BLIK BNPL dla milionów — uwaga na oszustwa (10/2025)
Ostatnie 60 dni całkowicie przetasowało rynek aplikacji bankowych w Polsce. To, co było nowinką, stało się standardem. Miliony klientów VeloBanku i Santander Bank Polska zyskały w swoich aplikacjach dostęp do darmowego odraczania płatności dzięki „BLIK Płacę Później”. Ta rewolucja w wygodzie natychmiast wywołała jednak potężną reakcję cyberprzestępców. Ostatnie tygodnie to prawdziwa plaga inteligentnych oszustw „na BLIKA”, przed którymi oficjalnie ostrzega KNF i CERT Polska. Równolegle banki zaczęły na poważnie implementować asystentów AI, którzy mają realnie pomagać w zarządzaniu budżetem, a nie tylko rysować nudne wykresy.
Co nowego w Aplikacjach Bankowych?
Analizując ostatnie dwa miesiące (od połowy sierpnia do połowy października 2025), na rynku bankowości mobilnej dominują trzy potężne trendy.
1. BLIK Płacę Później staje się standardem
To największa zmiana funkcjonalna tego roku. We wrześniu usługę „BLIK Płacę Później” (BNPL, czyli „Kup Teraz, Zapłać Później”) uruchomił VeloBank, a na początku października dołączył do niego gigant – Santander Bank Polska. Tym samym dołączyły one do mBanku, ING i Millennium. Dla milionów Polaków oznacza to, że mogą robić zakupy w internecie i odraczać płatność o 30 dni jednym kliknięciem w aplikacji bankowej, z której i tak korzystają na co dzień. Co kluczowe, przy spłacie w terminie 30 dni RRSO wynosi 0%. Banki w ten sposób skutecznie przejmują rynek od wyspecjalizowanych fintechów typu Klarna czy PayPo, oferując usługę w zaufanym przez klienta środowisku.
2. Plaga oszustw „na aktywację BLIKA”
Cyberprzestępcy zareagowali błyskawicznie. CERT Polska we współpracy z KNF wydał na początku października pilne ostrzeżenie przed nową, masową kampanią smishingową (phishing SMS). Oszuści, wiedząc o medialnym szumie wokół BNPL, wysyłają SMS-y podszywające się pod banki lub operatora BLIK. Treść jest łudząco wiarygodna, np.: „Twój bank aktywował usługę BLIK Płacę Później. Ze względów bezpieczeństwa musisz potwierdzić swój limit 2000 zł, klikając w link…”. Link prowadzi do fałszywej strony logowania. Celem jest kradzież danych dostępowych i, w kolejnym kroku, autoryzacja kradzieży środków z konta.
3. Asystenci AI stają się proaktywni
Banki przestały się chwalić prostą kategoryzacją wydatków. Nowa generacja asystentów AI, którą mocno rozwijają mBank, Santander („Asystent Finansowy”) czy ING, zaczyna działać proaktywnie. Aplikacja nie tylko pokazuje po fakcie, że wydaliśmy za dużo na „jedzenie na mieście”. Analizuje nasze regularne wpływy i nawyki, a następnie potrafi ostrzec („W połowie miesiąca wydałeś już 80% budżetu na paliwo”) lub zaproponować konkretne działania („Masz 3 subskrypcje VOD, z których jednej nie używałeś od 60 dni. Czy chcesz ją anulować i oszczędzić 40 zł miesięcznie?”). To początek prawdziwego, zautomatyzowanego doradztwa finansowego w kieszeni.
Kluczowe funkcje i parametry (Tabela 1)
| Parametr / Funkcja | Wartość / Opis | Źródło | Data |
| BLIK Płacę Później (BNPL) | Dostępny już w 5 wiodących bankach (Santander i Velo jako nowości). | Analiza rynkowa / PSP | 20.10.2025 |
| Dominujące zagrożenie | Smishing (Phishing SMS) „na aktywację BLIK BNPL” oraz ataki Overlay (nakładka). | CERT Polska / KNF | 10.2025 |
| Płatności zbliżeniowe | Standard (Google Pay / Apple Pay / BLIK Zbliżeniowy). | Taryfy Opłat i Prowizji | 10.2025 |
| Przelewy natychmiastowe (Koszt) | Zróżnicowany: 0 zł (np. VeloBank, Santander) do 5-6 zł (np. mBank, ING). | Analiza rynkowa | 10.2025 |
| Wymóg bezpieczeństwa (Prawo UE) | SCA (Silne Uwierzytelnienie) przy logowaniu (co 90 dni) i każdej transakcji. | Dyrektywa PSD2 / NBP | Obowiązuje |
Wpływ na użytkownika: Wygoda dla świadomych, pułapka na zabieganych
Nowe funkcje w aplikacjach bankowych pogłębiają podział na dwie grupy użytkowników. Zyskują ci, którzy poświęcają chwilę na zrozumienie technologii, a tracą ci, którzy klikają „na autopilocie”.
Kto zyskuje? Świadomy cyfrowo użytkownik.
To osoba, która traktuje aplikację jako narzędzie do kontroli.
Przykład: Pani Ewa, klientka VeloBanku, we wrześniu otrzymała powiadomienie wewnątrz aplikacji o nowej usłudze BLIK Płacę Później. Przeczytała regulamin i aktywowała ją bezpiecznie w ustawieniach. Tydzień później dostała SMS-a z linkiem „do potwierdzenia limitu”. Natychmiast go skasowała, rozpoznając próbę oszustwa. Pani Ewa aktywnie korzysta też z asystenta finansowego – ustawiła sobie miesięczny cel oszczędnościowy 300 zł, a aplikacja sama pilnuje, by po każdej płatności kartą odkładać „końcówkę” na ten cel.
Kto traci? Użytkownik „zautomatyzowany” i roztargniony.
To osoba, dla której powiadomienia i SMS-y to „szum”, który trzeba szybko „odklikać”.
Przykład: Pan Jacek, klient Santandera, był w trakcie spotkania, gdy dostał SMS-a o „konieczności aktywacji limitu BNPL”. Chcąc mieć to z głowy, kliknął w link. Strona wyglądała idealnie jak strona banku. Podał login i hasło. Następnie strona poprosiła o kod SMS, „by potwierdzić limit 3000 zł”. Pan Jacek wpisał kod. W rzeczywistości nie potwierdził limitu, lecz autoryzował przelew zdefiniowany przez oszusta na 2000 zł. Stracił pieniądze, a bank (zgodnie z prawem) uznał transakcję za autoryzowaną, ponieważ Pan Jacek sam podał wszystkie dane.
Cytaty z wiarygodnych źródeł
Ostatnie 60 dni to przede wszystkim komentarze dotyczące ekspansji BNPL i natychmiastowej reakcji sektora bezpieczeństwa.
Wdrożenie BLIK Płacę Później przez VeloBank i Santander Bank Polska to kamień milowy. Potwierdza to naszą strategię, by usługi BNPL były dostępne tam, gdzie klient czuje się najbezpieczniej – w jego własnej aplikacji bankowej. To naturalna ewolucja płatności, dająca użytkownikom elastyczność w zarządzaniu budżetem, przy zachowaniu pełnej transparentności kosztów, czyli zera złotych przy spłacie w 30 dni.
<cite>Monika Król, Wiceprezes Polskiego Standardu Płatności (operatora BLIK) (PAP Biznes, 08.10.2025)</cite>
Obserwujemy w ostatnich tygodniach gwałtowny wzrost kampanii smishingowych (phishing SMS) wycelowanych w klientów banków wdrażających usługi płatności odroczonych. Schemat ataku jest klasyczny: przestępcy, grając na emocjach (np. „Twój limit wygaśnie”, „Aktywuj darmowe środki”), nakłaniają do kliknięcia w link prowadzący do fałszywej strony bankowości. Apelujemy o bezwzględne nieklikanie w linki otrzymywane w wiadomościach SMS i e-mail. Banki nigdy nie proszą o dane logowania w ten sposób.
<cite>Oficjalne ostrzeżenie, Zespół Reagowania CERT Polska (10.10.2025)</cite>
Porównanie wiodących aplikacji (Tabela 2)
| Bank | Aplikacja | BLIK Płacę Później (BNPL) | Asystent Finansowy AI | Płatności Zbliżeniowe | Koszt przelewu natychm. |
| Santander BP | Santander mobile | Tak (Nowość!) | Tak (Zaawansowany, „Asystent Finansowy”) | Google Pay, Apple Pay | 0 zł |
| VeloBank | VeloBank | Tak (Nowość!) | Tak (Podstawowy, kategoryzacja wydatków) | Google Pay, Apple Pay, BLIK Zbliżeniowy | 0 zł |
| mBank | mBank PL | Tak (Pionier) | Tak (Proaktywny AI) | Google Pay, Apple Pay, BLIK Zbliżeniowy | 5 zł (0 zł w pakietach) |
| ING Bank Śląski | Moje ING | Tak | Tak (Zaawansowany, „Cele Oszczędnościowe”) | Google Pay, Apple Pay, BLIK Zbliżeniowy | 5 zł |
| Pekao S.A. | PeoPay | Nie (w planach) | Tak (Zaawansowany, integracja z kartą) | Google Pay, Apple Pay, BLIK Zbliżeniowy | 5 zł |
| Bank Millennium | Aplikacja Mobilna | Tak | Tak (Dobry „Menedżer Finansów”) | Google Pay, Apple Pay, BLIK Zbliżeniowy | 5 zł |
Praktyczne wskazówki / Checklista mądrego użytkownika
Korzystanie z nowoczesnej bankowości mobilnej wymaga higieny cyfrowej. Oto 7 kluczowych zasad:
- Zasada #1: Zero zaufania do linków. Banki nigdy nie wysyłają linków do logowania, aktywacji usług ani aktualizacji aplikacji w SMS-ach czy e-mailach. Aplikacja aktualizuje się tylko przez oficjalny sklep (Google Play, App Store). Każdy link z zewnątrz to oszustwo.
- Aktywuj funkcje w aplikacji, nie przez SMS. Chcesz skorzystać z BLIK Płacę Później? Świetnie. Zaloguj się samodzielnie do swojej aplikacji, znajdź zakładkę „Oferty” lub „BLIK” i tam bezpiecznie aktywuj usługę, czytając regulamin.
- Czytaj, co autoryzujesz. Powiadomienia PUSH (autoryzacja mobilna) to dziś podstawa SCA. Nie klikaj „Zatwierdź” na ślepo, bo się spieszysz. Zawsze przeczytaj, czy zatwierdzasz logowanie, przelew na 2000 zł do nieznajomego, czy aktywację usługi.
- Zarządzaj limitami transakcyjnymi. Wejdź w ustawienia bezpieczeństwa aplikacji. Ustaw dzienne limity na przelewy, płatności BLIK i kartą na poziomie, którego realnie potrzebujesz. Jeśli na co dzień nie przelewasz więcej niż 2000 zł, nie ustawiaj limitu na 50 000 zł. To ograniczy straty w razie ataku.
- Płać zbliżeniowo telefonem (Google/Apple Pay). To bezpieczniejsze niż noszenie fizycznej karty. Płatność telefonem wykorzystuje „tokenizację” – terminal płatniczy i sprzedawca nigdy nie widzą Twojego prawdziwego 16-cyfrowego numeru karty, a jedynie jednorazowy, zaszyfrowany token.
- Używaj Asystenta AI dla realnych korzyści. Poświęć 15 minut na przejrzenie, jak aplikacja kategoryzuje Twoje wydatki. Ustaw proaktywne alerty, np. „Ostrzeż mnie, gdy wydatki na 'Jedzenie na mieście’ przekroczą 400 zł w miesiącu”.
- Sprawdź koszty przelewów natychmiastowych. Wiele aplikacji (Santander, VeloBank) oferuje je za darmo, co jest ogromną wygodą. Inne (mBank, ING) pobierają za nie opłatę (np. 5 zł), traktując je jako usługę premium.
Ryzyka i bezpieczeństwo: BLIK, Overlay i brak Chargeback
Wygoda ma swoją cenę, a jest nią konieczność stałej edukacji w zakresie bezpieczeństwa.
1. Phishing SMS (Smishing) „na BLIKA”
To obecnie zagrożenie nr 1. Oszuści perfekcyjnie wykorzystują social engineering. Wiedzą, że banki właśnie wprowadzają nową usługę (BLIK Płacę Później), więc wysyłają SMS-y, które wyglądają na oficjalną informację. Wykorzystują pośpiech i chęć „potwierdzenia limitu”.
Jak działa atak?
- Otrzymujesz SMS: „BLIK: Twój bank aktywował BLIK Płacę Później. Potwierdź limit 2000 zł na [fałszywy-link]”.
- Klikasz w link, strona wygląda jak Twój bank.
- Podajesz login i hasło (trafiają do oszusta).
- Oszust w tym czasie loguje się na Twoje konto i zleca przelew BLIK lub płatność.
- Fałszywa strona wyświetla Ci komunikat: „Potwierdź aktywację kodem SMS”.
- Ty dostajesz prawdziwy kod SMS z banku, ale nie czytasz go dokładnie (a jest tam napisane „Autoryzacja przelewu 1000 zł”), wpisujesz go na fałszywej stronie.
- Właśnie autoryzowałeś kradzież.
2. Ataki Nakładkowe (Overlay)
To zagrożenie starsze, ale wciąż aktywne, głównie na telefonach z systemem Android. Działa inaczej niż phishing. Tutaj musisz najpierw zainstalować złośliwą aplikację (np. fałszywą latarkę, grę, „przyspieszacz telefonu” pobrany spoza sklepu Google Play). Taka aplikacja prosi o niebezpieczne uprawnienia (np. „wyświetlanie nad innymi aplikacjami”). Kiedy uruchamiasz prawdziwą aplikację bankową, złośliwe oprogramowanie wykrywa to i w ułamku sekundy „nakłada” na nią swój fałszywy ekran logowania, który wygląda identycznie. Wpisujesz PIN na fałszywym ekranie, a dane te są natychmiast wysyłane do przestępcy.
3. SCA (Silne Uwierzytelnienie Klienta)
To Twoja główna linia obrony, wymuszona przez unijną dyrektywę PSD2. SCA wymaga co najmniej dwóch form weryfikacji przy logowaniu i przelewach (np. coś co wiesz: hasło; coś co masz: telefon z aplikacją). Dlatego autoryzacja mobilna (powiadomienie PUSH) jest lepsza niż kody SMS. W powiadomieniu PUSH widzisz pełen kontekst operacji (np. „Przelew 1000 zł do Jan Kowalski”), podczas gdy kod SMS jest tylko ciągiem cyfr, który łatwiej wyłudzić.
4. Ryzyko BLIK: Brak procedury Chargeback
To fundamentalna różnica, o której mało kto pamięta. Jeśli zapłacisz za coś kartą (Visa/Mastercard) i zostaniesz oszukany (np. sklep nie wyśle towaru), możesz skorzystać z procedury chargeback i bank (wystawca karty) pomoże Ci odzyskać pieniądze.
Jeśli zapłacisz BLIKIEM, nie ma procedury chargeback. Płatność BLIK jest traktowana jak nieodwracalny przelew natychmiastowy. Dlatego oszuści (np. na Vinted czy OLX) zawsze proszą o kod BLIK, a nigdy o dane karty.
Prognoza / Scenariusze (Tabela 3)
| Trend | Scenariusz (Najbliższe 6-12 mies.) | Wpływ na użytkownika |
| Hiperpersonalizacja (AI) | Asystenci AI staną się proaktywni. Zamiast informować („wydałeś 200 zł”), zaczną działać („Czy przenieść 200 zł na cel oszczędnościowy?”). | Większa automatyzacja zarządzania finansami. |
| Aplikacja jako Platforma (Open Finance) | Aplikacja bankowa (dzięki nadchodzącym regulacjom FiDA/PSD3) zacznie zaciągać dane z innych banków, ubezpieczycieli, a nawet z Twoich inwestycji. | Pełen obraz finansów i spraw urzędowych w jednym miejscu. |
| Bezpieczeństwo Biometryczne | Wdrażanie biometrii behawioralnej (analiza tego, jak trzymasz telefon, jak szybko piszesz na klawiaturze) jako dodatkowego, pasywnego czynnika MFA. | Wygodniej i jeszcze bezpieczniej (trudniej ukraść twarz niż PIN). |
FAQ (Najczęstsze pytania)
- Co to jest BLIK Płacę Później i ile kosztuje?To usługa „Kup teraz, zapłać później” (BNPL) zintegrowana z aplikacją bankową. Pozwala opłacić zakupy i oddać pieniądze bankowi w ciągu 30 dni. Jeśli spłacisz w terminie 30 dni, usługa jest całkowicie darmowa (RRSO 0%). Jeśli się spóźnisz, bank naliczy odsetki ustawowe.
- Dostałem SMS o aktywacji BLIK Płacę Później. Co robić?Zignorować i skasować. To na 100% próba oszustwa (phishing). Bank nigdy nie wysyła linków aktywacyjnych w SMS-ie. Jeśli chcesz aktywować usługę, zrób to samodzielnie, logując się do swojej aplikacji bankowej.
- Czym się różni atak „overlay” od „phishingu”?Phishing to „polowanie” – oszust wysyła link do fałszywej strony, byś sam podał mu dane. Overlay to „pułapka” – złośliwa aplikacja, którą już masz w telefonie, „nakłada” fałszywy ekran na prawdziwą aplikację bankową i kradnie wpisywany PIN.
- Czy mogę dostać zwrot pieniędzy (chargeback) za płatność BLIK?Nie. Procedura chargeback dotyczy wyłącznie transakcji kartowych (Visa i Mastercard). Płatności BLIK są traktowane jak przelewy natychmiastowe – są ostateczne i nieodwracalne.
- Czy Google Pay / Apple Pay są bezpieczne?Tak. Są uznawane za bezpieczniejsze niż używanie fizycznej karty. Wykorzystują „tokenizację” – numer Twojej karty nigdy nie jest udostępniany sprzedawcy.
Źródła
- Santander Bank Polska udostępnia BLIK Płacę Później (Santander Bank Polska, 09.10.2025)
- VeloBank uruchamia BLIK Płacę Później dla swoich klientów (VeloBank, 12.09.2025)
- Ostrzeżenie CERT Polska przed nową kampanią smishingową (BLIK BNPL) (CERT Polska, 10.10.2025)
- Komunikat KNF dotyczący bezpieczeństwa usług płatniczych w kontekście BLIK (Komisja Nadzoru Finansowego, 11.10.2025)
- Polski Standard Płatności (PSP): BLIK Płacę Później staje się standardem rynkowym (PAP Biznes / PSP, 08.10.2025)
Dlaczego możesz nam zaufać?
Jako dziennikarz finansowy przygotowujący tę analizę, opieram się wyłącznie na twardych, pierwotnych źródłach informacji. Podstawą artykułu są oficjalne komunikaty banków (Santander, VeloBank), alerty bezpieczeństwa Zespołu Reagowania CERT Polska i Komisji Nadzoru Finansowego (KNF) oraz komunikaty operatora BLIK (Polski Standard Płatności). Wszystkie dane i warunki ofert zostały zweryfikowane na dzień publikacji.
Disclaimer: Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny. Nie stanowi porady finansowej, rekomendacji ani oferty w rozumieniu przepisów prawa. Nowe funkcje, takie jak BLIK Płacę Później, są formą kredytu konsumenckiego – korzystaj z nich odpowiedzialnie i spłacaj zadłużenie w terminie, aby uniknąć odsetek. Zawsze weryfikuj źródła wiadomości SMS i e-mail przed kliknięciem w jakikolwiek link.
Ostatnia aktualizacja: 20.10.2025
Od 2025 roku prowadzę internetowy magazyn „Szkoła Bankowości”. Na co dzień analizuję konta i karty, porównuję opłaty, czytam regulaminy i wyłapuję haczyki, żeby ułatwić wybór najlepszych rozwiązań. Jako absolwent Politechniki Lubelskiej stawiam na dane, transparentność i praktyczne wskazówki.
