Trzy czwarte oszustw w polskim sektorze finansowym opiera się na podobnym mechanizmie: klient sam klika, potwierdza przelew lub udostępnia dane do logowania. Przekonują go do tego grupy przestępcze działające jak korporacje. Choć banki coraz skuteczniej wykrywają próby oszustwa, często nie mogą im zapobiec – bo klient odmawia współpracy.
Banki dysponują narzędziami do wykrywania oszustw w toku – biometrią behawioralną czy analizą lokalizacji – ale prawo pozwala z nich korzystać wyłącznie za zgodą klientów. A oni w większości wolą chronić swoją prywatność. Oszustwo socjotechniczne nierzadko łączy się z elementami cyber, służącymi do uwiarygodnienia legendy – np. „pracownika banku”. Oszuści często działają w zorganizowanych grupach przestępczych, które działają jak dobrze zorganizowane przedsiębiorstwa.
O zagrożeniach w bankowości rozmawiali uczestnicy sesji „Cyberbezpieczeństwo w finansach” podczas CYBERSEC EXPO & FORUM 2026 w Katowicach. Krajobraz zagrożeń w polskich finansach najlepiej opisują dane, które podczas panelu przedstawił Jarosław Biegański, dyrektor zespołu bezpieczeństwa banków w Związku Banków Polskich.
Klient jako najsłabsze ogniwo
– 75,4 proc. oszustw zgłaszanych do NBP dokonywanych jest z wykorzystaniem manipulacji płatnikiem. Oznacza to, że płatnik sam uwierzytelnia transakcję, inicjuje ją albo udostępnia informacje wystarczające do zalogowania się do konta – powiedział Jarosław Biegański, opierając się na kwartalnych raportach Narodowego Banku Polskiego. Dodał, że wśród wszystkich transakcji oszukańczych 84 proc. to transakcje będące efektem manipulacji.
Nadinspektor Adam Cieślak, pierwszy komendant Centralnego Biura Zwalczania Cyberprzestępczości (do początku marca 2026), poinformował, że w ubiegłym roku polska policja odnotowała ponad 92 tys. oszustw internetowych i komputerowych, a samych oszustw inwestycyjnych – około 6,5 tys. – Najbardziej niebezpieczne i najtrudniejsze do wykrycia są oszustwa inwestycyjne oraz oszustwa metodą na pracownika banku albo na inną legendę. Powodują duże straty, są rozciągnięte w czasie, bo ofiara jest manipulowana przez wiele tygodni, i są trudne do wykrycia. To przekłada się na blisko 20 pokrzywdzonych osób dziennie – zaznaczył Adam Cieślak.
Banki mogą więcej, ale klienci blokują ochronę
Magdalena Korona, ekspertka ds. cyberbezpieczeństwa w mBanku, zakwestionowała tezę o trudności wykrycia. – W porównaniu z innymi scenariuszami mamy tu największą skuteczność. Problem polega na tym, że kiedy dzwonimy do klienta albo prosimy go, żeby przyszedł do placówki, klient odmawia współpracy. Podpisuje oświadczenie, że nie rozmawia z żadnymi doradcami inwestycyjnymi, nagrywa nas i twierdzi, że to są jego pożyczki albo zaliczki – opisała Magdalena Korona.
Adam Cieślak doprecyzował, że dla policji trudność wykrycia oznacza co innego niż dla banku. – Mam na myśli to, że sprawcy są trudni do złapania. Nie chodzi o samo zidentyfikowanie, że mamy do czynienia z oszustwem inwestycyjnym, tylko o namierzenie sprawców, zidentyfikowanie ich i, mówiąc kolokwialnie, zamknięcie. To jest trudne – wyjaśnił nadinspektor Cieślak. Po drugiej stronie nie stoi bowiem pojedynczy oszust, lecz grupy przestępcze przypominające dobrze zorganizowane firmy. Dlatego wykrywalność sprawców oszustw inwestycyjnych sięga zaledwie około 20 proc.
Sektor finansowy dysponuje narzędziami, które mogłyby zwiększyć bezpieczeństwo klientów banków. Nie może ich jednak swobodnie stosować. – To jest problem. Analiza behawioralna pozwala wykryć, że ktoś korzysta z urządzenia inaczej niż wcześniej. Nie musimy wiedzieć, czy to jest pan A, pani B czy pan C. Chodzi o to, że ktoś zaczyna korzystać z urządzenia w momencie inicjowania transakcji, którą system identyfikuje jako transakcję wysokiego ryzyka – tłumaczył Jarosław Biegański. Adopcja takich rozwiązań jest niska, bo klienci odmawiają zgody na ich stosowanie. – Ludzie mówią nam wprost, że nie zgodzą się na biometrię behawioralną, bo cenią swoją prywatność – relacjonowała Magdalena Korona. – Co ciekawe, jak udostępniają te dane oszustom, to już nie widzą w tym problemu – stwierdziła.
Patryk Gęborys, dyrektor biura cyberbezpieczeństwa w PZU, zachęcał do zastanowienia się, czy jednak nie warto włączyć mechanizmów behawioralnych. – Banki i tak wszystko o was wiedzą. Wasi dostawcy telekomunikacyjni wszystko o was wiedzą. Facebook o was wszystko wie. Więc nie musicie się martwić, że tutaj coś zostanie odkryte. Każdy na sali ma w kieszeni portfel w postaci telefonu – argumentował Patryk Gęborys.
Łukasz Miedziński, dyrektor obszaru cyberbezpieczeństwa w ING Hubs Poland, podkreślił znaczenie aspektu technologicznego, przypominając, że zaawansowane modele AI ułatwiają przestępcom wykrywanie podatności w systemach bankowych. – Procesy bezpieczeństwa w najbliższych miesiącach i latach będą więc musiały się bardzo zmienić. Do tej pory koncentrowaliśmy się na znanych podatnościach. Wykrywaliśmy je automatycznymi systemami i staraliśmy się je łatać. Teraz będziemy musieli skupić się na podatnościach typu zero-day, których nie znamy, i tak projektować systemy, żeby nasza technologia była w stanie je wykrywać i nas zabezpieczać – stwierdził Łukasz Miedziński. Dodał, że atakujący nie potrzebują już bardzo zaawansowanej wiedzy – mogą korzystać z gotowych automatów i komponentów dostępnych w darknecie, a nawet kupić ataki as-a-service.
Jarosław Biegański przestrzegł przed skutkami połączenia oszustw finansowych z cyberatakiem. – Duży bank nie został zaatakowany bezpośrednio, tylko zaatakowano usługi 3D Secure, czyli usługi dostawcy zewnętrznego silnego uwierzytelnienia – opowiadał. W rezultacie ataku typu DDoS serwis 3D Secure przestał działać. – Działa system autoryzacji zastępczej, czyli Visa i MasterCard dają zgody na podstawie domyślnych parametrów – kontynuował. W ten sposób powiązanie z atakiem DDoS ułatwiło przestępcom przeprowadzenie oszukańczych transakcji.
Ireneusz Jazownik, CISO w IBK Bank Polska, zwrócił uwagę na zagrożenie związane z zależnością sektora finansowego od zewnętrznych dostawców. – Pojedyncza awaria albo skuteczny cyberatak może wywołać efekt domina, który w konsekwencji może przewrócić, a na pewno mocno utrudnić funkcjonowanie sektora finansowego. Bankowość nie istnieje bez operatorów telekomunikacyjnych, bez systemów płatniczych, ale też bez dostawców usług ICT – ostrzegał.
Jarosław Biegański zaznaczył, że na kwestię bezpieczeństwa dostawców zwróciło bankom uwagę unijne rozporządzenie DORA, stosowane od 17 stycznia 2025 r. – DORA dała nam argumenty, żeby monitorować, audytować i sprawdzać dostawców oraz żeby unikać ryzyka koncentracji – wskazał.
Źródło: WNP.PL, Fot. PTWP

