Oszustwo internetowe – jak odzyskać pieniądze przelane na konto oszusta?

Oszustwa internetowe przybierają różne formy: fałszywe sklepy, fikcyjne ogłoszenia sprzedaży samochodu, podszywanie się pod pracownika banku, fałszywe platformy inwestycyjne, przejęcie telefonu lub komputera przez program do zdalnego pulpitu, a także wyłudzenie danych potrzebnych do zaciągnięcia pożyczki. W każdej z tych sytuacji najważniejsze jest ustalenie, czy pieniądze zostały przelane po Twojej świadomej autoryzacji, czy też doszło do transakcji nieautoryzowanej.

Przykładowo pan Dawid kupował samochód przez profesjonalnie wyglądającą stronę internetową. Cena nie wydawała się podejrzana, kontakt ze sprzedawcą był rzeczowy, a przelew trafił na wskazane konto. Po zapłacie samochodu nie było, sprzedawca przestał odpowiadać, a pan Dawid zauważył dodatkowo, że w danych przelewu pojawił się błąd. Taki stan faktyczny wymaga jednoczesnego działania na trzech płaszczyznach: bankowej, karnej i cywilnej.

Wpłata pieniędzy na konto oszusta – co zrobić natychmiast?

W pierwszych godzinach po wykryciu oszustwa nie warto czekać na odpowiedź sprawcy. Należy niezwłocznie skontaktować się z bankiem, najlepiej infolinią przeznaczoną do zgłaszania fraudów, i poprosić o blokadę bankowości elektronicznej, kart, BLIK-a, tokenów oraz urządzeń zaufanych. Jeżeli przelew nie został jeszcze zaksięgowany u odbiorcy, bank może próbować go zatrzymać. Jeżeli został już wykonany, bank nie cofnie go jednostronnie, ale może uruchomić procedurę odzyskania środków albo zwrócić się do banku odbiorcy o blokadę rachunku.

Równolegle trzeba złożyć reklamację w banku. W reklamacji należy dokładnie opisać, czy transakcja była autoryzowana, czy pieniądze wyszły bez Twojej zgody, czy oszust przejął dostęp do telefonu lub komputera, czy podawałeś kody autoryzacyjne oraz jakie komunikaty widziałeś w aplikacji. Inaczej ocenia się bowiem klasyczny błąd w przelewie, a inaczej przejęcie bankowości elektronicznej lub transakcję wykonaną bez zgody właściciela rachunku.

Warto także zabezpieczyć dowody: potwierdzenia przelewów, numer rachunku odbiorcy, korespondencję e-mail i SMS, zrzuty ekranu strony internetowej, adres URL, numer telefonu oszusta, dane ogłoszenia oraz historię połączeń. Jeżeli oszust korzystał z programu do zdalnego pulpitu albo namówił Cię do instalacji aplikacji, odłącz urządzenie od internetu i skonsultuj jego sprawdzenie z informatykiem, zanim ponownie zalogujesz się do banku.

Oszustwo internetowe w świetle prawa karnego

Podstawowym przepisem w takich sprawach jest art. 286 § 1 Kodeksu karnego. Zgodnie z nim: kto w celu osiągnięcia korzyści majątkowej doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd, wyzyskania błędu albo niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

W praktyce oszustwo internetowe polega najczęściej na stworzeniu fałszywego obrazu rzeczywistości: fikcyjnego sklepu, nieistniejącego samochodu, rzekomej inwestycji, podszycia się pod bank, firmę kurierską albo znaną platformę sprzedażową. Sprawca nie musi używać skomplikowanych narzędzi informatycznych. Wystarczy, że świadomie wywoła u pokrzywdzonego błędne przekonanie, które prowadzi do przelania pieniędzy, przekazania danych lub zatwierdzenia operacji.

O kwalifikacji prawnej decydują szczegóły. Jeżeli sprawca od początku nie zamierzał wykonać umowy i posłużył się fikcyjnymi danymi, sprawa może być klasycznym oszustwem. Jeżeli dodatkowo grozi ujawnieniem danych, zaciągnięciem kredytu albo dalszymi konsekwencjami, w grę mogą wchodzić także inne przestępstwa, np. groźby karalne, szantaż, bezprawne uzyskanie informacji lub kradzież tożsamości. Więcej o odpowiedzialności sprawcy wyjaśniamy w materiale dotyczącym tego, jakie są sankcje za oszustwo internetowe.

Transakcja nieautoryzowana a przelew zatwierdzony pod wpływem oszustwa

Najważniejsze pytanie przy reklamacji brzmi: czy transakcja była autoryzowana. Transakcją nieautoryzowaną będzie taka, na którą płatnik nie wyraził zgody, np. gdy przestępca przejął dostęp do bankowości elektronicznej, użył skradzionych danych karty, wykonał przelew po przejęciu telefonu albo doprowadził do operacji bez skutecznej zgody właściciela rachunku.

Jeżeli transakcja była nieautoryzowana, zastosowanie mają przepisy ustawy o usługach płatniczych. Co do zasady bank powinien zwrócić kwotę nieautoryzowanej transakcji niezwłocznie, nie później niż do końca następnego dnia roboczego po stwierdzeniu transakcji albo po otrzymaniu zgłoszenia. Bank może następnie badać, czy klient działał umyślnie albo dopuścił się rażącego niedbalstwa, ale nie powinien automatycznie przerzucać odpowiedzialności na klienta tylko dlatego, że doszło do cyberoszustwa.

Inna sytuacja występuje wtedy, gdy klient sam zlecił i zatwierdził przelew, choć zrobił to pod wpływem manipulacji oszusta. Banki często uznają takie operacje za autoryzowane, ponieważ klient potwierdził je kodem SMS, aplikacją mobilną lub inną metodą autoryzacji. Nie oznacza to jednak, że reklamacja jest bezcelowa. Warto wskazać, czy komunikaty autoryzacyjne były nieczytelne, czy bank ostrzegał przed typowym schematem oszustwa, czy transakcja była nietypowa dla rachunku oraz czy bank prawidłowo zastosował mechanizmy bezpieczeństwa.

Reklamacja do banku i możliwość odzyskania środków

Reklamacja powinna być konkretna. Należy wskazać datę i godzinę transakcji, kwotę, rachunek odbiorcy, opis przebiegu oszustwa, żądanie zwrotu środków oraz wniosek o zabezpieczenie rachunku odbiorcy, jeżeli jest to jeszcze możliwe. W sprawach nieautoryzowanych transakcji warto powołać się na ustawę o usługach płatniczych, w szczególności na obowiązki banku dotyczące zwrotu środków i ciężaru wykazania, że transakcja była prawidłowo uwierzytelniona, zapisana i niezakłócona awarią techniczną.

Jeżeli bank odmówi, należy żądać pełnego uzasadnienia i wskazania dowodów, na których bank oparł decyzję. Sama informacja, że operacja została potwierdzona kodem, nie zawsze rozstrzyga sprawę. W postępowaniu reklamacyjnym i ewentualnym sporze sądowym istotne mogą być logi bankowe, historia logowań, adresy IP, urządzenia, sposób autoryzacji, treść komunikatów oraz to, czy bank wykrył nietypowe zachowanie na rachunku.

Jeżeli reklamacja zostanie rozpatrzona negatywnie, można rozważyć wniosek o interwencję Rzecznika Finansowego, reklamację uzupełniającą, postępowanie polubowne, zawiadomienie UOKiK w przypadku praktyk naruszających zbiorowe interesy konsumentów albo pozew przeciwko bankowi. Wybór ścieżki zależy od tego, czy spór dotyczy nieautoryzowanej transakcji, nienależytego zabezpieczenia rachunku, błędnego przelewu czy odpowiedzialności samego oszusta.

Błąd w danych przelewu i numer rachunku odbiorcy

W starszych materiałach często podkreślano, że bank powinien sprawdzać zgodność nazwy odbiorcy z numerem rachunku. Obecnie trzeba formułować ten wniosek ostrożniej. Przy przelewach bankowych kluczowe znaczenie ma tzw. unikatowy identyfikator, którym jest co do zasady numer rachunku bankowego. Jeżeli przelew został wykonany na numer rachunku wskazany przez płatnika, samo wpisanie błędnej nazwy odbiorcy nie przesądza jeszcze, że bank odpowiada za szkodę.

W aktualnym orzecznictwie zwraca się uwagę, że bank nie ma ogólnego obowiązku każdorazowego porównywania nazwy odbiorcy wpisanej w zleceniu z danymi faktycznego posiadacza rachunku. Sąd Najwyższy w wyroku z 9 kwietnia 2025 r., II CSKP 966/23, wskazał, że jeżeli klient podał nieprawidłowy numer rachunku odbiorcy, obowiązki banków zasadniczo ograniczają się do udzielenia pomocy w odzyskaniu środków, a nie do automatycznego naprawienia szkody.

Nie znaczy to, że bank nigdy nie poniesie odpowiedzialności. Roszczenie wobec banku może być uzasadnione zwłaszcza wtedy, gdy doszło do transakcji nieautoryzowanej, naruszenia procedur bezpieczeństwa, oczywistego zignorowania sygnałów fraudowych, nieprawidłowego wykonania obowiązków ustawowych albo niewłaściwej reakcji po zgłoszeniu oszustwa. Każdą sprawę trzeba jednak ocenić indywidualnie, bo inne znaczenie ma literówka w nazwie odbiorcy, a inne przelew wykonany po przejęciu konta lub w ramach zorganizowanego ataku.

Zastrzeżenie PESEL i ryzyko kredytu na cudze dane

Jeżeli oszust uzyskał dane osobowe, skan dokumentu, login do bankowości, zdjęcie dowodu osobistego albo dostęp do telefonu, samo zgłoszenie sprawy w banku nie wystarczy. Należy zastrzec numer PESEL, zablokować dokument tożsamości, zmienić hasła, wylogować nieznane urządzenia i sprawdzić, czy nie doszło do prób zaciągnięcia kredytu lub pożyczki. Zastrzeżenie PESEL można wykonać przez mObywatela, gov.pl albo w urzędzie.

Od 1 czerwca 2024 r. banki i inne instytucje finansowe mają obowiązek sprawdzać, czy PESEL jest zastrzeżony przy zawieraniu m.in. umowy kredytu lub pożyczki. Jeżeli instytucja udzieli finansowania mimo skutecznego zastrzeżenia numeru PESEL, poszkodowany ma znacznie silniejszą pozycję w sporze. Trzeba jednak pamiętać, że zastrzeżenie działa przede wszystkim na przyszłość, nie obejmuje automatycznie wszystkich zagranicznych instytucji i nie usuwa zobowiązań zaciągniętych przed zastrzeżeniem.

Warto również aktywować alerty w bazach informacji kredytowej i gospodarczej, zachować potwierdzenie zastrzeżenia PESEL oraz monitorować historię sprawdzeń numeru. Jeżeli ktoś mimo to próbuje dochodzić spłaty rzekomej pożyczki, należy niezwłocznie zgłosić sprzeciw, zażądać dokumentów, poinformować o kradzieży tożsamości i dołączyć potwierdzenie zgłoszenia sprawy organom ścigania.

Postępowanie karne, cywilne i zabezpieczenie środków

Zawiadomienie o podejrzeniu popełnienia przestępstwa można złożyć na policji lub w prokuraturze. W zawiadomieniu należy opisać cały przebieg zdarzenia, wskazać kwotę szkody, rachunki bankowe, dane kontaktowe oszusta, nazwy stron internetowych, adresy e-mail, numery telefonów, linki do ogłoszeń oraz załączyć potwierdzenia przelewów i korespondencję. Warto wprost wnieść o pilne ustalenie rachunku odbiorcy i zabezpieczenie środków, jeżeli nadal znajdują się na rachunku.

Postępowanie karne może doprowadzić do ustalenia sprawcy, zabezpieczenia pieniędzy albo orzeczenia obowiązku naprawienia szkody. W praktyce cyberoszuści często używają rachunków na tzw. słupy, zagranicznych kont, kryptowalut i fałszywych danych, dlatego wykrycie sprawcy bywa trudne. Nie należy jednak rezygnować ze zgłoszenia, bo potwierdzenie przyjęcia zawiadomienia jest ważnym dowodem w sporze z bankiem, pożyczkodawcą albo inną instytucją.

Droga cywilna może obejmować pozew przeciwko sprawcy, posiadaczowi rachunku albo osobie bezpodstawnie wzbogaconej, a w określonych przypadkach także przeciwko bankowi. Podstawą mogą być m.in. przepisy o bezpodstawnym wzbogaceniu, czynach niedozwolonych lub odpowiedzialności za nienależyte wykonanie obowiązków. Problemem praktycznym jest zwykle ustalenie danych pozwanego i realna możliwość egzekucji. Gdy sprawa ma element zagraniczny, np. rachunek znajduje się w Wielkiej Brytanii albo w innym państwie, konieczna może być analiza jurysdykcji, prawa właściwego i sposobu wykonania orzeczenia.

Jeżeli oszustwo dotyczyło inwestycji, kryptowalut albo fałszywej platformy tradingowej, trzeba zachować szczególną ostrożność wobec firm obiecujących odzyskanie środków za opłatą z góry. Takie podmioty bardzo często są kolejnym etapem oszustwa. W podobnych sprawach pomocny może być materiał o tym, co zrobić po oszustwie na giełdzie kryptowalut.

FAQ

Podsumowanie

Odzyskanie pieniędzy po oszustwie internetowym jest trudne, ale szybkie działania zwiększają szanse na ograniczenie szkody. Najpierw trzeba zabezpieczyć rachunek, zgłosić reklamację do banku, zawiadomić policję lub prokuraturę i zachować dowody. Następnie należy ustalić, czy sprawa dotyczy transakcji nieautoryzowanej, błędnego przelewu, przelewu zatwierdzonego pod wpływem manipulacji czy kradzieży tożsamości.

Nie każda wpłata na rachunek oszusta daje podstawę do automatycznego żądania zwrotu pieniędzy od banku. Jednocześnie bank nie może z góry odrzucać reklamacji bez zbadania okoliczności autoryzacji, zabezpieczeń i reakcji na zgłoszenie. W sprawach z przejęciem danych, groźbami, fałszywymi inwestycjami albo ryzykiem kredytu na cudze dane warto działać równolegle: bankowo, karnie i cywilnie.

Źródła

• Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny, w szczególności art. 286 – ISAP.
• Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, w szczególności przepisy dotyczące transakcji nieautoryzowanych i unikatowego identyfikatora – ISAP.
• Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, w szczególności art. 64 – ISAP.
• Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny, w szczególności przepisy o czynach niedozwolonych i bezpodstawnym wzbogaceniu – ISAP.
• Wyrok Sądu Najwyższego z dnia 17 grudnia 2008 r., I CSK 205/08; wyrok Sądu Najwyższego z dnia 9 kwietnia 2025 r., II CSKP 966/23 – SN.
• Informacje administracji publicznej o usłudze zastrzeżenia numeru PESEL – gov.pl.
• Materiały Rzecznika Finansowego dotyczące nieautoryzowanych transakcji płatniczych – Rzecznik Finansowy.