Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Case Study

Ataki na bankomaty Santander w Poznaniu

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Analiza odpowiedzialności, zwrotu środków i wyzwań bezpieczeństwa.

W październiku 2025 roku klienci banku Santander w Poznaniu doświadczyli serii ataków na bankomaty, co wywołało wiele emocji i kontrowersji w mediach społecznościowych. Wśród nich pojawiły się liczne oskarżenia wobec banku o niewystarczającą ochronę oraz przypisywanie mu odpowiedzialności za powstałe straty.

Zwroty środków dokonywane przez bank były często błędnie interpretowane jako przyznanie się do winy. W niniejszym artykule postaramy się dokładnie wyjaśnić tę sytuację, rozwiać wątpliwości i przedstawić kontekst prawny oraz operacyjny dotyczący odpowiedzialności banku i mechanizmów ochrony klientów.

Jesteś ciekawy podobnych treści? Zapisz się na newsletter, by dostawać w pierwszej kolejności artykuły i analizy dostępne przedpremierowo wyłącznie dla naszych subskrybentów.

Własność i odpowiedzialność – kto tak naprawdę stoi za bankomatem?

Bankomaty działające pod marką Santander w Polsce w dużej części należą do firm zewnętrznych, takich jak Euronet czy ITCARD/Planet Cash, które pełnią funkcję operatorów technicznych. Operatorzy ci są odpowiedzialni za dostarczenie, instalację, serwis oraz utrzymanie sprawności technicznej urządzeń, a także za wdrażanie zabezpieczeń sprzętowych i programistycznych, które mają przeciwdziałać atakom, takim jak skimming czy infekcje złośliwym oprogramowaniem.

Z drugiej strony, bank jako instytucja finansowa odpowiada za bezpieczeństwo fizyczne placówek, gdzie zlokalizowane są niektóre bankomaty, co obejmuje ochronę fizyczną (np. zabezpieczenia przed włamaniem, monitoring wizyjny), kontrolę dostępu oraz wdrażanie procedur bezpieczeństwa związanych z obsługą klientów i realizacją transakcji. Bank dba także o komfort i ochronę interesów klienta — to on jest podmiotem bezpośrednio kontaktującym się z klientem i gwarantującym zwrot środków oraz wsparcie w przypadku incydentów.

Taki dwupoziomowy system pozwala na rozdzielenie specjalistycznych zadań. Operator koncentruje się na aspekcie technologicznym i utrzymaniu infrastruktury, natomiast bank na aspektach organizacyjnych, operacyjnych i na kontaktach z klientami. Jednakże w sytuacjach kryzysowych potrzebna jest ścisła współpraca i koordynacja między obiema stronami, aby szybko reagować na zagrożenia i minimalizować skutki ataków.

Podział odpowiedzialności komplikuje jednoznaczne wskazanie strony odpowiedzialnej za incydent, ponieważ błędy lub luki bezpieczeństwa mogą wystąpić zarówno po stronie technicznej (błędy programistyczne, nieaktualizowane zabezpieczenia, niedostateczny monitoring urządzeń), jak i operacyjnej (niedostateczna ochrona placówki, błędy w procedurach). W praktyce to bank pozostaje stroną odpowiedzialną wobec klienta i pierwszym punktem kontaktu, niezależnie od tego, która ze stron ponosi winę za zaistniały incydent.

Dzięki takiemu modelowi klient ma jasno określony podmiot, do którego może zwrócić się o pomoc i zwrot środków, co znacząco upraszcza proces reklamacyjny i zwiększa poczucie bezpieczeństwa podczas korzystania z sieci bankomatów.

Zwrot środków finansowych to obowiązek prawny czy przyznanie się do błędu?

Zwrot środków finansowych po transakcjach, które nie były autoryzowane przez klienta to jedna z podstawowych zasad ochrony konsumenta w systemie bankowym, która wynika z przepisów prawa polskiego i unijnego.

Zgodnie z art. 46 ustawy o usługach płatniczych, bank jest zobowiązany do niezwłocznego zwrotu środków pieniężnych klientowi, jeśli transakcja została przeprowadzona bez jego zgody (np. w wyniku ataku na bankomat, kradzieży danych czy oszustwa). Ten obowiązek dotyczy także sytuacji, gdy klient zgłosił utratę karty lub zastrzegł ją, a mimo to środki zostały pobrane.

Ten mechanizm ma kilka istotnych celów i konsekwencji:

  • Chroni konsumenta od ciężaru finansowego, zapewniając mu natychmiastową rekompensatę strat bez konieczności prowadzenia skomplikowanych i czasochłonnych postępowań wyjaśniających, kto faktycznie zawinił.
  • Zapewnia stabilność i zaufanie do systemu finansowego, bez którego klienci mogliby unikać elektronicznych płatności lub korzystać z nich w ograniczonym zakresie. Pewność szybkiego zwrotu buduje zaufanie do usług płatniczych.
  • Redukuje ryzyko eskalacji sporów i potencjalnych procesów sądowych, które mogłyby ciągnąć się latami i negatywnie wpływać na reputację banku oraz całej branży finansowej.

Podkreślić należy, że zwrot środków w żadnym wypadku nie jest deklaracją winy ze strony banku. Bank, wypłacając klientowi pieniądze, realizuje ustawowy obowiązek ochrony konsumenta, a następnie samodzielnie podejmuje dalsze działania prawne i finansowe, żeby odzyskać poniesione koszty — np. wobec operatora bankomatów, firmy ubezpieczeniowej czy innego podmiotu, jeśli udowodni mu się odpowiedzialność za dany incydent.

Warto również wskazać, że dyrektywa PSD2 wprowadza dodatkowe wymogi, takie jak silne uwierzytelnianie klienta (SCA), które mają zapobiegać występowaniu nieautoryzowanych transakcji oraz wzmacniają mechanizmy kontroli i ograniczają ryzyka utraty środków.

Jesteś ciekawy podobnych treści? Zapisz się na newsletter, by dostawać w pierwszej kolejności artykuły i analizy dostępne przedpremierowo wyłącznie dla naszych subskrybentów.

Współpraca i rozliczenia między bankiem a operatorem

Zwrot środków klientowi po nieautoryzowanej transakcji to tylko pierwszy etap szerszego procesu finansowego, który angażuje zarówno bank, jak i operatora bankomatu. Choć z perspektywy klienta problem jest zamknięty już wraz z otrzymaniem zwrotu środków, za kulisami toczy się skomplikowany mechanizm rozliczeń i oceny odpowiedzialności.

Bank uruchamia procedury mające na celu odzyskanie poniesionych kosztów - przede wszystkim od operatora bankomatu, którego urządzenia zostały wykorzystane do przestępstwa. Bank i operator posiadają szczegółowe umowy, które precyzują podział odpowiedzialności wynikający z zakresu ich obowiązków. Umowy te definiują także system kar, mechanizmy rekompensat i poziomy usług (SLAs). Gdy dochodzi do incydentu, następuje wewnętrzne postępowanie wyjaśniające obejmujące audyty, analizę przyczyn i wskazanie stron odpowiedzialnych za ewentualne luki bezpieczeństwa. Dodatkowo, w celu ograniczenia ryzyka finansowego zarówno banki, jak i operatorzy korzystają z ubezpieczeń przeznaczonych dla sektora finansowego.

Taki model wzajemnych rozliczeń i ubezpieczeń jest konieczny, aby ograniczyć bezpośrednie obciążenia finansowe instytucji i finalnie klientów. Pozwala to również na lepszą dystrybucję ryzyka i zachęca obie strony do inwestowania w skuteczne zabezpieczenia, ponieważ ponoszą one realną odpowiedzialność finansową w przypadku incydentów.

Model ten wymaga ścisłej koordynacji działań, precyzyjnej komunikacji i zgodności procedur między bankami i operatorami. Brak tych elementów może prowadzić do opóźnień w wyjaśnianiu incydentów, trudności w ustaleniu odpowiedzialności oraz zwiększenia ryzyka utraty zaufania klientów. Dlatego też obowiązują wyraźne standardy branżowe i regularne audyty, które monitorują poziom realizacji tych umów i efektywność wdrożonych zabezpieczeń.

Podejście do zarządzania kryzysem oraz informowania klientów

Banki muszą prowadzić równoległe działania - z jednej strony techniczne, a z drugiej komunikacyjne, ukierunkowane przede wszystkim na informowanie klientów.

Dobrze zaprojektowana strategia komunikacji kryzysowej opiera się na kilku filarach:

 

  • Scenariusze kryzysowe. Bank musi posiadać szczegółowe procedury (w tym procedury komunikacji) i plany działania, które przewidują różne typy incydentów, czasy reakcji i osoby odpowiedzialne za poszczególne etapy zarządzania kryzysem. Przyjmuje się, że w planie komunikacji kryzysowej warto mieć procedury na okoliczność wystąpienia każdego zagrożenia, jakie udało nam się zidentyfikować podczas analizy ryzyka, bez względu na jego prawdopodobieństwo.
  • Współpraca działów komunikacji z SOC (Security Operation Centre). Instytucje finansowe tworzą wyspecjalizowane zespoły działające 24/7, które monitorują systemy w czasie rzeczywistym, wykrywają anomalie i koordynują odpowiedź na incydenty wraz z partnerami technicznymi i organami ścigania. SOC i zespół ds. komunikacji muszą ze sobą ściśle współpracować, aby nie narazić klientów na dezinformację, a banku na negatywne skutki reputacyjne lub ułatwienie zadania przestępcom.
  • Szybka i konsekwentna komunikacja. Informacje przekazywane klientom muszą być precyzyjne, zrozumiałe i dostarczane w odpowiednim czasie. Ważne jest, by bank jasno wyjaśniał sytuację, prawa klientów oraz kroki podjęte przez bank w celu zabezpieczenia ich środków i zapobiegania kolejnym atakom.
  • Edukacja klientów. Komunikacja nie może ograniczać się wyłącznie do sytuacji kryzysowych. Banki są zobowiązane na co dzień edukować klientów w zakresie cyberbezpieczeństwa i bezpieczeństwa usług płatniczych, rozpoznawania zagrożeń oraz sposobów ochrony swoich danych i środków. Warto tworzyć rzeczy proste ale przemawiające do wyobraźni. Nam spodobał się  artykuł dostępny pod adresem https://android.com.pl/tech/881749-bankomat-skimming-kamery-nakladki/, który przedstawia praktyczne wskazówki i informacje o metodach oszustw bankomatowych. Uważamy, że może on stać się inspiracją dla banków i operatorów bankomatów.

 

 

Dobre praktyki współpracy w zakresie bezpieczeństwa z operatorami bankomatów

Dobre praktyki współpracy w zakresie bezpieczeństwa z operatorami bankomatów obejmują zarówno aspekty fizyczne, jak i cyberbezpieczeństwa. Oto kilka kluczowych obszarów, bazując na ogólnie przyjętych zaleceniach i praktykach. Poniżej znajdziecie kilka podstawowych wskazówek.

 

Wymiana Informacji i Wspólne Procedury

  • Ustalenie kanałów komunikacji. Szybka i efektywna komunikacja w przypadku incydentów (podejrzane działania, ataki, awarie).
  • Wspólne procedury reagowania. Opracowanie i regularne testowanie wspólnych procedur na wypadek ataku (np. skimmingu, ataków fizycznych, logistycznych), w tym natychmiastowe blokowanie kart, wyłączanie bankomatów z sieci, powiadamianie organów ścigania.
  • Wymiana wiedzy o zagrożeniach. Regularne dzielenie się informacjami na temat nowych metod ataków (m.in. przez grupy przestępcze), podatności sprzętowych i programowych oraz ich zapobiegania.
  • Edukacja i szkolenia. Wspólne szkolenia dla personelu (banku, operatora bankomatu, firm konwojujących) w zakresie rozpoznawania i reagowania na zagrożenia.

Bezpieczeństwo Fizyczne

  • Lokalizacja i konstrukcja. Wspólna ocena ryzyka lokalizacji bankomatów (zwiększony nadzór nad bankomatami wolnostojącymi/zewnętrznymi). Instalacja w pomieszczeniach odpornych na włamania lub z dostępem od tyłu (TTW - through the wall).
  • Systemy prewencyjne. Wdrażanie systemów generowania mgły bezpieczeństwa, inteligentnych systemów neutralizacji gotówki (IBNS - Intelligent Banknote Neutralisation Systems) barwiących banknoty w przypadku ataku, oraz zaawansowanych alarmów.
  • Monitorowanie. Zapewnienie wysokiej jakości monitoringu wizyjnego (CCTV) obejmującego bankomat i jego otoczenie, z możliwością szybkiego dostępu do nagrań dla celów śledczych.
  • Wzmocnione zabezpieczenia. Stosowanie mechanizmów utrudniających skimming (np. antiskimmery) i zwiększanie fizycznego bezpieczeństwa obudów, zamków oraz sejfów bankomatów.

Bezpieczeństwo Logiczne (Cyberbezpieczeństwo)

  • Zarządzanie poprawkami i aktualizacjami. Regularne i terminowe stosowanie poprawek bezpieczeństwa oraz aktualizacji oprogramowania (zwłaszcza w przypadku systemów opartych na Windows) na całej flocie bankomatów.
  • Bezpieczeństwo sieci. Zapewnienie bezpiecznej, izolowanej sieci dla bankomatów, stosowanie zapór sieciowych (NGFW - Next-Generation Firewalls), szyfrowania danych (np. TR-31/TR-34, AES) oraz systemów kontroli dostępu do sieci (NAC - Network Access Control).
  • Ochrona przed złośliwym oprogramowaniem. Wdrażanie zaawansowanych rozwiązań antywirusowych i antymalware, a także kontrola integralności oprogramowania (wykrywanie nieautoryzowanych zmian).
  • Monitoring i audyty. Regularne audyty bezpieczeństwa, testy penetracyjne oraz ciągłe monitorowanie systemów (SIEM - Security Information and Event Management) pod kątem nietypowej aktywności, niezatwierdzonych zmian lub prób włamania.

Zarządzanie Kluczami i Standardy Płatnicze.

  • Zgodność z PCI DSS. Wdrożenie i utrzymanie zgodności ze Standardem Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS).
  • Bezpieczne zarządzanie kluczami kryptograficznymi. Przestrzeganie standardów dotyczących bezpiecznego generowania, dystrybucji, przechowywania i rotacji kluczy kryptograficznych (np. TR-31, TR-34).

Dziękujemy za przeczytanie! Jesteś ciekawy podobnych treści? Zapisz się na newsletter, by dostawać w pierwszej kolejności artykuły i analizy dostępne przedpremierowo wyłącznie dla naszych subskrybentów.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Mobilizacja pracowników a obowiązki firmy
Rosyjskie drony nad Polską: Poradnik - Co powinna zrobić firma po odebraniu ostrzeżenia?
Cła Trumpa i chaos
Miejsce na schron - nowe rozporządzenie
ENISA 2025: wyzwania i zalecenia dla UE

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

ENISA 2025: wyzwania i zalecenia dla UE

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport Threat Landscape 2025, przedstawiający przegląd ekosystemu cyberzagrożeń w Europie wokresie od lipca 2024 do czerwca 2025 roku.
Czytaj dalej
Raport

ENISA 2025: wyzwania i zalecenia dla UE

Cyberbezpieczeństwo
Geopolityka a biznes
Bezpieczeństwo łańcucha dostaw
ENISA, raport, cyberbezpieczeństwo, threats
Administracja publiczna
IT i technologia

Globalna awaria Azure Front Door

Analiza incydentu i wnioski dla sektora finansowego (i nie tylko)
Czytaj dalej
Case Study

Globalna awaria Azure Front Door

Cyberbezpieczeństwo
Zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw
Incydenty
awaria Microsoft Azure, awaria Azure Front Door, globalna awaria Microsoft, Azure Front Door outage, Microsoft Azure outage, awaria usług Microsoft, niedostępność usług Microsoft, Azure AD, Entra ID, App Service, Azure SQL Database, Azure Portal, Xbox, Minecraft, chmura Microsoft, awaria chmury, błąd konfiguracji Azure, konfiguracja tenant, software defect, wada oprogramowania, błąd ludzki Microsoft, human error Azure, efekt kaskadowy, przeciążenie węzłów Azure, awaria DNS, Azure DNS outage, rollback Azure, last known good configuration, LKGC, Site Reliability Engineering, SRE, defense in depth, automatyzacja wdrożeń, błąd walidacji konfiguracji, błędna konfiguracja, kontrola konfiguracji Azure, edge case Azure, control plane, data plane, failure in validation, awaria globalna, Microsoft incident report, Post Incident Report, PIR Microsoft, YKYN-BWZ, resilience Azure, cloud resilience, odporność operacyjna, operational resilience, DORA, Digital Operational Resilience Act, regulacje DORA, zgodność z DORA, compliance DORA, KNF, Komisja Nadzoru Finansowego, nadzór finansowy, ryzyko koncentracji, third party risk, ryzyko dostawcy chmury, cloud risk management, vendor lock-in, multicloud, multi-cloud, multi-region, geodywersyfikacja, architektura odporna, cloud architecture, disaster recovery, DRP, business continuity, BCP, cloud outage analysis, audyt chmurowy, cloud audit, SOC 2, cloud governance, SLA, RTO, RPO, czas odtworzenia Azure, Microsoft downtime, outage recovery, chaos engineering, testy negatywne, automatyczny rollback, Canary Deployment, phased deployment, failover Azure, critical third party provider, CCP, ESAs, EBA, EIOPA, ESMA, nadzór nad dostawcami chmury, resilience banking, odporność banków, ryzyko chmurowe w sektorze finansowym, ryzyko technologiczne, ciągłość działania, cloud compliance, architektura wielochmurowa, cloud diversification, multivendor strategy, strategia multicloud, optymalizacja kosztów chmury, cloud cost optimization, cloud latency, Azure performance, globalna infrastruktura Microsoft, awarie AWS, porównanie Azure AWS, cloud dependency, single point of failure, SPOF, cloud reliability, cloud security, błędy operacyjne Microsoft, analiza incydentu Azure, raport Microsoft Azure, zarządzanie ryzykiem ICT, cloud risk, infrastruktura krytyczna, cloud incident response, audyt poawaryjny, analiza PIR, Microsoft transparency report, cloud service disruption, krytyczne usługi ICT, chmura publiczna, odporność regulacyjna, zgodność z regulacjami UE, dyrektywa DORA, bezpieczeństwo chmury, cloud compliance EU, KNF DORA wytyczne, architektura bankowa, infrastruktura finansowa, cloud resilience strategy, zarządzanie ciągłością działania, ryzyko operacyjne, ryzyko ICT, cyberbezpieczeństwo sektora finansowego.
IT i technologia
Bankowość i rynki finansowe
Firmy w Polsce

Jak przygotowywać testy planów lub procedur awaryjnych

Incydent w Erding wyraźnie nas uczy: nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie.
Czytaj dalej
Case Study

Jak przygotowywać testy planów lub procedur awaryjnych

Komunikacja kryzysowa
Ochrona ludności
Zarządzanie kryzysowe
testy planów awaryjnych, testowanie procedur awaryjnych, zarządzanie ciągłością działania, plan reagowania kryzysowego, zarządzanie kryzysowe, analiza incydentu bezpieczeństwa, analiza incydentu Erding, incydent w Erding, Bundeswehra, ćwiczenia wojskowe Erding, strzelanina podczas ćwiczeń, błędy komunikacji między wojskiem a policją, zarządzanie ryzykiem operacyjnym, ćwiczenia międzyresortowe, komunikacja kryzysowa, błędy w komunikacji między służbami, unified command, testowanie odporności organizacji, analiza FMEA, zarządzanie incydentami, bezpieczeństwo infrastruktury krytycznej, planowanie testów bezpieczeństwa, kultura bezpieczeństwa, lessons learned, testowanie systemów łączności, dobre praktyki testowania procedur, kryzys w Bawarii, systemowe błędy bezpieczeństwa, koordynacja służb, komunikacja międzyresortowa, zarządzanie incydentami w czasie rzeczywistym
Administracja publiczna
Podmioty ważne i kluczowe

Analiza ryzyka lokalizacji

Dlaczego warto sprawdzić, kto mieszka obok? Napięcia geopolityczne zmieniają reguły gry, a firmy odkrywają, że ich adres może być źródłem nieprzewidzianych kłopotów.
Czytaj dalej
Artykuł

Analiza ryzyka lokalizacji

Ciągłość działania
Geopolityka a biznes
Zgodność
ryzyko geopolityczne w biznesie, analiza ryzyka lokalizacji firmy, bezpieczeństwo biznesu Polska, ryzyko niefinansowe, sankcje międzynarodowe wpływ na firmy, due diligence właściciela nieruchomości, weryfikacja powiązań kapitałowych, UBO weryfikacja, ryzyko reputacyjne firmy, audyt compliance nieruchomości, Know Your Supplier KYS nieruchomości, KYC dla właścicieli nieruchomości, zarządzanie ryzykiem w łańcuchu dostaw, ryzyko przerwania ciągłości dostaw, audyt sąsiedztwa firmy, ryzyko sankcyjne dla najemców, zamrożenie aktywów nieruchomość, powiązania biznesowe Rosja, ABW kontrola firmy
Firmy w Polsce
Podmioty ważne i kluczowe
Przejdź do wszystkich wpisów