W 2024 roku do CERT Polska, krajowego zespołu reagowania na incydenty komputerowe, trafiło 600 990 zgłoszeń — o 62% więcej niż rok wcześniej. Fałszywy sklep internetowy rozpoznasz jednak w kilka minut, jeśli wiesz, na co patrzeć: zanim klikniesz „kup teraz”, sprawdź dane firmy, adres strony, opinie i metodę płatności. To prosta rutyna, a kluczowa jest prewencja — bo po zapłacie zwykłym przelewem lub BLIK-iem odzyskanie pieniędzy bywa bardzo trudne.
Po czym poznać fałszywy sklep internetowy?
Fałszywy sklep internetowy zdradza zwykle kilka sygnałów naraz: brak numeru telefonu i danych firmy, literówki w adresie strony, nietypowa końcówka domeny (.xyz, .top, .lol), podejrzane opinie i całościowe „wyjątkowe okazje” z licznikiem odliczającym czas. Według CERT Polska to klasyczny zestaw ostrzegawczy.
CERT Polska wskazuje, że pierwszą czerwoną flagą jest brak kontaktu. Wiarygodny sprzedawca podaje numer telefonu i adres — oszust najczęściej nie. Do tego dochodzą literówki w adresie strony (URL niepasujący do nazwy sklepu) oraz opinie, które powstały wszystkie naraz albo wyglądają na sztuczne. Podejrzenie powinny budzić też czasowo ograniczone „wyjątkowe okazje”, gdy przeceniony jest cały asortyment, a nie pojedynczy produkt.
Brak numeru telefonu powinien także wzbudzić Twoją czujność.
— CERT Polska, zespół reagowania na incydenty (NASK)
Urząd Ochrony Konkurencji i Konsumentów (UOKiK) dorzuca do tej listy kolejne wzorce. Fałszywe sklepy reklamują się głównie w mediach społecznościowych, używają nazw w schemacie „imię nazwisko + miasto”, podszywają się pod znane marki literówkami, popełniają błędy językowe i stosują tzw. dark patterns — liczniki odliczające czas i wyskakujące okna, które mają cię popchnąć do szybkiej decyzji. Sygnałem jest też brak 30-dniowej historii najniższej ceny przy dużych rabatach (obowiązek wynikający z dyrektywy Omnibus) oraz adres zwrotów w kraju azjatyckim.
Jak sprawdzić sklep internetowy przed zakupem?
Aby sprawdzić sklep internetowy, zweryfikuj dane firmy w publicznych rejestrach: numer NIP w CEIDG (jednoosobowa działalność) lub w KRS (spółki). Sprawdź wiek domeny w bazie WHOIS, przeczytaj opinie z różnych źródeł i pamiętaj, że sam certyfikat SSL niczego nie gwarantuje.
Każdy uczciwy sklep musi podać nazwę firmy, adres i numer NIP. To nie kurtuazja, lecz obowiązek — a te dane możesz bezpłatnie sprawdzić w publicznych rejestrach: CEIDG dla jednoosobowych działalności i KRS dla spółek. Brak takich informacji albo dane, których nie da się odnaleźć, to jeden z najpoważniejszych sygnałów ostrzegawczych.
Drugi krok to domena. Jej wiek i właściciela sprawdzisz w rejestrze WHOIS — dla adresów z końcówką .pl oficjalnie w NASK (dns.pl/whois), dla globalnych przez serwis who.is. Domena zarejestrowana kilka dni wcześniej, z ukrytymi danymi właściciela (tzw. privacy proxy), przy sklepie rzekomo „działającym od lat” to wyraźna czerwona flaga. Warto też wczytać do przeglądarki Listę Ostrzeżeń, którą CERT Polska prowadzi publicznie od marca 2020 roku pod adresem lista.cert.pl — można ją podpiąć do blokerów takich jak uBlock Origin czy AdGuard. Tylko w 2024 roku dopisano do niej 92,6 tys. złośliwych domen, wobec 79,3 tys. w 2023 roku.
I rzecz, na której wpada najwięcej osób: zielona kłódka. Certyfikat SSL (adres „https” i ikona kłódki) zapewnia jedynie szyfrowanie połączenia między tobą a stroną. Nie mówi nic o uczciwości sprzedawcy — oszuści również stosują SSL. To warunek konieczny, ale stanowczo niewystarczający. Coraz częściej fałszywe strony tworzy zresztą sztuczna inteligencja, więc profesjonalny wygląd i „kłódka” to już żaden dowód.
Jaką metodą płatności płacić bezpiecznie?
Najbezpieczniej płacić kartą lub za pobraniem. Płatność kartą można zareklamować w banku w procedurze chargeback, a przy płatności za pobraniem płacisz dopiero przy odbiorze. Zwykły przelew i BLIK takiej ochrony nie dają — po przelaniu pieniędzy oszustowi odzyskanie ich jest bardzo trudne.
Portal gov.pl zaleca, by w nieznanym sklepie płacić za pobraniem lub kartą, a zwykłego przelewu używać wyłącznie na platformach z ochroną kupującego. Mały sklep, który przyjmuje wyłącznie przelew bankowy na konto, powinien budzić wątpliwości. Różnicę między metodami widać najlepiej w jednej tabeli.
| Karta płatnicza | Za pobraniem | Przelew / BLIK | |
|---|---|---|---|
| Możliwość chargebacku | Tak (Visa, Mastercard) | Nie dotyczy — płacisz przy odbiorze | Nie |
| Szansa odzyskania pieniędzy po oszustwie | Wysoka — reklamacja w banku | Wysoka — płacisz po dostawie | Bardzo niska |
| Zalecenie portalu gov.pl | Zalecana | Zalecane | Tylko platformy z ochroną kupującego |
Czym właściwie jest chargeback? To procedura reklamacji transakcji kartą (Visa, Mastercard), która pozwala odzyskać pieniądze m.in. wtedy, gdy towar nie dotarł albo sklep okazał się fikcyjny. Termin na zgłoszenie wynosi od 45 do 540 dni od transakcji, najczęściej 120 dni, i dotyczy wyłącznie płatności kartą. To właśnie dlatego karta jest bezpieczniejsza niż przelew: bank ma narzędzie, by wycofać pieniądze. Przy przelewie lub BLIK-u takiego narzędzia nie ma.
Co zrobić, gdy padłeś ofiarą fałszywego sklepu?
Jeśli już zapłaciłeś oszustowi, działaj szybko: skontaktuj się z bankiem (przy płatności kartą złóż reklamację chargeback), zgłoś incydent CERT Polska, złóż zawiadomienie o przestępstwie na policji oraz powiadom UOKiK i rzecznika konsumentów. Im szybciej, tym większa szansa na reakcję.
Kolejność działań ma znaczenie — najpierw bank, bo to on może zatrzymać lub wycofać przelew kartowy.
- Skontaktuj się z bankiem i — przy płatności kartą — złóż reklamację chargeback.
- Zgłoś incydent CERT Polska (incydent.cert.pl, SMS na 8080 lub cert@cert.pl).
- Złóż zawiadomienie o przestępstwie na policji.
- Powiadom UOKiK i rzecznika konsumentów.
Fałszywy sklep zgłosisz CERT Polska na kilka sposobów: przez formularz incydent.cert.pl, SMS-em na numer 8080, e-mailem na cert@cert.pl albo w aplikacji mObywatel (usługa „Bezpiecznie w sieci”). Przestępstwo zgłasza się dodatkowo policji przez gov.pl/web/gov/zglos-przestepstwo, a sprawy konsumenckie kierujesz do UOKiK oraz do miejskiego lub powiatowego rzecznika konsumentów.
Warto wiedzieć, że prowadzenie fałszywego sklepu to nie „nieuczciwa praktyka”, lecz przestępstwo. Wypełnia ono znamiona oszustwa z art. 286 § 1 Kodeksu karnego — doprowadzenia innej osoby do niekorzystnego rozporządzenia mieniem przez wprowadzenie w błąd w celu korzyści majątkowej — zagrożonego karą pozbawienia wolności od 6 miesięcy do 8 lat.
A co z prawem do zwrotu? Kupując przez internet, masz prawo odstąpić od umowy w ciągu 14 dni bez podania przyczyny (art. 27 ustawy z 30 maja 2014 roku o prawach konsumenta, wdrażającej unijną dyrektywę 2011/83/UE). Jeśli sprzedawca nie poinformował cię o tym prawie, termin wydłuża się aż do 12 miesięcy. Haczyk jest jednak prosty: to prawo działa wobec uczciwego sklepu, a nie wobec oszusta, który znika po przyjęciu zapłaty. Dlatego cała gra rozgrywa się przed kliknięciem „zapłać”, nie po nim.
Skala oszustw w Polsce rośnie lawinowo
Skala oszustw internetowych w Polsce rośnie lawinowo. W 2024 roku CERT Polska obsłużył 103 449 incydentów (+29% rok do roku), z czego 95% stanowiły oszustwa komputerowe, a 39% — phishing. W 2025 roku liczba zarejestrowanych incydentów wzrosła do 260 783, czyli o 152% więcej.
Liczby mówią same za siebie. W 2024 roku do CERT Polska trafiło 600 990 zgłoszeń, o 62% więcej niż rok wcześniej. Z nich zespół obsłużył 103 449 incydentów — wzrost o 29%. Aż 97 995 z nich (95%) to oszustwa komputerowe, w tym 40 120 przypadków phishingu (39%). Rok później skala znów wystrzeliła: liczba zarejestrowanych incydentów wzrosła do 260 783 — o 152% więcej w skali roku.
| Rok | Liczba incydentów | Zmiana rok do roku |
|---|---|---|
| 2023 | ok. 80 200 | — |
| 2024 | 103 449 | +29% |
| 2025 | 260 783 | +152% |
Fałszywe sklepy nasilają się zwłaszcza w sezonie wyprzedaży. Według analizy Check Point Research co 11. nowa domena związana z Black Friday jest złośliwa, a eksperci firmy Fortinet wykryli w ciągu trzech miesięcy około 2 900 złośliwych witryn spośród ponad 19 tys. nowych sklepów e-commerce. Coraz częściej strony te generuje sztuczna inteligencja — szybciej, masowo i łudząco podobnie do znanych marek. To dlatego sama „kłódka” i ładny wygląd dawno przestały wystarczać; liczy się weryfikacja danych firmy, opinii i metody płatności.
Zastanawiałeś się kiedyś, dlaczego oszuści tak chętnie wybierają nietypowe końcówki domen, jak .xyz czy .top, zamiast klasycznego .pl?
Najczęściej zadawane pytania
Jak szybko sprawdzić, czy sklep internetowy jest prawdziwy?
W kilka minut: znajdź na stronie nazwę firmy i numer NIP, sprawdź je w rejestrze CEIDG lub KRS, zweryfikuj wiek domeny w bazie WHOIS (dla domen .pl w NASK pod adresem dns.pl/whois) i przejrzyj opinie z różnych źródeł. Brak danych firmy lub bardzo świeża domena to sygnały ostrzegawcze.
Czy certyfikat SSL i kłódka oznaczają, że sklep jest bezpieczny?
Nie. Certyfikat SSL szyfruje jedynie połączenie i nie świadczy o uczciwości sprzedawcy — oszuści również go stosują. To warunek konieczny, ale niewystarczający, zwłaszcza że fałszywe strony coraz częściej tworzy sztuczna inteligencja.
Czy odzyskam pieniądze po zapłacie przelewem lub BLIK-iem?
Jest to znacznie trudniejsze niż przy płatności kartą, bo chargeback nie obejmuje przelewu ani BLIK-a. Pozostaje szybki kontakt z bankiem, zgłoszenie do CERT Polska oraz zawiadomienie policji i rzecznika konsumentów — dlatego lepiej z góry płacić kartą lub za pobraniem.
Gdzie zgłosić fałszywy sklep internetowy?
Do CERT Polska przez formularz incydent.cert.pl, SMS na numer 8080, e-mail cert@cert.pl lub aplikację mObywatel. Przestępstwo zgłasza się też policji (gov.pl/web/gov/zglos-przestepstwo), a sprawy konsumenckie kierujesz do UOKiK i rzecznika konsumentów.
Czy prowadzenie fałszywego sklepu to przestępstwo?
Tak. Zgodnie z art. 286 § 1 Kodeksu karnego jest to oszustwo zagrożone karą pozbawienia wolności od 6 miesięcy do 8 lat. Polega na doprowadzeniu innej osoby do niekorzystnego rozporządzenia mieniem przez wprowadzenie jej w błąd w celu korzyści majątkowej.
Ile mam czasu na odstąpienie od umowy zawartej przez internet?
Co do zasady 14 dni bez podania przyczyny (art. 27 ustawy o prawach konsumenta z 30 maja 2014 roku). Jeśli sprzedawca nie poinformował cię o tym prawie, termin wydłuża się do 12 miesięcy. To prawo nie pomoże jednak wobec oszusta, który znika po przyjęciu zapłaty.
Ten artykuł nie zastępuje porady prawnej.
