29 czerwca 2026

Oszustwo „na nadpłatę składki” – jak rozpoznać fałszywy zwrot

W czerwcu 2026 roku Rzecznik Finansowy ostrzegł przed nową falą oszustw „na nadpłatę składki”. Oszuści podszywają się pod towarzystwa ubezpieczeniowe i obiecują zwrot pieniędzy. W rzeczywistości chcą wyłudzić dane Twojej karty płatniczej. Pokazujemy, jak rozpoznać taką wiadomość i co zrobić, gdy ją dostaniesz.

Osoba przy laptopie sprawdza podejrzaną wiadomość o nadpłacie składki, symbol tarczy ostrzega przed oszustwem

W czerwcu 2026 roku Rzecznik Finansowy ostrzegł przed nową falą oszustw „na nadpłatę składki”. Oszuści podszywają się pod towarzystwa ubezpieczeniowe i obiecują zwrot pieniędzy. W rzeczywistości chcą wyłudzić dane Twojej karty płatniczej. Pokazujemy, jak rozpoznać taką wiadomość i co zrobić, gdy ją dostaniesz.

Na czym polega oszustwo „na nadpłatę składki”

Schemat jest prosty i przez to groźny. Dostajesz e-mail, który wygląda jak wiadomość od Twojego ubezpieczyciela.

W treści pojawia się miła informacja. Rzekomo zapłaciłeś składkę dwa razy albo masz nadpłatę do zwrotu. Żeby odebrać pieniądze, masz kliknąć w link i podać dane.

Link prowadzi na stronę przygotowaną przez oszustów. Często jest skrócony, więc nie widać prawdziwego adresu. Strona wygląda jak witryna prawdziwej firmy. Ma jej nazwę, kolory i logo.

Na tej stronie czeka formularz. Prosi o pełne dane karty płatniczej: numer, datę ważności i kod CVV/CVC. Czasem także o PIN. To wszystko, czego oszust potrzebuje, żeby obciążyć Twoje konto.

Ważne informacje

Zwrot nadpłaty składki bywa całkowicie realny. Ubezpieczyciel oddaje pieniądze na przykład po rekalkulacji lub wcześniejszym zakończeniu umowy. Właśnie dlatego ta metoda jest skuteczna. Brzmi wiarygodnie. Prawdziwy zwrot nigdy jednak nie wymaga podania danych karty przez link w mailu.

Pod kogo podszywają się oszuści

W przykładzie opisanym przez Rzecznika Finansowego przestępcy podszyli się pod Ergo Hestia. Osoba, która dostała wiadomość, faktycznie była klientem tego towarzystwa.

To pokazuje, że atak bywa celny. Oszuści trafiają do realnych klientów danej firmy. Dzięki temu wiadomość wygląda jeszcze bardziej wiarygodnie.

Pod fałszywą wiadomość może podszyć się każda marka. Nie ma znaczenia, w którym towarzystwie masz polisę. Zasady ostrożności są zawsze takie same.

Jak rozpoznać fałszywą wiadomość o zwrocie składki

Jest kilka sygnałów, które powinny zapalić czerwoną lampkę. Sprawdź je za każdym razem, zanim cokolwiek klikniesz.

  • Adres nadawcy. Sprawdź, czy e-mail przyszedł z oficjalnej domeny firmy. W opisanym oszustwie adres był podejrzany i niezwiązany z ubezpieczycielem.
  • Presja i pośpiech. Wiadomość naciska, żeby kliknąć szybko i podać dane od razu.
  • Prośba o dane karty. Każda prośba o numer karty, kod CVV/CVC lub PIN to znak ostrzegawczy.
  • Skrócony lub dziwny link. Jeśli nie widać prawdziwego adresu strony, nie klikaj.

Porada eksperta

Jest jeden element, którego oszust nie podrobi. To adres strony w pasku przeglądarki. Jak ujął to Rzecznik Finansowy, domena jest „jedynym elementem, którego przestępcy nie są w stanie skopiować”. Zanim wpiszesz cokolwiek, spójrz na adres na górze ekranu.

Czego ubezpieczyciel nigdy od Ciebie nie wymaga

Zapamiętaj jedną żelazną zasadę. Pomoże Ci odsiać większość oszustw.

Żaden zakład ubezpieczeń nie poprosi Cię o pełne dane logowania do bankowości. Nie poprosi też o PIN do karty ani o kod CVV/CVC. Dotyczy to zarówno e-maili, jak i rozmów telefonicznych.

Jeśli ktoś prosi Cię o takie dane, to nie jest Twój ubezpieczyciel. To próba oszustwa. Przerwij kontakt.

Co zrobić, gdy dostaniesz taką wiadomość

Reaguj spokojnie i według prostych kroków.

  1. Nie klikaj w link i nie otwieraj załączników z podejrzanej wiadomości.
  2. Nie podawaj żadnych danych, zwłaszcza danych karty i haseł.
  3. Zweryfikuj sprawę u źródła. Skontaktuj się z ubezpieczycielem przez znany wcześniej numer lub oficjalną stronę. Nigdy przez dane z podejrzanego maila.
  4. Zgłoś próbę oszustwa. Możesz to zrobić w kilku miejscach.

Podejrzane wiadomości warto zgłaszać do CERT Polska przez stronę incydent.cert.pl. Możesz też użyć usługi „Bezpiecznie w sieci” w aplikacji mObywatel. Podejrzane SMS-y przekażesz, wysyłając je na numer 8080.

Przykład

Pani Anna dostała e-mail o nadpłacie składki za ubezpieczenie domu. Zamiast kliknąć w link, zadzwoniła do swojego opiekuna w agencji. W minutę usłyszała, że żadnego zwrotu nie ma, a wiadomość to oszustwo. Nie straciła ani złotówki.

Uważaj też na podobne oszustwa

Metoda „na zwrot” wraca w wielu odsłonach. Warto znać te pokrewne.

Oszuści wysyłają też fałszywe SMS-y rzekomo od ZUS. Piszą o „błędzie w rozliczeniu składki zdrowotnej” i proszą o PESEL oraz dane karty. To inna sprawa niż składka za ubezpieczenie, ale mechanizm jest ten sam.

Podobne wiadomości krążą wokół zwrotu podatku i skarbówki. Każda z nich gra na tym samym. Obiecuje pieniądze i prosi o dane. Schemat zawsze jest identyczny, więc i obrona jest taka sama.

Na podobne ataki narażone są też firmy. Część przedsiębiorców sięga po cyberubezpieczenie, które pomaga ograniczyć skutki wyłudzeń i wycieku danych.

Najważniejsze: zweryfikuj, zanim klikniesz

Oszustwo „na nadpłatę składki” działa, bo brzmi wiarygodnie. Najlepszą obroną jest spokój i jeden prosty nawyk: zweryfikuj, zanim klikniesz. W Carelius masz osobistego opiekuna, więc każdą podejrzaną wiadomość możesz po prostu sprawdzić jednym telefonem. Masz wątpliwość, czy mail o zwrocie składki jest prawdziwy? Skontaktuj się z nami albo zadzwoń pod 887 668 668. Sprawdzimy spokojnie i bez pośpiechu. W trosce o Twoje dobro.

Najczęściej zadawane pytania

Zwrot nadpłaty bywa prawdziwy. Ubezpieczyciel oddaje pieniądze na przykład po wcześniejszym zakończeniu umowy lub rekalkulacji składki. Prawdziwy zwrot nigdy jednak nie wymaga podania danych karty przez link w e-mailu. Jeśli wiadomość prosi o dane karty, traktuj ją jak oszustwo.

Najczęstsze sygnały to podejrzany adres nadawcy, presja czasu i prośba o dane karty lub PIN. Najpewniejszy test to adres strony w pasku przeglądarki. Domeny oszust nie podrobi. Jeśli adres wygląda inaczej niż oficjalna strona firmy, nie podawaj danych.

Działaj od razu. Zadzwoń do swojego banku i zastrzeż kartę. Zgłoś sprawę do CERT Polska przez incydent.cert.pl i rozważ zgłoszenie na policję. Im szybciej zareagujesz, tym większa szansa, że zablokujesz nieautoryzowane transakcje.

Podejrzaną wiadomość zgłosisz do CERT Polska na stronie incydent.cert.pl. Możesz też skorzystać z usługi „Bezpiecznie w sieci” w aplikacji mObywatel. Podejrzane SMS-y przekażesz na numer 8080.

Nie. Nigdy nie prosimy o numer karty, kod CVV/CVC ani PIN przez e-mail czy SMS. Jeśli dostaniesz taką wiadomość rzekomo od nas, nie odpowiadaj na nią. Zadzwoń do swojego opiekuna i zweryfikuj sprawę.

Masz więcej pytań?
Skontaktuj się z agentem.

Mariusz Chlebowski