W 2025 roku CERT Polska zarejestrował 260 783 unikalne incydenty cyberbezpieczeństwa — o 152% więcej niż rok wcześniej. Aż 97% z nich to oszustwa, w których ktoś próbował wyłudzić pieniądze albo dane. Bardzo często zaczyna się to od jednego telefonu. To właśnie vishing — telefoniczne oszustwo, w którym rozmówca podszywa się pod bank, urząd albo kogoś z rodziny. I choć brzmi to jak problem „dla naiwnych", padają na to ofiarą również osoby ostrożne i dobrze wykształcone. Powód jest prosty: oszust nie atakuje twojej wiedzy, tylko twoje emocje.
Ten przewodnik tłumaczy, po czym rozpoznać oszustwo telefoniczne, o co bank nigdy nie prosi przez telefon i co zrobić, jeśli pieniądze już zniknęły z konta. Na początek krótki test — sprawdź, czy rozpoznasz typowe sygnały.
Czym jest vishing i czym różni się od phishingu
Vishing (od ang. voice + phishing) to telefoniczne wyłudzanie poufnych danych lub pieniędzy. Oszust podszywa się pod pracownika banku, urzędnika albo członka rodziny, by zdobyć dane logowania, kody autoryzacyjne lub nakłonić do przelewu. To oficjalna definicja z rządowej Bazy Wiedzy.
Najprościej rozróżnić trzy pokrewne metody po kanale, którym przychodzi atak. Phishing to oszukańcze e-maile i strony www. Smishing to fałszywe SMS-y z linkiem (np. „dopłać 1 zł do paczki"). Vishing to rozmowa telefoniczna — i to ona jest najgroźniejsza, bo żywy człowiek po drugiej stronie potrafi reagować na twoje wahanie, budować zaufanie i wywierać presję w czasie rzeczywistym.
Mechanizm zawsze opiera się na tych samych dźwigniach: zaufaniu do instytucji i presji czasu. Dlatego rozmowa zwykle zaczyna się od zdania, które ma cię przestraszyć — „wykryliśmy podejrzaną transakcję na pana koncie" — a potem pada żądanie natychmiastowego działania. Im bardziej się spieszysz, tym mniej myślisz. O to właśnie chodzi.
Dlaczego nie można ufać wyświetlanemu numerowi
Spoofing telefoniczny (CLI spoofing) pozwala przestępcy wyświetlić na ekranie ofiary dowolny numer lub nazwę — także prawdziwy numer banku czy słowo „Policja". Jak ostrzega Centralne Biuro Zwalczania Cyberprzestępczości, wyświetlany numer nie jest żadnym dowodem tożsamości dzwoniącego.
To kluczowa zmiana zasad gry. Przez lata uczono nas „sprawdź, kto dzwoni". Dziś ta rada już nie wystarcza, bo numer na ekranie można dowolnie podmienić. Oszust może nawet sprawić, że jego połączenie podczepi się pod istniejący w twoim telefonie kontakt — i zobaczysz „Mama" albo „Wnuczek". Mechanizm całego oszustwa wygląda zwykle tak:
Od 25 września 2023 roku spoofing jest w Polsce przestępstwem. Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. 2023 poz. 1703) definiuje cztery nadużycia — smishing, CLI spoofing, generowanie sztucznego ruchu i nieuprawnioną zmianę informacji adresowej — i przewiduje za nie karę do 5 lat pozbawienia wolności. To, że proceder jest karalny, nie znaczy jednak, że przestał istnieć: w 2025 roku operatorzy zablokowali 1,88 mln złośliwych SMS-ów, o 27% więcej niż rok wcześniej.
O co bank NIGDY nie prosi przez telefon
Bank nigdy nie prosi przez telefon o kody SMS, kody BLIK, hasła do bankowości, PIN ani numer karty. Według CERT Polska każda taka prośba w trakcie połączenia to oszustwo. Prawdziwy pracownik banku nie żąda też zdalnego dostępu do komputera ani instalacji żadnej aplikacji.
To najprostsza linia obrony, bo nie wymaga wiedzy technicznej — wystarczy zapamiętać krótką listę rzeczy, których bank po prostu nie robi przez telefon. Jeśli rozmówca prosi o którąkolwiek z nich, masz pewność, że to oszust:
- prosi o kod z SMS-a lub kod BLIK „do weryfikacji" lub „do zablokowania transakcji",
- chce hasło, login lub PIN do bankowości albo numer i kod CVV karty,
- każe zainstalować aplikację (np. do „zdalnej pomocy") lub kliknąć link z SMS-a,
- nakłania do przelewu na „bezpieczne" lub „techniczne" konto, by „ratować" środki,
- żąda dyskrecji — „proszę nikomu nie mówić, prowadzimy tajne dochodzenie".
Konto techniczne ani specjalne bezpieczne konto nie istnieją. Żaden bank nie każe przelewać tam pieniędzy, a CERT Polska wprost wymienia taką prośbę jako sygnał oszustwa. Pojawiają się też mniej oczywiste sygnały: alarmujący wstęp, silna presja czasu i — coraz rzadziej, ale wciąż — błędy językowe.
Schemat dwuetapowy: fałszywy konsultant i fałszywy policjant
Najbardziej skuteczny scenariusz jest dwuetapowy: najpierw dzwoni rzekomy konsultant banku lub doradca inwestycyjny, a gdy ofiara się waha — dzwoni rzekomy policjant, który twierdzi, że poprzednia rozmowa to oszustwo i trzeba „ratować" pieniądze, przelewając je na wskazane konto.
Ten drugi telefon jest pułapką w pułapce. Ofiara, która zaczęła coś podejrzewać, czuje ulgę: „dobrze, że dzwoni policja". Tymczasem to ten sam zespół oszustów, tylko w innej roli. Charakterystyczny dla metody „na wnuczka" i „na policjanta" jest też pośrednik — oszust przysyła kogoś po odbiór gotówki, bo sam nie chce się ujawnić.
Policja nigdy nie informuje o prowadzonych sprawach telefonicznie i nigdy nie żąda przekazania pieniędzy ani cennych rzeczy.
— komunikat profilaktyczny Policji, za BIK
Nowe oblicze tych metod to klonowanie głosu przez sztuczną inteligencję. Narzędzia potrafią odtworzyć głos bliskiej osoby z próbki nagrania trwającej zaledwie kilka sekund — pozyskanej choćby z mediów społecznościowych. Tradycyjna wskazówka „poznam głos córki" przestaje działać. Skuteczną obroną jest wcześniej ustalone w rodzinie słowo-klucz: jeśli ktoś dzwoni z dramatyczną prośbą o pieniądze, pytasz o umówione hasło. Brak hasła — kończysz rozmowę.
Skala zagrożenia w Polsce — liczby, które robią wrażenie
W 2025 roku CERT Polska zarejestrował 260 783 unikalne incydenty (wzrost o 152% rok do roku) przy 658 320 zgłoszeniach od użytkowników. Aż 97% incydentów stanowiły oszustwa komputerowe. Z Raportu Antyfraudowego BIK wynika, że już 47% klientów instytucji finansowych zetknęło się z próbą wyłudzenia danych — o 10 punktów procentowych więcej niż rok wcześniej.
Te liczby pokazują, że oszustwo telefoniczne nie jest marginesem — to dziś najczęstszy typ przestępczości, z którym przeciętny człowiek styka się osobiście. Według Raportu Antyfraudowego BIK (Biura Informacji Kredytowej) z 2025 roku już 47% klientów instytucji finansowych zetknęło się z próbą wyłudzenia danych — o 10 punktów procentowych więcej niż rok wcześniej — a metody socjotechniczne, czyli podszywanie się pod rodzinę lub instytucję, odpowiadały za 24% przypadków. Skala rośnie szybciej niż świadomość.
| Wskaźnik | Zmiana r/r (2025) |
|---|---|
| Unikalne incydenty | +152% |
| Incydenty z malware | +81% |
| Złośliwe SMS-y zablokowane | +27% |
Najważniejsze dane CERT Polska za 2025 rok
W 2025 roku liczba unikalnych incydentów potroiła się rok do roku, a niemal wszystkie miały charakter oszustwa. Poniższa tabela zestawia kluczowe wskaźniki z rocznego raportu CERT Polska / NASK wraz ze zmianą względem 2024 roku.
Najbardziej uderza kontrast między liczbą zgłoszeń od ludzi (wzrost o 10%) a liczbą faktycznie zidentyfikowanych incydentów (wzrost o 152%). To znaczy, że zagrożeń przybywa znacznie szybciej, niż rośnie czujność obywateli — każdego dnia trafiało średnio blisko 2 tys. zgłoszeń.
| Wskaźnik | Wartość 2025 | Zmiana r/r |
|---|---|---|
| Zgłoszenia od użytkowników | 658 320 | +10% |
| Unikalne incydenty | 260 783 | +152% |
| Udział oszustw komputerowych | 97% | — |
| Złośliwe SMS-y zablokowane przez operatorów | 1,88 mln | +27% |
| Incydenty ze złośliwym oprogramowaniem | ok. 3 500 | +81% |
Źródło: CERT Polska / NASK, raport roczny 2025.
Co zrobić, gdy padłeś ofiarą — gdzie zgłosić i jak odzyskać pieniądze
Oszustwo telefoniczne zgłosisz bezpłatnie: przesyłając podejrzany SMS na numer 8080, przez formularz na incydent.cert.pl, w usłudze „Bezpiecznie w sieci" w aplikacji mObywatel, a w razie utraty pieniędzy dzwoniąc na policję (112; metodę „na policjanta" zgłasza się też pod 997). Im szybciej zareagujesz, tym większa szansa na zatrzymanie przelewu.
Jeśli właśnie zorientowałeś się, że rozmowa była oszustwem, liczy się czas. Wykonaj po kolei te kroki:
- Zadzwoń do banku i zastrzeż kartę.
- Zgłoś nieautoryzowaną transakcję bankowi.
- Zgłoś incydent CERT Polska (8080 lub incydent.cert.pl).
- Zawiadom policję (112/997).
- Zastrzeż PESEL w mObywatel.
Masz mocniejsze prawa, niż się wydaje. Zgodnie z art. 46 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (wdrażającej dyrektywę unijną PSD2) bank ma obowiązek zwrócić kwotę nieautoryzowanej transakcji niezwłocznie, najpóźniej do końca następnego dnia roboczego po jej zgłoszeniu — to tzw. zasada D+1. Wyjątek dotyczy sytuacji, gdy bank ma uzasadnione i udokumentowane podstawy, by podejrzewać oszustwo, i zawiadomi o tym pisemnie organy ścigania.
W praktyce zwroty bywają sporne. Banki odmawiają, powołując się na „rażące niedbalstwo" klienta — a gdy ofiara sama poda kod BLIK albo sama wykona przelew pod wpływem manipulacji, bank traktuje to jako transakcję autoryzowaną. Skala problemu jest na tyle duża, że Urząd Ochrony Konkurencji i Konsumentów (UOKiK) postawił zarzuty pięciu bankom za bezpodstawne odmowy zwrotów. Warto znać stanowisko Rzecznika Finansowego:
Samo tylko stwierdzenie przez dostawcę usług płatniczych, że transakcja była wykonana po prawidłowym uwierzytelnieniu, nie jest podstawą do odmowy zwrotu.
— Rzecznik Finansowy, baza wiedzy o transakcjach nieautoryzowanych
Osobną tarczą jest zastrzeżenie numeru PESEL. Od 1 czerwca 2024 roku instytucje finansowe muszą je weryfikować, a zastrzeżony PESEL blokuje zaciągnięcie kredytu na skradzione dane — jeśli mimo zastrzeżenia bank udzieli pożyczki na te dane, poszkodowany nie musi spłacać długu. Banki sprawdzają zastrzeżenie także przy wypłacie gotówki w placówce powyżej trzykrotności minimalnego wynagrodzenia — w 2026 roku jest to 14 418 zł (3 × 4 806 zł). PESEL zastrzeżesz bezpłatnie w aplikacji mObywatel, na mObywatel.gov.pl lub w urzędzie gminy.
Ten artykuł nie zastępuje porady prawnej.
Zastanawiałeś się kiedyś, dlaczego nawet ostrożne i dobrze zorientowane osoby dają się nabrać na telefon od „konsultanta banku" — i co takiego w naszej psychice wykorzystują oszuści?
Najczęściej zadawane pytania
Czym różni się vishing od phishingu i smishingu?
Różnica tkwi w kanale ataku. Vishing to oszustwo przez rozmowę telefoniczną, phishing to fałszywe e-maile i strony, a smishing to oszukańcze SMS-y z linkiem. Vishing bywa najgroźniejszy, bo żywy rozmówca reaguje na twoje wahanie i wywiera presję na bieżąco.
Czy bank może przez telefon prosić o kod BLIK lub kod z SMS-a?
Nie. Według CERT Polska bank nigdy nie prosi przez telefon o kody SMS, kody BLIK, hasła, PIN ani numer karty. Każda taka prośba w trakcie połączenia to oszustwo — rozłącz się i oddzwoń na numer z odwrotu karty.
Gdzie zgłosić oszustwo telefoniczne w Polsce?
Podejrzany SMS prześlij na numer 8080, a incydent zgłoś przez formularz na incydent.cert.pl lub w usłudze „Bezpiecznie w sieci" w aplikacji mObywatel. Jeśli straciłeś pieniądze, zawiadom policję pod numerem 112 (metodę „na policjanta" także pod 997).
Czy bank musi zwrócić pieniądze po nieautoryzowanej transakcji?
Zgodnie z art. 46 ustawy o usługach płatniczych bank ma obowiązek zwrócić kwotę nieautoryzowanej transakcji najpóźniej do końca następnego dnia roboczego po zgłoszeniu (zasada D+1). Wyjątkiem jest uzasadnione podejrzenie oszustwa zgłoszone pisemnie organom ścigania. Jak podkreśla Rzecznik Finansowy, samo prawidłowe uwierzytelnienie nie jest podstawą do odmowy zwrotu.
Jak zastrzec PESEL i przed czym to chroni?
PESEL zastrzeżesz bezpłatnie w aplikacji mObywatel, na mObywatel.gov.pl lub w urzędzie gminy. Zastrzeżenie blokuje zaciągnięcie kredytu czy pożyczki na twoje dane — jeśli mimo zastrzeżenia bank udzieli pożyczki, nie musisz spłacać długu.
Jak bronić się przed sklonowaniem głosu przez sztuczną inteligencję?
AI potrafi odtworzyć głos bliskiej osoby z kilkusekundowej próbki, więc sam głos nie jest już dowodem tożsamości. Najlepszą obroną jest wcześniej ustalone w rodzinie słowo-klucz oraz zasada: przy dramatycznej prośbie o pieniądze rozłącz się i oddzwoń na znany ci numer tej osoby.
