Bezpieczeństwo BLIK w zakładach online — reklamacje, oszustwa i mechanizmy ochrony

Redakcja «Blik Zakłady» 7 maja, 2026 Czas czytania: 19 min

Skala, która nie mieści się w głowie — i co z niej naprawdę wynika

0,0021 procent. Tyle wynosi udział reklamacji w transakcjach BLIK z pierwszej połowy 2025 roku. Patrząc dziewięć lat na ten rynek, nie znam drugiego mechanizmu płatności, który osiąga taki wynik na takiej skali — a mówimy o systemie, który w jednym roku obsłużył 2,9 miliarda transakcji. Dwadzieścia jeden tysięcy reklamacji na milion przy zwyczajowej karcie płatniczej; przy BLIK-u to dwadzieścia jeden na milion.

To liczba, którą dostarczył Związek Banków Polskich w odpowiedzi Ministerstwa Finansów na interpelację poselską z listopada 2025. I to ważne, bo zwykle ze statystyk bezpieczeństwa płatności mamy dane od dostawcy systemu, a tu mamy je od podmiotu, który ma najmniejszy interes w upiększaniu obrazu — od regulatora bankowego.

W tym tekście rozkładam tę liczbę na czynniki: skąd się bierze, co dokładnie obejmuje, jakie scenariusze oszustw faktycznie istnieją w segmencie zakładów wzajemnych, i co zrobić, żeby twoja wpłata nie wpadła do tych dwudziestu jeden na milion. Piszę z perspektywy kogoś, kto przegląda te raporty od momentu, kiedy zaczęły być publikowane.

Architektura bezpieczeństwa BLIK — dlaczego to działa

Zanim opowiem o zagrożeniach, warto wiedzieć, dlaczego BLIK z założenia jest trudniejszy do oszukania niż klasyczna karta. Architektura systemu została zatwierdzona przez Narodowy Bank Polski w marcu 2023 roku jako „znaczący system płatności detalicznych” — to formalna kategoria regulacyjna, która oznacza, że BLIK podlega tym samym wymogom nadzorczym co największe systemy międzynarodowe.

Pierwszą warstwą jest brak danych statycznych. Twoja karta Visa albo Mastercard ma 16-cyfrowy numer, datę ważności i kod CVV — wszystkie te dane są stałe, jeśli więc raz wyciekną w bazie danych jakiegoś e-sklepu, są ważne aż do wymiany karty. BLIK nie ma żadnych takich danych. Każdy kod jest jednorazowy, ważny 120 sekund, i nawet jeśli ktoś go przechwyci, ma sześćdziesiąt sekund na próbę nadużycia, które i tak musi przejść autoryzację po twojej stronie.

Drugą warstwą jest dwuskładnikowa autoryzacja w aplikacji bankowej. Sam kod nie wystarcza — żeby pieniądze rzeczywiście wyszły, ty musisz w swojej aplikacji bankowej kliknąć „Potwierdź” i podać PIN BLIK albo zatwierdzić biometrią. Bez tej drugiej akcji kod jest bezużyteczny dla atakującego. To różnica, której wielu graczy nie do końca rozumie: BLIK kradnie się trudniej niż dane karty, bo trzeba przejąć dwa kanały — i kod, i twoją aplikację bankową.

Trzecią warstwą jest bankowy nadzór nad każdą transakcją w czasie rzeczywistym. Nie ma czegoś takiego jak „anonimowa transakcja BLIK” — każda jest przypisana do konkretnego konta bankowego, każda jest logowana, każda przechodzi przez systemy AML i fraud monitoring banku przed autoryzacją. Jeśli system uzna transakcję za podejrzaną (nietypowa kwota, nietypowa pora, nietypowy odbiorca), bank może ją wstrzymać do dodatkowej weryfikacji — co potrafi irytować, ale właśnie to wstrzymywanie odpowiada za niski udział oszustw.

Czwartą warstwą jest ekosystem PSP-banki-bramki płatności. Wszystkie podmioty w łańcuchu są regulowane (PSP przez NBP, banki przez KNF, bramki płatności przez KNF jako instytucje płatnicze), wszystkie wymieniają informacje o incydentach przez wspólne kanały, wszystkie są zobligowane do raportowania incydentów do regulatorów w czasie określonym ustawą o usługach płatniczych.

Ten kombo czterech warstw jest powodem, dla którego mimo dwudziestokrotnego wzrostu liczby transakcji w ciągu dziesięciu lat liczba incydentów bezpieczeństwa rośnie wolniej niż wolumen, czyli udział incydentów spada.

Co naprawdę pokazują dane reklamacji za 2025

Liczba 0,0021 procent jest spektakularna, ale warto wiedzieć, co dokładnie obejmuje. ZBP w swojej odpowiedzi na interpelację rozkłada to na konkrety: na przykład w UOKiK w 2024 roku wpłynęło tylko 10 sygnałów dotyczących „oszustwa na BLIKA” z łączną kwotą strat 13 268 złotych. W KNF — około 20 podobnych zgłoszeń w ciągu dwóch lat. To nie są liczby, które wymagają jednostek. To są pojedyncze przypadki w skali kraju.

Co z tego wynika praktycznie? Po pierwsze, ryzyko nadużycia BLIK-a w skali statystycznej jest niższe od ryzyka, że twój portfel wypadnie z kieszeni w autobusie. Po drugie, większość przypadków, które publicznie nazywane są „oszustwami na BLIKA”, nie są oszustwami systemu, tylko inżynierią społeczną — atakami, w których to gracz zostaje skłoniony do tego, by samodzielnie podać kod albo autoryzować transakcję. O tej różnicy szerzej za chwilę.

Po trzecie, w segmencie zakładów wzajemnych liczba incydentów jest znacznie niższa od średniej dla całego systemu BLIK. To nie jest intuicyjne — większość ludzi zakłada, że „hazard online” to obszar wysokiego ryzyka. W praktyce odwrotnie: legalni bukmacherzy działają w środowisku KYC, każdy gracz jest zweryfikowany imiennie, każda transakcja idzie z konta osobistego na konto zarejestrowanej spółki w polskim rejestrze MF. To jest jeden z najbardziej formalnie kontrolowanych segmentów płatności online w Polsce.

Po czwarte, te dane są publiczne i są weryfikowalne. ZBP publikuje raporty kwartalne, MF odpowiada na interpelacje, NBP raportuje stabilność systemów płatniczych. Każdy, kto twierdzi, że BLIK jest niebezpieczny u bukmachera, ma dostęp do tych samych danych — i typowo reagują na pojedyncze sensacje medialne, a nie na statystykę.

System raportowania incydentów obejmuje dziś nie tylko same nadużycia, ale też próby nadużyć. ZBP rozróżnia trzy kategorie: zrealizowane oszustwo z pieniędzmi, próbę oszustwa zatrzymaną w autoryzacji, i incydent bezpieczeństwa nieprzekładający się na transakcję. We wszystkich trzech kategoriach trendy w 2024 i 2025 są spadkowe, mimo że liczba transakcji rośnie.

Jak naprawdę wyglądają próby oszustw — typologia, którą warto znać

„Oszustwo na BLIKA” jako termin medialny obejmuje kilka różnych scenariuszy. W kontekście zakładów online warto je rozumieć osobno, bo każdy ma inny mechanizm i inną metodę obrony.

Scenariusz pierwszy — najczęstszy w mediach, najrzadszy w segmencie zakładów: ktoś podszywa się pod znajomego, prosi o „pożyczenie” kodu BLIK przez Messenger albo SMS, kod zostaje podany, autoryzacja zostaje zatwierdzona przez ofiarę, pieniądze wychodzą do oszusta. Jurand Drop, podsekretarz stanu w Ministerstwie Finansów, w odpowiedzi na interpelację z listopada 2025 ujął to bardzo precyzyjnie: „sformułowanie 'oszustwo na BLIKA’ jest uproszczeniem, które przerzuca odpowiedzialność z faktycznego źródła problemu, czyli podszywania się przez przestępców pod znajomych ofiar, na system płatności”. To nie BLIK jest złamany. To gracz został oszukany do podania kodu i kliknięcia „Potwierdź” w autoryzacji.

Scenariusz drugi — phishing podszywający się pod bukmachera: e-mail albo SMS z linkiem do strony, która udaje stronę logowania bukmachera. Gracz wpisuje dane, w niektórych wersjach proszony jest też o wpłatę BLIK „w celu weryfikacji”. Ten scenariusz pojawia się w kontekście zakładów rzadko, bo legalni polscy bukmacherzy nie wysyłają linków SMS-em, nie proszą o wpłaty „weryfikacyjne” i mają wyróżnione domeny .pl. W 2025 roku CSIRT NASK zarejestrował 26,4 tysiąca incydentów bezpieczeństwa we wrześniu, znaczna część to phishing, ale większość celuje w klientów banków, e-commerce i firm kurierskich, nie w bukmacherów.

Scenariusz trzeci — przejęcie konta bankowego: atakujący zdobywa dostęp do konta bankowego ofiary (przez phishing, malware, social engineering), autoryzuje BLIK we własnej kontroli i wykonuje wpłaty na własne konta. To są przypadki najpoważniejsze, ale wymagają od atakującego znacznie więcej niż sam BLIK — muszą złamać aplikację bankową albo przejąć urządzenie. W kontekście zakładów ten scenariusz jest skrajnie rzadki, bo wpłata trafia na konto u bukmachera zarejestrowanego na ofiarę — a wypłata wraca na konto bankowe ofiary, więc atakujący nie ma sposobu, żeby wyciągnąć pieniądze z systemu.

Scenariusz czwarty — fałszywe strony bukmacherów: szara strefa udaje legalnego operatora, gracz wpłaca BLIK-iem, środki idą do podmiotu nielicencjonowanego. Tu nie jest to oszustwo BLIK-a w ścisłym sensie — gracz dobrowolnie wpłaca do nielegalnego operatora, który potem może zatrzymać wygraną. Obrona jest banalna: weryfikacja licencji w rejestrze MF zanim wpłacisz pierwszą złotówkę.

Scenariusz piąty — wyciek danych z bramki płatności: teoretyczny, w praktyce w ciągu dziesięciu lat istnienia BLIK nie udokumentowano takiego incydentu w segmencie zakładów. Jeśli kiedyś się zdarzy, ochronę zapewnia konstrukcja systemu — same dane transakcji nie wystarczają do nadużycia, bo każdy kod jest już zużyty.

Z mojego doświadczenia w analizie incydentów płatniczych wynika prosty wniosek: w segmencie zakładów wzajemnych największym ryzykiem jest scenariusz pierwszy (inżynieria społeczna) i czwarty (nielegalny operator). Trzy pozostałe są statystycznie marginalne. Obrona przed oboma jest poznawcza, nie techniczna.

Jak rozpoznać phishing celujący w wpłaty BLIK

Phishing w segmencie zakładów ma kilka sygnatur, które łatwo nauczyć się rozpoznawać. Według raportu DXC i BLIK z grudnia 2025, 23 procent Polaków przyznało, że padło ofiarą oszustwa online — i to jest skala, która oznacza, że atak zdarzy ci się prędzej niż później. Pytanie tylko, czy go rozpoznasz.

Sygnatura pierwsza — pilność. SMS albo e-mail twierdzi, że „twoja wpłata jest zawieszona”, „konto zostanie zablokowane w ciągu godziny”, „musisz natychmiast potwierdzić”. Legalny bukmacher nie pisze w tym tonie. Komunikaty operatorów są neutralne, dają realne ramy czasowe (najczęściej 7 dni na uzupełnienie dokumentów), nie używają liczników „pozostało 12 minut”.

Sygnatura druga — link niezgodny z marką. Jeśli e-mail rzekomo od Superbeta prowadzi do „superbet-pl-secure.com” albo „superbet.com.signin.com”, to nie jest legalny operator. Polscy bukmacherzy mają domeny .pl albo .com z poprawnym subdomenem (login.superbet.pl, ale nie superbet.login.com). Jeśli nie jesteś pewny, otwórz przeglądarkę osobno i wejdź na stronę bukmachera ręcznie, nie przez link.

Sygnatura trzecia — prośba o kod BLIK przez SMS, e-mail, telefon, czat. Żaden legalny bukmacher nigdy nie prosi o podanie kodu BLIK w innym kanale niż własna aplikacja albo własna strona. Jeśli ktoś dzwoni i mówi „jestem z Fortuny, proszę podać kod BLIK” — kładziesz słuchawkę. Bez wyjątków.

Sygnatura czwarta — żądanie wpłaty „weryfikacyjnej”. Polskie prawo nie wymaga „wpłaty weryfikacyjnej” — KYC w polskich bukmacherach realizuje się przez sprawdzenie dokumentu tożsamości, nie przez wpłaty. Jeśli operator prosi cię o wpłatę „w celu weryfikacji konta”, a ty masz wątpliwości, czy to legalny operator — sprawdź rejestr MF. Jeśli operatora w rejestrze nie ma, nie dyskutujesz, zamykasz stronę.

Sygnatura piąta — błędy językowe i autoryzacja przez nieznane bramki. E-mail z literówkami, dziwną interpunkcją, polskimi zdaniami przetłumaczonymi maszynowo — to klasyczny sygnał phishingu, choć dziś coraz rzadszy, bo atakujący używają lepszych narzędzi. Ale autoryzacja w aplikacji bankowej, która pokazuje nazwę odbiorcy w stylu „GLOBAL_PAYMENT_LTD” albo coś, czego nie kojarzysz z polskimi bramkami (Tpay, PayU, Dotpay, Przelewy24) — to powód do anulowania transakcji.

Według tego samego raportu DXC i BLIK, 65 procent kupujących w Polsce ma zaufanie do BLIK-a w transakcjach online — ogólny poziom zaufania do BLIK-a sięga 73 procent. Te liczby nie biorą się znikąd: pochodzą z systematycznego rozpoznawania i blokowania prób oszustw na kilku poziomach. Twoja rola w tym łańcuchu jest jedna — nie autoryzować transakcji, której nie zainicjowałeś.

Rola banku w autoryzacji — dlaczego to bank jest twoją ostatnią linią obrony

Kiedy zatwierdzasz BLIK w aplikacji bankowej, autoryzujesz nie tylko kwotę. Autoryzujesz całą transakcję wraz z danymi odbiorcy, które wyświetla bank. To jest moment, w którym uważne czytanie ekranu może ci zaoszczędzić tygodni reklamacji.

Bank w autoryzacji pokazuje trzy informacje: kwotę, identyfikator odbiorcy (najczęściej nazwę bramki płatności) i opcjonalnie tytuł transakcji. W zakładach wzajemnych odbiorca to typowo „Tpay BLIK”, „PayU SA”, „Dotpay” albo „Przelewy24”. To są legalne polskie bramki płatności i ich nazwy w autoryzacji są normalne.

Co jeśli widzisz inną nazwę? Po pierwsze — sprawdź, czy nie pomyliłeś się w wyborze bukmachera. Po drugie — przeczytaj nazwę dwa razy. Po trzecie — jeśli nazwa wygląda obco, anuluj transakcję. Lepiej anulować dobrą wpłatę i poświęcić 30 sekund na ponowne rozpoczęcie, niż autoryzować transakcję do kogoś, kogo nie znasz.

Bank odgrywa też drugą rolę — fraud monitoring. Jeśli twój wzorzec transakcji nagle się zmienia (od lat wpłacasz BLIK-iem 50 PLN raz w tygodniu, nagle próbujesz wpłacić 8 000 PLN w środku nocy), bank może przerwać autoryzację i poprosić o dodatkowe potwierdzenie. To irytuje, ale właśnie ten mechanizm odpowiada za część wstrzymanych prób oszustwa, która nie przekłada się na statystyki strat.

Trzecia rola banku — ochrona w przypadku nadużycia. Jeśli ktoś włamał się na twoje konto i zatwierdził BLIK bez twojej wiedzy, masz prawo do reklamacji i zwrotu środków. Zgodnie z ustawą o usługach płatniczych nieautoryzowana transakcja musi zostać zwrócona w ciągu jednego dnia roboczego od zgłoszenia, jeśli zgłoszenie nastąpi w odpowiednim terminie. Procedura wymaga formalnego zgłoszenia w banku, ale jest standardowa.

Praktyczna porada: jeśli zauważysz na koncie transakcję BLIK, której nie zainicjowałeś — natychmiast dzwoń do banku, zgłaszaj nieautoryzowaną transakcję, w razie konieczności zablokuj BLIK na koncie. Im szybciej zgłosisz, tym większa szansa, że pieniądze zostaną odzyskane przed ich dalszym przeniesieniem.

Reklamacja BLIK krok po kroku — co dokładnie robić

Reklamacja BLIK związana z wpłatą do bukmachera to procedura, która ma kilka zdefiniowanych ścieżek w zależności od tego, co poszło nie tak. Rozpisuję każdą osobno, żeby było jasne, gdzie iść w którym przypadku.

Ścieżka pierwsza — pieniądze wyszły, ale na koncie u bukmachera ich nie ma. To najczęstszy typ reklamacji, którego rozwiązanie zwykle leży po stronie bukmachera. Sprawdź historię transakcji w aplikacji bankowej — upewnij się, że BLIK rzeczywiście wyszedł i odbiorcą była bramka płatności bukmachera (Tpay, PayU itd.). Skopiuj numer transakcji albo zrób screenshot. Skontaktuj się z biurem obsługi bukmachera (chat, e-mail, telefon — w tej kolejności), podaj numer transakcji i kwotę. W 90 procentach przypadków sprawa rozwiązuje się w ciągu kilku godzin: środki zostały zatrzymane do dodatkowej weryfikacji albo wpadły w kolejkę księgowania. Termin standardowej reakcji legalnego polskiego bukmachera to 24-48 godzin.

Ścieżka druga — wpłata oznaczona jako nieautoryzowana. Ktoś użył twojego konta, BLIK przeszedł, środki wyszły z banku do bukmachera. Tu działasz na dwa fronty równolegle. Po stronie banku — natychmiastowe zgłoszenie nieautoryzowanej transakcji, zablokowanie BLIK-a, ewentualnie zmiana hasła do bankowości elektronicznej i blokada karty. Po stronie bukmachera — kontakt z biurem obsługi z informacją o nieautoryzowanej wpłacie, prośba o wstrzymanie środków na koncie depozytowym do wyjaśnienia. Bukmacher legalny ma obowiązek współpracy z bankiem przy reklamacji nieautoryzowanej transakcji.

Ścieżka trzecia — wpłata zaksięgowana, ale w niewłaściwej kwocie. Wpłaciłeś 100 PLN, na koncie pojawiło się 10 PLN. To problem operatora albo bramki płatności. Reklamacja kierowana do biura obsługi bukmachera, w razie braku reakcji eskalacja do bramki płatności (każda ma swój punkt obsługi reklamacji). Termin rozwiązania zwykle 72 godziny.

Ścieżka czwarta — błąd po stronie bramki płatności. Jeśli BLIK przeszedł, ale przyczyną zatrzymania jest awaria po stronie bramki, reklamacja idzie tam. Tpay, PayU, Dotpay, Przelewy24 — wszystkie mają w regulaminach standardowe procedury reklamacyjne i terminy rozpatrzenia (14 dni roboczych w skrajnym przypadku, w praktyce kilka dni).

Ścieżka piąta — eskalacja do regulatora. Jeśli reklamacja nie zostaje rozpatrzona w terminie ustawowym albo zostaje odrzucona w sposób, który uważasz za nieuzasadniony, masz dwie ścieżki odwoławcze: Rzecznik Finansowy (dla sporów z bankiem albo bramką płatności) albo UOKiK (dla sporów konsumenckich z operatorem). To są ścieżki rzadkie, większość spraw kończy się znacznie wcześniej.

Praktyczna obserwacja: każda reklamacja idzie szybciej, jeśli masz dokumentację. Screenshot z historii BLIK w aplikacji bankowej, screenshot z panelu wpłat u bukmachera, numery transakcji — to materiał, który skraca proces o tygodnie. Bez tego sprawa wisi w formie „klient twierdzi, że wpłacił”, co dla każdego biura obsługi jest najtrudniejszym przypadkiem do rozstrzygnięcia.

Pełen przewodnik po zgłaszaniu nieautoryzowanej transakcji BLIK opisałem szerzej w osobnym tekście — kierowany szczególnie do osób, które zauważyły transakcję, której nie zainicjowały. Procedura jest uregulowana ustawowo i opisałem ją w analizie pisma Ministerstwa Finansów do Sejmu w sprawie oszustw BLIK, gdzie znajdziesz pełen kontekst regulacyjny.

Co bukmacher robi po swojej stronie — i czego od niego oczekiwać

Bukmacher jest ostatnim ogniwem w łańcuchu BLIK przy zakładach. Jego rola w bezpieczeństwie jest mniejsza od roli banku i bramki płatności, ale nie zerowa. Co dokładnie robi legalny polski operator?

Po pierwsze — KYC. Każdy gracz musi przejść identyfikację dokumentem tożsamości przed pierwszą wypłatą. To oznacza, że nawet jeśli ktoś wpłaci BLIK-iem na cudze konto u bukmachera, próba wypłaty zostanie zablokowana niezgodnością danych. To jest mechanizm, który chroni samego gracza — środki nie znikają w nieznanym kierunku, bo bukmacher nie ma mechanizmu wypłaty na inne konto niż zarejestrowane.

Po drugie — monitorowanie wzorców gry. Jeśli na koncie nagle pojawiają się nietypowe transakcje (kilkanaście wpłat dziennie, kwoty wyraźnie odbiegające od historii), system bukmachera może wstrzymać konto do ręcznej weryfikacji. To rzadziej dotyczy wpłat BLIK, częściej wypłat — ale ten sam mechanizm wyłapuje próby nadużycia.

Po trzecie — współpraca z bankiem przy reklamacjach. Każdy legalny operator ma w swoim regulaminie procedurę współpracy z bankiem przy nieautoryzowanych transakcjach. To znaczy, że jeśli zgłosisz w banku, że BLIK do bukmachera nie był twój, bukmacher ma obowiązek współpracować przy zwrocie. Nie zatrzymuje pieniędzy. Procedura jest standardowa i regulowana.

Po czwarte — limity gry. Każdy legalny polski operator daje narzędzia do samoograniczenia (limit wpłat dziennych, tygodniowych, miesięcznych; limit czasu gry; samowykluczenie). To są narzędzia, które technicznie dotyczą odpowiedzialnej gry, ale mają też znaczenie bezpieczeństwa: jeśli ustawisz dzienny limit wpłat na 200 PLN, atakujący nie wpłaci tysiąca, nawet jeśli przejmie kontrolę nad twoim BLIK-iem.

Czego od bukmachera nie oczekujesz — natychmiastowej decyzji w sprawie reklamacji bez weryfikacji. Bukmacher musi zweryfikować twoje zgłoszenie z bramką płatności, w razie konieczności z bankiem. To trwa od kilku godzin do kilku dni. Operator, który obiecuje „natychmiastowy zwrot” bez procedury — to znak ostrzegawczy, nie zaleta.

Twoja rola — pięć rzeczy, które zabezpieczają konto bardziej niż jakikolwiek system

Wszystkie warstwy ochrony, które opisałem, są skuteczne pod jednym warunkiem: ty nie staniesz się ich wąskim gardłem. Pięć praktyk, które realnie podnoszą bezpieczeństwo twojego konta — i jednocześnie są tymi, których nikt nie wprowadza, dopóki coś się nie stanie.

Pierwsza — limit dzienny BLIK ustawiony świadomie. Domyślne 2 000-5 000 PLN to za dużo dla większości graczy. Ustaw go na poziomie, który odpowiada twojej rzeczywistej grze (np. 200, 500, 1 000 PLN), a w razie konieczności zwiększaj punktowo. To jest jednorazowa konfiguracja, która chroni przed katastrofą zarówno w scenariuszu nadużycia, jak i w scenariuszu impulsywnej wpłaty.

Druga — biometria do autoryzacji. PIN BLIK można podejrzeć przez ramię, biometrii nie da się. Jeśli twoja aplikacja bankowa pozwala autoryzować BLIK odciskiem palca albo Face ID, włącz to. Włącz też blokadę aplikacji biometrią, żeby ktoś, kto przejmie twój odblokowany telefon, nie miał dostępu.

Trzecia — dwuskładnikowa weryfikacja konta u bukmachera. Każdy legalny operator umożliwia 2FA — najczęściej kodem SMS albo aplikacją. Włącz to, nawet jeśli wydaje ci się to przesadą. To jest druga warstwa po BLIK-u, która chroni twoje konto u bukmachera, a nie tylko sam moment wpłaty.

Czwarta — separacja kanałów komunikacji. Powiadomienia z banku do mnie nie dochodzą tym samym kanałem, którym otrzymuję komunikację marketingową. Spróbuj utrzymać podobną dyscyplinę: e-mail bankowy osobny od e-maila wykorzystywanego do rejestracji w serwisach, telefon do banku osobny od numeru, na który możesz dostać phishing. Brzmi paranoidalnie, ale w praktyce to dwadzieścia minut konfiguracji raz w życiu.

Piąta — okresowy audyt transakcji. Raz w miesiącu otwórz historię BLIK w aplikacji bankowej i przejrzyj ostatnie wpisy. Jeśli zobaczysz coś, czego nie pamiętasz, masz znacznie więcej czasu na zgłoszenie reklamacji, niż gdybyś dowiedział się o tym przy następnym wyciągu.

Te pięć rzeczy razem podnosi twój profil ryzyka z „domyślnego użytkownika BLIK” do „trudnego celu”. Atakujący w internecie szukają nisko wiszących owoców — kto jest 2FA, biometryczny, z limitem ustawionym sensownie i z aktywnym audytem, ten po prostu nie pasuje do automatycznej bazy potencjalnych ofiar.

Opracowane przez redakcję „Blik Zakłady”.