Phishing: co to jest, jak rozpoznać i gdzie zgłaszać?

05/02/2025

Czas czytania: 17 minut

05/02/2025

Czas czytania: 17 minut

Phishing to rodzaj oszustwa, w którym przestępcy podszywają się pod zaufane instytucje, aby wyłudzić dane lub pieniądze. Wyjaśniamy co to jest, na czym polega phishing, jak wygląda taki atak, jak rozpoznać próbę oszustwa, jak się bronić, co zrobić w razie utraty środków (np. wskutek nieautoryzowanej transakcji płatniczej) oraz gdzie zgłosić phishing.

Co to jest phishing?

Phishing to rodzaj cyberprzestępczości, który polega na wyłudzeniu od ofiary poufnych danych (np. loginów, haseł, numerów kart kredytowych) lub nakłonieniu jej do wykonania określonych działań (np. nieświadomego przelewu pieniędzy) pod fałszywym pretekstem. Innymi słowy, jest to oszustwo internetowe, czyli scam, wykorzystujące socjotechnikę – manipulowanie zaufaniem – w celu osiągnięcia korzyści kosztem ofiary. Przestępcy mogą podszywać się pod bank, urząd, firmę kurierską czy nawet pod znajomego, aby skłonić niczego niepodejrzewającą osobę do ujawnienia wrażliwych informacji lub wykonania niekorzystnej dla niej transakcji finansowej.

Wiele osób, które nie miały wcześniej do czynienia z tym zagrożeniem, zadaje pytania w stylu: „phishing co to” lub „phishing co to jest”. Terminem “phishing” określamy całą gamę oszukańczych praktyk polegających na podszywaniu się pod kogoś innego w sieci. Sama nazwa pochodzi od angielskiego słowa fishing (wędkowanie) – przestępcy niejako „łowią” ofiary, a litera “ph” jest nawiązaniem do terminu phreaking używanego w slangu hakerskim.

Phishing: definicja

Phishing – definicja: Ogólnie przez phishing rozumiemy celowe działanie oszusta, który poprzez podstęp zdobywa zaufanie ofiary i nakłania ją do ujawnienia informacji albo wykonania określonej czynności finansowej. Choć phishing definicja nie figuruje wprost w polskich ustawach, zjawisko to jest powszechnie opisane w kontekście bezpieczeństwa cyfrowego. Na przykład banki definiują phishing jako próbę wyłudzenia danych przez podszywanie się pod instytucje finansowe.

Można więc powiedzieć, że phishing to oszustwo internetowe – scam – polegające na podawaniu się za inną, zaufaną instytucję lub osobę w celu skłonienia ofiary do przekazania cennych informacji (danych logowania, danych karty, kodów SMS) lub do wykonania transakcji, na którą ofiara normalnie by się nie zgodziła. Odpowiadając zatem na pytanie na czym polega phishing, należałoby udzielić odpowiedzi, iż polega na zdobyciu zaufania i wykorzystaniu go przeciwko ofierze.

W praktyce phishing przybiera różne formy i techniki, jednak zawsze kluczowym elementem jest wprowadzenie ofiary w błąd co do tożsamości nadawcy komunikatu lub autentyczności sytuacji. Atak może dotknąć każdego użytkownika Internetu – stąd rośnie potrzeba edukacji na temat tego, co to jest phishing i jak się przed nim chronić.

Rodzaje phishingu

Phishing niejedno ma imię – oszuści stosują rozmaite warianty tej metody, dostosowane do preferowanego kanału komunikacji i profilu ofiary. Do najpopularniejszych rodzajów phishingu należą m.in.:

phishing e-mailowy – klasyczna forma phishingu polegająca na wysyłaniu fałszywych wiadomości email, wyglądających na korespondencję od banku, portalu aukcyjnego, dostawcy usług czy innej zaufanej instytucji. Wiadomość zwykle zawiera wezwanie do pilnego działania (np. „Twoje konto zostanie zablokowane, jeśli nie potwierdzisz danych”) oraz link prowadzący do strony imitującej prawdziwą witrynę, gdzie ofiara ma podać swoje dane logowania lub finansowe. To najczęściej spotykany przykład phishingu, który pokazuje, jak wygląda typowy scam, a więc oszustwo internetowe.
spear phishing – ukierunkowany atak phishingowy na konkretną osobę lub wąską grupę osób. Przestępcy wcześniej zbierają informacje o ofierze (np. imię, miejsce pracy, stanowisko), dzięki czemu ich komunikat wydaje się bardziej wiarygodny i spersonalizowany. Tego typu ataki często wymierzone są w pracowników firm lub instytucji, aby uzyskać dostęp do chronionych zasobów.
whaling – szczególny rodzaj spear phishingu wymierzony w „grube ryby”, czyli osoby na najwyższych stanowiskach (np. prezesów spółek, dyrektorów finansowych). Ataki whaling są starannie przygotowane i mogą polegać np. na wysłaniu spreparowanej wiadomości email rzekomo od innego członka zarządu lub ważnej instytucji, z prośbą o wykonanie dużego przelewu lub ujawnienie poufnych informacji.
smishing – phishing przy użyciu wiadomości SMS (nazwa pochodzi od SMS + phishing). Ofiara otrzymuje SMS od rzekomo zaufanego nadawcy (np. banku, firmy kurierskiej, operatora telefonii) z informacją o konieczności podjęcia pilnego działania – np. uregulowania zaległej opłaty, odebrania wygranej nagrody czy rozwiązania problemu z kontem bankowym – wraz z linkiem do fałszywej strony. Kliknięcie w taki link i wpisanie danych może skutkować ich kradzieżą.
vishing – wariant stanowiący phishing telefoniczny (voice + phishing). Oszust dzwoni do ofiary, udając np. pracownika banku lub policjanta. Pod pretekstem nagłego zagrożenia (np. „na twoim koncie wykryto podejrzane transakcje”) próbuje nakłonić rozmówcę do podania danych logowania, kodów uwierzytelniających lub nawet do wykonania przelewu na „bezpieczne konto”. Często przestępcy manipulują technologią tak, by na wyświetlaczu telefonu ofiary pojawił się numer infolinii banku, co dodatkowo uwiarygadnia ich historię.

Oprócz powyższych istnieją też inne odmiany ataków powiązanych z phishingiem, np. pharming (atak na infrastrukturę DNS w celu przekierowania użytkownika na fałszywą stronę bez jego wiedzy). Niezależnie od metody, mechanizm jest podobny – ofiara wierzy, że ma do czynienia z autentyczną instytucją lub osobą, i w rezultacie sama przekazuje oszustom klucz do swoich pieniędzy lub danych.

Potrzebujesz wsparcia we własnej sprawie?

Umów się na spotkanie

Pozostaw swój numer telefonu. Oddzwonimy w celu ustalenia dogodnego terminu

Phishing: przykłady

Aby lepiej zobrazować, na czym polega phishing i jak wygląda w praktyce, przyjrzyjmy się kilku typowym scenariuszom.:

Przykład 1: Pan Jan otrzymuje email, który wygląda jak oficjalna korespondencja z jego banku. Wiadomość informuje o rzekomej próbie nieautoryzowanego logowania na konto i zawiera alarmujące ostrzeżenie: „Czy to Ty wykonałeś tę operację? Jeśli nie – zaloguj się pod poniższym linkiem, aby natychmiast zabezpieczyć swoje konto.” Zaniepokojony pan Jan klika w podany link i trafia na stronę łudząco podobną do witryny banku. Wpisuje swój login, hasło oraz kod SMS. Niestety strona okazuje się fałszywa – dane logowania trafiły prosto do oszustów. Przestępcy natychmiast wykorzystują je, aby zalogować się na prawdziwe konto pana Jana i wykonują serię przelewów, kradnąc jego oszczędności. W tym przypadku phishing doprowadził do kradzieży pieniędzy poprzez przejęcie danych logowania.

Przykład 2: Pani Anna dostaje SMS-a od nadawcy podpisanego jako „Poczta Polska”. Wiadomość informuje o niedoręczonej przesyłce i prosi o dopłatę 1,50 zł w celu ponownego jej wysłania, podając link do szybkiej płatności online. Pani Anna akurat oczekuje paczki, więc nie podejrzewa podstępu. Po kliknięciu w link zostaje przekierowana na stronę przypominającą serwis szybkich płatności, gdzie podaje dane swojej karty płatniczej. W rzeczywistości przekazała te informacje przestępcom. W krótkim czasie z jej karty znikają pieniądze w serii nieautoryzowanych transakcji, dokonanych przez oszustów za pomocą skradzionych danych karty. Ten scam pokazuje, jak wygląda smishing, czyli phishing przez SMS.

Przykład 3: Pan Marek odbiera telefon od osoby podającej się za pracownika banku. Rozmówca twierdzi, że konto pana Marka padło celem ataku hakerskiego i aby ochronić środki, należy szybko przelać wszystkie pieniądze na specjalne konto techniczne banku. Fałszywy „bankier” instruuje krok po kroku, jak wykonać ten przelew przez internet, zapewniając, że po wyjaśnieniu sprawy środki wrócą na konto. Uwierzywszy w te zapewnienia, pan Marek dokonuje przelewu na wskazany rachunek. Oczywiście jest to konto kontrolowane przez przestępców, a pieniądze trafiają w ich ręce. To klasyczny phishing telefoniczny, który doskonale ilustruje, na czym polega socjotechnika stosowana w atakach typu scam.

Powyższe phishing przykłady pokazują, że oszuści potrafią działać bardzo przekonująco. W każdym z tych przypadków ofiara stała się uczestnikiem nieautoryzowanej transakcji płatniczej – tzn. takiej, na którą nie wyraziła świadomie zgody (choć mogła zostać podstępnie nakłoniona do działania). Dlatego tak ważne jest nauczyć się rozpoznawać sygnały ostrzegawcze phishingu.

Jak rozpoznać phishing?

Mimo coraz bardziej wyrafinowanych metod działania oszustów, wiele ataków phishingowych zdradza typowe sygnały ostrzegawcze. Oto, jak rozpoznać phishing i nie dać się oszukać:

Podejrzany nadawca lub adres strony: Sprawdź dokładnie adres email nadawcy wiadomości. Często jest on bardzo podobny do prawdziwego (np. zawiera drobną literówkę lub dodatkowy znak). Podobnie fałszywe strony WWW mogą mieć adres internetowy różniący się jedną literą od oryginału albo używać nietypowej domeny. Jeśli otrzymujesz telefon, zwróć uwagę na numer – przestępcy potrafią go podrobić (tzw. spoofing). W razie wątpliwości zawsze możesz przerwać rozmowę i samodzielnie oddzwonić na oficjalną infolinię danej instytucji.
Pilny i alarmujący ton wiadomości: Wiadomości phishingowe niemal zawsze wywołują poczucie nagłego zagrożenia lub obiecują wyjątkową okazję. Hasła w stylu: „Nieautoryzowana transakcja – potwierdź dane natychmiast”, „Twoje konto zostanie zablokowane – wymagane pilne działanie” albo „Wygrałeś nagrodę, odbierz ją w ciągu godziny” powinny wzbudzić czujność. Prawdziwe instytucje rzadko każą klientom wykonywać natychmiastowe działania pod groźbą konsekwencji, zwłaszcza przez email lub SMS.
Żądanie poufnych danych: Banki, operatorzy płatności czy urzędy nigdy nie proszą o podanie poufnych danych (takich jak pełne hasło, PIN, kod CVV karty czy jednorazowy kod SMS) poprzez email, SMS ani w trakcie niezapowiedzianego telefonu. Jeżeli wiadomość lub rozmówca prosi Cię o takie informacje albo o przekazanie kodu autoryzacyjnego SMS, to niemal na pewno scam. Wszelkie prośby o podanie loginu, hasła, numeru PESEL czy skanów dokumentów tożsamości w niepewnym kanale komunikacji są podejrzane.
Nietypowe załączniki lub linki: Jeżeli email zawiera załącznik, którego się nie spodziewasz (np. fakturę, której nie pamiętasz, lub plik o dziwnym rozszerzeniu), nie otwieraj go – może zawierać złośliwe oprogramowanie. Linki w wiadomości mogą kierować na fałszywe strony wyłudzające informacje. Najedź kursorem na link (bez klikania), aby podejrzeć adres docelowy – jeśli wygląda podejrzanie albo nie zgadza się dokładnie z oficjalną domeną instytucji, nie klikaj.
Błędy językowe i stylistyczne: Choć nie jest to regułą, wiele fałszywych wiadomości zawiera błędy gramatyczne, literówki lub nienaturalnie brzmiące zwroty. Oficjalna korespondencja z banku czy innej instytucji zwykle jest napisana poprawnie. Tekst wiadomości wyglądający na tłumaczony automatycznie lub zawierający rażące błędy językowe to sygnał, że może być to próba oszustwa.
Zbyt piękne, aby było prawdziwe: Phishing to nie tylko straszenie – czasem oszuści kuszą ofiary perspektywą łatwego zysku. Obietnica atrakcyjnej nagrody, kuponu rabatowego, zwrotu nadpłaty lub innej gratyfikacji w zamian za „weryfikację danych” powinna zapalić lampkę ostrzegawczą. Jeśli rzekomy nadawca (np. loteria, sklep internetowy, a nawet „urząd skarbowy”) informuje Cię o nieoczekiwanej wygranej i prosi o podanie danych albo kliknięcie linku – zachowaj szczególną ostrożność.

Pamiętaj, że oszuści często łączą różne techniki – np. wysyłają email, a następnie wykonują telefoniczny kontakt do ofiary, powołując się na wysłaną wiadomość, aby uwiarygodnić swoją historię. Stosuj zasadę ograniczonego zaufania: w razie jakichkolwiek wątpliwości skontaktuj się bezpośrednio z daną instytucją (np. bankiem) poprzez oficjalny numer telefonu lub stronę internetową, zamiast korzystać z linku czy numeru podanego w podejrzanej wiadomości.

Kto może stać się ofiarą phishingu?

Ofiarą phishingu może zostać praktycznie każdy – zarówno osoba młoda, obeznana z technologiami, jak i senior, który dopiero uczy się bankowości internetowej. Przestępcy nie wybierają wyłącznie osób nierozważnych; często atakują masowo, licząc na to, że nawet niewielki odsetek skuszonych odbiorców odpowie na ich zaczepkę. Niestety, phishing jest dziś tak powszechny, że zagrożony jest każdy, kto korzysta z poczty elektronicznej, telefonu czy bankowości online.

Pewne grupy użytkowników mogą być bardziej narażone na ukierunkowane ataki. Przykładowo osoby starsze, mniej zaznajomione z technologią, mogą łatwiej ulec manipulacji. Z drugiej strony nawet specjaliści IT czy pracownicy dużych firm padają ofiarą spear phishingu, który bywa bardzo przekonujący i trudny do odróżnienia od prawdziwej korespondencji.

Ważne, by zdać sobie sprawę, że bycie ofiarą phishingu nie świadczy o naiwności – oszuści stale doskonalą swoje metody i potrafią zaskoczyć nawet ostrożnych użytkowników. Dlatego nie należy się wstydzić ani ukrywać faktu, że padło się ofiarą takiego ataku. Im szybciej zareagujesz i poszukasz pomocy, tym większa szansa na zminimalizowanie strat.

Jak się bronić przed phishingiem?

Skuteczna obrona przed phishingiem opiera się przede wszystkim na ostrożności i wiedzy. Oto kilka kluczowych zasad, które pomogą Ci zabezpieczyć się przed staniem ofiarą takiego oszustwa i zrozumieć, na czym polega skuteczna ochrona:

Zachowaj czujność przy niespodziewanych wiadomościach: Traktuj z rezerwą wszelkie nieoczekiwane wiadomości email lub telefoniczny kontakt. Jeśli proszą o podanie danych lub kliknięcie linku, sprawdź ich autentyczność. Nawet jeśli wiadomość wydaje się pochodzić od znanej instytucji, zastanów się, jak wygląda typowa komunikacja z tego źródła.
Weryfikuj informacje u źródła: Gdy otrzymasz wiadomość o rzekomym problemie (np. z kontem bankowym, przesyłką czy fakturą), skontaktuj się z daną instytucją samodzielnie. Zadzwoń na oficjalny numer banku lub wejdź na oficjalną stronę, wpisując adres ręcznie w przeglądarce. Potwierdź, czy dana wiadomość jest prawdziwa. Często banki i firmy na swoich stronach publikują ostrzeżenia o krążących aktualnie próbach wyłudzeń.
Nigdy nie ujawniaj poufnych informacji osobom trzecim: Niezależnie od tego, czy następuje kontakt telefoniczną, czy przez SMS lub email, nigdy nie podawaj pełnych danych logowania, PIN-ów, haseł jednorazowych czy kodów autoryzacyjnych. Pracownik banku nigdy nie poprosi Cię o podanie całego hasła do konta ani o przekazanie kodu SMS, który właśnie otrzymałeś. Jeśli ktoś tego żąda – to niemal na pewno oszustwo.
Aktualizuj oprogramowanie i korzystaj z zabezpieczeń: Upewnij się, że na Twoim komputerze i smartfonie jest aktualny program antywirusowy, a system operacyjny i aplikacje są na bieżąco uaktualniane. Wiele ataków wykorzystuje znane luki w oprogramowaniu – aktualizacje je usuwają. Antywirus może z kolei ostrzec przed wejściem na znaną phishingową stronę lub zablokować złośliwy załącznik.
Stosuj uwierzytelnianie dwuskładnikowe (2FA): Większość banków i serwisów finansowych wymaga obecnie tzw. silnego uwierzytelnienia (np. hasło + SMS z kodem lub potwierdzenie w aplikacji mobilnej). Nie wyłączaj tych zabezpieczeń – stanowią one dodatkową barierę dla przestępców. Co prawda w niektórych atakach phishingowych oszuści potrafią także przechwycić kody 2FA, ale mimo wszystko uwierzytelnianie dwuskładnikowe utrudnia im zadanie i często pozwala wychwycić nieautoryzowane logowanie.
Uważaj, w co klikasz: Nie klikaj w linki bez uprzedniego sprawdzenia, dokąd prowadzą. Nawet jeśli wiadomość przyszła z oficjalnego wyglądającego emaila, może to być scam. Lepiej otworzyć nową kartę przeglądarki i samodzielnie wpisać adres strony. Podobnie z załącznikami – otwieraj tylko te, których się spodziewasz i które pochodzą od zaufanych nadawców.
Edukacja własna i bliskich: Ponieważ rodzaje phishingu stale ewoluują, warto na bieżąco poszerzać swoją wiedzę o nowych zagrożeniach. Czytaj ostrzeżenia publikowane przez banki, CERT Polska czy policję. Rozmawiaj z rodziną i znajomymi (szczególnie starszymi) o metodach oszustów – być może uchroni ich to przed pochopnym zaufaniem nieznajomemu w słuchawce. Regularne uświadamianie sobie, jak wygląda phishing i jakie są jego formy (np. telefoniczny, email, SMS) pozwala lepiej rozpoznawać zagrożenia. Dziel się wiedzą z rodziną, szczególnie z seniorami.
Zadbaj o bezpieczeństwo swoich kont: Stosuj silne, unikatowe hasła do bankowości internetowej i poczty e-mail. Nie używaj jednego hasła do różnych usług. kont bankowych i konta email – to ostatnia linia obrony przed przejęciem tożsamości. Dobrą praktyką jest też korzystanie z menedżera haseł, by łatwiej zarządzać wieloma silnymi hasłami.

Przestrzeganie powyższych zasad znacząco zmniejsza ryzyko, że padniesz ofiarą phishingu. Jednak 100% bezpieczeństwa nie istnieje – dlatego równie ważne jest wiedzieć, co zrobić, gdy pomimo ostrożności dojdzie do udanego ataku.

Masz sprawę, którą chcesz omówić?

Porozmawiajmy o Twojej sytuacji

Zgłoś chęć rozmowy. Zamów konsultację telefoniczną

Co zrobić w przypadku ataku phishingowego?

Nawet przy zachowaniu ostrożności każdemu może zdarzyć się chwila nieuwagi. Jeśli zorientujesz się, że mogłeś paść ofiarą phishingu (np. kliknąłeś podejrzany link, podałeś dane na fałszywej stronie lub ktoś wyłudził od Ciebie kod SMS), musisz działać szybko i zdecydowanie. Oto kroki, phishing co zrobić, gdy atak phishingowy okazał się skuteczny:

Natychmiast skontaktuj się z bankiem: Jeśli przekazałeś oszustom dane do bankowości (login, hasło, kody) lub zauważyłeś nieautoryzowane transakcje płatnicze na swoim koncie, od razu powiadom swój bank. Zadzwoń na infolinię lub użyj innego szybkiego kanału kontaktu i opisz sytuację. Bank może zablokować dostęp do konta, zablokować kartę lub wstrzymać podejrzane transakcje, by zminimalizować straty. Im szybciej bank zostanie powiadomiony, tym większa szansa na zatrzymanie lub odzyskanie środków.
Zmień hasła i zabezpiecz konta: Jeśli podałeś swoje hasło na fałszywej stronie, niezwłocznie zmień to hasło – i to nie tylko w banku, ale wszędzie tam, gdzie mogłeś używać podobnego. Najpierw upewnij się, że urządzenie, z którego korzystasz, jest bezpieczne (przeskanuj je programem antywirusowym). Potem zmień hasła do kluczowych usług: bankowości, poczty email, portali społecznościowych. Rozważ także zmianę PIN-u do karty, jeśli podałeś jej dane.
Zabezpiecz dowody ataku: Zachowaj wszelką komunikację z oszustami. Nie kasuj podejrzanych wiadomości email ani SMS-ów, zrób zrzuty ekranu fałszywych stron, na których podawałeś dane, zapisz historię transakcji. Te materiały mogą stanowić ważny dowód dla banku i organów ścigania.
Złóż zawiadomienie na policji: Phishing jest przestępstwem. Udaj się na komisariat policji (lub do prokuratury) i złóż zawiadomienie o popełnieniu przestępstwa. Opisz dokładnie, na czym polegał atak, kiedy się wydarzył, jakie kwoty zostały skradzione, dołącz wydruki wiadomości email/SMS-ów, potwierdzenia przelewów itp. Nawet jeśli nie masz dużych nadziei na schwytanie sprawcy, zgłoszenie ma znaczenie przy późniejszym dochodzeniu roszczeń od banku.
Poinformuj instytucję, pod którą podszył się oszust: Jeśli oszustwo polegało na podszyciu się np. pod konkretny bank, serwis aukcyjny czy firmę kurierską – zgłoś incydent także tej instytucji. Większość firm ma dedykowane adresy e-mail do zgłaszania prób phishingu. Dzięki temu instytucja może ostrzec innych klientów i współpracować z odpowiednimi służbami, by zablokować fałszywe strony.
Skonsultuj się z prawnikiem lub Rzecznikiem Finansowym: Jeśli w wyniku phishingu straciłeś większą sumę i bank odmawia zwrotu – skonsultuj się z prawnikiem. Doświadczony adwokat pomoże ocenić, jakie są szanse na odzyskanie środków, wyjaśni, na czym polega proces reklamacyjny i może wesprzeć Cię w sporze z bankiem (np. przy składaniu reklamacji lub pozwu przeciwko bankowi). W Polsce działa także Rzecznik Finansowy, do którego możesz zwrócić się po bezpłatną pomoc w sporze z instytucją finansową – zwłaszcza jeśli bank odrzucił Twoją reklamację.
Wyciągnij wnioski na przyszłość: Przeanalizuj dokładnie, jak wyglądał atak i jak doszło do oszustwa. Dzięki temu nie tylko lepiej zabezpieczysz siebie, ale i ostrzeżesz innych przed oszustwem, jakim jest scam.

Szybka reakcja w przypadku ataku phishingowego ma kluczowe znaczenie. Zdarza się, że banki blokują podejrzane transakcje lub udaje się odzyskać środki. Nawet jeśli nie – ścieżka reklamacyjna i prawna nadal jest otwarta.

Gdzie zgłosić phishing?

Wiele osób zastanawia się, gdzie zgłaszać phishing i tego typu incydenty, aby powstrzymać oszustów lub odzyskać utracone pieniądze. Warto zrozumieć, na czym polega skuteczne zgłoszenie oraz jak wygląda właściwa reakcja. Istnieje kilka miejsc i instytucji, do których warto zgłosić atak phishingowy:

Bank lub instytucja finansowa: Pierwszym miejscem zgłoszenia powinna być instytucja, której dotyczy oszustwo – najczęściej Twój bank. Zgłoś nie tylko sam fakt utraty środków (reklamacja nieautoryzowanej transakcji), ale także próbę wyłudzenia. Banki monitorują takie zgłoszenia i mogą szybciej zareagować (np. blokując przelew wychodzący, śledząc środki), a także ostrzec innych klientów przed podobnym scamem.
Policja (organy ścigania): Każde wyłudzenie pieniędzy to przestępstwo. Zgłoszenie na komisariacie pozwala uruchomić procedury śledcze. W zgłoszeniu dokładnie opisz, na czym polegał atak oraz jak wyglądała próba kontaktu (np. przez email lub telefonicznie). Dołącz zrzuty ekranu, wiadomości i inne dowody (wydruki maili, SMS-ów, logi transakcji).
Prokuratura: Alternatywą dla policji jest bezpośrednie zgłoszenie do prokuratury. W niektórych przypadkach, np. przy ataku zakrojonym na szeroką skalę, może to przyspieszyć reakcję śledczych.
CERT Polska: CERT Polska to zespół reagujący na incydenty bezpieczeństwa komputerowego. Prowadzi on portal incydent.cert.pl, gdzie można zgłaszać przypadki phishingu (np. link do fałszywej strony, podejrzaną wiadomość). Zgłoszenie tam przyczynia się do szybszego zablokowania danej strony phishingowej i ostrzeżenia innych użytkowników. CERT współpracuje też z bankami i organami ścigania w zwalczaniu tego typu zagrożeń.
Urząd Ochrony Konkurencji i Konsumentów / Rzecznik Finansowy: Nie zajmują się ściganiem przestępstw, ale mogą pomóc w sporze z bankiem, jeśli ten nie chce uznać reklamacji. Rzecznik Finansowy interweniuje na rzecz klientów w sporach z bankami i ubezpieczycielami. Jeśli bank odmawia zwrotu skradzionych środków, warto powiadomić Rzecznika Finansowego lub lokalnego Miejskiego/Powiatowego Rzecznika Konsumentów – mogą udzielić porady lub podjąć działania polubowne.
Firma/instytucja podszyta: Jeśli atak phishingowy polegał na podszyciu się pod konkretną firmę lub urzędową instytucję, zgłoś to również bezpośrednio do tej firmy/instytucji. Np. gdy oszust wysyła fałszywe e-maile rzekomo od Poczty Polskiej czy Allegro – te podmioty często proszą o zgłaszanie takich incydentów i same publikują ostrzeżenia dla swoich klientów. Dzięki temu mogą one we współpracy z policją szybciej namierzyć i zamknąć fałszywe strony czy numery telefonów.

Podsumowując, jeśli zastanawiasz się, gdzie zgłosić phishing, zacznij od banku i policji. Następnie zgłoś incydent do CERT Polska i instytucji podszytej. Im więcej stron zostanie poinformowanych, tym większa szansa na zablokowanie scamu i ograniczenie strat.

Phishing a kodeks karny

W polskim prawie nie znajdziemy przestępstwa o nazwie „phishing”. Pojawiają się jednak pytania typu „phishing art kk” albo „phishing kodeks karny” – warto więc wyjaśnić, jak Kodeks karny¹ traktuje tego rodzaju działania. Otóż czyny polegające na wyłudzeniu danych i kradzieży środków metodą phishingu są jak najbardziej karalne, lecz podpadają pod istniejące już kategorie przestępstw.

Najczęściej phishing jest kwalifikowany jako odmiana oszustwa. Może tu wchodzić w grę klasyczne oszustwo z art. 286 Kodeksu karnego, polegające na doprowadzeniu innej osoby do niekorzystnego rozporządzenia swoim mieniem za pomocą wprowadzenia jej w błąd. Jeśli np. ofiara sama wykonuje przelew na konto oszusta, wierząc że to bezpieczne konto techniczne banku – sprawca tym samym doprowadza ją do niekorzystnego rozporządzenia pieniędzmi i odpowiada za oszustwo (zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności, a w przypadku mniejszej szkody – do 2 lat).

Wielu ekspertów wskazuje jednak, że działania phishingowe wyczerpują znamiona oszustwa komputerowego z art. 287 k.k. Zgodnie z tym przepisem przestępstwem jest bezprawne wpływanie na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych (lub wprowadzanie do systemu nieprawdziwych danych) w celu osiągnięcia korzyści majątkowej. Kradzież pieniędzy z konta dokonana przy użyciu wyłudzonych danych logowania do bankowości internetowej często jest traktowana właśnie jako oszustwo komputerowe. Za czyn z art. 287 §1 k.k. grozi kara od 3 miesięcy do 5 lat pozbawienia wolności (a w przypadku mniejszej wagi – grzywna lub kara do 2 lat).

Dodatkowo pewne aspekty ataku phishingowego mogą wypełniać znamiona innych przestępstw. Przykładowo, jeśli przestępca podszywa się pod inną osobę (wykorzystuje jej wizerunek lub dane osobowe) i wyrządza jej tym szkody, może odpowiadać z art. 190a §2 k.k. (kradzież tożsamości) – zagrożone karą od 6 miesięcy do 8 lat więzienia. Również nieuprawniony dostęp do systemu informatycznego lub łamanie zabezpieczeń (np. gdy phishing łączy się z przełamaniem zabezpieczeń konta) stanowi przestępstwo z art. 267 k.k., choć bywa traktowane jako element oszustwa.

W praktyce ściganie sprawców phishingu jest trudne – często działają spoza kraju, posługują się pośrednikami (tzw. „słupami”) i zaciemniają ślady. Wiele postępowań karnych w sprawach phishingu kończy się umorzeniem z powodu niewykrycia sprawcy. Nie oznacza to jednak, że ofiara jest pozostawiona bez pomocy. Po pierwsze, zgłaszając przestępstwo, dokładasz cegiełkę do walki z cyberprzestępczością – im więcej zgłoszeń, tym większa szansa, że organy ścigania trafią na trop. Po drugie – i z perspektywy pokrzywdzonego najważniejsze – istnieje możliwość odzyskania utraconych pieniędzy inną drogą.

Polskie prawo chroni ofiary phishingu także na gruncie cywilnym i administracyjnym. Ustawa o usługach płatniczych² (wdrażająca unijną dyrektywę PSD2) nakłada na banki i innych dostawców usług płatniczych obowiązek stosowania odpowiednich zabezpieczeń oraz reguluje zasady odpowiedzialności za nieautoryzowane transakcje. Co do zasady, jeśli doszło do nieautoryzowanej transakcji (czyli takiej, której klient nie zlecił i na nią nie wyraził zgody), bank powinien niezwłocznie zwrócić klientowi utraconą kwotę. Wyjątkiem jest sytuacja, gdy poszkodowany doprowadził do transakcji umyślnie lub wskutek rażącego niedbalstwa – wówczas bank może odmówić zwrotu. Ciężar udowodnienia, że klient działał umyślnie lub rażąco niedbale, spoczywa jednak na banku.

W praktyce ofiary phishingu powinny jak najszybciej zgłosić w banku reklamację, powołując się na fakt, że doszło do nieautoryzowanej transakcji płatniczej. Bank ma obowiązek rozpatrzyć taką reklamację i zazwyczaj wstępnie zwraca środki, prowadząc jednocześnie wewnętrzne postępowanie wyjaśniające. Jeśli bank uzna, że klient rażąco naruszył zasady bezpieczeństwa (np. przekazał oszustom hasła w oczywisty sposób), może ponownie obciążyć klienta kwotą transakcji. Wtedy do akcji wkracza droga prawna – klient może odwołać się od decyzji banku, skierować sprawę do arbitra bankowego, Rzecznika Finansowego lub w ostateczności do sądu.

W ostatnich latach zapadło w Polsce wiele korzystnych dla klientów wyroków, w których sądy nakazały bankom zwrócić pieniądze utracone w wyniku phishingu. Sąd uznawał, że typowe błędy popełnione przez ofiarę (np. ulegnięcie podstępowi oszusta podszywającego się pod bank) nie stanowią rażącego niedbalstwa, które zwalniałoby bank z odpowiedzialności. Innymi słowy, prawo stoi na stanowisku, że to bank jako instytucja profesjonalna powinien ponosić ryzyko takich incydentów – oczywiście przy założeniu, że klient nie działał celowo na własną szkodę.

Phishing jest zatem przestępstwem – choć nazwa ta nie występuje wprost w kodeksie karnym, sprawcy ataków phishingowych mogą odpowiadać karnie (najczęściej za oszustwo komputerowe lub inne powiązane czyny). Co ważne, ofiary phishingu nie są pozostawione same sobie: prawo przewiduje mechanizmy pozwalające odzyskać skradzione środki (od banku lub sprawcy, jeśli zostanie ujęty). Jeśli padłeś ofiarą phishingu, pamiętaj, że masz prawo do pomocy – zarówno ze strony organów ścigania, instytucji finansowych, jak i wyspecjalizowanych prawników. Warto skorzystać z tych możliwości, by zminimalizować straty i pociągnąć winnych do odpowiedzialności. Zachęcamy do kontaktu z naszą kancelarią – pomożemy Ci przejść przez procedury prawne, odzyskać utracone pieniądze i dochodzić swoich praw z pełnym wsparciem eksperckiej wiedzy.

^{1. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz. U. z 2025 r. poz. 383) ↩}

^{2. Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2024 r. poz. 30 z późn. zm.) ↩}

Autor wpisu:

Picture of Mariusz Krzyżanowski<br><font color="#C39E3A"; size=4> adwokat</font><br><br>

Mariusz Krzyżanowski
adwokat

Niniejsza publikacja została opracowana z najwyższą starannością, jednak niektóre informacje przedstawiono w sposób skrócony. W związku z tym artykuł ma wyłącznie charakter poglądowy, a zawarte w nim treści nie mogą zastępować pełnej i szczegółowej analizy danego zagadnienia. Kancelaria Adwokacka Mariusz Krzyżanowski nie ponosi odpowiedzialności za jakiekolwiek straty wynikające z działań podjętych lub zaniechanych na podstawie niniejszej publikacji. W celu omówienia indywidualnej sprawy zapraszamy do kontaktu i podjęcia współpracy.