Rok 2025 przynosi niepokojące wieści dla wszystkich korzystających z bankowości elektronicznej i płatności online. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego KNF (CSIRT KNF) opublikował najnowszy raport o cyberzagrożeniach, który stawia sprawę jasno: Polacy są systematycznie okradani z kont bankowych, a skala procederu osiągnęła poziom zagrażający bezpieczeństwu finansowemu kraju.
W samym tylko 2024 roku odnotowano ponad 34 000 zgłoszeń incydentów cyberbezpieczeństwa, z czego znaczna część dotyczyła bezpośredniego przejęcia dostępu do kont bankowych oraz kradzieży danych logowania. Tylko w IV kwartale 2024 roku liczba nowych fałszywych stron podszywających się pod banki i urzędy publiczne przekroczyła 11 800, co stanowi wzrost o ponad 230% względem roku 2023.
Dla porównania, w całym 2022 roku wykryto nieco ponad 5 000 takich przypadków. W 2025 roku średnio co 38 minut powstaje nowa fałszywa strona internetowa mająca na celu wyłudzenie danych i środków finansowych.
Oszustwo trwa 90 sekund – i nie zostaje nic
Cyberprzestępcy działają dziś z chirurgiczną precyzją. Czas od kliknięcia w złośliwy link do wyczyszczenia konta to średnio 90 sekund. Schematy są coraz bardziej wyrafinowane – od fałszywych wiadomości SMS z linkiem do „niby-faktury”, przez e-maile z rzekomym powiadomieniem od banku, po reklamy w mediach społecznościowych zachęcające do inwestycji. Co gorsza, coraz częściej wykorzystywane są chatboty, deepfake’i i sztuczna inteligencja, by wzbudzić zaufanie ofiary.
Wiele z tych stron jest identycznych wizualnie z oryginalnymi serwisami banków, a domeny przypominają prawdziwe adresy (np. „mbank-pl.com” zamiast „mbank.pl”). Gdy ofiara poda dane logowania – pieniądze znikają w ciągu minut, trafiając na konta w Azji, Afryce lub Europie Wschodniej, skąd są natychmiast wypłacane.
Najczęściej ofiary orientują się dopiero wtedy, gdy logowanie do banku przestaje działać, a infolinia informuje, że konto zostało już wyczyszczone.
CSIRT KNF: „Polacy nie mają świadomości, jak łatwo można ich okraść”
Eksperci z CSIRT KNF alarmują, że poziom świadomości społecznej jest dramatycznie niski. Większość Polaków nadal wierzy, że fałszywa strona będzie wyglądać „podejrzanie”, a oszustwo da się zauważyć na pierwszy rzut oka. Tymczasem cyberprzestępcy inwestują w doskonałe kopiowanie interfejsów banków, zaawansowaną psychologię manipulacji oraz techniki socjotechniczne.
Co istotne – nie potrzeba już żadnego złośliwego oprogramowania. Wystarczy kliknięcie w link i zalogowanie się na podstawionej stronie, a przestępcy uzyskują pełny dostęp do konta. W wielu przypadkach wykorzystywane są też metody SIM swappingu (przejęcie kontroli nad numerem telefonu ofiary), co pozwala na przechwytywanie SMS-ów z kodami autoryzacyjnymi.
W 2024 roku odnotowano ponad 1 700 przypadków nielegalnej zmiany karty SIM w polskich sieciach komórkowych – wzrost o ponad 300% względem 2023 roku.
Banki mają związane ręce. Klient zostaje sam
Choć banki wprowadzają nowe zabezpieczenia, jak logowanie biometryczne, dynamiczne hasła i weryfikację transakcji głosem – w praktyce wiele z tych mechanizmów da się obejść. A kiedy już dojdzie do kradzieży, większość instytucji finansowych odmawia pełnej rekompensaty, powołując się na „rażące niedbalstwo klienta”.
W efekcie tysiące Polaków zostało pozbawionych oszczędności życia, niejednokrotnie kwot sięgających 50–100 tysięcy złotych, bez realnych szans na odzyskanie pieniędzy. Co więcej, niektóre banki nakładają dodatkowe opłaty za postępowanie reklamacyjne, co jeszcze bardziej pogłębia frustrację klientów.
Rząd i KNF apelują o ostrożność, ale nie przedstawiono dotąd kompleksowego systemu ochrony konsumenta w przypadku ataku cyfrowego. Mimo rekomendacji CSIRT KNF, wiele banków wciąż nie wdrożyło mechanizmów tzw. „kliknięcia ochronnego”, czyli ostrzeżenia klienta przed logowaniem na nieznaną domenę.
Radykalna zmiana przepisów? Rząd zapowiada ustawę, ale jest opór ze strony banków
Ministerstwo Cyfryzacji zapowiedziało na drugą połowę 2025 roku projekt ustawy o cyberbezpieczeństwie konsumenta, która ma zobowiązać banki do pełnego zwrotu środków w przypadku potwierdzonego phishingu. Projekt ten spotkał się jednak z silnym sprzeciwem sektora bankowego, który ostrzega, że takie przepisy mogłyby sparaliżować ich działalność i zwiększyć koszty usług finansowych nawet o 15–20% rocznie.
Organizacje konsumenckie domagają się jednak natychmiastowej reakcji – według danych Fundacji Bezpieczny Konsument, w 2024 roku aż 7 na 10 przypadków kradzieży z konta nie zakończyło się odzyskaniem żadnej kwoty.
Jak chronić się w 2025 roku przed utratą pieniędzy? Konkretne działania, które musisz wdrożyć dziś
- Zainstaluj autoryzowane aplikacje bankowe tylko z oficjalnych sklepów (Google Play, App Store).
- Sprawdzaj adres strony internetowej banku – zwracaj uwagę na końcówki domeny i certyfikat HTTPS.
- Nie klikaj w linki z SMS-ów lub e-maili, nawet jeśli wyglądają oficjalnie. Wejdź ręcznie na stronę banku.
- Nie podawaj danych logowania przez telefon, czat czy e-mail. Bank NIGDY tego nie wymaga.
- Aktywuj dwuskładnikowe uwierzytelnianie oraz alerty transakcyjne.
- Zgłaszaj każde podejrzane działanie do CSIRT KNF lub na stronę incydent.cert.pl.
- Rozważ użycie aplikacji antyphishingowej, która automatycznie blokuje fałszywe strony.
Cyberzagrożenia to już nie przyszłość – to polska rzeczywistość finansowa
Eksperci jednogłośnie ostrzegają: żyjemy w epoce cyfrowej anarchii, w której złodzieje nie potrzebują broni – wystarczy przeglądarka i domena. Banki, mimo rosnącej liczby ofiar, nadal przerzucają odpowiedzialność na klientów. A państwo? Na razie bezradnie przygląda się fali kradzieży, która pozbawiła Polaków setek milionów złotych.
Jeśli w 2025 roku nie podejmiemy zdecydowanych działań, pieniądze z naszych kont nie będą bezpieczne nawet na sekundę.
