- Fałszywy telefon „z banku” rozpoznasz po presji czasu, prośbie o kody lub instalację aplikacji oraz „ratowaniu” pieniędzy przelewem na „bezpieczny rachunek”.
- Jeśli słyszysz: „podejrzana transakcja”, „blokada konta”, „weryfikacja klienta”, „konto techniczne”, przerwij rozmowę i przejdź do oficjalnego kanału banku.
- Najczęstszy cel oszustów: kod SMS, kod BLIK, potwierdzenie w aplikacji (np. „dodanie odbiorcy”), albo przelew na rachunek kontrolowany przez przestępców.
- Co zrobić teraz? Rozłącz się, wybierz numer banku samodzielnie z karty, umowy, aplikacji lub oficjalnej strony. Jeśli cokolwiek podałeś, zabezpiecz dostęp i zgłoś incydent.
Fałszywy telefon „z banku” najczęściej rozpoznasz po tym, że rozmówca chce, abyś wykonał działanie „tu i teraz”: podał kod, zatwierdził operację albo przelał środki na wskazany rachunek.
To nie jest test czujności, tylko próba przejęcia Twojej decyzji pod presją. Oszuści używają języka bezpieczeństwa i „procedur”, a potem prowadzą Cię krok po kroku do autoryzacji wypływu pieniędzy lub ujawnienia danych. Poniżej masz scenariusze, czerwone flagi, krótki skrypt do przerwania rozmowy, weryfikację połączenia oraz plan awaryjny, jeśli doszło do ujawnienia danych lub zatwierdzenia operacji.
Warianty rozwiązań w skrócie, jakie masz opcje?
| Opcja | Kiedy wybrać | Zalety | Wady | Największe ryzyko |
|---|---|---|---|---|
| Rozłącz się i oddzwoń sam | Gdy słyszysz: „podejrzana transakcja”, „blokada konta”, „weryfikacja”, „bezpieczny rachunek”, prośby o kod, BLIK, instalację aplikacji. | Przerywasz presję, wracasz do oficjalnego kanału, odzyskujesz kontrolę. | Wymaga konsekwencji, oszust będzie próbował zatrzymać Cię na linii. | Oddzwonienie na numer z SMS lub podany przez rozmówcę. |
| Sprawdzenie w bankowości bez rozmowy | Gdy rozmówca mówi o „dyspozycji”, a Ty chcesz szybko zweryfikować fakty. | Widzisz historię operacji, odbiorców, limity, urządzenia, komunikaty bezpieczeństwa. | Nie zastąpi zgłoszenia, jeśli doszło do przejęcia dostępu. | Logowanie przez link z SMS lub na urządzeniu, które mogło zostać przejęte. |
| Natychmiastowe zabezpieczenie dostępu | Gdy podałeś jakąkolwiek informację wrażliwą lub kliknąłeś w proces potwierdzania operacji. | Ograniczasz czas działania oszusta, blokujesz kolejne próby. | Wymaga szybkiego kontaktu z bankiem i sprawdzenia zmian w ustawieniach. | Zwlekanie, bo „jeszcze nic się nie stało”. |
| Zgłoszenie nieautoryzowanej transakcji | Gdy doszło do wypływu środków, którego nie zlecałeś lub którego autoryzacji zaprzeczasz. | Uruchamiasz formalną ścieżkę w banku, zbierasz numer sprawy i potwierdzenia. | Wymaga precyzyjnego opisu zdarzeń i kompletnej listy operacji. | Nieprecyzyjne zgłoszenie, brak screenów, brak godzin i kwot. |
Przykładowa decyzja: jeśli rozmówca prosi o kod, przelew lub instalację aplikacji, kończysz rozmowę i oddzwaniasz sam; jeśli już podałeś dane lub potwierdziłeś operację, przechodzisz na tryb awaryjny i zabezpieczasz dostęp.
Na czym polega vishing „na bank” i dlaczego rozmowa telefoniczna jest dla oszustów skuteczniejsza niż SMS lub e-mail?
Vishing (voice phishing) to wyłudzenie „głosem”, w którym przestępca podszywa się pod bank i doprowadza do ujawnienia danych lub autoryzacji operacji.
Rozmowa jest skuteczna, bo oszust reaguje na Twoje wątpliwości w czasie rzeczywistym, buduje presję i podsuwa „procedurę ratunkową”. W SMS łatwo zauważyć podejrzany link, w rozmowie łatwo uwierzyć w „natychmiastową blokadę” i wykonać polecenie. Typowy cel to kod SMS, kod BLIK, potwierdzenie „dodania odbiorcy” albo przelew na rzekomo bezpieczny rachunek.
Jakie są najczęstsze scenariusze vishingu, czyli „podejrzana transakcja”, „blokada konta”, „weryfikacja klienta” i „bezpieczny rachunek”?
Wspólny element wszystkich scenariuszy: rozmówca prowadzi Cię do działania, które wygląda na zabezpieczenie, a w praktyce jest autoryzacją wypływu pieniędzy.
- „Podejrzana transakcja”: rozmówca prosi o „anulowanie”, co kończy się zatwierdzeniem operacji w aplikacji lub podaniem kodu.
- „Blokada konta”: rozmówca straszy utratą dostępu i każe wykonać „procedurę ratunkową”.
- „Weryfikacja klienta”: rozmówca zbiera dane i buduje fundament pod przejęcie dostępu lub drugi etap ataku.
- „Bezpieczny rachunek”: rozmówca każe przelać środki „na konto techniczne”, kontrolowane przez przestępców.
Jeśli rozmowa skręca w stronę kodów, BLIK, instalacji aplikacji lub przelewu „ratunkowego”, przerwij ją i przejdź do weryfikacji samodzielnej.
Po czym rozpoznać fałszywy telefon „z banku” w pierwszej minucie, czyli czerwone flagi w języku, presji i prośbach o kody?
Jeśli pojawia się presja czasu i żądanie „sekretu” (kod, BLIK, PIN) albo polecenie przelewu, traktuj to jako próbę oszustwa.
Najczęstsze czerwone flagi: „to pilne”, „proszę zostać na linii”, „nie rozłączać”, „dla bezpieczeństwa trzeba wykonać przelew”, „podaj kod z SMS”. Uważaj też na polecenia instalacji aplikacji do „weryfikacji” lub „zdalnej pomocy”. Konsultant banku informuje i weryfikuje tożsamość w bezpiecznych ramach, oszust każe wykonywać polecenia, które zmieniają ustawienia lub uruchamiają płatność.
Test w 10 sekund: zapytaj: „Jaki jest numer sprawy i gdzie w bankowości widzę tę dyspozycję?” Jeśli rozmówca unika odpowiedzi, wraca do presji lub prosi o kod, rozmowę kończysz.
Dlaczego numer telefonu na ekranie nie jest dowodem i jak działa spoofing, podszywanie się pod infolinię oraz „wątki” połączeń?
Numer na ekranie da się sfałszować, dlatego „wyświetla się infolinia” nie potwierdza, że rozmawiasz z bankiem.
Spoofing (fałszowanie identyfikacji numeru) polega na podmianie numeru, który widzisz przy połączeniu przychodzącym. Telefon potrafi pokazać nazwę kontaktu, jeśli „podszyty” numer masz zapisany w książce.
Spotyka się też „wątki połączeń”: oszust przedstawia się jako „dział bezpieczeństwa”, a potem „przekazuje” rozmowę do „kolejnego specjalisty”, aby zbudować wiarygodność. Nawet jeśli rośnie poziom ochrony po stronie operatorów, nawyk bezpieczeństwa pozostaje stały.
Bezpieczny standard: kończysz rozmowę i wybierasz numer banku sam, z karty, umowy, aplikacji lub oficjalnej strony.
Co bank może, a czego nie powinien wymagać przez telefon, czyli lista danych i „procedur”, których nie wykonujesz
Przez telefon nie przekazujesz danych, które pozwalają zalogować się na konto lub autoryzować operację, niezależnie od tego, jak wiarygodnie brzmi rozmówca.
- Kody autoryzacyjne z SMS lub aplikacji, także „kod anulowania”.
- Kod BLIK oraz potwierdzenie płatności BLIK na polecenie rozmówcy.
- Hasło do bankowości, PIN do aplikacji, dane logowania, kody jednorazowe.
- Pełne dane karty, w tym kod CVV/CVC i PIN karty.
- Instalacja aplikacji do zdalnego sterowania, zdalnego pulpitu, „weryfikacji” lub „pomocy” na polecenie rozmówcy.
- Przelew „ratunkowy” na „konto techniczne”, „konto bezpieczne”, „rachunek wewnętrzny” wskazany w rozmowie.
Gdy w rozmowie pojawia się prośba o kod, potwierdzenie w aplikacji lub przelew na „konto techniczne”, kończysz rozmowę i przechodzisz do weryfikacji samodzielnej.
Jeśli rozmówca twierdzi, że „bank i tak to widzi”, poproś o informację, którą da się zweryfikować bez podawania sekretów, na przykład numer zgłoszenia i miejsce, w którym jest widoczne w bankowości.
Jaką krótką formułę powiedzieć, aby przerwać oszustwo bez dyskusji, czyli gotowy „skrypt” i bezpieczne rozłączenie?
Jedno zdanie, rozłączenie i samodzielny kontakt z bankiem, bez tłumaczenia się, to najbezpieczniejszy schemat.
Powiedz dokładnie: „Kończę rozmowę, oddzwaniam sam na oficjalną infolinię. Proszę nie wykonywać żadnych dyspozycji w moim imieniu.”
Nie wchodź w dyskusję i nie proś o „jeszcze jedną minutę”. Oszust próbuje utrzymać Cię na linii, bo presja jest jego narzędziem.
Jak zweryfikować, czy to był bank, czyli kontakt „oddzwaniam sam”, logowanie inną drogą, weryfikacja dyspozycji i blokad?
Weryfikacja polega na przejściu do oficjalnego kanału banku, bez korzystania z numeru podanego przez rozmówcę i bez linków w SMS.
- Rozłącz się i nie odbieraj „ponownego połączenia” w tym samym wątku.
- Wybierz numer banku sam: z karty, umowy, aplikacji lub oficjalnej strony.
- Zaloguj się inną drogą: jeśli dzwonili o aplikację, sprawdź bankowość w przeglądarce na własnym urządzeniu.
- Sprawdź w bankowości: historia operacji, odbiorcy zaufani, nowe urządzenia, zmiany limitów, komunikaty bezpieczeństwa.
- Zapytaj o status zgłoszenia: poproś o numer sprawy i potwierdzenie, co bank widzi w systemie, bez podawania kodów.
Jeśli widzisz próbę dodania odbiorcy, zmianę limitów lub nieznane urządzenie, potraktuj to jak incydent bezpieczeństwa i przejdź do trybu awaryjnego.
Co zrobić, jeśli podałeś dane lub potwierdziłeś operację, czyli plan awaryjny na pierwsze 30 minut, 24 godziny i 7 dni?
Najpierw zabezpieczasz dostęp, potem odtwarzasz szczegóły, czas reakcji ogranicza skalę strat.
Pierwsze 30 minut: zablokuj dostęp (infolinia banku, aplikacja, karta), zmień hasło, sprawdź urządzenia zaufane i odbiorców, zrób zrzuty ekranu operacji i ustawień (limity, odbiorcy, urządzenia, powiadomienia).
- Do 24 godzin: złóż zgłoszenie incydentu i reklamację w banku, opisz: godzinę rozmowy, numer, przebieg poleceń, wskazane rachunki, kwoty, komunikaty z aplikacji. Dołącz screeny i potwierdzenia operacji.
- Do 24 godzin: jeśli podejrzewasz przejęcie numeru telefonu (SIM-swap) lub poczty, skontaktuj się z operatorem i dostawcą e-mail, zabezpiecz dostęp i zmień hasła także poza bankiem.
- Do 7 dni: złóż zawiadomienie na Policji, zgłoś incydent do CERT Polska (zwłaszcza jeśli były linki, SMS, numery lub domeny), monitoruj rachunek, ustaw dodatkowe alerty i sprawdzaj korespondencję z bankiem.
Przykład mechaniki ataku: zatwierdziłeś przelew 9 800 zł, po chwili oszust próbuje uruchomić kolejną operację na 4 900 zł. Szybka blokada kanału i limitów zatrzymuje drugi etap, dlatego najpierw blokujesz i dokumentujesz, potem analizujesz rozmowę.
Czy bank musi oddać pieniądze po vishingu, czyli terminy, zasady i typowe spory przy „nieautoryzowanej transakcji”?
W sporach po vishingu kluczowe są: to, czy doszło do autoryzacji, czy była ona świadoma, oraz czy bank uzna po Twojej stronie rażące niedbalstwo.
Jeśli operacji nie zlecałeś lub zaprzeczasz autoryzacji, składasz reklamację jako nieautoryzowaną transakcję. W praktyce bank będzie analizował, jak doszło do operacji, jaki był sposób uwierzytelnienia i co dokładnie potwierdziłeś w aplikacji.
Trzy liczby: D+1 (zwrot co do zasady do końca następnego dnia roboczego), 13 miesięcy (maksymalny termin zgłoszenia roszczenia), 50 euro (limit odpowiedzialności płatnika w określonych sytuacjach, np. gdy instrument został utracony lub skradziony, a zgłoszenie nie nastąpiło jeszcze).
Prawo opisuje zasadę D+1: bank co do zasady powinien zwrócić środki nie później niż do końca następnego dnia roboczego po zgłoszeniu lub stwierdzeniu transakcji, z wyjątkami ustawowymi. Jednocześnie roszczenia wygasają, jeśli nie zgłosisz sprawy w terminie 13 miesięcy od obciążenia rachunku albo od dnia, w którym transakcja miała być wykonana.
Uwaga praktyczna: bank bywa skupiony na tym, że doszło do „poprawnego” uwierzytelnienia (kod, potwierdzenie w aplikacji), a Ty koncentrujesz się na tym, że nie wyrażałeś świadomej zgody i działałeś pod manipulacją. Dlatego w zgłoszeniu opisz, co dokładnie zatwierdziłeś, w jakiej kolejności, jakie ekrany widziałeś i jakie komunikaty pojawiły się w bankowości.
Minimum w zgłoszeniu: data i godzina rozmowy, numer telefonu, opis poleceń, lista kwot i transakcji, nazwy odbiorców, screeny z aplikacji, informacja czy potwierdzałeś operacje i jakie komunikaty widziałeś.
Jak zabezpieczyć siebie i rodzinę przed vishingiem na stałe, czyli limity, alerty, 2FA, zastrzeżenia i zasady rozmów „o pieniądzach”
Najlepsza ochrona to ustawienia ograniczające skutki błędu oraz prosta zasada: rozłączamy się i oddzwaniamy sami.
- Limity: osobno dla przelewów, osobno dla przelewów natychmiastowych, osobno dla BLIK, osobno dla kart.
- Alerty: o każdym przelewie, dodaniu odbiorcy, zmianie limitu, logowaniu na nowe urządzenie, zmianie danych kontaktowych.
- 2FA: w banku i na poczcie e-mail, bo przejęcie e-mail bywa drogą do przejęcia kont.
- Ustawienia urządzenia: aktualizacje, blokada ekranu, biometria, brak instalacji aplikacji „na polecenie” rozmówcy.
- Zastrzeż PESEL: włącz ochronę, aby ograniczyć ryzyko wyłudzeń na dane po incydencie.
- Zasada domowa: w sprawach banku rozłączamy się i oddzwaniamy samodzielnie, bez wyjątków.
Ustal regułę rodzinną: „W sprawach banku rozłączamy się i oddzwaniamy sami na oficjalny numer”. Jedno zdanie, bez tłumaczenia się.
To działa także dla seniorów i nastolatków, bo nie wymaga wiedzy technicznej, tylko nawyku. Jeśli zasada jest stała, oszust traci przewagę rozmowy „na żywo”.
Checklista, co zrobić krok po kroku
- Przerwij rozmowę i nie podawaj żadnych kodów, danych logowania ani danych karty.
- Powiedz skrypt: „Kończę rozmowę, oddzwaniam sam na oficjalną infolinię”.
- Wybierz numer banku sam z karty, umowy, aplikacji lub oficjalnej strony, bez numeru z SMS i bez sugestii rozmówcy.
- Sprawdź w bankowości: historia operacji, odbiorcy, urządzenia, limity, komunikaty, zmiany danych kontaktowych.
- Jeśli cokolwiek podałeś: zastrzeż dostęp, zmień hasła (bank i e-mail), zgłoś incydent w banku, zbierz screeny i potwierdzenia.
- Jeśli był przelew: złóż reklamację jako nieautoryzowaną transakcję, wpisz godziny, kwoty, odbiorców, numer telefonu i przebieg poleceń.
- Zgłoś incydent do CERT Polska, a w razie wypływu środków złóż zawiadomienie na Policji.
Słowniczek pojęć
FAQ, najczęściej zadawane pytania
Czy bank może prosić przez telefon o kod SMS do potwierdzenia operacji?
Nie podawaj kodów autoryzacyjnych w rozmowie. Zakończ rozmowę i skontaktuj się z bankiem samodzielnie oficjalnym kanałem.
Skąd mam wiedzieć, że numer na ekranie naprawdę należy do banku?
Numer na ekranie da się sfałszować przez spoofing. Rozłącz się i wybierz numer banku samodzielnie z oficjalnego źródła.
Czy przelew na „bezpieczny rachunek” wskazany w rozmowie jest normalną procedurą?
Nie wykonuj przelewów „ratunkowych” na rachunki podawane w rozmowie. Rozłącz się i potwierdź sytuację, oddzwaniając do banku oficjalnym numerem.
Co powiedzieć, żeby szybko przerwać vishing bez dyskusji?
Powiedz: „Kończę rozmowę, oddzwaniam sam na oficjalną infolinię”. Rozłącz się i nie kontynuuj rozmowy.
Co zrobić, jeśli podałem dane lub zatwierdziłem operację po telefonie?
Zablokuj dostęp, zmień hasła, zgłoś incydent w banku i zbierz screeny. Jeśli był przelew, złóż reklamację jako nieautoryzowaną transakcję.
Czy oddzwonienie na numer podany w SMS od „banku” jest bezpieczne?
Nie opieraj się na numerze z SMS ani na numerze podanym przez rozmówcę. Wybieraj numer banku samodzielnie z karty, umowy, aplikacji lub oficjalnej strony.
Ile czasu ma bank na zwrot pieniędzy po zgłoszeniu nieautoryzowanej transakcji?
Prawo opisuje zasadę D+1, zwrot następuje nie później niż do końca następnego dnia roboczego po dniu zgłoszenia lub stwierdzenia, z ustawowymi wyjątkami.
Czy transakcja potwierdzona kodem lub w aplikacji nadal może być sporna?
Tak, spór dotyczy tego, czy była autoryzacja i w jakich okolicznościach. W zgłoszeniu opisz, co dokładnie zatwierdziłeś i jakie komunikaty widziałeś.
Źródła i podstawa prawna
- KNF, „Vishing”, dostęp: 27/01/2026 r.
- CEBRF KNF, „Voice phishing – schemat oszustwa”, dostęp: 27/01/2026 r.
- CERT Polska, „Fałszywi konsultanci”, dostęp: 27/01/2026 r.
- GOV.pl, „Uważaj na vishing”, 17/10/2023 r.
- ZBP, „Spoofing – fałszywe numery i podszywanie się pod bank”, 04/12/2025 r.
- Rzecznik Finansowy, „Co robić w przypadku nieautoryzowanej transakcji?”, 27/10/2025 r.
- ISAP, Ustawa o usługach płatniczych, tekst jednolity ogłoszony w Dz.U. 2025 poz. 611, dostęp: 27/01/2026 r.
- UOKiK, „Nieautoryzowane transakcje – kolejne wszczęcia”, 14/02/2024 r.
Dane liczbowe aktualne na dzień: 27/01/2026 r.
Jak liczone są przykłady: przykłady kwotowe pokazują mechanikę ryzyka i znaczenie czasu reakcji na uproszczonych założeniach. W praktyce wynik zależy od rodzaju operacji, kanału autoryzacji oraz ustaleń banku i organów ścigania.
Co możesz zrobić po przeczytaniu tego artykułu?
- Zapisz skrypt rozłączenia i użyj go przy pierwszym podejrzeniu, aby przerwać vishing.
- Ustaw limity i alerty w banku oraz włącz 2FA na e-mailu, aby ograniczyć skutki jednego błędu.
- Ustal zasadę rodzinną: w sprawach banku rozłączamy się i oddzwaniamy samodzielnie na oficjalny numer.
Aktualizacja artykułu: 27 stycznia 2026 r.
Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości
Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/
Treści przedstawione w artykule mają wyłącznie charakter informacyjny i edukacyjny. Nie stanowią porady prawnej, podatkowej ani finansowej w rozumieniu przepisów prawa. Przed podjęciem decyzji mającej wpływ na Twoje finanse, skonsultuj się z licencjonowanym specjalistą.
