Inaczej trzymasz telefon niż zwykle. Szybciej niż zwykle piszesz PIN. Przewijasz ekran w górę zamiast w dół. Dla człowieka to drobiazgi, ale dla algorytmu – sygnał ostrzegawczy. Polskie banki wdrożyły systemy, które uczą się Twojego sposobu obsługi urządzenia i natychmiast reagują, gdy ktoś – lub coś – zachowuje się inaczej. To jeden z wielu mechanizmów chroniących pieniądze klientów w czasie, gdy skala wyłudzeń bije kolejne rekordy.
Grafika poglądowa (generowana automatycznie – Gemini)
800 milionów złotych rocznie idzie w ręce oszustów
Według danych Narodowego Banku Polskiego w III kwartale 2025 r. doszło do ponad 108,6 tys. transakcji oszukańczych przy użyciu bezgotówkowych instrumentów płatniczych – kart, poleceń przelewu i poleceń zapłaty – na łączną kwotę blisko 200 mln zł. Szacuje się, iż wartość takich oszustw w całym 2025 r. mogła sięgnąć 800 mln zł. Według danych Telepolis.pl przeciętny poszkodowany tracił 1837,20 zł.
Dominują wyłudzenia socjotechniczne. Oszuści podszywają się pod policjantów, pracowników banku lub bliskich ofiary, grają na emocjach i presji czasowej, a następnie nakłaniają do przelewu na podstawiony rachunek. Gdy ofiara orientuje się w sytuacji, pieniędzy najczęściej nie ma już gdzie szukać. W efekcie od dłuższego czasu trwa spór między bankami a Urzędem Ochrony Konkurencji i Konsumentów o to, kto – i w jakich okolicznościach – powinien zwracać środki.
Platforma BIK analizuje urządzenie, zanim klikniesz „wyślij”
Biuro Informacji Kredytowej wdrożyło kilka warstw ochrony, z których korzystają wszystkie największe banki w Polsce. Pierwsza – Platforma Antyfraudowa BIK – wykrywa w czasie rzeczywistym fałszywe dane we wnioskach kredytowych i umożliwia bankom wzajemne ostrzeganie się w sektorze. Druga – Cyber Fraud Detection – sprawdza w czasie rzeczywistym, czy telefon lub komputer, z którego wykonywana jest transakcja, był wcześniej powiązany z działalnością przestępczą, i w razie potrzeby blokuje operację na wczesnym etapie.
Trzecia warstwa to Digital Fingerprints – Platforma Weryfikacji Behawioralnej. Analizuje przy użyciu AI indywidualne wzorce zachowań każdego użytkownika: sposób interakcji z ekranem dotykowym, tempo pisania, kąt trzymania urządzenia. jeżeli ktoś loguje się do bankowości w sposób odbiegający od profilu właściciela konta – system podnosi alarm, choćby jeżeli login i hasło są poprawne.
Inaczej trzymasz telefon? Bank to widzi
Bank Pekao jako jeden z pierwszych wdrożył w 2025 r. ochronę behawioralną tworzoną we współpracy właśnie z BIK. „System analizuje unikalne cechy zachowania klienta – takie jak sposób pisania, przewijania ekranu czy trzymania urządzenia – i w przypadku wykrycia anomalii może zatrzymać transakcję i wymusić dodatkową autoryzację” – poinformował bank.
Podobnie uczynił bank PKO BP informując klientów mailowo. Systemy PKO analizują unikalny styl, a choćby korzystania przez klienta z klawiatury i myszki (tempo pisania, ruchy), aby wykryć nieuprawniony dostęp.
Podobne rozwiązania wdraża lub zapowiada wdrożenie większość dużych polskich instytucji. ING Bank Śląski oferuje weryfikację behawioralną bezpośrednio w aplikacji Moje ING – klient może ją aktywować jako dodatkową warstwę identyfikacji opartą na charakterystycznym sposobie uderzania w klawisze i ruchu na ekranie. BNP Paribas stosuje analogiczne rozwiązanie, które działa dyskretnie w tle i identyfikuje próby przejęcia konta na bardzo wczesnym etapie.
Santander Bank Polska (niebawem Erste Bank Polska) zapowiedział wdrożenie ochrony behawioralnej w bankowości elektronicznej, która umożliwi analizę m.in. szybkości klikania myszką i sposobu używania klawiszy. „Systemy antyfraudowe będą mogły jeszcze skuteczniej wykrywać niezgodność zachowania w bankowości elektronicznej z profilem klienta” – mówi Agata Dubil, ekspertka ds. antyfraudów w tym banku.
Potykacze, blokady i „Panic Button”
Oprócz analizy behawioralnej banki coraz szerzej stosują tzw. potykacze – dodatkowe ekrany z ostrzeżeniami, które pojawiają się w momentach szczególnego ryzyka. Zadanie jest proste: przerwać scenariusz manipulacji dokładnie wtedy, gdy ofiara, będąc pod presją, jest gotowa kliknąć „zatwierdź”. Pekao stosuje je przy płatnościach BLIK-iem. BNP Paribas rozwinął tę koncepcję o funkcję Panic Button w aplikacji GOmobile – jedno naciśnięcie natychmiast blokuje dostęp do całej bankowości elektronicznej.
PKO BP od maja 2025 r. obniżył domyślny dzienny limit przelewów w serwisie internetowym iPKO do 10 tys. zł (poprzedni był wyższy). Klient może go samodzielnie zmienić – od minimalnego po 300 tys. zł – ale wyższe limity wymagają dodatkowych zabezpieczeń, m.in. mobilnej autoryzacji w aplikacji IKO lub biometrii. Bank wdrożył też dynamiczny kod CVC/CVV dla kart cyfrowych – zmienia się po każdej transakcji, co uniemożliwia jego ponowne wykorzystanie przez przestępcę.
mBank w grudniu ubiegłego roku udostępnił w aplikacji mobilnej funkcję „blokady transakcji”. „Klient może samodzielnie, w zaledwie 3 kliknięciach, zablokować transakcje wychodzące z konta, a następnie w dowolnym momencie zdjąć blokadę, gdy uzna to za bezpieczne” – mówi Marcin Fronczak, menedżer wydziału prewencji antyfraudowej w departamencie bezpieczeństwa mBanku. Bank jako pierwszy w Polsce wdrożył też potwierdzenie tożsamości pracownika bezpośrednio w aplikacji – klient widzi w interfejsie, czy osoba podająca się za pracownika mBanku faktycznie nim jest.
Prawo jest po stronie ostrożnych, nie lekkomyślnych
Nawet najlepsze systemy bankowe nie ochronią klienta, który sam przekaże dane logowania przestępcy. Adwokat dr hab. Jan Byrski, prof. UEK, wspólnik kancelarii Traple Konarski Podrecki i Wspólnicy, precyzuje, jak wygląda kwestia odpowiedzialności: „Obecne przepisy jednoznacznie wskazują, iż płatnik ponosi odpowiedzialność za nieautoryzowaną transakcję, jeżeli doprowadził do niej w wyniku swojego rażącego niedbalstwa. Przykładem będzie ujawnianie swoich danych uwierzytelniających osobom trzecim, pomimo iż bank jednoznacznie zaznaczył, aby nigdy tego nie robić”.
Byrski wskazuje, iż w najbliższej przyszłości wejdą w życie przepisy dyrektywy PSD3 i rozporządzenia PSR, które zmienią zasady weryfikacji tożsamości odbiorcy przelewu. Banki będą zobowiązane do tzw. verification of the payee – przed realizacją transakcji będą musiały upewnić się od klienta, czy faktycznie chce wysłać pieniądze do wskazanego przez siebie odbiorcy. Dane odbiorcy mają być prezentowane klientowi w formie spersonalizowanej, co ma eliminować błędy i wyłudzenia.
Co możesz zrobić już teraz? Żadne zabezpieczenie nie zastąpi zdrowego rozsądku
Technologia banków ma swoje granice – zatrzymuje automatyczne ataki, ale nie zastąpi czujności człowieka, gdy po drugiej stronie telefonu jest przekonujący oszust. Kilka zasad znacznie redukuje ryzyko.
Żaden bank nigdy nie prosi o podanie hasła, kodu SMS ani danych karty podczas rozmowy telefonicznej – to absolutna zasada, której żaden wyjątek nie jest uzasadniony. jeżeli ktoś wywiera presję i twierdzi, iż to pilne, rozłącz się i zadzwoń na oficjalny numer banku ze strony internetowej.
Skorzystaj z narzędzi, które Twój bank już oferuje: ustaw niski domyślny limit przelewów i podwyższaj go tylko na potrzeby konkretnych transakcji. Włącz natychmiastowe powiadomienia o operacjach – każda transakcja w czasie rzeczywistym pojawi się na ekranie telefonu, co pozwala natychmiast zareagować na nieautoryzowane działanie. Aktywuj weryfikację tożsamości pracownika banku w aplikacji, jeżeli Twoja instytucja taką opcję oferuje.
Jeśli korzystasz z konta w kilku bankach, sprawdź dostępność funkcji Panic Button lub odpowiedniej blokady transakcji. W sytuacji podejrzenia oszustwa liczy się każda sekunda – warto wiedzieć, gdzie kliknąć, zanim się coś wydarzy.
![Jakie zawody będą najbardziej poszukiwane w przyszłości? [Sprawdź]](https://images7.polskie.ai/images/2880/37986417/24eefd987f1450321463a9dfa78dd4fd.jpg)
