- Oszustwo „na BLIKa” polega na wyłudzeniu kodu lub Twojego potwierdzenia w aplikacji banku, zwykle po podszyciu się pod znajomego lub zaufaną instytucję.
- Kod BLIK jest ważny krótko (standardowo 2 minuty), a transakcję domyka Twoje zatwierdzenie w aplikacji. Atak działa, gdy presja czasu zastępuje weryfikację.
- Nowy wariant w 2026 r.: oszust może nakłaniać do potwierdzenia w aplikacji aktywacji płatności zbliżeniowych BLIK lub dodania „zaufanego urządzenia”, jeśli wcześniej przejął Twoje dane logowania.
- Ryzyko spada, gdy ustawisz niskie limity BLIK, włączysz powiadomienia, zabezpieczysz e-mail i social media (2FA), a każdą prośbę o „potwierdzenie” zweryfikujesz rozmową telefoniczną na znany numer.
- Co zrobisz dziś: ustaw „limit awaryjny” BLIK, sprawdź blokady, włącz 2FA na e-mailu i social mediach, zapisz wzór reklamacji oraz plan działania „10 minut i 24 godziny”.
Oszustwo „na BLIKa” działa, bo napastnik nie „łamie” systemu BLIK, tylko steruje Tobą: przejmuje konto znajomego lub przechwytuje dane logowania, wywołuje presję i prowadzi do zatwierdzenia transakcji albo funkcji w aplikacji banku.
Jeśli chcesz rozpoznać scenariusze, ustawić ochronę w banku, zadziałać w pierwszych minutach po incydencie i napisać reklamację, która trzyma się faktów, terminów i dowodów, poniżej masz gotowy plan bez domysłów i bez obietnic zwrotu.
Warianty rozwiązań w skrócie, jakie masz opcje?
| Opcja | Kiedy wybierasz | Zalety | Minusy | Największe ryzyko |
|---|---|---|---|---|
| Natychmiastowa blokada i brak zatwierdzenia | Podałeś kod, ale nie zatwierdziłeś transakcji w aplikacji | Często kończy się na „próbie”, bez straty środków | Wymaga szybkiej reakcji i zmiany haseł | Oszust użyje przejętego konta do ataku na Twoich znajomych |
| Reklamacja w banku po transakcji zatwierdzonej | Zatwierdziłeś transakcję BLIK pod wpływem podszycia | Masz ścieżkę formalną, terminy i możliwość eskalacji | Bank często kwalifikuje to jako transakcję autoryzowaną | Zwłoka w zgłoszeniu utrudnia działania bezpieczeństwa i analizę |
| Tryb „nie rozpoznaję transakcji” (nieautoryzowana) | W historii widzisz operację, której nie zlecałeś i nie zatwierdzałeś | Prawo przewiduje obowiązki banku po zgłoszeniu nieautoryzowanej transakcji | Wymaga bardzo precyzyjnego opisu, co zatwierdzałeś, a czego nie | Pomylenie trybu i niespójny opis osłabia sprawę |
| Eskalacja: policja/prokuratura, CERT, Rzecznik Finansowy | Bank odmawia, a Ty masz spójny materiał dowodowy | Porządkujesz sprawę proceduralnie i wzmacniasz presję dowodową | Wymaga konsekwencji i kompletnej dokumentacji | Zgłoszenie bez konkretów i bez załączników |
Krótka reguła decyzyjna: Jeśli podałeś kod, ale nie zatwierdziłeś, blokujesz BLIK i konta. Jeśli zatwierdziłeś, zgłaszasz w banku i składasz reklamację z osią czasu. Jeśli widzisz transakcję, której nie zlecałeś i nie zatwierdzałeś, opisujesz sprawę jako nieautoryzowaną.
| Masz sytuację | Twoje 3 pierwsze kroki | Czego nie robisz |
|---|---|---|
| Podałeś kod, brak zatwierdzenia | (1) infolinia banku i blokada BLIK, (2) zmiana haseł i wylogowanie sesji, (3) ostrzeżenie znajomych | Nie kontynuujesz czatu i nie „testujesz”, czy oszust spróbuje ponownie |
| Zatwierdziłeś transakcję pod podszyciem | (1) zgłoszenie w banku i numer sprawy, (2) zabezpieczenie kont, (3) komplet dowodów i reklamacja | Nie wpisujesz w reklamacji sformułowań typu „moja wina”, opisujesz fakty |
| Nie rozpoznajesz transakcji | (1) zgłoszenie jako nieautoryzowane, (2) blokada dostępu i instrumentów, (3) żądanie danych autoryzacji i pisemnego stanowiska | Nie mieszasz wersji, nie dopisujesz przypuszczeń |
Na czym polega oszustwo „na BLIKa” i dlaczego działa tak skutecznie na osoby ostrożne?
To oszustwo polega na tym, że przekazujesz kod BLIK lub zatwierdzasz w aplikacji banku operację, bo wierzysz, że pomagasz znajomemu albo realizujesz „pilną” sprawę.
Mechanika jest prosta: kod BLIK jest jednorazowy i krótko ważny, a zatwierdzenie w aplikacji daje transakcji pełną moc. Napastnik gra emocjami, bo ostrożność łatwo wyłączyć, gdy w wiadomości pojawia się presja czasu, wątek zdrowia, dziecka, awarii albo wstyd przed odmową.
Jak wygląda typowy scenariusz „na BLIKa” krok po kroku: przejęcie konta, podszycie się i wymuszenie kodu?
Najczęstszy scenariusz zaczyna się od przejęcia konta w social mediach lub przechwycenia danych logowania, a kończy wypłatą z bankomatu albo aktywowaniem funkcji, która pozwala płacić telefonem.
- Wejście na konto, bo ofiara podała hasło na fałszywej stronie albo używała słabego hasła.
- Wiadomość do znajomych, zwykle krótka: „pożyczysz na chwilę”, „oddaję jutro”.
- Moment krytyczny (dwa warianty):
- Wariant A (klasyczny): podajesz kod BLIK, a potem zatwierdzasz transakcję w aplikacji banku.
- Wariant B (zaufane urządzenie / zbliżeniowy): oszust może nakłaniać do potwierdzenia w aplikacji aktywacji płatności zbliżeniowych BLIK lub „dodania urządzenia”, jeśli wcześniej zdobył Twoje dane logowania i próbuje uruchomić funkcję na innym telefonie.
- Zatwierdzenie w aplikacji, bo w emocjach nie czytasz podsumowania i nie weryfikujesz, co dokładnie autoryzujesz.
- Utrata środków, a czas reakcji liczony jest w minutach.
Przykład liczbowy: przy kwocie 900 zł i pięciu osobach „zaczepionych” w tym samym czasie, łączna strata to 4 500 zł w jednym cyklu wiadomości.
Jakie sygnały ostrzegawcze najczęściej zdradzają oszusta „na BLIKa”: język, presja czasu, tajemnica i nietypowe kwoty?
Oszust zdradza się stylem wiadomości i „reżyserią” rozmowy: naciska na tempo, prosi o tajemnicę i blokuje telefoniczne potwierdzenie.
- Presja czasu: „mam 2 minuty”, „zaraz zamykają”, „to pilne”.
- Prośba o tajemnicę: „nie mów nikomu”, „nie dzwoń, bo nie mogę mówić”.
- Nietypowa kwota, często „ładna” lub poniżej limitu, np. 500 zł, 800 zł, 900 zł.
- Zmiana tonu: brak polskich znaków, dziwne skróty, niepasujące zwroty.
- Nowy wariant: „zaufane urządzenie”: prośba o „potwierdzenie parowania telefonu”, „aktywację płatności zbliżeniowych”, „dodanie urządzenia” albo „mobilną autoryzację”, mimo że Ty niczego nie włączałeś.
Jakie ustawienia w banku i w BLIKu realnie zmniejszają ryzyko: limity, blokady i kontrola transakcji?
Najsilniejszą tarczą są niskie limity BLIK i blokady, które ograniczają „sufit” straty w jednej transakcji i w ciągu doby.
Ustaw w aplikacji banku limity na BLIK tak, aby jednorazowa operacja i limit dzienny miały sens w Twoim budżecie. Jeśli na co dzień nie wypłacasz BLIKIEM w bankomacie, sprawdź w aplikacji banku, czy da się wyłączyć wypłaty BLIK albo czasowo wyłączyć BLIK.
- Powiadomienia push/SMS o każdej operacji, aby od razu widzieć nietypowe zdarzenia.
- Blokady w aplikacji: wypłaty BLIK z bankomatu, płatności internetowe, szybkie przelewy, jeśli bank daje takie przełączniki.
- Dodatkowa ochrona aplikacji: biometria i PIN, brak prostych kodów ekranu blokady.
Kod BLIK jest jednorazowy i ważny krótko, a transakcję zatwierdzasz w aplikacji banku po zobaczeniu szczegółów. Podsumowanie czytasz zawsze, także wtedy, gdy pisze „znajomy”.
Jak zabezpieczyć social media i komunikatory, żeby nie stać się „źródłem” oszustwa?
Gdy zabezpieczysz e-mail i social media uwierzytelnianiem dwuskładnikowym oraz unikalnym hasłem, ograniczasz ryzyko, że napastnik napisze do Twoich znajomych „w Twoim imieniu”.
- 2FA: włącz na e-mailu, w Meta/Google/Apple i w komunikatorach.
- Hasła unikalne: jedno konto, jedno hasło, menedżer haseł trzyma resztę.
- Sesje i urządzenia: wyloguj obce urządzenia, przeglądaj listę zalogowań.
- Odzyskiwanie konta: aktualny e-mail i numer, kody zapasowe w bezpiecznym miejscu.
- Telefon: blokada ekranu, biometria, aktualizacje systemu, brak instalacji aplikacji z nieznanych źródeł.
Co zrobić natychmiast po wyłudzeniu kodu BLIK lub po autoryzacji transakcji: kolejność działań w 10 minut i w 24 godziny?
W pierwszych 10 minut liczy się bank: zgłoszenie, blokady i zabezpieczenie dostępu do rachunku.
- Zadzwoń na infolinię banku i zgłoś oszustwo BLIK, poproś o blokadę BLIK oraz blokady kanałów dostępu, jeśli bank to zaleca, weź numer zgłoszenia.
- Jeśli transakcja jest nierozpoznana, zgłoś ją jako nieautoryzowaną i poproś o uruchomienie procedury zgodnie z ustawą o usługach płatniczych.
- Zmień hasła do bankowości i e-maila, wyloguj inne urządzenia, włącz 2FA.
- Ostrzeż znajomych, jeśli widzisz przejęcie konta w social mediach.
W ciągu 24 godzin zbierz dowody, złóż reklamację w banku na trwałym nośniku (formularz, e-mail, pismo), złóż zawiadomienie o przestępstwie na policji lub w prokuraturze, a incydent phishingowy zgłoś do CSIRT NASK przez formularz CERT, gdy w grę wchodzą linki, fałszywe strony lub podszyte domeny.
Jak zebrać dowody do reklamacji i zgłoszenia: screeny rozmów, dane transakcji, numery i potwierdzenia?
Najsilniejszy materiał dowodowy to spójna oś czasu: kto napisał, kiedy, co podałeś, co widziałeś w aplikacji i jakie dane ma transakcja.
- Zrzuty ekranu rozmowy wraz z datą i nazwą profilu, najlepiej od pierwszej wiadomości do prośby o kod.
- Dane transakcji z banku: kwota, data, godzina, typ operacji BLIK, identyfikator transakcji.
- Potwierdzenia z banku: numer zgłoszenia, treść czatu lub e-maila, informacja o blokadach.
- Powiadomienia i logi: screen powiadomienia push, historia powiadomień w telefonie, jeśli jest dostępna.
- Informacje o koncie social media: link do profilu, ID, dowód przejęcia (logowania, alerty bezpieczeństwa, reset hasła).
Co napisać w reklamacji do banku po oszustwie „na BLIKa”: struktura pisma, opis zdarzeń, żądania i terminy?
Skuteczna reklamacja opisuje fakty minutowo, wskazuje transakcję, porządkuje dowody i zawiera konkretne żądania: rejestrację sprawy, udostępnienie danych autoryzacji oraz stanowisko banku na piśmie w terminie wynikającym z przepisów.
- Autoryzowana: zatwierdziłeś w aplikacji, nawet jeśli stało się to pod wpływem podszycia.
- Nieautoryzowana: transakcja przeszła bez Twojej zgody i bez Twojego zatwierdzenia.
W piśmie nie mieszaj tych wersji. Opis ma być spójny z tym, co widać w banku: czy było zatwierdzenie w aplikacji, czy go nie było.
- Dane i kanał kontaktu: imię i nazwisko, identyfikator klienta, telefon, e-mail.
- Identyfikacja zdarzenia: „reklamacja transakcji BLIK”, data, godzina, kwota [X zł], ID transakcji [ID], typ operacji.
- Opis faktów: przebieg rozmowy, podszycie, prośba o kod lub prośba o potwierdzenie funkcji, okoliczności zatwierdzenia lub brak zatwierdzenia.
- Dowody: lista załączników, screeny, potwierdzenia, numer zgłoszenia telefonicznego.
- Żądania: analiza antyfraudowa, udostępnienie danych autoryzacji i oceny ryzyka, pisemna odpowiedź z uzasadnieniem.
- Terminy: wskaż, że oczekujesz odpowiedzi w terminach przewidzianych dla reklamacji usług płatniczych, a gdy bank zakwalifikuje inaczej, w terminach z ustawy reklamacyjnej.
Reklamacja transakcji BLIK po oszustwie „na BLIKa”
Dane: [Imię i nazwisko], [ID klienta/PESEL], [telefon], [e-mail]
Numer rachunku / klienta: [___]
Transakcja BLIK: kwota [___ zł], data [dd/mm/rrrr], godzina [hh:mm], identyfikator [ID], typ operacji [wypłata w bankomacie/płatność online/inna operacja w aplikacji].
Opis zdarzenia: w dniu [dd/mm/rrrr] o godz. [hh:mm] otrzymałem wiadomość w komunikatorze od profilu podszywającego się pod [imię znajomego]. Treść dotyczyła pilnej potrzeby płatności/pożyczki. Następnie w aplikacji banku pojawiło się potwierdzenie operacji, które zatwierdziłem w przekonaniu, że realizuję prośbę osoby znajomej. Po zdarzeniu ustaliłem, że konto znajomego zostało przejęte, a prośba pochodziła od osoby trzeciej.
Moje działania po zdarzeniu: zgłoszenie na infolinii banku [nr zgłoszenia], blokada BLIK i zabezpieczenie dostępu, zmiana haseł, włączenie 2FA.
Załączniki: screeny rozmowy (z datą i nazwą profilu), potwierdzenie transakcji lub operacji, potwierdzenie zgłoszenia w banku, inne materiały.
Żądania: (1) przeprowadzenie analizy antyfraudowej i udokumentowanie wyniku, (2) przekazanie informacji o sposobie uwierzytelnienia i danych autoryzacji, (3) pisemna odpowiedź z uzasadnieniem w ustawowym terminie, (4) informacja o działaniach banku po zgłoszeniu, w tym o próbie zatrzymania środków, jeśli była możliwa.
Data i podpis: [___]
Kiedy eskalować sprawę i gdzie: Rzecznik Finansowy, UOKiK, policja, prokuratura oraz jak opisać sprawę, aby uporządkować działania?
Eskalujesz, gdy bank odmawia albo przewleka sprawę, a Ty masz komplet dowodów i spójną oś czasu, wtedy porządkujesz zgłoszenia do organów ścigania oraz rozważasz wsparcie Rzecznika Finansowego.
Policja lub prokuratura przyjmie zawiadomienie o przestępstwie, a Ty dostaniesz potwierdzenie z sygnaturą. CERT przyjmie zgłoszenie incydentu, co pomaga w blokadach domen i analizie wzorców phishingu. UOKiK przyjmuje sygnały o praktykach rynkowych, zwłaszcza gdy problem dotyczy wielu klientów, ale nie prowadzi indywidualnych postępowań o zwrot środków.
- Rzecznik Finansowy: gdy masz odpowiedź banku i komplet dokumentów, przygotuj wniosek z osią czasu i załącznikami.
- CBZC: gdy zgłaszasz cyberprzestępstwo lub chcesz użyć oficjalnego kanału zgłoszeniowego.
- CSIRT KNF: jako baza wiedzy i przykłady wzorców phishingu, przydatne do uzupełnienia opisu.
Checklista, co zrobić krok po kroku po oszustwie „na BLIKa”
- Zgłoś sprawę w banku, poproś o blokadę BLIK i numer zgłoszenia.
- Jeśli transakcja jest nierozpoznana, zgłoś ją jako nieautoryzowaną i poproś o udostępnienie danych autoryzacji.
- Zmień hasła do banku i e-maila, wyloguj obce urządzenia, włącz 2FA.
- Zabezpiecz social media, odzyskaj konto, dodaj ostrzeżenie dla znajomych.
- Zbierz dowody: screeny rozmów, ID transakcji, potwierdzenia z banku, powiadomienia.
- Złóż reklamację z osią czasu i żądaniami danych dot. autoryzacji oraz analizy ryzyka.
- Złóż zawiadomienie o przestępstwie na policji lub w prokuraturze, weź potwierdzenie z sygnaturą.
- Zgłoś incydent do CERT przez formularz, gdy pojawiły się linki lub fałszywe strony.
- Eskaluj do Rzecznika Finansowego po odpowiedzi banku i z kompletem dokumentów.
Słowniczek pojęć
FAQ, najczęściej zadawane pytania
Czy bank oddaje pieniądze po oszustwie „na BLIKa”, jeśli zatwierdziłem transakcję w aplikacji?
Najczęściej nie, jeśli bank uzna operację za autoryzowaną. Złóż reklamację, żądaj danych autoryzacji i oceny ryzyka oraz dołącz dowody podszycia i osi czasu zdarzeń.
Ile czasu ma bank na odpowiedź na reklamację dotyczącą usług płatniczych?
Standardowo bank ma 15 dni roboczych. W sprawach szczególnie skomplikowanych termin może zostać wydłużony do 35 dni roboczych, a w reżimie ustawy reklamacyjnej obowiązuje 30 dni lub 60 dni w określonych przypadkach.
Czy sam kod BLIK wystarczy, żeby oszust wypłacił pieniądze?
Nie, sam kod nie wystarczy. W standardowym modelu potrzebne jest jeszcze Twoje zatwierdzenie transakcji w aplikacji banku, a brak zatwierdzenia blokuje domknięcie wypłaty lub płatności.
Jak odróżnić transakcję autoryzowaną od nieautoryzowanej?
Autoryzowana to taka, którą zatwierdziłeś w aplikacji. Nieautoryzowana przeszła bez Twojej zgody i bez Twojego zatwierdzenia.
Jak szybko po oszustwie „na BLIKa” zgłosić sprawę do banku?
Natychmiast, najlepiej w tej samej godzinie. Weź numer zgłoszenia, poproś o blokadę BLIK i działania bezpieczeństwa na rachunku.
Gdzie zgłosić phishing i fałszywe linki związane z oszustwem „na BLIKa”?
Zgłoś incydent do CSIRT NASK przez formularz CERT. Dołącz linki, domeny i screeny, jeśli pojawiły się fałszywe strony lub wiadomości z odnośnikami.
Czy zgłaszać sprawę na policję, jeśli bank odmawia?
Tak, to porządkuje materiał dowodowy. Złóż zawiadomienie o przestępstwie i weź potwierdzenie z sygnaturą sprawy do dalszych działań.
Źródła i podstawa prawna
- BLIK, „Pierwsze kroki z BLIKIEM” (ważność kodu 2 minuty), data dostępu: 21/01/2026 r.
- BLIK, FAQ (bezpieczeństwo, zatwierdzanie transakcji), data dostępu: 21/01/2026 r.
- BLIK, „Dobre nawyki”, data dostępu: 21/01/2026 r.
- BLIK, „Płatności zbliżeniowe BLIK” (aktywacja w aplikacji banku), data dostępu: 21/01/2026 r.
- ISAP, Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, data dostępu: 21/01/2026 r.
- Rzecznik Finansowy, „Transakcje nieautoryzowane” (FAQ), data dostępu: 21/01/2026 r.
- Rzecznik Finansowy, „Nieautoryzowane transakcje” (materiał edukacyjny, art. 46 UUP), data dostępu: 21/01/2026 r.
- Rzecznik Finansowy, „Co robić w przypadku nieautoryzowanej transakcji?” (D+1), data dostępu: 21/01/2026 r.
- UOKiK, „Zalecenia Prezesa UOKiK dla dostawców usług płatniczych”, 23/10/2024 r.
- Gov.pl, „Cyberprzestępczość” (zgłaszanie do CSIRT NASK), data dostępu: 21/01/2026 r.
- CERT Polska (CSIRT NASK), formularz „Zgłoś incydent”, data dostępu: 21/01/2026 r.
- Centralne Biuro Zwalczania Cyberprzestępczości, „Zgłoś cyberprzestępstwo”, data dostępu: 21/01/2026 r.
- Gov.pl, „Zgłoś przestępstwo” (wymogi zawiadomienia), data dostępu: 21/01/2026 r.
- KNF, Encyklopedia Cyberbezpieczeństwa i raporty CSIRT KNF, data dostępu: 21/01/2026 r.
- ISAP, Ustawa z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym, data dostępu: 21/01/2026 r.
Dane liczbowe aktualne na dzień: 21/01/2026 r.
Jak liczone są przykłady: wyliczenia pokazują mechanikę ryzyka na prostych założeniach, bez założeń co do wyniku reklamacji.
Co możesz zrobić po przeczytaniu tego artykułu?
- Ustaw limity i blokady BLIK tak, aby jedna pomyłka nie kończyła się wysoką stratą.
- Włącz 2FA na e-mailu, social mediach i w komunikatorach, wyloguj obce urządzenia.
- Zapisz wzór reklamacji i działaj według checklisty, gdy pojawi się incydent.
Aktualizacja artykułu: 21 stycznia 2026 r.
Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości
Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/
Treści w artykule mają charakter wyłącznie informacyjny i nie są poradą finansową, prawną ani rekomendacją inwestycyjną. Wszelkie decyzje podejmujesz na własną odpowiedzialność. Przed ich podjęciem, skonsultuj się z licencjonowanym specjalistą. Autor nie ponosi odpowiedzialności za skutki działań podjętych na podstawie tych informacji. Artykuł może zawierać linki afiliacyjne.
Brak odpowiedzi