Okres przedświąteczny i sezon rozliczeń podatkowych to czas, w którym cyberoszuści działają najskuteczniej. Mechanizm jest prosty: użytkownicy działają szybciej i mniej uważnie, szczególnie gdy w grę wchodzi zwrot podatku lub dostawa przesyłki. W 2025 r. liczba incydentów cyberbezpieczeństwa w Polsce przekroczyła 222 tys., a phishing osiągnął rekordową skalę. W praktyce oznacza to rosnącą liczbę przypadków utraty pieniędzy i sporów z bankami o ich zwrot.
Coraz bardziej wyrafinowane metody oszustw
Cyberprzestępcy nie ograniczają się już do prostych schematów – dziś wykorzystują zaawansowane techniki socjotechniczne, precyzyjnie dopasowane do kontekstu i momentu. Szczególnie skuteczne okazują się w okresach wzmożonej aktywności użytkowników, takich jak przedświąteczne zakupy czy rozliczenia podatkowe.
Najczęściej stosowaną metodą pozostaje phishing, czyli podszywanie się pod zaufane instytucje – banki, firmy kurierskie, administrację publiczną czy popularne serwisy internetowe. W okresie rozliczeń podatkowych szczególnie często pojawiają się komunikaty rzekomo pochodzące z urzędów skarbowych lub Ministerstwa Finansów – dotyczące nadpłaty podatku, konieczności dopłaty lub pilnej weryfikacji danych. Ofiara otrzymuje wiadomość e-mail lub SMS z linkiem do strony łudząco przypominającej oryginalną, a wprowadzone dane trafiają bezpośrednio do oszustów.
Równie niebezpieczne są fałszywe oferty pracy, w których obiecuje się wysokie wynagrodzenie za proste czynności, takie jak wykonywanie przelewów. W praktyce może to oznaczać udział w procederze prania pieniędzy, co niesie za sobą odpowiedzialność karną.
Na popularności nie tracą także oszustwa związane z handlem internetowym – zarówno po stronie sprzedaży (fikcyjne ogłoszenia i zaliczki), jak i zakupu (fałszywe potwierdzenia przelewów). Wciąż funkcjonują również tzw. „oszustwa nigeryjskie” (wyłudzenia oparte na obietnicy dużych zysków w zamian za wcześniejszą opłatę) oraz mechanizmy wyłudzania pieniędzy poprzez płatne SMS-y ukryte pod pozornie niewinnymi usługami.
„Najgroźniejsze jest poczucie, że wszystko wygląda wiarygodnie”
– W wielu sprawach, które prowadzimy, kluczowy jest element psychologiczny. Oszustwa są dziś przygotowywane w sposób bardzo profesjonalny: strony internetowe, komunikacja czy nawet język nie budzą podejrzeń – wskazuje Kamila Morawiec z Kancelarii Hantke&Piskor
Ekspertka podkreśla, że przestępcy coraz częściej wykorzystują pośpiech i presję czasu.
– Ofiara ma podjąć decyzję natychmiast. Kliknąć link, wykonać przelew czy podać dane. To ogranicza racjonalną ocenę sytuacji i zwiększa skuteczność oszustwa – dodaje.
Jak się chronić? Podstawy wciąż działają
Choć metody oszustów ewoluują, podstawowe zasady bezpieczeństwa pozostają takie same.
Kluczowe znaczenie ma weryfikacja wiarygodności ofert i podmiotów – sprawdzenie danych rejestrowych, opinii czy bezpośredni kontakt. Niezmiennie obowiązuje także zasada ograniczonego zaufania wobec „okazji życia”.
– Z naszej praktyki wynika, że wiele osób wciąż bagatelizuje podstawowe środki ostrożności, takie jak sprawdzenie adresu strony czy nadawcy wiadomości. Tymczasem to często pierwszy i najprostszy sposób, aby uniknąć problemów – zaznacza Olga Matyjaszczyk-Jendrasiak z Kancelarii Hantke&Piskor
Ekspertki rekomendują także:
- nieudostępnianie danych osobowych i bankowych niezweryfikowanym podmiotom,
- unikanie klikania w podejrzane linki,
- korzystanie z zabezpieczonych połączeń (https),
- stosowanie aktualnego oprogramowania antywirusowego,
- dokładne czytanie regulaminów usług online.
Kluczowe pytanie: czy bank odda pieniądze?
W przypadku utraty pieniędzy wiele osób zakłada, że odzyskanie pieniędzy będzie trudne lub niemożliwe. Tymczasem obowiązujące przepisy często stawiają bank w roli odpowiedzialnej za zwrot środków.
Zgodnie z ustawą o usługach płatniczych klient ma obowiązek niezwłocznie zgłosić nieautoryzowaną transakcję. To moment kluczowy – od niego zaczyna się procedura reklamacyjna.
– Po zgłoszeniu nieautoryzowanej transakcji bank co do zasady powinien zwrócić środki niezwłocznie, najpóźniej do końca następnego dnia roboczego. To nie jest dobra wola instytucji finansowej, lecz ustawowy obowiązek – wyjaśnia Olga Matyjaszczyk-Jendrasiak.
Autoryzacja to nie to samo co uwierzytelnienie
W praktyce spory między klientami a bankami często koncentrują się wokół jednego zagadnienia – czy transakcja była autoryzowana.
– Warto wyraźnie rozróżnić autoryzację od uwierzytelnienia. To, że ktoś potwierdził operację kodem SMS czy w aplikacji, nie oznacza automatycznie, że wyraził świadomą zgodę na transakcję – podkreśla Kamila Morawiec.
Jak wskazują eksperci, ciężar dowodu w tym zakresie spoczywa na banku. To instytucja finansowa musi wykazać, że transakcja była autoryzowana, a nie jedynie prawidłowo uwierzytelniona technicznie.
Aktualne stanowisko UE: zwrot ma być zasadą
Najnowsze podejście potwierdzają również instytucje europejskie. W opinii rzecznika generalnego Trybunału Sprawiedliwości UE z 5 marca 2026 r. wskazano, że zwrot środków powinien być standardem, a nie wyjątkiem. Oznacza to, że bank może odmówić jedynie w sytuacji, gdy posiada uzasadnione dowody, że klient działał umyślnie lub dopuścił się rażącego niedbalstwa. Co istotne – nawet jeśli środki zostaną zwrócone, bank może dochodzić ich odzyskania w późniejszym postępowaniu.
Reaguj szybko – to decyduje o wyniku sprawy
Eksperci są zgodni: kluczowe znaczenie ma czas reakcji.
– Im szybciej klient zgłosi nieautoryzowaną transakcję i zabezpieczy dowody, tym większe ma szanse na odzyskanie środków i skuteczne dochodzenie roszczeń – podsumowuje Olga Matyjaszczyk-Jendrasiak.