Oszustwo na InPost 2026 – jak odzyskać pieniądze (art. 286 KK)

Q: Czym jest oszustwo na InPost - krótka definicja

Oszustwo na InPost to rodzaj phishingu, w którym przestępcy podszywają się pod operatora paczkomatów (firmę InPost S.A.), wysyłając fałszywe wiadomości SMS, e-maile lub publikując podrobione aplikacje. Najczęstszy schemat polega na żądaniu drobnej "dopłaty" za paczkę (od 1 zł do kilku złotych) oraz przekierowaniu ofiary na fałszywą bramkę płatności lub stronę logowania do banku. Po wpisaniu danych oszuści przejmują kontrolę nad rachunkiem i wykonują nieautoryzowane transakcje. Czyn ten kwalifikuje się z art. 286 KK (oszustwo) lub art. 287 KK (oszustwo komputerowe) i jest zagrożony karą do 8 lat pozbawienia wolności.

6 maja 2024Zaktualizowano: 30 kwietnia 202616 min czytania

Oszustwa podszywające się pod InPost stały się jednym z najczęstszych zagrożeń w polskim e-commerce. SMS-y o „dopłacie za paczkę”, fałszywe aplikacje InPost Mobile, e-maile o nieopłaconej przesyłce – oszuści wykorzystują zaufanie do marki i powszechność paczkomatów, aby przejąć dane logowania do bankowości i wyczyścić konta ofiar. W tym poradniku tłumaczymy, jak rozpoznać każdy ze scenariuszy, co zrobić w pierwszych godzinach po oszustwie i jak realnie odzyskać pieniądze, gdy bank odmówi zwrotu.

UWAGA! Padłeś ofiarą oszustwa na InPost? W Kancelarii EUROLEGE (właściciel serwisu) prowadzimy sprawy o zwrot pieniędzy od banku oraz o stwierdzenie nieważności umów pożyczek wyłudzonych przez cyberprzestępców. Wstępna analiza dokumentów jest bezpłatna – szczegóły kontaktu znajdziesz na końcu materiału.

Czym jest oszustwo na InPost – krótka definicja

Oszustwo na InPost to rodzaj phishingu, w którym przestępcy podszywają się pod operatora paczkomatów (firmę InPost S.A.), wysyłając fałszywe wiadomości SMS, e-maile lub publikując podrobione aplikacje. Najczęstszy schemat polega na żądaniu drobnej „dopłaty” za paczkę (od 1 zł do kilku złotych) oraz przekierowaniu ofiary na fałszywą bramkę płatności lub stronę logowania do banku. Po wpisaniu danych oszuści przejmują kontrolę nad rachunkiem i wykonują nieautoryzowane transakcje. Czyn ten kwalifikuje się z art. 286 KK (oszustwo) lub art. 287 KK (oszustwo komputerowe) i jest zagrożony karą do 8 lat pozbawienia wolności.

Dlaczego oszustwa na InPost są tak skuteczne

Skuteczność tych ataków wynika z trzech czynników. Po pierwsze – InPost realnie obsługuje miliony przesyłek tygodniowo, więc trafienie SMS-em na osobę faktycznie oczekującą paczki jest bardzo prawdopodobne. Po drugie – operator faktycznie pobiera czasem dopłaty gabarytowe lub za przekroczenie wymiarów paczkomatu, więc komunikat o „dopłacie 2,50 zł” brzmi wiarygodnie. Po trzecie – kwoty wskazane w SMS-ach są niskie, co usypia czujność i skłania do szybkiego kliknięcia, podczas gdy faktyczny atak polega na przejęciu pełnego dostępu do konta bankowego.

Dodatkowym elementem manipulacji jest presja czasu – oszuści piszą o „ostatnim dniu odbioru” lub „rychłym zwrocie do nadawcy”. Działanie pod wpływem stresu wyłącza krytyczne myślenie, a tym samym zwiększa szansę na podanie loginu i hasła. Z tego samego powodu sądy w sprawach o zwrot pieniędzy z banku coraz częściej uznają, że klient padł ofiarą wyrafinowanej manipulacji, a nie rażącego niedbalstwa.

4 typowe scenariusze oszustw na InPost

Cyberprzestępcy nieustannie modyfikują swoje metody, ale w polskich realiach dominują cztery powtarzalne schematy. Każdy z nich wykorzystuje inny kanał komunikacji, ale ma identyczny cel – przejęcie środków lub danych logowania.

Scenariusz 1: SMS o dopłacie za paczkę

Najpopularniejszy wariant. Ofiara dostaje SMS-a typu: „Twoja paczka oczekuje na dopłatę 2,50 zł. Zaloguj się: bit.ly/inpost-doplata”. Link prowadzi do strony łudząco podobnej do bramki płatności (Przelewy24, Tpay, BLIK), gdzie ofiara wybiera swój bank i wpisuje login oraz hasło. W tle oszust loguje się do prawdziwej bankowości i autoryzuje przelewy lub zaciąga kredyt na klik. Charakterystyczne cechy: krótkie linki (bit.ly, tinyurl), domeny niezgodne z inpost.pl (np. inpost-platnosci.com, inpost24.pl), żądanie kwoty poniżej 5 zł.

Scenariusz 2: Fałszywa aplikacja InPost Mobile

W sklepach Google Play i App Store regularnie pojawiają się podrobione aplikacje udające InPost Mobile. Po zainstalowaniu żądają one nadmiernych uprawnień – dostępu do SMS-ów (przechwytywanie kodów BLIK i autoryzacji), kontaktów oraz powiadomień innych aplikacji. W skrajnych przypadkach instalują trojana bankowego, który wyświetla fałszywe okno logowania nakładki na aplikację banku. Pobieraj wyłącznie aplikację z konta dewelopera „InPost S.A.” i sprawdzaj liczbę pobrań – oryginalna aplikacja ma ponad 10 milionów pobrań.

Scenariusz 3: E-mail o nieopłaconej paczce

Wiadomość mailowa stylizowana na komunikat InPost informuje o „wstrzymaniu paczki z powodu braku opłaty celnej” lub „konieczności weryfikacji adresu”. Załącznik PDF lub link prowadzi do strony pobierającej malware (np. trojana zdalnego dostępu) albo do podrobionego panelu logowania. Ten scenariusz częściej dotyczy przesyłek z platform AliExpress, Temu, Shein – oszust gra na tym, że klient faktycznie spodziewa się przesyłki z zagranicy. Prawdziwy InPost nigdy nie pobiera opłat celnych przez e-mail.

Scenariusz 4: „Kod do paczkomatu” w sprzedaży na OLX/Vinted

Wariant powiązany z oszustwami na platformach handlowych. Kupujący prosi sprzedawcę o przesłanie kodu odbioru paczki na inny numer telefonu, rzekomo w celu odbioru przez znajomego. W rzeczywistości oszust przejmuje kod, odbiera paczkę z paczkomatu, a następnie blokuje kontakt. Częsty wariant: rzekomy kupujący wysyła link do „płatności InPost” – klikając w niego, sprzedawca podaje dane karty oszustowi zamiast otrzymać przelew. Powiązane warianty opisaliśmy w artykułach o oszustwach na Vinted oraz oszustwach na OLX.

Jak rozpoznać prawdziwy SMS od InPost

Odróżnienie prawdziwego komunikatu od oszukańczego nie wymaga zaawansowanej wiedzy technicznej, wystarczy kilka prostych zasad. Prawdziwe SMS-y od InPost mają kilka stałych cech, których oszuści zazwyczaj nie potrafią wiernie skopiować.

Nadawca: oficjalne SMS-y wysyłane są z alfanumerycznego ID „InPost” lub z numerów rozpoczynających się od krótkich kodów. Oszuści używają zwykłych numerów komórkowych albo zagranicznych prefiksów (+44, +33).
Treść: prawdziwe powiadomienie zawiera kod odbioru (6 cyfr) oraz numer paczkomatu – nie żąda kliknięcia w link „aby odebrać paczkę”.
Brak żądania dopłaty przez SMS: InPost nigdy nie żąda dopłaty za paczkę przez link w wiadomości. Wszystkie opłaty rozliczane są w aplikacji InPost Mobile lub na stronie inpost.pl.
Adres URL: prawdziwe linki prowadzą wyłącznie na domenę inpost.pl (z subdomenami: m.inpost.pl, twoja.inpost.pl). Każda inna domena – inpost-payment.com, inpost24.pl, paczka-doplata.pl – to próba phishingu.
Brak presji czasu: oryginalne komunikaty informują o czasie odbioru w paczkomacie (48 godzin) bez tonu nacisku ani gróźb.

W razie wątpliwości najprostszy test: otwórz aplikację InPost Mobile lub stronę inpost.pl i sprawdź status paczki po numerze. Jeśli w aplikacji nie ma żadnej informacji o dopłacie – SMS jest oszustwem.

Procedura po oszustwie – 5 kroków pierwszej godziny

Czas reakcji ma w tych sprawach kluczowe znaczenie. Im szybciej zablokujesz dostęp do rachunku i zgłosisz incydent, tym większa szansa, że bank odzyska część środków lub że uda się zatrzymać kolejne nieautoryzowane transakcje.

Zablokuj dostęp do bankowości natychmiast. Zadzwoń na infolinię banku (numer z tyłu karty) i poproś o zablokowanie aplikacji mobilnej, kart oraz tymczasowo wszystkich kanałów dostępu. Większość banków pozwala też zastrzec kartę przez aplikację lub stronę.
Złóż reklamację bankową na piśmie. Wyślij ją mailem lub przez bankowość internetową w ciągu 24 godzin od zauważenia transakcji. Zgodnie z art. 46 ustawy o usługach płatniczych bank ma obowiązek zwrócić nieautoryzowaną transakcję – jego odmowa jest standardową praktyką, ale nie ostatecznym werdyktem.
Zawiadom Policję lub Prokuraturę o przestępstwie z art. 286 KK. Możesz to zrobić w najbliższej jednostce, online przez portal „Zgłoś przestępstwo” albo przez ePUAP. Postanowienie o wszczęciu postępowania to ważny dowód w późniejszym sporze z bankiem.
Zamów raport BIK i włącz Alert BIK. Alert kosztuje około 24 zł rocznie i powiadomi Cię w czasie rzeczywistym o każdej próbie zaciągnięcia kredytu na Twoje dane. To kluczowe, bo cyberprzestępcy często łączą wyłudzenie środków z rachunku z wyłudzeniem pożyczki online.
Zastrzeż dokument tożsamości. Wejdź na bik.pl/zastrzezdokument lub do dowolnego oddziału bankowego i zastrzeż dowód oraz inne dokumenty, jeśli ich dane mogły wyciec (np. w skanach przesłanych w fałszywym formularzu).

Reklamacja w banku – terminy i podstawa prawna

Reklamacja bankowa to formalny pierwszy krok do odzyskania pieniędzy. Bez niej droga sądowa będzie utrudniona, a w niektórych przypadkach roszczenie wygaśnie. Podstawą prawną jest ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych – to ona nakłada na bank obowiązek niezwłocznego zwrotu nieautoryzowanej transakcji.

Termin na zgłoszenie: użytkownik powinien zgłosić nieautoryzowaną transakcję bez zbędnej zwłoki, nie później niż w ciągu 13 miesięcy od dnia obciążenia rachunku (art. 44 ust. 2 ustawy o usługach płatniczych).
Termin odpowiedzi banku: co do zasady 15 dni roboczych, w skomplikowanych sprawach maksymalnie 35 dni roboczych – z zachowaniem obowiązku poinformowania klienta o wydłużeniu (art. 6 ustawy o rozpatrywaniu reklamacji).
Skutek braku odpowiedzi w terminie: brak odpowiedzi w ustawowym terminie traktowany jest jak uznanie reklamacji.
Obowiązek zwrotu: bank ma niezwłocznie – nie później niż do końca następnego dnia roboczego po zgłoszeniu – przywrócić rachunek do stanu sprzed nieautoryzowanej transakcji (art. 46 ustawy o usługach płatniczych). Wyjątek: uzasadnione podejrzenie umyślności lub rażącego niedbalstwa klienta.

Gdy bank odmówi – co zdarza się w ponad 90% spraw – możesz złożyć skargę do Rzecznika Finansowego oraz pozew o zapłatę. Z naszej praktyki wynika, że dobrze przygotowany pozew, oparty o opinie biegłych z zakresu informatyki śledczej, kończy się dla klienta korzystnym wyrokiem.

Zawiadomienie Policji – art. 286 i 287 KK

Phishing podszywający się pod InPost wypełnia znamiona dwóch przestępstw: oszustwa zwykłego (art. 286 KK) oraz oszustwa komputerowego (art. 287 KK). Pierwszy paragraf dotyczy doprowadzenia do niekorzystnego rozporządzenia mieniem przez wprowadzenie w błąd, drugi – zmiany lub usunięcia danych informatycznych w celu osiągnięcia korzyści majątkowej. Oba typy zagrożone są karą pozbawienia wolności od 6 miesięcy do 8 lat, w typie podstawowym.

Zawiadomienie powinno zawierać: dokładny opis zdarzenia w porządku chronologicznym, treść SMS-a lub e-maila z numerem nadawcy, zrzuty ekranu strony, do której prowadził link, wyciągi bankowe pokazujące nieautoryzowane transakcje oraz numer reklamacji złożonej w banku. Im więcej dowodów, tym większa szansa na podjęcie czynności przez Policję – choć w praktyce ustalenie sprawcy zdarza się rzadko, bo serwery oszustów stoją zwykle za granicą.

Postanowienie o wszczęciu śledztwa lub umorzeniu z powodu niewykrycia sprawcy jest niezbędne w sporze z bankiem – dowodzi, że transakcja miała charakter przestępczy, co osłabia argument banku o „rażącym niedbalstwie” klienta. Szczegółowe zasady zwrotu opisaliśmy także w artykule o oszustwach BLIK oraz w analizie oszustw na Allegro Lokalnie.

Gdzie jeszcze zgłosić oszustwo na InPost

Poza Policją i bankiem warto zgłosić incydent kilku innym instytucjom – każda z nich pełni inną funkcję, a zbiorczo zwiększają szansę na zablokowanie kolejnych ataków oraz dochodzenie roszczeń.

CERT Polska (cert.pl/incydent) – krajowy zespół reagowania na incydenty bezpieczeństwa. Zgłoszenie fałszywej domeny lub numeru SMS skutkuje wpisem do Listy Ostrzeżeń CERT, którą blokują polscy operatorzy DNS i banki.
UKE i operator telekomunikacyjny – zgłoszenie SMS-a phishingowego pozwala zablokować numer i ostrzec innych abonentów.
InPost – dział bezpieczeństwa – oficjalny adres bezpieczenstwo@inpost.pl służy do zgłaszania nadużyć marki. InPost prowadzi też własne postępowania i publikuje ostrzeżenia o aktualnych kampaniach phishingowych.
UOKiK – skarga ma sens zwłaszcza wtedy, gdy bank odmawia zwrotu masowo. Decyzje UOKiK kształtują linię orzeczniczą i mogą skutkować karą dla banku.
Rzecznik Finansowy – bezpłatne wsparcie w sporze z bankiem, opiniowanie spraw i interwencje przedsądowe. Wniosek można złożyć online.

Jak odzyskać pieniądze po odmowie banku – droga sądowa

Statystyki są nieubłagane: zdecydowana większość banków pierwsza reklamację rozpatruje odmownie, powołując się na „rażące niedbalstwo” klienta (art. 46 ust. 3 ustawy o usługach płatniczych). To jednak nie koniec sprawy – decyzja banku nie jest wyrokiem, a dobrze poprowadzony spór sądowy często kończy się zwrotem środków z odsetkami.

Możliwe ścieżki procesowe:

Pozew o zapłatę przeciwko bankowi – powództwo o zwrot kwoty nieautoryzowanej transakcji wraz z odsetkami ustawowymi za opóźnienie. Opłata sądowa w sprawach konsumenckich nie przekracza 1000 zł, niezależnie od wartości sporu.
Pozew o stwierdzenie nieważności umowy pożyczki/kredytu – jeśli oszuści zaciągnęli zobowiązanie na Twoje dane. Powództwo opiera się na braku zgodnego oświadczenia woli (art. 60 i nast. KC).
Skarga do Rzecznika Finansowego – poprzedza lub uzupełnia drogę sądową, opinia Rzecznika ma walor dowodowy.
Skarga prywatnoskargowa lub powództwo cywilne adhezyjne – w sytuacji, gdy sprawca oszustwa został złapany.

Kluczowe znaczenie ma zebranie kompletu dowodów: pełna korespondencja z bankiem, wyciągi, postanowienie z Policji, opinia biegłego z zakresu informatyki śledczej (jeśli stać Cię na prywatną), zrzuty ekranu fałszywej strony oraz analiza techniczna SMS-a (nagłówki, ścieżka kierowania).

Profilaktyka – jak nie dać się oszukać następnym razem

Po pierwszym oszustwie ryzyko ponownej próby rośnie – dane ofiary trafiają do tzw. „sucker lists” sprzedawanych w darknecie. Warto zatem wprowadzić kilka stałych nawyków, które realnie redukują ryzyko ponownego ataku.

Nigdy nie klikaj linków w SMS-ach – status paczki sprawdzaj wyłącznie w aplikacji InPost Mobile lub na stronie inpost.pl.
Włącz powiadomienia push z banku o każdej transakcji – wczesne wykrycie nieautoryzowanego przelewu skraca czas reakcji.
Korzystaj z menedżera haseł i unikalnego hasła do każdej usługi (oszust po przejęciu jednego konta próbuje tych samych danych w innych serwisach).
Włącz dwuetapową autoryzację (2FA) wszędzie tam, gdzie to możliwe – najlepiej przez aplikację (Google Authenticator), nie przez SMS.
Ustaw dzienne limity transakcji w bankowości na poziomie odpowiadającym Twoim realnym potrzebom (np. 1000 zł), z możliwością czasowego podniesienia.
Regularnie aktualizuj system operacyjny telefonu i aplikacje – większość ataków wykorzystuje znane, niezałatane luki.

Kiedy skontaktować się z prawnikiem

Wsparcie prawnika jest niezbędne w trzech sytuacjach: gdy bank odmówił zwrotu pieniędzy mimo prawidłowo złożonej reklamacji, gdy oszuści zaciągnęli na Twoje dane kredyt lub pożyczkę online, oraz gdy łączna strata przekracza kilka tysięcy złotych. W tych sprawach drobne błędy formalne (np. niewłaściwe sformułowanie pozwu, pominięcie dowodu) potrafią zaważyć na wyniku procesu.

W Kancelarii EUROLEGE prowadzimy sprawy o zwrot środków od banków oraz o stwierdzenie nieważności wyłudzonych umów pożyczkowych przed sądami w całej Polsce. Działamy zdalnie – cała sprawa załatwiana jest mailem, telefonicznie i przez kuriera, bez konieczności wizyty w kancelarii. Wstępna analiza dokumentów jest bezpłatna i niezobowiązująca, a po niej otrzymasz konkretne rekomendacje dotyczące dalszych działań i szans procesowych.

Skontaktuj się z nami:

Zadzwoń: 530 333 130 (kliknij w numer)
Napisz: kontakt@eurolege.pl

Najczęściej zadawane pytania

Jak rozpoznać fałszywą wiadomość od InPost?

Prawdziwy InPost nigdy nie wysyła linków do stron logowania bankowego ani próśb o dopłatę przez BLIK. Sprawdzaj nadawcę (oficjalna domena to inpost.pl), unikaj klikania w linki z SMS, weryfikuj status paczki tylko przez aplikację InPost Mobile lub stronę inpost.pl. Każda „dopłata” w linku – to zawsze oszustwo.

Co zrobić, jeśli kliknąłem w fałszywy link InPost?

Jeśli nie podałeś żadnych danych – zmień natychmiast hasła do bankowości i e-maila, włącz weryfikację dwuetapową, przeskanuj urządzenie programem antywirusowym. Jeśli podałeś dane logowania – zastrzeż aplikację mobilną, kartę, zgłoś sprawę bankowi i policji. Im szybsza reakcja, tym mniejsze straty.

Bank odmówił zwrotu pieniędzy po oszustwie na InPost. Co dalej?

Złóż pozew o zapłatę przeciwko bankowi. Opłata sądowa w sprawach konsumenckich nie przekracza 1000 zł. Powołaj się na art. 46 ustawy o usługach płatniczych – bank ma obowiązek zwrotu nieautoryzowanej transakcji. Sądy często uwzględniają roszczenia, jeśli bank nie udowodni rażącego niedbalstwa po stronie klienta.

Czy InPost odpowiada za szkody wynikłe z oszustwa pod ich nazwą?

Nie bezpośrednio – InPost jest jedynie podmiotem, pod który podszywają się oszuści. Możesz jednak zgłosić sprawę firmie kurierskiej (nadużycie marki), aby wszczęła własne postępowanie i ostrzegła klientów. InPost prowadzi adres bezpieczenstwo@inpost.pl do zgłaszania prób oszustw – oficjalny kontakt znajdziesz na stronie inpost.pl.

Czy mogę odzyskać pieniądze, jeśli oszustwo było wynikiem mojej nieuwagi?

Tak, w wielu przypadkach. Sama nieostrożność nie wystarcza do odmowy zwrotu – bank musi udowodnić rażące niedbalstwo (umyślność lub zaniedbanie podstawowych zasad bezpieczeństwa). Jeśli oszust użył sfingowanej strony banku, presji czasu lub manipulacji – sądy często uwzględniają, że klient padł ofiarą wyrafinowanej manipulacji.

Co zrobić, gdy oszuści zaciągnęli pożyczkę na moje dane po oszustwie InPost?

Złóż pozew o stwierdzenie nieważności umowy pożyczki – kredytodawca musi udowodnić, że umowa została zawarta przez Ciebie. Sprawdź też wpisy w BIK i KRD oraz złóż zastrzeżenie dokumentu w bazie Dokumenty Zastrzeżone (BIK). Konieczne jest też zawiadomienie organów ścigania – wyłudzenie kredytu to przestępstwo z art. 286 KK.

Czy paczkomat InPost może być użyty w oszustwie?

Sam paczkomat nie – oszustwa polegają na podszywaniu się pod komunikację InPost (SMS, e-mail). Nigdy nie podawaj kodu odbioru osobom trzecim, nawet jeśli rzekomo płacą za paczkę i prosi o to „InPost”. Kod odbioru jest jak hasło – tylko Ty powinieneś go znać i wpisać samodzielnie w paczkomacie.

Czy mogę zgłosić oszustwo na InPost gdzieś poza policją?

Tak. Zgłoś sprawę pod adresem CERT Polska (cert.pl – rejestr fałszywych domen i SMS-ów), a także bankowi prowadzącemu Twój rachunek oraz operatorowi telefonii (powiadomi inne ofiary). Skarga do UOKiK pomaga w sprawach systemowych. Każde zgłoszenie zwiększa szanse na zablokowanie kolejnych ataków na inne osoby.

Ile czasu mam na zgłoszenie nieautoryzowanej transakcji w banku?

Zgodnie z art. 44 ustawy o usługach płatniczych – maksymalnie 13 miesięcy od dnia obciążenia rachunku. Praktycznie jednak liczy się każda godzina: im szybciej zgłosisz sprawę (najlepiej w ciągu 24 godzin), tym większa szansa na blokadę kolejnych transakcji i pełny zwrot. Po przekroczeniu terminu 13 miesięcy roszczenie wygasa.

4.8/5 – (50 votes)