Phishing PKO BP czerwiec 2026: fałszywe e-maile z plikiem .rar mogą wyczyścić oszczędności

PKO Bank Polski wydał w czerwcu 2026 r. oficjalne ostrzeżenie dla klientów przed falą fałszywych e-maili podszywających się pod komunikację banku. Atak wykorzystuje temat 'Monitoring spraw z wniosku Banku' i prowadzi do zainfekowania komputera złośliwym oprogramowaniem ukrytym w pliku .rar. Skala zagrożenia jest realna: tylko w lutym 2026 r. CERT Polska (Computer Emergency Response Team, zespół NASK) zarejestrował 5 600 incydentów phishingowych, a roczna pula z 2025 r. to blisko 80 tys. przypadków (raport CERT Polska).

Jak działa nowa kampania phishingowa na klientów PKO BP?

Oszuści podszywają się pod PKO Bank Polski, wysyłając e-maile z tematem 'Monitoring spraw z wniosku Banku' - tak wynika z oficjalnego komunikatu banku z czerwca 2026 r. Wiadomości wyglądają wiarygodnie: zawierają prawdziwe numery telefonów banku, jego adres siedziby przy ul. Puławskiej 15 w Warszawie, a czasem nazwiska pracowników. To psychologiczna sztuczka - autor ataku buduje zaufanie, zanim poprosi o działanie.

W treści e-maila pojawia się prośba o 'uzupełnienie danych we wniosku' lub 'weryfikację dokumentów' z presją czasu - klient ma działać dziś, najpóźniej jutro. Załącznik (zwykle plik .rar) zawiera trojana bankowego. Po otwarciu instaluje on na komputerze keyloggera, który nagrywa dane logowania do iPKO (system bankowości elektronicznej PKO BP), kody jednorazowe SMS, a w niektórych wariantach przejmuje również autoryzacje w aplikacji IKO.

Według raportu CERT Polska w 2025 r. zespół zarejestrował 260 783 incydentów cyberbezpieczeństwa, z czego 253 238 (97%) dotyczyło oszustw internetowych. CSIRT KNF (Zespół Reagowania na Incydenty Komisji Nadzoru Finansowego) zgłosił w tym samym roku 256 domen powiązanych z phishingiem bankowym do blokady - to wąski wycinek (0,61% wszystkich zgłoszeń), ale właśnie te domeny generują największe straty finansowe w przeliczeniu na pojedynczy atak.

Ile pieniędzy realnie tracą polscy klienci banków?

Banki w Polsce udaremniły 3 831 prób wyłudzeń kredytów na łączną kwotę 90,8 mln zł tylko w IV kwartale 2025 r. (ZBP, raport infoDOK Q4 2025). To liczby z systemu DOKUMENTY ZASTRZEŻONE - dane o bezpośrednich kradzieżach z kont są pilniej strzeżone i banki niechętnie je publikują. W pierwszym kwartale 2026 r. do bazy systemu trafiło 112,5 tys. utraconych dokumentów tożsamości (Związek Banków Polskich, raport infoDOK Q1 2026) - wyraźnie więcej niż w poprzednich kwartałach.

Wzrost wynika z uproszczonej procedury zastrzegania przez aplikację mObywatel, ale i ze skali ataków socjotechnicznych. Łącznie baza systemu DOKUMENTY ZASTRZEŻONE liczy już 2 857 172 pozycji - to skala mówiąca jasno, że problem dotyczy każdego dorosłego Polaka.

"Phishing pozostaje najpoważniejszym pojedynczym zagrożeniem dla polskich internautów - w 2025 r. zarejestrowaliśmy blisko 80 tys. przypadków, co stanowiło ok. 30% wszystkich incydentów" - Podsumowanie CERT Polska 2025 (cert.pl, publikacja 2026 r.).

CSIRT KNF tylko w lutym 2026 r. zgłosił 550 fałszywych profili publikujących nieprawdziwe reklamy inwestycyjne. W całym 2025 r. liczba fałszywych domen zgłoszonych przez KNF do blokady wyniosła 41,7 tys., z czego 96% dotyczyło scamów inwestycyjnych. Phishing bankowy stanowi mniejszość incydentów, ale generuje proporcjonalnie większe straty - bo bezpośrednio drenuje konta. Sprawdziliśmy: średnia strata w przeliczeniu na skuteczny atak phishingowy na klienta indywidualnego w polskim banku to według szacunków branżowych 15-40 tys. zł.

Kto odpowiada za stracone pieniądze - bank czy klient?

Zgodnie z art. 46 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. 2011 nr 199 poz. 1175 z późn. zm.), bank odpowiada za nieautoryzowaną transakcję płatniczą i powinien zwrócić środki 'niezwłocznie, nie później niż do końca następnego dnia roboczego'. Limit udziału własnego klienta to 50 EUR (ok. 215 zł po kursie z czerwca 2026 r.) - resztę pokrywa bank.

Jest jednak haczyk. Bank może odmówić zwrotu, jeśli udowodni, że klient dopuścił się 'rażącego niedbalstwa' - na przykład podał dane logowania na fałszywej stronie po kliknięciu w link z e-maila phishingowego albo otworzył załącznik .rar od nieznanego nadawcy. Praktyka pokazuje, że banki coraz częściej z tego korzystają. Sprawa trafia wtedy do Rzecznika Finansowego, sądu cywilnego lub UOKiK, a postępowanie trwa miesiące, czasami lata.

Moim zdaniem przerzucanie ciężaru dowodu na klienta w przypadku ofiar phishingu jest sporne - skoro to bank zarządza systemem płatniczym, CSIRT KNF identyfikuje techniki ataku, a NASK utrzymuje listę ostrzeżeń, 'rażące niedbalstwo' zwykłego oszczędzającego powinno być interpretowane zawężająco. W praktyce jednak liczy się jeden klik - i tu klient zostaje sam z bankiem. Powiem wprost: jeśli planujesz spór, gromadź dowody od pierwszej sekundy (screenshot e-maila, źródło wiadomości z nagłówkami SMTP, logi systemowe).

Więcej praktycznych konsekwencji prawnych w sytuacjach granicznych opisaliśmy w artykule o blokadzie konta po podejrzanym przelewie.

Dlaczego oszczędzający 55+ są celem numer jeden?

Oszuści celują w osoby między 55. a 70. rokiem życia z dwóch powodów. Pierwszy: ta grupa ma realnie najwięcej oszczędności - aktywa finansowe gospodarstw domowych w Polsce przekroczyły 3,9 bln zł na koniec 2025 r. według raportu PFR, a największa pula majątku zgromadzona jest u osób przed emeryturą. Drugi: zaufanie do komunikacji oficjalnej (e-mail z 'monitoringu' brzmi wiarygodnie) jest w tej grupie wyższe niż u 30-latków, którzy żyją online i automatycznie wyłapują phishingowe szumy.

Wpływ na Twoje oszczędności - liczby dla 480 tys. zł kapitału

Jeśli trzymasz 480 tys. zł rozłożone na trzy banki (limit BFG - Bankowego Funduszu Gwarancyjnego - to 100 tys. EUR na bank i klienta, czyli ok. 430 tys. zł po kursie z czerwca 2026 r.), pojedynczy udany atak phishingowy może wyczyścić dostępne saldo na jednym z kont - w skrajnym scenariuszu nawet 160 tys. zł. Kluczowa jest procedura odzyskiwania: zgodnie z art. 46 ustawy o usługach płatniczych bank ma 1 dzień roboczy na zwrot środków, ale jeśli oskarży klienta o rażące niedbalstwo, proces wydłuża się do miesięcy.

Praktyczna obrona to nie tylko ostrożność, ale rozproszenie samej infrastruktury logowania:

Działanie	Koszt	Realna ochrona
Osobne konto do logowania (bez salda)	0 zł	Klik w link nie pokazuje oszustom Twoich oszczędności
Logowanie tylko w aplikacji mobilnej IKO	0 zł	E-maile nie prowadzą do prawdziwego konta
Token sprzętowy zamiast SMS	50-200 zł	Kod nie do przechwycenia przez trojana
Limity transakcji 5-10 tys. zł/dzień	0 zł	Atak nie zdrenuje całego salda w 1 minutę

Dla porównania samej skali rynku: aktywa gospodarstw domowych w lokatach to ponad 1,2 bln zł według NBP (Narodowy Bank Polski, stan na koniec 2025 r.), a Polacy trzymają 468 mld zł w gotówce poza systemem bankowym. To rynek wart blisko 4 bilionów złotych - i właśnie dlatego phishing nie zniknie, niezależnie od tego, ile domen zablokuje CSIRT KNF.

Sprawdź swoje rozłożenie kapitału w Decyzjomacie Lokata-Konto, a aktualne stawki - w rankingu kont oszczędnościowych i rankingu lokat.

Kalendarium phishingu bankowego 2025-2026

Wzorzec jest powtarzalny: oszuści wykorzystują naturalne kanały komunikacji (e-mail, SMS, reklamy w Bing i Google) i naturalne emocje klienta (presja czasu, obawa o pieniądze, ciekawość). Skala rośnie z miesiąca na miesiąc, a domeny phishingowe pojawiają się szybciej, niż CSIRT KNF zdąży je zablokować. To wpisuje się w trend opisany w naszej analizie phishingu Erste po rebrandingu oraz 550 fałszywych profili inwestycyjnych blokowanych miesięcznie przez KNF.

Co zrobić, gdy kliknąłeś w fałszywy link?

Pierwsze 15 minut po kliknięciu decyduje. Jeśli podałeś dane logowania na fałszywej stronie lub otworzyłeś załącznik .rar:

1. Natychmiast zadzwoń na infolinię PKO BP 800 302 302 (lub odpowiedniego banku) i zablokuj dostęp do bankowości elektronicznej.
2. Zmień hasło z innego, czystego urządzenia (nie z tego, na którym otworzyłeś załącznik) - laptop koleżanki, telefon partnera, komputer publiczny w bibliotece.
3. Zgłoś incydent przez formularz CERT Polska - to pomaga szybciej zablokować domenę dla kolejnych ofiar.
4. Zastrzeż dokumenty tożsamości w aplikacji mObywatel, jeśli e-mail prosił o ich dane.

Jeśli pieniądze już zniknęły z konta, skontaktuj się pisemnie z bankiem w sprawie nieautoryzowanej transakcji (powołaj się na art. 46 ustawy o usługach płatniczych) i równolegle zgłoś sprawę na policję - sygnatura postępowania będzie potrzebna do dalszych roszczeń. Bank ma jeden dzień roboczy na zwrot środków, chyba że udowodni rażące niedbalstwo. W razie odmowy - sprawa do Rzecznika Finansowego, a w ostateczności do sądu cywilnego.

Aktualne stawki bezpiecznych instrumentów oszczędnościowych (lokaty, obligacje skarbowe EDO - 10-letnie indeksowane CPI, COI - 4-letnie indeksowane CPI) sprawdzisz w kalkulatorze obligacji skarbowych. Jeśli planujesz rebalans portfela po incydencie - Decyzjomat Nadpłata pokaże optymalny podział kapitału między instrumenty o różnym ryzyku.

Phishing nie zniknie, dopóki istnieje rynek o wartości 3,9 bln zł aktywów gospodarstw domowych (PFR, koniec 2025 r.). Najbliższe miesiące przyniosą prawdopodobnie kampanie z wykorzystaniem AI do personalizacji wiadomości - e-mail z Twoim imieniem, nazwiskiem i prawdziwym numerem ostatniej raty kredytu, wygenerowany na podstawie wycieków danych. Jeśli polski sektor bankowy nie wprowadzi obowiązkowego 2FA sprzętowego (token, klucz U2F) w ciągu 12 miesięcy, kolejna fala uderzy w tych, którzy dziś czytają to z poczuciem 'mnie się to nie zdarzy'. Więcej analiz finwire.pl na temat bezpieczeństwa finansowego znajdziesz w hubie kategorii Finanse oraz w zestawieniu najwyżej oprocentowanych lokat rocznych.

Narzędzia do Twojej decyzji

• Decyzjomat Nadpłata - oszczędzać czy nadpłacać
• Ranking lokat
• Ranking kont oszczędnościowych
• Kalkulator procentu składanego
• Kalkulator inflacji