Oszuści wciąż zabierają Polakom setki milionów złotych rocznie – i robią to coraz sprawniej. W odpowiedzi banki sięgają po narzędzia, o których istnieniu większość klientów nie ma pojęcia. Jednym z nich jest analiza tego, jak trzymasz telefon, jak gwałtownie piszesz PIN i w którą stronę przewijasz ekran. Dla człowieka to drobiazgi – dla algorytmu to unikalny podpis.
Grafika poglądowa (generowana automatycznie).
800 milionów złotych rocznie w kieszeniach przestępców
Skala problemu nie pozostawia złudzeń. Według danych Narodowego Banku Polskiego, w samym III kwartale 2025 r. doszło do ponad 108,6 tys. transakcji oszukańczych przy użyciu bezgotówkowych instrumentów płatniczych – kart, poleceń przelewu i poleceń zapłaty – na łączną kwotę blisko 200 mln zł. Jak podaje portal Telepolis.pl, powołując się na dane NBP, szacuje się, iż wartość takich oszustw w całym 2025 r. mogła sięgnąć 800 mln zł. Przeciętny poszkodowany tracił 1837,20 zł.
Dominują wyłudzenia socjotechniczne. Mechanizm jest zawsze podobny: przestępca podaje się za policjanta, pracownika banku albo bliską osobę ofiary, gra na emocjach i presji czasowej, a następnie nakłania do przelewu na podstawiony rachunek. Gdy ofiara zorientuje się w sytuacji, pieniędzy zwykle nie ma już gdzie szukać. Stąd trwający od dłuższego czasu spór między bankami a Urzędem Ochrony Konkurencji i Konsumentów o to, kto i w jakich okolicznościach powinien zwracać skradzione środki.
BIK sprawdza telefon, zanim klikniesz „wyślij”
Największą infrastrukturę wykrywania fraudów w Polsce zbudowało Biuro Informacji Kredytowej, z którego systemów korzystają wszystkie największe banki. Pierwsza warstwa – Platforma Antyfraudowa BIK – wykrywa w czasie rzeczywistym fałszywe dane we wnioskach kredytowych i umożliwia bankom wzajemne ostrzeganie się w sektorze. Działa więc nie tylko na poziomie jednego banku, ale całego rynku jednocześnie.
Druga warstwa to Cyber Fraud Detection – narzędzie, które zanim transakcja zostanie zatwierdzona, sprawdza, czy telefon lub komputer, z którego jest wykonywana, był wcześniej powiązany z działalnością przestępczą. jeżeli tak – system może zablokować operację, zanim trafi ona do autoryzacji przez klienta.
Trzecia, najbardziej zaawansowana warstwa to Digital Fingerprints – Platforma Weryfikacji Behawioralnej. Analizuje przy użyciu AI indywidualne wzorce zachowań każdego użytkownika: sposób interakcji z ekranem dotykowym, tempo wpisywania tekstu, kąt trzymania urządzenia. jeżeli ktoś loguje się do bankowości w sposób odbiegający od wypracowanego profilu właściciela konta – system podnosi alarm, choćby jeżeli login i hasło są poprawne.
Inaczej trzymasz telefon? Bank to widzi
Bank Pekao jako jeden z pierwszych wdrożył w 2025 r. ochronę behawioralną tworzoną we współpracy z BIK. „System analizuje unikalne cechy zachowania klienta – takie jak sposób pisania, przewijania ekranu czy trzymania urządzenia – i w przypadku wykrycia anomalii może zatrzymać transakcję i wymusić dodatkową autoryzację” – poinformował bank.
Podobnie działa PKO BP, który zakomunikował klientom mailowo, iż jego systemy analizują unikalny styl korzystania z klawiatury i myszki – tempo pisania i ruchy kursora – w celu wykrycia nieuprawnionych dostępów. ING Bank Śląski oferuje weryfikację behawioralną bezpośrednio w aplikacji Moje ING jako opcjonalną, dodatkową warstwę identyfikacji opartą na charakterystycznym sposobie interakcji z interfejsem. BNP Paribas stosuje analogiczne rozwiązanie działające dyskretnie w tle, identyfikujące próby przejęcia konta na wczesnym etapie.
Santander Bank Polska, który w trakcie transformacji staje się Erste Bank Polska, zapowiedział wdrożenie ochrony behawioralnej umożliwiającej analizę szybkości klikania i sposobu używania klawiszy. „Systemy antyfraudowe będą mogły jeszcze skuteczniej wykrywać niezgodność zachowania w bankowości elektronicznej z profilem klienta” – mówi Agata Dubil, ekspertka ds. antyfraudów w tym banku.
Potykacze, Panic Button i „hamulec awaryjny” mBanku
Ochrona behawioralna to tylko jedna z linii obrony. Banki coraz szerzej stosują też tzw. potykacze – dodatkowe ekrany z ostrzeżeniami pojawiające się w momentach szczególnego ryzyka. Zadanie jest proste: przerwać scenariusz manipulacji dokładnie wtedy, gdy ofiara, działając pod presją, jest gotowa kliknąć „zatwierdź”. Pekao stosuje je przy płatnościach BLIK-iem. BNP Paribas poszedł dalej, wprowadzając w aplikacji GOmobile funkcję Panic Button – jedno naciśnięcie natychmiast blokuje dostęp do całej bankowości elektronicznej.
PKO BP od 6 maja 2025 r. wprowadził domyślny dzienny limit przelewów w serwisie iPKO na poziomie 10 tys. zł. Klient może go samodzielnie zmienić – od minimalnego po 300 tys. zł – ale wyższe limity wymagają dodatkowych zabezpieczeń, w tym mobilnej autoryzacji w aplikacji IKO lub biometrii. Bank wdrożył też dynamiczny kod CVC/CVV dla kart cyfrowych – zmienia się po każdej transakcji, co uniemożliwia jego ponowne użycie przez przestępcę.
mBank w grudniu 2025 r. jako pierwszy bank w Polsce udostępnił w aplikacji mobilnej funkcję blokady transakcji. „Klient może samodzielnie, w zaledwie 3 kliknięciach, zablokować transakcje wychodzące z konta, a następnie w dowolnym momencie zdjąć blokadę, gdy uzna to za bezpieczne” – mówi Marcin Fronczak, menedżer wydziału prewencji antyfraudowej w departamencie bezpieczeństwa mBanku. Blokada zatrzymuje przelewy, płatności BLIK-iem, transakcje kartą i wypłaty gotówki – ale wcześniej zaplanowane płatności, jak raty kredytu czy polecenia zapłaty, są realizowane bez zmian. mBank wdrożył też potwierdzenie tożsamości pracownika bezpośrednio w aplikacji – klient może sprawdzić w interfejsie, czy osoba podająca się za pracownika banku faktycznie nim jest.
Prawo chroni ostrożnych, nie lekkomyślnych
Nawet najlepsze systemy mają granicę, której nie przekroczą – nie ochronią klienta, który sam przekaże dane logowania przestępcy. Adwokat dr hab. Jan Byrski, prof. UEK, wspólnik kancelarii Traple Konarski Podrecki i Wspólnicy, precyzuje kwestię odpowiedzialności: „Obecne przepisy jednoznacznie wskazują, iż płatnik ponosi odpowiedzialność za nieautoryzowaną transakcję, jeżeli doprowadził do niej w wyniku swojego rażącego niedbalstwa. Przykładem będzie ujawnianie swoich danych uwierzytelniających osobom trzecim, pomimo iż bank jednoznacznie zaznaczył, aby nigdy tego nie robić.”
Byrski wskazuje, iż w najbliższej przyszłości wejdą w życie przepisy dyrektywy PSD3 i rozporządzenia PSR, które zmienią zasady weryfikacji tożsamości odbiorcy przelewu. Banki będą zobowiązane do tzw. verification of the payee – przed realizacją transakcji będą musiały upewnić się, czy klient faktycznie chce wysłać pieniądze do wskazanego odbiorcy. Dane odbiorcy mają być prezentowane w formie spersonalizowanej, co ma eliminować pomyłki i wyłudzenia oparte na podstawionych numerach kont.
Warto też pamiętać, iż nie każda nieautoryzowana transakcja kończy się dla klienta stratą. jeżeli bank nie wdrożył silnego uwierzytelniania lub doszło do naruszenia bezpieczeństwa po jego stronie, odpowiedzialność spoczywa na instytucji. najważniejsze jest jednak niezwłoczne zgłoszenie podejrzanej transakcji – im szybciej, tym większa szansa na odwrócenie przelewu zanim trafi do dalszego obiegu.
Co możesz zrobić, zanim coś się stanie
Żadne zabezpieczenie bankowe nie zastąpi podstawowej czujności. Kilka zasad redukuje ryzyko w sposób konkretny i mierzalny.
Żaden bank nigdy nie prosi o podanie hasła, kodu SMS ani danych karty podczas rozmowy telefonicznej. To absolutna zasada bez wyjątków. jeżeli ktoś wywiera presję i twierdzi, iż to pilne – rozłącz się i zadzwoń na numer ze strony internetowej banku, nigdy oddzwaniając na ten, z którego przyszło połączenie.
Skorzystaj z narzędzi, które twój bank już oferuje. Ustaw niski domyślny limit przelewów i podwyższaj go tylko na czas konkretnej transakcji. Włącz natychmiastowe powiadomienia push o każdej operacji na koncie – nieautoryzowana transakcja pojawi się na ekranie telefonu w ciągu sekund, co pozwala natychmiast zareagować. jeżeli twój bank oferuje potwierdzenie tożsamości pracownika w aplikacji – aktywuj tę funkcję, zanim kiedykolwiek będziesz jej potrzebować.
Sprawdź, czy masz dostęp do funkcji szybkiej blokady transakcji – w mBanku to przycisk bezpośrednio w aplikacji, w BNP Paribas Panic Button, w innych bankach odpowiedniki pod różnymi nazwami. Warto wiedzieć, gdzie kliknąć, zanim nadejdzie sytuacja, w której liczą się sekundy. jeżeli korzystasz z kilku banków – sprawdź każdy z nich z osobna, bo zakres dostępnych narzędzi różni się między instytucjami.
Przy podejrzeniu, iż ktoś mógł przejąć dostęp do twojego konta lub danych – nie czekaj na potwierdzenie. Zablokuj transakcje od razu, a wyjaśniaj sytuację z bankiem już po fakcie. Strata kilkunastu minut dostępu do własnych środków jest znacznie mniej dotkliwa niż utrata oszczędności.
