Zastanawiam się czasem, ile osób dało się ostatnio nabrać na fałszywego SMS-a od ZUS-u… bo tych prób jest coraz więcej. Zakład Ubezpieczeń Społecznych alarmuje o tym w komunikatach z jesieni 2025 roku, które, no i akurat, dalej obowiązują w 2026. Schemat? W sumie zawsze ten sam: przychodzi SMS o rzekomym błędzie w rozliczeniu składki, w środku link do strony łudząco podobnej do tej oficjalnej, a tam już czeka formularz, który wyłudza PESEL i dane karty płatniczej.
Sam Zakład ostrzega na zus.pl, że on takich wiadomości po prostu nie rozsyła. „Wnioski, np. Z3, nigdy nie są przyjmowane drogą mailową” — przypomina ZUS, i dodaje, że dokumenty „należy przekazywać wyłącznie elektronicznie przez Platformę Usług Elektronicznych ZUS (PUE ZUS)”. Kontakt elektroniczny prowadzą raczej tylko z tymi klientami, którzy mają profil na PUE/eZUS i sami sobie taką formę wybrali.
A teraz popatrzmy, jak to leci krok po kroku. Najpierw ofiara dostaje SMS-a, który sugeruje, że trzeba reagować szybko, no i klika w link, i trafia na podrobiony serwis. Tam wpisuje po kolei: numer PESEL, imię i nazwisko, numer telefonu, adres e-mail, a na końcu… dane karty. I teraz najgorsze jest to, że każdy z tych kroków z osobna wygląda zupełnie niewinnie — dopóki to wszystko nie zsumuje się w komplet danych, który pozwala okraść konto.
Druga fala uderza przez telefon i tu wchodzi w grę spoofing. Na ekranie wyświetla się prawdziwy numer banku albo jakiejś instytucji, choć tak naprawdę dzwoni oszust. Związek Banków Polskich opisuje na zbp.pl taki typowy dwuetapowy scenariusz: najpierw telefonuje rzekomy pracownik firmy pożyczkowej z informacją, że ktoś wziął kredyt na cudze dane, a chwilę później dzwoni „pracownik Bezpieczeństwa Banku”, który przekonuje, że środki są zagrożone i trzeba je przelać na „rachunek techniczny”.
I tu akurat granica jest jasna jak słońce. „Bank nigdy nie prosi telefonicznie o kod SMS, BLIK ani hasło do bankowości” — podkreśla ZBP. Prawdziwy przedstawiciel banku nie zapyta cię o login i hasło do bankowości internetowej, o dane karty razem z kodem CVV ani o przychodzące kody BLIK i 3D Secure. Nie poprosi też, żebyś zainstalował jakąś aplikację, która daje zdalny dostęp do telefonu czy komputera.
Policja, która prowadzi własne ostrzeżenia, zalicza tę metodę do oszustw „na pracownika banku” i odnotowuje straty sięgające dziesiątek tysięcy złotych na jedną ofiarę. Oszuści grają tu na presji czasu — im szybciej rozmówca działa, tym mniejsza szansa, że odłoży słuchawkę, zadzwoni do banku i sprawdzi, co i jak.
Warto wiedzieć jedno: podszywanie się pod ZUS to nie jest sobie zwykłe wykroczenie, tylko przestępstwo. „Każda próba podszycia się pod ZUS to przestępstwo” — wskazuje Zakład. Wyłudzenie pieniędzy „jest zagrożone karą od sześciu miesięcy do ośmiu lat pozbawienia wolności”, a sprawy są ścigane z urzędu.
ZUS apeluje więc, żeby nie klikać w linki z SMS-ów i nie podawać danych wrażliwych niezabezpieczonymi kanałami. A jak masz wątpliwości co do wiadomości albo telefonu niby z Zakładu, to po prostu się rozłącz i sam zadzwoń do Centrum Kontaktu Klientów ZUS pod numer 22 560 16 00 — czynne od poniedziałku do piątku w godzinach 7:00-18:00.
Tak samo zresztą jest z bankiem. Jeśli ktoś dzwoni w sprawie podejrzanej transakcji, najlepiej zweryfikować to dokładnie w ten sam sposób — rozłączyć się i oddzwonić na numer z odwrotu karty płatniczej albo z oficjalnej strony banku, nigdy, ale to nigdy na numer, z którego przyszło połączenie.
Najczęstsze pytania
Czy ZUS wysyła SMS-y z linkami?
Nie. ZUS nie wysyła SMS-ów ani e-maili z linkami do logowania, płatności czy podawania danych. Wiadomość z linkiem o „błędzie w składce” to oszustwo – nie klikaj i nie podawaj PESEL ani danych karty.
Jak ZUS naprawdę kontaktuje się z klientem?
ZUS kontaktuje się głównie przez PUE/eZUS, listownie oraz telefonicznie przez COT pod numerem 22 560 16 00. Pracownik ZUS nigdy nie prosi o hasło, kod BLIK ani dane karty płatniczej.
Czy bank dzwoni i prosi o przelew na „bezpieczne konto”?
Nie. Żaden bank nie prosi o przelanie pieniędzy na „konto techniczne” ani o instalację aplikacji do zdalnego pulpitu. Taka prośba to oszustwo – rozłącz się i zadzwoń na infolinię z karty.
Co zrobić, gdy podałem dane karty oszustom?
Natychmiast zadzwoń na infolinię banku i zastrzeż kartę, zmień hasła i zgłoś sprawę na policję. Możesz też zastrzec PESEL w aplikacji mObywatel, by uniknąć wzięcia kredytu na Twoje dane.
Jak rozpoznać fałszywy SMS od ZUS lub banku?
Zwróć uwagę na link do podejrzanej strony, presję czasu, błędy językowe i prośbę o dane logowania lub kartę. Adres nadawcy można podszyć, więc samego numeru czy nazwy nie traktuj jako dowodu autentyczności.
Gdzie zgłosić oszustwo na pracownika ZUS?
Podejrzane SMS-y przekaż na numer 8080 (CERT Polska), a próbę wyłudzenia zgłoś na policję lub do prokuratury. Możesz też poinformować ZUS przez PUE/eZUS lub COT pod numerem 22 560 16 00.
