Trzy czwarte oszustw w polskim sektorze finansowym opiera się na manipulacji płatnikiem – klient sam autoryzuje transakcję lub udostępnia dane do logowania. Banki dysponują zaawansowanymi narzędziami wykrywającymi podejrzane działania, ale nie mogą ich stosować bez zgody klientów. Ci zaś często odmawiają, ceniąc swoją prywatność bardziej niż bezpieczeństwo.
Podczas sesji „Cyberbezpieczeństwo w finansach” na CYBERSEC EXPO & FORUM 2026 w Katowicach Jarosław Biegański, dyrektor zespołu bezpieczeństwa banków w Związku Banków Polskich, przedstawił alarmujące dane. – 75,4 proc. oszustw zgłaszanych do NBP dokonywanych jest z wykorzystaniem manipulacji płatnikiem. Oznacza to, że płatnik sam uwierzytelnia transakcję, inicjuje ją albo udostępnia informacje wystarczające do zalogowania się do konta – powiedział Biegański. Dodał, że wśród wszystkich transakcji oszukańczych 84 proc. to efekt manipulacji.
Nadinspektor Adam Cieślak, pierwszy komendant Centralnego Biura Zwalczania Cyberprzestępczości, poinformował, że w ubiegłym roku policja odnotowała ponad 92 tys. oszustw internetowych i komputerowych, w tym około 6,5 tys. oszustw inwestycyjnych. – Najbardziej niebezpieczne i najtrudniejsze do wykrycia są oszustwa inwestycyjne oraz oszustwa metodą na pracownika banku. Powodują duże straty, są rozciągnięte w czasie, bo ofiara jest manipulowana przez wiele tygodni – zaznaczył Cieślak. Dodał, że przestępcy często działają w zorganizowanych grupach, które funkcjonują jak przedsiębiorstwa, a wykrywalność sprawców oszustw inwestycyjnych sięga zaledwie około 20 proc.
Manipulacja zamiast włamania
Oszuści socjotechniczni łączą elementy cyber, by uwiarygodnić swoją legendę. – Przestępcy znają imię i nazwisko klienta, często wiedzą, w jakim banku ma konto. Te dane zazwyczaj pochodzą z wycieków – wskazał nadinspektor Cieślak. Magdalena Korona, ekspertka ds. cyberbezpieczeństwa w mBanku, zakwestionowała tezę o trudności wykrycia takich oszustw przez banki. – Bank wyłapuje bardzo dużo oszustw inwestycyjnych. Problem polega na tym, że kiedy dzwonimy do klienta albo prosimy go, żeby przyszedł do placówki, klient odmawia współpracy. Podpisuje oświadczenie, że nie rozmawia z żadnymi doradcami inwestycyjnymi, nagrywa nas i twierdzi, że to są jego pożyczki – opisała Korona.
Banki chcą pomóc, ale klienci mówią „nie”
Klienci blokują bankom możliwość ochrony. – Analiza behawioralna pozwala wykryć, że ktoś korzysta z urządzenia inaczej niż wcześniej. Nie musimy wiedzieć, kto to jest. Chodzi o to, że ktoś zaczyna korzystać z urządzenia w momencie inicjowania transakcji wysokiego ryzyka – tłumaczył Jarosław Biegański. Jednak adopcja takich rozwiązań jest niska, bo klienci odmawiają zgody. – Ludzie mówią nam wprost, że nie zgodzą się na biometrię behawioralną, bo cenią swoją prywatność. Co ciekawe, jak udostępniają te dane oszustom, to już nie widzą w tym problemu – relacjonowała Magdalena Korona. Dodała, że bankom bardzo by pomogło sięgnięcie do rzeczywistej lokalizacji klienta, ale prawo nie pozwala na to bez zgody.
Patryk Gęborys, dyrektor biura cyberbezpieczeństwa w PZU, zachęcał do zmiany podejścia. – Banki i tak wszystko o was wiedzą. Wasi dostawcy telekomunikacyjni wszystko o was wiedzą. Facebook o was wszystko wie. Więc nie musicie się martwić, że tutaj coś zostanie odkryte – argumentował Gęborys.
Eksperci podkreślili też znaczenie unijnego rozporządzenia DORA, które od stycznia 2025 roku nakłada na banki obowiązek monitorowania dostawców usług ICT i wymiany informacji o zagrożeniach. – DORA dała nam argumenty, żeby monitorować, audytować i sprawdzać dostawców oraz żeby unikać ryzyka koncentracji – wskazał Jarosław Biegański. Łukasz Miedziński z ING Hubs Poland ostrzegł, że zaawansowane modele AI ułatwiają przestępcom wykrywanie podatności w systemach bankowych, co wymusza zmianę strategii bezpieczeństwa.
Źródło: WNP.PL, Fot. PTWP

