W sobotę ok. 500 klientów Santandera zostało okradzionych na łączną kwotę ponad w miliony złotych i to w sposób, który budzi wiele pytań. Przestępcy wypłacili pieniądze z rachunków ofiar poprzez transakcje w …bankomatach. Jest to o tyle dziwne, że w przypadkach niektórych klientów, takie transakcje nie miały prawa się udać, bo mieli “zablokowany pasek magnetyczny”. Ale zacznijmy od początku.
Wypłacali w wielu bankomatach w różnych miastach
W sobotę klienci Santandera widzą powiadomienia, że ich pieniądze są wypłacane w różnych bankomatach na terenie kraju. Niektórzy tracą kilkaset złotych. Inni kilkadziesiąt (!) tysięcy. Ofiary zgłaszają się na policję, a policja przy pomocy mediów publikuje apel, aby “zmienić limity na zero” lub tymczasowo blokować karty.
W wypowiedziach policjantów pada też hipoteza, że powodem kradzieży jest skimming. Wedle doniesień prasowych, tak samo dziennikarzom powtarzają nieprzywołani z nazwiska “bankowi eksperci”.
I tu pojawia się pierwsze pytanie:
Skoro gdzieś założono skimmer i sczytywano karty płatnicze, to dlaczego ofiarami są tylko klienci jednego banku?
Teoretycznie, mogło być tak, że skimmer był tylko na urządzeniach w oddziałach Santandera. Wtedy nie powinno nas dziwić, że zdecydowana większość ofiar to klienci tego banku.
Zielony skimmer imitujący anti-simmerową nakładkę.
Ale.
O ile skimmer może sklonować pasek magnetyczny i nagrać PIN (za pomocy kamerki lub nakładki na klawiaturę), to sklonowanych w ten sposób kart w bankomatach na terenie Polski nie powinno się udać. Bo bankomaty w Polsce od dawna wymagają trybu CHIP&PIN, czyli mówiąc prosto:
Pasek magnetyczny nie pozwala na zainicjowanie wypłaty środków w bankomatach w Polsce, polskimi kartami
A — jeśli wektorem ataku faktycznie był skimming — to wygląda na to, że tym razem pozwolił. I to kolejny tajemniczy aspekt tego incydentu… Czyżby złodzieje byli świadomi jakiejś luki w oprogramowaniu bankomatowym? Albo błędu logicznego, który pozwolił im dokonać wypłaty na podstawie samego paska i PIN-u.
Podsumowując:
- ✅ skimming kart klientów jest możliwy i żadna to filozofia
- ❌ wypłata zeskimmowaną kartą w kraju nie jest możliwa. A się udała.
Czyżby zatem któraś z sieci bankomatowych, dla BIN-ów należących do Santandera, z jakiegoś powodu nie wymagała użycia chipa lub komunikacji po NFC? Może powodem mogło być to, że ktoś zapomniał, aby rozróżniać klientów Santandera z Polski od klientów Santadera z innych krajów? A może problem był po stronie banku i obsługa “wirtualnej blokady paska magnetycznego na karcie” nie działała?
Przywołajmy tu relację jednej z ofiar weekendowych kradzieży, której karta miała mieć zablokowany pasek magnetyczny:
Ta karta była fizycznie używana w ciągu ostatnich kilku miesięcy tylko jeden raz (13.10.2025) i to we wpłatomacie w oddziale banku Santander w Bydgoszczy przy ul. Szubińskej.
To pytania, które na razie pozostają bez odpowiedzi. Miejmy nadzieję, że eksperci z Santandera już wszystko ustalili i lukę, jakakolwiek by ona nie była, załatali.
Aktualizacja (28.10.2025 15:21)
Wygląda na to, że nasza hipoteza o błędzie na linii sieć bankomatów a systemy banku była trafna. Właśnie opublikowana wypowiedź rzeczniczki Santandera dla TVN24 mówi, że “[bank] zidentyfikował i skutecznie usunął podatność występującą w procesie przesyłania danych z firmy Euronet do banku”. Warto tu podkreślić, że z tej wypowiedzi jednoznacznie nie wynika, po której stronie leży wina.
Używam kart płatniczych, co robić, jak żyć?
Od zawsze powtarzamy, żeby korzystać z kart tam gdzie się da, z jednego prostego powodu — tylko ta forma płatności daje Wam dodatkowe ubezpieczenie, tzw. ścieżkę chargeback, która w przypadku gdy otrzymacie wadliwy produkt lub usługa nie będzie taka, jaką Wam obiecywano, możecie transakcję kartą reklamować bezpośrednio u wystawcy karty płatniczej i odzyskać swoje pieniądze. Bez konieczności kopania się nieuczciwym sprzedawcą.
I tej rady nie zmieniamy. Korzystanie z kart ma korzyści. Natomiast aby ograniczyć ryzyko skimmingu, warto do wypłat z bankomatów (i wpłat we wpłatomatach) podejść …zbliżeniowo.
Nawet wprawne osoby mają problem z zauważeniem skimmera. Więc lepiej założyć najgorsze — że skimmer jest na urządzeniu z którego chcecie skorzytać. Dlatego:
- zbliżajcie kartę do bankomatu zamiast ją wkładać w bamkomatowe dziurki
- zbliżajcie smartfon (jeśli macie na nim skonfigurowane płatności NFC)
- wykonujcie wypłaty/wpłaty za pomocą kodu BLIK
Warto też oczywiście ustawić wszelkie powiadomienia na transakcje wychodzące w swoim banku. Wtedy jest szansa, że szybciej zauważycie, że ktoś Was okrada i być może nawet takiej kradzieży zapobieżecie. Zwłaszcza jeśli dodatkowo ustawicie też limity na transakcje kartowe.
To też dobry moment aby przypomnieć, że od 1 października codziennie publikujemy krótkie filmiki z poradami. Być może, gdyby klienci Santandera je widzieli przed weekendem, to nie straciliby swoich środków, bo rady które mogły temu zapobiec pojawiły się już dawno temu.
Klienci stracili czas i nerwy, ale nie pieniądze
Na koniec warto pochwalić reakcję Santandera. Jeszcze w niedzielę, kiedy sprawa wybuchła w mediach, bank zapowiedział że zwróci pieniądze ofiarom. I w poniedziałek zwrotu dokonał.
Wyjątkowo, klienci tym razem nie musieli nic zrobić (a przypomnijmy, że standardowa ścieżka to często nie tylko zgłoszenie przez infolinię, a wymóg złożenia zawiadomienia o kradzieży na policji, czyli mówiąc wprost, poniesienie kosztu “czasowego”).
Santander zareagował na ten incydent poprawnie. Ale nie wszyscy wiedzą co robić, kiedy robi się gorąco. I czasem wykonują ruchy, które wpędzają ich w jeszcze większe problemy.
Co należy robić, a czego nigdy nie należy robić kiedy wyciekają dane klientów?
Jak ich powiadomić, żeby nie pogorszyć sytuacji? Jak rozmawiać z dziennikarzami i jak nie potknąć się składając zgłoszenie do UODO?
O tym już w środę, 29 października będziemy opowiadać na niebezpiecznikowym LIVE pt. “Dane Twoich Klientów Wyciekły — Co Teraz?“. Zapisz się, płacąc ile chcesz, klikając na poniższy przycisk:
PS. Prześlijcie info o tym lajwie swoim koleżankom i kolegom z pracy, zwłaszcza tym, którzy pracują w działach PR, prawnym lub zarządzają zespołami IT, albo zasiadają w zarządach lub są właścicielami danego biznesu. Bo to oni najwięcej skorzystają na tej wiedzy. Dzięki!
