Przejdź do treści
oszustwo na paczke

Oszustwo na paczkę DHL/DPD 2026 – art. 286 KK i zwrot pieniędzy

Zaktualizowano: 12 min czytania

Oszustwo „na paczkę” (DHL, DPD, InPost) to wyłudzenie pieniędzy lub danych osobowych przez przestępcę, który podszywa się pod firmę kurierską – najczęściej SMS-em, mailem lub telefonem o rzekomej dopłacie, zatrzymanej przesyłce albo problemie z doręczeniem. Sprawca kieruje ofiarę na fałszywą stronę banku lub bramki płatności, gdzie przejmuje login, hasło, kod BLIK albo dane karty (CVV/CVC). Czyn wypełnia znamiona oszustwa z art. 286 KK, a bank ma obowiązek zwrócić środki w trybie nieautoryzowanej transakcji – z zastrzeżeniami, które omawiamy poniżej.

UWAGA! Jeśli straciłeś pieniądze przez fałszywego kuriera albo oszuści zaciągnęli na Twoje dane kredyt – możesz domagać się zwrotu od banku lub stwierdzenia nieistnienia zobowiązania. Pomagamy w reklamacji, chargeback i pozwach. Bezpłatna analiza sprawy: +48 530 333 130 lub kontakt@eurolege.pl.

4 typowe scenariusze oszustwa kurierskiego

Z naszej praktyki w sprawach cyberoszustw wynika, że ataki podszywające się pod kurierów (DHL, DPD, InPost, GLS, UPS, FedEx, Poczta Polska) sprowadzają się do czterech podstawowych schematów. Łączy je jeden cel – wyciągnięcie od ofiary kodu BLIK, danych karty płatniczej, loginu do bankowości elektronicznej albo zainstalowanie złośliwego oprogramowania na telefonie. Skala zjawiska jest ogromna: według raportów CERT Polska oszustwa „na kuriera” stanowią jedną z najczęściej zgłaszanych kategorii phishingu w naszym kraju. Każdy z czterech wariantów opiszemy szczegółowo w kolejnych sekcjach, a poniżej krótka mapa, żeby od razu rozpoznać, w którym scenariuszu się znalazłeś.

  • SMS „twoja paczka czeka” z linkiem do dopłaty (najczęstszy wariant, masowy phishing).
  • Email „DHL/DPD/InPost” o zatrzymanej przesyłce z załącznikiem PDF/ZIP albo przyciskiem „śledź paczkę”.
  • Telefon „z firmy kurierskiej” z prośbą o podanie kodu BLIK, danych karty albo „weryfikację” tożsamości.
  • Fałszywa strona śledzenia paczki – klon serwisu kuriera, do którego ofiara trafia po wpisaniu numeru przesyłki w wyszukiwarce.

Scenariusz 1: SMS „twoja paczka czeka na dopłatę”

To najczęstszy wariant, znany również pod angielską nazwą „smishing” (SMS + phishing). Ofiara otrzymuje wiadomość tekstową z krótkim komunikatem typu: „Twoja paczka DHL została wstrzymana. Wymagana dopłata 2,99 zł” i linkiem do strony, która łudząco przypomina serwis kuriera lub bramki płatności. Po kliknięciu uruchamia się klon Przelewy24, PayU albo bezpośrednio fałszywy panel logowania do banku. Ofiara podaje login, hasło i kod jednorazowy z aplikacji – a w tle przestępca loguje się do prawdziwej bankowości i przelewa środki na słupy.

Cechy wskazujące na phishing SMS

  • Nadawca to losowy numer komórkowy (a nie oficjalny „DHL”, „DPD”) albo numer zagraniczny (+34, +44, +1).
  • Link nie prowadzi na dhl.com.pl, dpd.com.pl, inpost.pl – ma podejrzaną domenę typu „dhl-paczka-doplata.com” lub skróconą (bit.ly, tinyurl).
  • Pilność przekazu – „ostatnie 24 godziny”, „paczka zostanie zwrócona”.
  • Bardzo niska kwota dopłaty (1-5 zł), żeby uśpić czujność.

Scenariusz 2: Email od „DHL/DPD” o zatrzymanej paczce

Drugi wariant atakuje przez pocztę elektroniczną. Ofiara dostaje wiadomość z logo kuriera, numerem listu przewozowego i komunikatem o problemie z odprawą celną, błędnym adresie albo konieczności potwierdzenia odbioru. Załączony jest PDF, dokument Word z makrami albo plik ZIP – po otwarciu instaluje się keylogger lub trojan bankowy, który przechwytuje dane logowania ze wszystkich serwisów. Alternatywnie email zawiera przycisk „Śledź przesyłkę” prowadzący na fałszywą stronę kuriera z formularzem wymagającym danych karty płatniczej „do weryfikacji”.

Jak rozpoznać fałszywego maila

  • Adres nadawcy – prawdziwy DHL pisze z domen typu @dhl.com, a nie @dhl-info-pl.net.
  • Nieoczekiwany załącznik – kurier nigdy nie wysyła PDF/ZIP „do otwarcia w celu śledzenia”.
  • Błędy językowe, dziwna składnia, automatyczne tłumaczenie z angielskiego.
  • Link „śledź paczkę” – najedź kursorem (bez klikania) i sprawdź adres w lewym dolnym rogu przeglądarki.

Scenariusz 3: Telefon „z infolinii kuriera”

Bardziej zaawansowany atak (vishing – voice phishing) polega na bezpośrednim kontakcie telefonicznym. Oszust podszywa się pod konsultanta DHL, DPD albo InPostu i informuje o „problemie z doręczeniem”, „konieczności weryfikacji adresu” lub „rozliczeniu zwrotu”. W kolejnym kroku prosi o podanie kodu BLIK rzekomo „do weryfikacji tożsamości” albo o numer karty płatniczej z trzycyfrowym kodem CVV. Część ataków łączy ten scenariusz z kradzieżą tożsamości – oszust posiada już Twoje imię i nazwisko (z wycieku bazy), więc pierwsze sekundy rozmowy budują zaufanie. Pamiętaj: żaden kurier nigdy nie prosi o kod BLIK ani dane karty przez telefon.

Scenariusz 4: Fałszywa strona śledzenia paczki

Czwarty wariant jest podstępny, bo ofiara sama trafia w pułapkę. Po wpisaniu w Google numeru listu przewozowego (np. „śledzenie DPD 12345”) wyniki organiczne lub reklamy Google Ads kierują na klona prawdziwego serwisu. Strona wygląda identycznie jak tracking.dpd.com.pl, ale po wpisaniu numeru wyświetla informację o „konieczności potwierdzenia tożsamości” przez logowanie do banku albo wymaga „drobnej dopłaty” za doręczenie. Cel jest ten sam – przejęcie loginu, hasła lub danych karty. Ten scenariusz najczęściej dotyka osób, które rzeczywiście oczekują paczki, a stres związany z opóźnieniem osłabia czujność.

Tabela: 4 scenariusze – jak rozpoznać i jaka szansa odzyskania

Poniższa tabela podsumowuje cztery typy ataków wraz z najprostszymi metodami weryfikacji i realistyczną oceną szans na odzyskanie pieniędzy w drodze reklamacji bankowej i chargeback. Dane oparliśmy na sprawach prowadzonych przez naszą Kancelarię.

Scenariusz Jak rozpoznać Szansa odzyskania środków
SMS o dopłacie Krótka domena, dziwny nadawca, niska kwota Wysoka – jeśli zgłosisz w ciągu 24 godzin
Email z załącznikiem Domena nadawcy inna niż oficjalna, ZIP/PDF Średnia – zależy od skali infekcji urządzenia
Telefon o BLIK Prośba o kod BLIK lub dane karty CVV Niska – jeśli podałeś kod BLIK oszustowi
Fałszywa strona Adres URL inny niż oficjalny serwis kuriera Wysoka – jeśli udokumentujesz wejście z reklamy

Procedura PO oszustwie – 5 kroków, które musisz wykonać natychmiast

Czas jest tu kluczowy. Im szybciej zareagujesz, tym większa szansa, że bank zwróci środki, a chargeback się powiedzie. Poniżej kolejność działań w ciągu pierwszych godzin po wykryciu oszustwa.

  1. Zablokuj kartę i konto – w aplikacji bankowej (sekcja „karty” – blokada awaryjna) albo dzwoniąc na infolinię banku. Zmień hasło do bankowości elektronicznej.
  2. Zgłoś bankowi nieautoryzowaną transakcję – infolinia 24/7, wniosek o chargeback (jeśli płatność kartą), reklamacja w trybie ustawy o usługach płatniczych.
  3. Zawiadom Policję – osobiście w komisariacie albo przez formularz online (policja.pl). Otrzymasz numer sprawy potrzebny do reklamacji bankowej.
  4. Zgłoś incydent CERT Polska przez incydent.cert.pl – to baza phishingu prowadzona przez NASK, blokuje fałszywe domeny dla kolejnych ofiar.
  5. Zamów raport BIK i włącz Alert BIK – sprawdź, czy oszuści nie próbowali zaciągnąć kredytu na Twoje dane.

Reklamacja bankowa – art. 46 ustawy o usługach płatniczych

Najważniejsza podstawa prawna do walki z bankiem to art. 46 ustawy o usługach płatniczych. Zgodnie z nim bank ma obowiązek zwrócić kwotę nieautoryzowanej transakcji nie później niż do końca następnego dnia roboczego po stwierdzeniu, że transakcja została wykonana bez zgody płatnika. Bank może odmówić tylko wtedy, gdy udowodni rażące niedbalstwo ofiary – a w praktyce sądy interpretują tę przesłankę bardzo wąsko.

Reklamację składa się pisemnie (najlepiej listem poleconym lub przez formularz w aplikacji) z opisem zdarzenia, datą, kwotą i numerem sprawy z Policji. Bank ma 15 dni roboczych na rozpatrzenie reklamacji w sprawach prostych, a w sprawach złożonych do 35 dni. W ponad 90% spraw banki początkowo odmawiają, twierdząc, że ofiara była „rażąco niedbała” – to standardowa procedura. Następny krok to skarga do Rzecznika Finansowego, a docelowo pozew sądowy. Opłata sądowa jest limitowana – nie może przekroczyć 1000 zł niezależnie od dochodzonej kwoty.

Pomagaliśmy klientom w sprawach, gdzie banki najpierw odmawiały zwrotu kilkudziesięciu tysięcy złotych, a po pozwie ostatecznie wypłacały całą kwotę z odsetkami. Zobacz też nasze artykuły o pokrewnych oszustwach: oszustwo na Vinted, oszustwo na BLIK, oszustwo na InPost i oszustwo na Allegro Lokalnie – schematy są podobne, podstawy prawne te same.

Zgłoszenie na Policję – art. 286 KK i procedura karna

Oszustwo „na kuriera” wypełnia znamiona klasycznego oszustwa z art. 286 § 1 Kodeksu karnego: „Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia mieniem własnym lub cudzym za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8”. W przypadku mienia znacznej wartości (powyżej 200 000 zł) zastosowanie ma art. 294 KK z karą do 10 lat pozbawienia wolności.

Zawiadomienie o przestępstwie złożysz w najbliższym komisariacie albo przez formularz online na policja.pl. Należy opisać przebieg zdarzenia, podać kwotę szkody, nadawcę SMS-a/maila, link, na który kliknąłeś, oraz dołączyć zrzuty ekranu. Postępowanie często jest umarzane z powodu niewykrycia sprawcy (oszuści działają z zagranicy), ale samo zawiadomienie jest niezbędne – bank wymaga numeru sprawy do reklamacji, a Ty potrzebujesz dokumentu potwierdzającego, że zgłosiłeś incydent organom ścigania (kluczowe przy ewentualnym sporze z bankiem).

Profilaktyka – jak chronić się przed fałszywymi kurierami

Najlepszym zabezpieczeniem jest świadomość zagrożenia i kilka prostych nawyków, które wbudujesz na stałe w sposób korzystania z bankowości i poczty elektronicznej. Oszuści liczą na pośpiech i nieuwagę – wystarczy 30 sekund weryfikacji, żeby uniknąć katastrofy finansowej.

  • NIGDY nie klikaj linków z SMS-ów o paczkach. Status sprawdzaj wyłącznie w oficjalnej aplikacji kuriera (DHL, DPD, InPost, Poczta Polska) albo wpisując ręcznie adres w przeglądarce.
  • Sprawdzaj nadawcę emaila – oficjalny DHL pisze z @dhl.com, a nie z @dhl-info-pl.net czy @dhl-tracking.com.
  • Włącz alerty bankowe o każdej transakcji powyżej 0 zł – SMS lub push w aplikacji.
  • Ustaw limity dzienne na karcie i osobny limit na płatności internetowe (maksymalnie 1000-2000 zł).
  • Korzystaj z 3D Secure i potwierdzaj transakcje w aplikacji bankowej (a nie SMS-em, który jest mniej bezpieczny).
  • Zainstaluj antywirusa z modułem antyphishingowym na telefonie i komputerze.
  • Włącz Alert BIK (płatny około 24 zł rocznie) – dostaniesz powiadomienie, gdy ktoś próbuje sprawdzić Twoją zdolność kredytową.

Kiedy skontaktować się z prawnikiem

Z naszego doświadczenia w Kancelarii EUROLEGE wynika, że pomoc prawnika opłaca się szczególnie w trzech sytuacjach: (1) bank odmówił uznania reklamacji i twierdzi, że padło „rażące niedbalstwo”, (2) kwota straty przekracza kilka tysięcy złotych, (3) oszuści zaciągnęli na Twoje dane kredyt lub pożyczkę i widnieje on już w BIK. We wszystkich tych przypadkach mamy realne narzędzia: pozew o zapłatę przeciwko bankowi (z opłatą sądową max 1000 zł), pozew o stwierdzenie nieistnienia stosunku zobowiązaniowego (gdy mowa o wyłudzonym kredycie), skarga do Rzecznika Finansowego, mediacja przed Sądem Polubownym przy KNF.

Działamy zdalnie w całym kraju – wstępna analiza dokumentów i porada prawnika są bezpłatne i nie zobowiązują. Wystarczy telefon: +48 530 333 130 albo email: kontakt@eurolege.pl. Oddzwonimy najpóźniej kolejnego dnia roboczego i ustalimy strategię działania w Twojej konkretnej sprawie.

Najczęściej zadawane pytania

Jak rozpoznać fałszywego maila lub SMS-a od DHL/DPD?

Fałszywe wiadomości od kuriera zawierają błędy językowe, podejrzane linki (nie kierują na dhl.com.pl, dpd.com.pl, inpost.pl), żądanie dopłaty kilku złotych albo potwierdzenia danych przez bramkę płatności. Prawdziwy kurier nigdy nie prosi o login do banku, kod BLIK ani dane karty CVV. Jeśli masz wątpliwości – zadzwoń bezpośrednio na infolinię firmy.

Co zrobić, gdy podałem dane karty na fałszywej stronie kuriera?

Natychmiast zablokuj kartę w aplikacji bankowej i zgłoś sprawę na infolinii banku – większość banków zwraca środki w trybie chargeback i nieautoryzowanej transakcji (art. 46 ustawy o usługach płatniczych). Zgłoś też incydent na policja.pl oraz incydent.cert.pl. Pomagamy klientom skutecznie odzyskiwać pieniądze, gdy bank odmawia zwrotu.

Czy bank zwróci pieniądze stracone w oszustwie na paczkę?

Tak – bank ma obowiązek zwrócić środki w trybie nieautoryzowanej transakcji (art. 46 ust. 1 ustawy o usługach płatniczych) najpóźniej do końca następnego dnia roboczego po zgłoszeniu. Banki czasem odmawiają, twierdząc, że ofiara była „rażąco niedbała” – wtedy potrzebna jest skarga do Rzecznika Finansowego lub pozew. Opłata sądowa jest limitowana do 1000 zł.

Gdzie zgłosić oszustwo na paczkę DPD lub DHL?

Najpierw na incydent.cert.pl (CSIRT NASK), potem do banku (reklamacja, chargeback) i na komisariacie Policji (zawiadomienie o przestępstwie z art. 286 KK). Możesz też powiadomić samego kuriera – DHL i DPD prowadzą formularze zgłoszeń nadużyć. Pomagamy koordynować zgłoszenia – to zwiększa szansę na zwrot pieniędzy.

Czy mogę pozwać oszustów za stratę na fałszywej paczce?

Teoretycznie tak (art. 286 KK i art. 415 KC), w praktyce sprawcy działają z zagranicy i są nieuchwytni. Realniej jest egzekwować zwrot od banku w ramach chargeback i odpowiedzialności za nieautoryzowaną transakcję. Pomagamy klientom prowadzić sprawy reklamacyjne i pozywać banki, gdy odmawiają zwrotu.

Jak chronić się przed oszustwami kurierskimi w przyszłości?

Nigdy nie klikaj linków z SMS-ów ani maili z żądaniem dopłaty – status paczki sprawdzaj tylko w oficjalnej aplikacji kuriera, wpisując numer ręcznie. Włącz powiadomienia bankowe o transakcjach, ustaw limity na karcie, korzystaj z 3D Secure. Doradzamy klientom kompleksową ochronę finansową przed phishingiem.

Ile czasu mam na zgłoszenie nieautoryzowanej transakcji w banku?

Zgodnie z art. 44 ustawy o usługach płatniczych masz 13 miesięcy od daty obciążenia rachunku na zgłoszenie nieautoryzowanej transakcji. Im szybciej to zrobisz – tym większa szansa na zwrot. Optymalnie – tego samego dnia, w którym wykryłeś oszustwo. Bank ma wtedy obowiązek zwrócić środki najpóźniej do końca następnego dnia roboczego.

4.7/5 – (34 votes)

Czytaj dalej

Powiązane artykuły.

Opisz swoją sytuację.
Oddzwonimy w 2 godziny.

Bezpłatna analiza Twojej sprawy. Bez zobowiązań.

Bezpłatna analiza sprawy Zadzwoń teraz
Anty Dług Kancelaria Oddłużeniowa
Powered by  Zgodności ciasteczek z RODO
Polityka Prywatności i Cookies

Ta strona wykorzystuje pliki cookies, dzięki którym możemy lepiej dostosować stronę do Twoich potrzeb. Informacje zawarte w plikach cookies wykorzystywane są jedynie w celach analitycznych, promocyjnych i informacyjnych.

Szczegółowe informacje na temat zasad przetwarzania cookies oraz danych osobowych znajdziesz w naszej Polityce prywatności.

Możesz zmienić ustawienia plików cookies korzystając z zakładek po lewej stronie.