Pytanie, gdzie zgłosić oszustwo internetowe, ma zwykle dwa cele naraz: zatrzymać dalsze straty i uruchomić właściwą ścieżkę oficjalnego zgłoszenia. W praktyce nie zawsze chodzi o jeden adres, bo inny kanał wybiera się przy phishingu, inny przy utracie pieniędzy, a jeszcze inny przy podejrzanej wiadomości SMS. Poniżej rozkładam to na proste kroki, żebyś wiedział, co zrobić od razu, a co zgłosić później.
Najkrócej: najpierw zabezpiecz pieniądze i dowody, potem zgłaszaj sprawę właściwym kanałem
- Bank kontaktujesz natychmiast, jeśli doszło do płatności, przelewu lub logowania na konto.
- CERT Polska przyjmuje zgłoszenia o phishingu, fałszywych sklepach, podejrzanych SMS-ach i e-mailach.
- Policja albo prokuratura są właściwe, gdy doszło już do przestępstwa, szkody finansowej albo kradzieży danych.
- SMS z linkiem można przekazać na bezpłatny numer 8080, a podejrzane treści zgłaszać też w mObywatelu.
- Dowody zbieraj od razu: zrzuty ekranu, pełną treść wiadomości, adres strony, potwierdzenia transakcji i dane odbiorcy.
- Szybkość ma większe znaczenie niż idealny komplet informacji, więc nie czekaj, aż wszystko będzie dopięte na ostatni guzik.
Najpierw zatrzymaj szkody
Ja w takich sytuacjach zaczynam od prostego założenia: najpierw ograniczasz straty, dopiero potem formalizujesz sprawę. Jeśli kliknąłeś w link, podałeś dane logowania albo wykonałeś przelew pod presją, nie próbuj najpierw sam „rozgryzać” oszustwa, tylko od razu odetnij mu dostęp do pieniędzy i kont.
W praktyce oznacza to trzy ruchy. Po pierwsze, skontaktuj się z bankiem i poproś o blokadę karty, dostępów lub analizę podejrzanej transakcji. Po drugie, jeśli w grę wchodzą dane osobowe, zastrzeż numer PESEL. Po trzecie, zachowaj wszystko, co może być dowodem: wiadomości, numery kont, linki, potwierdzenia płatności, a nawet godzinę kontaktu z oszustem. Tych informacji później nie da się wiarygodnie odtworzyć z pamięci.
Jeżeli oszust przejął konto w mediach społecznościowych i zaczął pisać do znajomych, ostrzeż kontakty od razu. To nie rozwiązuje sprawy, ale potrafi zatrzymać kolejne szkody, zwłaszcza gdy przestępca podszywa się pod Ciebie i wyłudza kolejne przelewy. Gdy sytuacja jest już zabezpieczona, można przejść do właściwego kanału zgłoszenia.
Do CERT Polska zgłasza się phishing, fałszywe sklepy i podejrzane wiadomości
W przypadku incydentów takich jak fałszywa strona banku, sklep udający znaną markę, podejrzany SMS z linkiem albo mail z prośbą o dopłatę, pierwszym miejscem zgłoszenia jest CERT Polska. To właściwy kanał wtedy, gdy chcesz ostrzec innych użytkowników i przekazać techniczne ślady ataku do analizy.
Największa zaleta tego zgłoszenia jest bardzo praktyczna: możesz je wysłać szybko, elektronicznie, a w wielu przypadkach także anonimowo. Jeśli nie masz pewności, czy wiadomość kwalifikuje się jako phishing, oszustwo czy po prostu podejrzany kontakt, wybierz możliwie najbliższą kategorię. Lepiej przekazać niepełny, ale prawdziwy materiał, niż czekać dwa dni na „idealny opis”. Oficjalne wskazówki mówią wprost, by zgłaszać taki incydent jak najszybciej, najlepiej w ciągu 24 godzin od wykrycia.
Warto pamiętać o czymś jeszcze: CERT nie jest miejscem na samo „odkręcenie” sprawy po utracie pieniędzy. To kanał do zgłoszenia incydentu bezpieczeństwa. Jeśli oszustwo już doprowadziło do szkody, zwykle trzeba równolegle uruchomić policję albo prokuraturę. To właśnie tam sprawa dostaje ciężar postępowania karnego, a nie tylko technicznej analizy.
Zawiadomienie na policję ma sens, gdy doszło do przestępstwa
Jeśli pieniądze zniknęły, ktoś wyłudził dane, przejął konto, szantażuje Cię albo podszył się pod inną osobę w celu oszustwa, nie kończ na zgłoszeniu technicznym. W takich sytuacjach trzeba złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa w dowolnej jednostce policji albo prokuratury. Można to zrobić także zdalnie przez oficjalną usługę rządową, a w części przypadków także anonimowo.
To ważne, bo w sprawach cyberoszustw samo „zgłoszenie do internetu” nie uruchamia postępowania. W praktyce organy ścigania potrzebują formalnego zawiadomienia od osoby pokrzywdzonej albo świadka. Bez tego wiele spraw po prostu stoi w miejscu. Ja traktuję policję jako kanał obowiązkowy zawsze wtedy, gdy w grę wchodzą realne pieniądze, dane osobowe lub wyraźny zamiar wyłudzenia.
Do zgłoszenia przygotuj podstawowy zestaw informacji: co się stało, kiedy, przez jaki kanał kontaktował się oszust i jakie są straty. Jeśli znasz numer konta, adres portfela kryptowalut albo dane pośrednika płatności, też je dołącz. Im bardziej konkretny materiał, tym łatwiej policji powiązać sprawę z innymi zgłoszeniami. Wbrew pozorom nie chodzi o literacki opis zdarzenia, tylko o fakty, które da się sprawdzić.
Bank musi wiedzieć o sprawie od razu
W przypadku przelewu, płatności kartą, BLIKa albo przejęcia konta bankowego bank powinien dostać sygnał jako pierwszy lub równolegle z innymi zgłoszeniami. To nie jest „formalność do odhaczenia”, tylko moment, w którym da się jeszcze zablokować część ruchów przestępcy. Im szybciej zareagujesz, tym większa szansa, że bank zatrzyma transakcję, ograniczy dostęp do rachunku albo uruchomi właściwą procedurę reklamacyjną.
Nie zakładaj, że bank załatwi za Ciebie całą sprawę. Jego rola jest inna: ma ograniczyć skutki finansowe i sprawdzić, czy doszło do nieautoryzowanej operacji. Jeśli przy okazji oszust wykorzystał Twoje dane osobowe, zastrzeż PESEL. To prosty ruch, który ogranicza możliwość dalszych prób wyłudzeń na Twoje dane. W cyberoszustwach lubię myśleć o tym jak o zamykaniu kolejnych drzwi, a nie o jednym „wielkim rozwiązaniu”.
Jeżeli zostałeś nakłoniony do instalacji dodatkowego oprogramowania, podania kodów autoryzacyjnych albo zalogowania się przez fałszywą stronę, powiedz o tym bankowi wprost. To są szczegóły, które mają znaczenie dla dalszej analizy i dla tego, czy transakcja zostanie uznana za autoryzowaną, czy nie. Z takiego zgłoszenia nie warto wycinać niewygodnych fragmentów, bo właśnie one bywają najważniejsze.
Jak przygotować zgłoszenie, żeby niczego nie zgubić po drodze
W tej części najczęściej widać różnicę między sprawą, która idzie do przodu, a sprawą, która utknęła w chaosie. Ja polecam zebrać wszystko w jednej paczce zanim zaczniesz rozsyłać zgłoszenia. Nie musisz mieć kompletnego dossier, ale musisz mieć materiał, który da się odtworzyć i sprawdzić.
- Treść wiadomości zapisuj w całości, razem z załącznikami, nagłówkami e-maila lub pełnym SMS-em.
- Adres strony przepisz dokładnie, nawet jeśli wygląda podejrzanie lub zawiera literówki.
- Zrzuty ekranu zrób tak, aby było widać datę, godzinę i kontekst rozmowy lub płatności.
- Potwierdzenia transakcji zachowaj w wersji elektronicznej i, jeśli to możliwe, papierowej.
- Dane odbiorcy zanotuj: numer konta, portfel kryptowalut, numer telefonu, profil społecznościowy albo nazwę sklepu.
- Opis szkody podaj krótko, ale konkretnie: ile straciłeś, co zostało ujawnione i do czego oszust próbował Cię nakłonić.
Jeśli masz tylko część danych, i tak zgłoś sprawę. Oficjalne kanały przewidują, że brak pełnego kompletu nie blokuje zgłoszenia, a uzupełnienia można dosłać później. To ważne zwłaszcza przy świeżych incydentach, kiedy emocje są duże, a nie masz jeszcze głowy do porządkowania wszystkich plików. Lepiej wysłać materiał w tej postaci, w jakiej jest, niż czekać i stracić ślady.
W firmach, które działają mocno w sieci, dorzuciłbym jeszcze logi systemowe, historię logowania i zrzuty z panelu administracyjnego. W kontekście IT to często jedyny sposób, żeby odróżnić zwykły błąd użytkownika od realnego włamania. Gdy dowody są uporządkowane, łatwiej zdecydować, który kanał wybrać w danej sytuacji.
Który kanał wybrać w konkretnej sytuacji
Najpraktyczniej patrzeć na to nie przez pryzmat jednego „miejsca zgłoszenia”, ale przez rodzaj incydentu. Poniżej zestawiam najczęstsze scenariusze i kanał, od którego sam bym zaczął. W wielu sprawach trzeba uruchomić dwa albo trzy zgłoszenia jednocześnie, bo każde z nich robi coś innego.
| Sytuacja | Najwłaściwszy kanał | Co zrobić od razu |
|---|---|---|
| Podejrzany SMS z linkiem | 8080 i CERT Polska | Nie klikaj, zachowaj wiadomość, zrób zrzut ekranu |
| Fałszywa strona, phishing, sklep-widmo | CERT Polska | Zapisz adres strony, treść wiadomości i screeny |
| Utrata pieniędzy, nieautoryzowany przelew, karta | Bank oraz policja lub prokuratura | Zadzwoń do banku i poproś o pilną blokadę lub analizę operacji |
| Przejęte konto społecznościowe i wyłudzanie od znajomych | Platforma, CERT Polska, a przy szkodzie także policja | Ostrzeż kontakty i zabezpiecz dostęp do konta |
| Wyłudzenie danych osobowych lub szantaż | Policja albo prokuratura | Zabezpiecz dowody i rozważ zastrzeżenie PESEL |
Ta tabela pokazuje jedną rzecz szczególnie wyraźnie: pojedyncze zgłoszenie rzadko wystarcza. W praktyce bank chroni pieniądze, CERT analizuje incydent, a policja uruchamia ścieżkę karną. Jeśli ktoś pyta mnie, co wybrać, odpowiadam prosto: wybierz wszystko, co jest adekwatne do szkody, ale zacznij od kanału, który może działać w minutach, nie w tygodniach.
Najlepiej działa połączenie kilku zgłoszeń naraz
Gdybym miał zostawić jedną regułę na koniec, brzmiałaby tak: nie traktuj tych kanałów jako konkurencyjnych. Bank, CERT Polska i policja nie robią tego samego, więc w dobrej sprawie często warto użyć ich równolegle. To nie jest nadmiarowość, tylko rozsądny podział ról.
W 2026 roku największą różnicę nadal robi szybkość reakcji. Oszustwa internetowe rozwijają się błyskawicznie, ale też zostawiają ślady, jeśli zareagujesz od razu. Dlatego nie czekaj na „lepszy moment”, nie próbuj odzyskiwać pieniędzy samodzielnie przez kontakt z przestępcą i nie wyrzucaj żadnych wiadomości, nawet jeśli wydają się oczywiste.
Jeżeli masz tylko jeden priorytet, ustaw go tak: najpierw ogranicz straty, potem zgłoś incydent właściwym instytucjom. Taki porządek daje największą szansę, że sprawa nie rozmyje się w chaosie, a Ty zachowasz realną kontrolę nad sytuacją.
