System płatności mobilnych BLIK, wprowadzony w Polsce w 2015 roku, stał się jednym z najpopularniejszych narzędzi do transakcji finansowych dzięki prostocie, szybkości i wysokiemu poziomowi ochrony.
- Architektura i mechanizmy bezpieczeństwa systemu BLIK
- Fundamentalne zasady bezpiecznego wykorzystywania kodu BLIK
- Typologia oszustw wykorzystujących system BLIK
- Analiza ryzyka związanego z udostępnianiem kodu BLIK
- Kontekst prawny i odpowiedzialność w systemie BLIK
- Porównanie bezpieczeństwa BLIK z innymi metodami płatności
Kod BLIK należy traktować jak poufne dane bankowe i nie wolno go udostępniać osobom trzecim. Główne zagrożenia nie wynikają z luk technicznych, ale z manipulacji socjotechnicznych stosowanych przez oszustów. System zakłada, że użytkownik sam generuje kod i używa go wyłącznie do własnych operacji, a każda płatność wymaga akceptacji w aplikacji bankowej.
Kluczowym elementem ochrony jest uważne potwierdzanie szczegółów każdej transakcji przed jej zatwierdzeniem. Mimo zaawansowanych zabezpieczeń technicznych oszuści nadal wykorzystują presję czasu i podszywanie się pod zaufane osoby lub instytucje. W praktyce nie ma bezpiecznych scenariuszy świadomego udostępniania kodu BLIK innym osobom.
Architektura i mechanizmy bezpieczeństwa systemu BLIK
BLIK łączy prostotę obsługi z wielowarstwowymi zabezpieczeniami. Podstawowa cecha to jednorazowość kodu i krótki czas ważności (ok. 2 minut), co ogranicza ryzyko przechwycenia i nadużycia. Po upływie ważności kod jest bezużyteczny.
Najważniejsze zabezpieczenia BLIKa prezentują się następująco:
- Jednorazowy kod i limit czasu – każdy kod działa tylko raz i wygasa po ok. 2 minutach, co minimalizuje ryzyko ataków typu replay;
- Szyfrowanie komunikacji – transmisja danych między aplikacją a systemem bankowym jest szyfrowana zgodnie z wysokimi standardami branżowymi;
- Autoryzacja użytkownika – każda operacja wymaga potwierdzenia w aplikacji banku (PIN, biometria, hasło), co wymusza fizyczny dostęp do urządzenia;
- Rejestr i monitoring – aplikacje bankowe udostępniają szczegółowy dziennik operacji, a banki analizują transakcje algorytmami wykrywania anomalii;
- Unikalność kodów – system nie pozwala na wygenerowanie dwóch identycznych kodów równocześnie i ogranicza podobne sekwencje.
Szyfrowanie danych to kluczowa warstwa ochrony. Nawet przy próbie przejęcia komunikacji, informacje pozostają nieczytelne dla atakującego. Ta ochrona działa automatycznie, niezależnie od zachowania użytkownika.
Autoryzacja transakcji wymaga aktywnego potwierdzenia operacji w aplikacji banku: może to być PIN, biometria (odcisk palca, rozpoznawanie twarzy) lub hasło. Użytkownik widzi kwotę i odbiorcę, co pozwala wyłapać nieprawidłowości przed zatwierdzeniem.
Aplikacje bankowe zapewniają przejrzysty dziennik operacji, ułatwiając bieżący nadzór i szybką reakcję na nieprawidłowości. System dba o unikalność kodów oraz redukuje ryzyko pomyłek wynikających z podobnych sekwencji.
Banki współpracujące z BLIKiem prowadzą ciągły monitoring i korzystają z analizy wzorców transakcyjnych. Ścisła współpraca pozwala wykrywać i blokować próby oszustw w czasie rzeczywistym.
Zakres funkcji BLIKa jest szeroki. Najczęściej używane moduły to:
- Płatności w sklepach i internecie – z kodem lub zbliżeniowo, z obowiązkową autoryzacją;
- Wypłaty i wpłaty gotówki w bankomatach – bez karty, z potwierdzeniem w aplikacji;
- Przelewy na numer telefonu – szybki transfer środków między bankami bez numeru konta;
- Czek BLIK (9 cyfr) – dodatkowo zabezpieczony hasłem ustalanym w serwisie bankowości internetowej.
Fundamentalne zasady bezpiecznego wykorzystywania kodu BLIK
Przestrzegaj poniższych reguł, aby skutecznie chronić swoje pieniądze i dane:
- Nigdy nie udostępniaj kodu BLIK ani danych logowania – pracownik banku, policja czy inna instytucja publiczna nigdy nie prosi o kody BLIK, hasła, PIN czy dane dostępowe;
- Weryfikuj tożsamość proszącego – przy prośbie w komunikatorze lub mediach społecznościowych zadzwoń bezpośrednio do tej osoby, by potwierdzić prośbę;
- Sprawdzaj szczegóły transakcji przed akceptacją – dokładnie zweryfikuj kwotę, odbiorcę i lokalizację operacji, a w razie wątpliwości odmów zatwierdzenia;
- Chroń połączenie internetowe – unikaj operacji bankowych w publicznych sieciach Wi‑Fi; jeśli musisz, użyj VPN;
- Uważaj na phishing – sprawdzaj adresy stron, nie klikaj podejrzanych linków i w razie wątpliwości kontaktuj się z instytucją oficjalnym kanałem.
Typologia oszustw wykorzystujących system BLIK
Najczęstsze nadużycia opierają się na presji czasu i podszywaniu się pod zaufane osoby lub instytucje. Po uzyskaniu kodu oszust może natychmiast wypłacić pieniądze w bankomacie; po autoryzacji transakcja jest nieodwracalna.
Do najczęściej spotykanych metod należą:
- Przejęte konto znajomego – przestępca prosi o „pilną pożyczkę” i podanie kodu BLIK, powołując się na nagłe wydatki;
- Podszywanie się pod kuriera/pocztę – SMS lub e‑mail o dopłacie do paczki z linkiem do płatności; właściwa weryfikacja to kontakt przez oficjalny numer firmy;
- Deepfake i imitacja głosu – technologia text‑to‑speech zwiększa wiarygodność prośby o kod BLIK;
- Oszustwa na platformach sprzedażowych – żądanie kodu „zamiast konta” pod pozorem weryfikacji lub szybszej wysyłki;
- Fałszywe konkursy i promocje – prośba o „symboliczną wpłatę BLIK” w zamian za rzekomą nagrodę, która nigdy nie nadejdzie;
- Rzekome zabezpieczenie środków – podszywanie się pod bank lub policję z prośbą o kod BLIK „w celu ochrony konta”.
Skala zjawiska potwierdzana jest licznymi zgłoszeniami na policję: w Mrągowie kilka osób straciło po 2000 zł, w Lubinie odnotowano straty rzędu 300–500 zł, a w Bydgoszczy sprawca wyłudził łącznie 3200 zł.
Analiza ryzyka związanego z udostępnianiem kodu BLIK
Największym ryzykiem jest nieodwracalność transakcji BLIK. W przeciwieństwie do kart, nie działa tu mechanizm chargeback – po autoryzacji środki trafiają do odbiorcy i ich odzyskanie bez jego zgody jest bardzo trudne.
Kluczowe aspekty ryzyka prezentują się następująco:
- Brak chargeback – transakcje BLIK mają charakter natychmiastowych przelewów i są nieodwracalne;
- Możliwa odmowa reklamacji – jeśli bank uzna, że użytkownik świadomie podał kod i autoryzował operację, odpowiedzialność spada na użytkownika;
- Manipulacja i presja czasu – oszust tworzy „sytuację kryzysową”, by obniżyć czujność i wymusić szybkie decyzje;
- Naruszenie regulaminu banku – większość banków zakazuje udostępniania kodów i haseł; grozi to odmową zwrotu środków, a nawet blokadą usług;
- Nieprawidłowe powiadomienia – jeśli po wygenerowaniu kodu pojawia się nagłe żądanie autoryzacji, należy wstrzymać się i dokładnie sprawdzić kwotę, odbiorcę i lokalizację.
Nie ma bezpiecznych scenariuszy przekazywania kodu BLIK innej osobie. Do wysyłania pieniędzy używaj funkcji przelewu na numer telefonu BLIK, która zapewnia pełną kontrolę nad transakcją i jej autoryzacją.
Kontekst prawny i odpowiedzialność w systemie BLIK
Odpowiedzialność banku za nieautoryzowane transakcje ma granice wynikające z zachowania użytkownika. Jeśli użytkownik świadomie przekazał kod BLIK (nawet zmanipulowany), bank często odmawia zwrotu środków.
Prawo do reklamacji wynika z przepisów o usługach płatniczych, ale skuteczność zależy od okoliczności. Gdy transakcja została wykonana bez wiedzy i zgody użytkownika (np. po przejęciu urządzenia), szanse na odzyskanie środków rosną. Problemem jest sytuacja, w której użytkownik sam wygenerował kod i sam autoryzował operację – z perspektywy systemu była legalna.
Właściwym adresem reklamacji jest bank, którego aplikację wykorzystano. Incydent należy jak najszybciej zgłosić do banku i na policję, co zwiększa szansę zablokowania kolejnych transakcji i ustalenia sprawców. Sprawcy podlegają odpowiedzialności karnej, choć wykorzystanie kont „słupów” utrudnia identyfikację beneficjentów.
Kwestia odpowiedzialności operatora BLIK za oszustwa jest dyskutowana. Technicznie system jest inherentnie bezpieczny (jednorazowe kody, krótka ważność, wymóg autoryzacji, szyfrowanie), a główne ryzyko wynika z manipulacji psychologicznych. Operator i banki prowadzą działania edukacyjne i ostrzegawcze. Przepisy muszą nadążać za rozwojem sztucznej inteligencji i deepfake oraz uwzględniać transgraniczny charakter ataków.
Porównanie bezpieczeństwa BLIK z innymi metodami płatności
Obie metody stosują silne uwierzytelnianie, lecz różnią się zakresem ochrony konsumenta i ekspozycją danych. BLIK nie wymaga podawania stałych danych karty (numer, data ważności, CVV), a jednorazowość kodu i krótka ważność ograniczają ryzyko nadużyć. Karty oferują jednak mechanizm chargeback (zwykle do ok. 120 dni), który bywa skuteczny w sporach transakcyjnych.
Najważniejsze różnice przedstawia poniższa tabela:
| Cecha | BLIK | Karta płatnicza |
|---|---|---|
| Wymagane dane u sprzedawcy | Kod jednorazowy (lub zbliżeniowo, bez kodu) | Stałe dane karty (numer, data, CVV) |
| Ważność danych uwierzytelniających | Ok. 2 minuty | Dane stałe do czasu zastrzeżenia |
| Autoryzacja | Każda transakcja w aplikacji banku (PIN/biometria/hasło) | 3D Secure (np. SMS lub zgoda w aplikacji), nie zawsze wymagane |
| Chargeback | Brak | Dostępny (Visa/Mastercard/AmEx), zwykle do ok. 120 dni |
| Nieodwracalność transakcji | Wysoka (natychmiastowy transfer) | Możliwa reklamacja i obciążenie zwrotne |
| Wymóg fizycznego urządzenia | Tak (telefon właściciela z aplikacją) | Niekoniecznie (zakupy online z danymi karty) |
| Ekspozycja danych | Brak stałych danych ujawnianych sprzedawcy | Dane karty mogą zostać przechwycone i użyte ponownie |
BLIK wymaga autoryzacji każdej transakcji w aplikacji mobilnej banku, podczas gdy w płatnościach kartą dodatkowa autoryzacja zależy od 3D Secure i polityki sprzedawcy lub banku.
