Anna Mucha i Małgorzata Rozenek-Majdan ofiarami oszustów. Wykorzystano 380 znanych twarzy

Sztuczna inteligencja przestała być w rękach oszustów ciekawostką. Stała się narzędziem pracy — tanim, szybkim i przerażająco skutecznym. Najnowsze dane pokazują skalę zjawiska, której jeszcze dwa, trzy lata temu nikt w Polsce nie brał na poważnie. A jednocześnie obnażają coś, co eksperci od cyberbezpieczeństwa powtarzają od dawna: technologia nie jest tu największym problemem. Problemem jest człowiek po drugiej stronie ekranu.

13,2 tysiąca reklam z deepfake'ami i 380 wykorzystanych wizerunków

Skala manipulacji w polskim internecie jest dziś trudna do ogarnięcia. NASK — Państwowy Instytut Badawczy odpowiedzialny m.in. za reagowanie na incydenty w sieci — zidentyfikował już 13,2 tysiąca reklam zawierających zmanipulowane treści audiowizualne. Do ich stworzenia wykorzystano 380 wizerunków rozpoznawalnych osób: dziennikarzy, ekspertów, ludzi mediów.

Mechanizm jest zawsze podobny. Twarz znanej osoby plus wygenerowany przez AI głos to gotowy materiał reklamowy, który ma uwiarygodnić oszustwo — najczęściej fałszywą „okazję inwestycyjną" albo rzekomy program, dzięki któremu można szybko się wzbogacić. Ofiarami takich kampanii padły m.in. Anna Mucha i Małgorzata Rozenek-Majdan, których wizerunek wykorzystano bez ich wiedzy i zgody. Coraz częściej na celowniku przestępców znajduje się też wizerunek lekarzy, wykorzystywany do uwiarygodniania sprzedaży cudownych specyfików.

To nie jest wyłącznie problem osób publicznych, których dobre imię ktoś bezceremonialnie zaprzęga do przekrętu. To problem każdego, kto taką reklamę zobaczy i jej uwierzy. A że uwierzy — pokazują liczby.

Dwie trzecie z nas nie pozna fałszywego głosu

Badanie naukowe opublikowane na platformie arXiv wskazuje, że 66 proc. osób nie potrafi rozpoznać fałszywego materiału audio wygenerowanego przez sztuczną inteligencję. Innymi słowy: jeśli oszust podłoży pod nagranie wygenerowany głos znanego analityka czy prezenterki, dwie trzecie odbiorców nie zauważy, że słucha syntezy.

Jeszcze gorzej wygląda sama wiedza o zjawisku. Z raportu ESET „Cyberportret polskiego biznesu" wynika, że 58 proc. pracowników w ogóle nie wie, czym są treści typu deepfake. Trudno bronić się przed zagrożeniem, którego się nie nazywa — a o oszustwach opartych na podszywaniu się pod znane osoby i marki bezprawnik.pl pisał już niejednokrotnie, bo schemat ten wraca regularnie w coraz nowszych odsłonach.

Phishing to 97 proc. incydentów. Reszta zabezpieczeń niewiele zmienia

Choć deepfake robi największe wrażenie, statystyki bezlitośnie przypominają, gdzie naprawdę leży główne pole minowe. Według raportu rocznego CERT Polska, działającego w strukturach NASK, phishing — czyli wyłudzanie danych przez podszywanie się pod instytucje, banki czy urzędy — odpowiada już za 97 proc. obsłużonych incydentów. To setki tysięcy prób rocznie.

Skala rośnie lawinowo. Rządowe sprawozdanie o stanie cyberbezpieczeństwa Polski za 2025 rok mówi o wzroście liczby cyberzagrożeń o 144 proc. rok do roku. Fałszywe SMS-y rzekomo z banku, wiadomości o nieopłaconej paczce, podszywanie się pod ZUS czy dostawców energii — to codzienność polskiej skrzynki odbiorczej. Specjaliści ostrzegali przed SMS-ami „z mBanku" wielokrotnie, ale problem nie znika, bo metoda wciąż działa.

Emocje i presja czasu — wspólny mianownik oszustw

Wspólny mianownik tych oszustw jest jeden: emocje i presja czasu. Komunikat zawsze brzmi podobnie — „konto zostanie zablokowane", „przesyłka wróci do nadawcy", „natychmiast potwierdź dane". Pośpiech wyłącza krytyczne myślenie, a o to właśnie przestępcom chodzi.

Najsłabszym ogniwem nadal jest człowiek

Tę diagnozę potwierdza branża. Jak stwierdził Bartłomiej Bałdyga, ekspert ds. cyberbezpieczeństwa i dyrektor IT w ClickMeeting, w komentarzu dla mediów:

„Coraz lepiej zabezpieczamy systemy IT, ale nadal najsłabszym ogniwem pozostaje człowiek. Wiele incydentów nie wynika dziś z przełamania zaawansowanych zabezpieczeń, ale z błędów użytkowników, niskiej świadomości zagrożeń czy braku umiejętności rozpoznawania prób manipulacji".

Bałdyga zwraca też uwagę na to, że wielu poszkodowanych nie ma świadomości swojej sytuacji:

„Największym problemem może być nie sam cyberatak, ale fakt, że wiele osób nawet nie zdaje sobie sprawy, że już padło jego ofiarą".

Dane to potwierdzają — z analizy ClickMeeting wynika, że co piąty badany wie, że padł ofiarą cyberataku lub oszustwa, a co czwarty zna kogoś z takim doświadczeniem. Połowa ankietowanych przyznaje przy tym, że nie dba o podstawowe bezpieczeństwo w sieci. Badanie przeprowadziła agencja Quantify na reprezentatywnej próbie tysiąca dorosłych Polaków.

Co na to prawo? Deepfake w polskim Kodeksie karnym

Z punktu widzenia konsumenta najważniejsze pytanie brzmi: czy w razie oszustwa można liczyć na ochronę prawną. Odpowiedź jest niejednoznaczna. Polskie prawo nie ma odrębnego przepisu o „deepfake'ach" — sięga się więc po istniejące regulacje.

Wykorzystanie cudzego wizerunku bez zgody narusza dobra osobiste chronione przez Kodeks cywilny oraz przepisy ustawy o prawie autorskim i prawach pokrewnych. W grę wchodzi też Kodeks karny: podszycie się pod inną osobę może wypełniać znamiona kradzieży tożsamości z art. 190a § 2 k.k., a samo wyłudzenie pieniędzy — przestępstwa oszustwa z art. 286 k.k. Problem w tym, że żaden z tych przepisów nie był pisany z myślą o treściach generowanych przez AI, a ściganie sprawców, często działających z zagranicy, bywa w praktyce iluzoryczne. To samo dotyczy konsekwencji dla ofiar finansowych oszustw — kwestia, czy ciężar dowodu spoczywa na kliencie, czy na banku, który zaufał wadliwej technologii, wciąż czeka na rozstrzygnięcie. Tymczasem dla samego poszkodowanego najistotniejsze pozostaje to, czy i jak da się odzyskać kradzież pieniędzy przez internet — a głośnych spraw, w których deepfake oszukał bank na 25 mln dolarów, w Polsce na razie brakuje tylko z pozoru.

NIS2, system S46 i inicjatywa „Sprawdzam to"

Odpowiedzią na rosnące zagrożenie ma być nowe prawo. Od 7 maja, poprzez Wykaz Krajowego Systemu Cyberbezpieczeństwa (system S46), firmy wdrażają wymogi unijnej dyrektywy NIS2 — mają one wymusić systemowe podejście do zarządzania ryzykiem i zwiększyć odporność organizacji na incydenty. Obowiązki te są szerokie i obejmują znacznie więcej podmiotów niż wcześniej; o tym, że nawet niewielka mleczarnia musi dziś wdrożyć system cyberbezpieczeństwa, bezprawnik.pl pisał już wcześniej.

Równolegle ruszają działania edukacyjne. Polskie media w porozumieniu z rządem stworzyły inicjatywę „Sprawdzam to", której celem jest wzmacnianie odporności społecznej na dezinformację i budowanie bezpieczniejszej przestrzeni informacyjnej.

Jak nie dać się oszukać. Kilka zasad, które wciąż działają

Regulacje to jedno, ale w pojedynkę najlepszą tarczą pozostaje zdrowy odruch nieufności. Bałdyga przypomina o podstawach:

„Przestępcy najczęściej wykorzystują emocje i presję czasu (...). Dlatego pamiętajmy o podstawach — weryfikacji źródła wiadomości, nie podawania danych pod wpływem pośpiechu i ograniczonym zaufaniu — dziś każda informacja, głos czy obraz mogą być fałszywe".

W praktyce oznacza to kilka prostych nawyków. Żaden bank nie prosi o dane logowania SMS-em ani mailem. Link z wiadomości lepiej zignorować i samodzielnie wpisać adres instytucji w przeglądarce. Reklamę inwestycyjną z twarzą celebryty warto traktować jako sygnał ostrzegawczy, a nie zachętę — zwłaszcza że PKO ostrzega przed oszustami w social mediach, którzy fałszywe „okazje" reklamują dziś głównie na Facebooku i w innych serwisach społecznościowych. A jeśli coś budzi wątpliwości — najtańszą i najskuteczniejszą metodą jest odłożenie sprawy na kilkanaście minut, bo presja czasu to narzędzie oszusta, nie partnera.

Technologia generowania fałszywych treści będzie się rozwijać szybciej, niż nadążą za nią przepisy i odruchy użytkowników. To nie powód do paniki — ale dobry powód, by traktować każdą niespodziewaną wiadomość, nagranie i „okazję" z założeniem, że mogą być spreparowane.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj