast zgłosić transakcję bankowi i zastrzec dostęp, złożyć reklamację na piśmie, zawiadomić policję lub prokuraturę o przestępstwie oraz zachować wszystkie dowody (SMS-y, e-maile, zrzuty ekranu). W razie odmowy zwrotu przez bank można skierować sprawę do Rzecznika Finansowego, a potem do sądu cywilnego.
Powiązane poradniki
- Przestępstwa przeciwko wolności w Polsce — co grozi i jak chronić się jako ofiara
- Świadek w sprawie o przestępstwo seksualne - prawa, obowiązki i wiarygodność zeznań
- Zgoda jako podstawa zgwałcenia – zmiana art. 197 KK i inne nowości w prawie karnym 2025
- Jak zgłosić przestępstwo przeciwko mieniu? Zawiadomienie, dowody i prawa pokrzywdzonego
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (art. 267, 270, 286, 287, 294, 299)
- Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (art. 46 – zwrot nieautoryzowanej transakcji)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO (art. 33, 34)
- Rzecznik Finansowy – tryb rozpatrywania sporów z podmiotami rynku finansowego
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę