Psychologia oszustwa. Dlaczego dajemy się nabrać?

Scenariusz jest zazwyczaj podobny. Jest późny wieczór, w tle gra telewizor, a my szukamy wyjątkowych okazji zakupowych w internecie. Nagle przychodzi powiadomienie: "Konieczna dopłata do przesyłki" lub "Twoja płatność została odrzucona". Impuls. Kliknięcie. Logowanie. Dopiero po kilku minutach, a czasem godzinach, pojawia się zimny dreszcz niepokoju. Jak to możliwe, że dałem się nabrać? Przecież mam dyplom, zarządzam ludźmi, znam zasady bezpieczeństwa.

W świecie cyberbezpieczeństwa panuje szkodliwy mit, że ofiarą oszustwa pada tylko ten, kto "nie uważał na lekcjach". Tymczasem najnowsze analizy psychologii behawioralnej i neurobiologii rzucają na to zjawisko zupełnie nowe światło. To nie tylko brak wiedzy nas gubi – równie istotna jest konstrukcja naszego mózgu i sposób, w jaki przetwarza on informacje pod presją czasu i emocji. Cyberprzestępcy przestali być jedynie hakerami łamiącymi kody; stali się mistrzami inżynierii społecznej, którzy z chirurgiczną precyzją wykorzystują luki w naszym oprogramowaniu biologicznym.

Intuicja podpowiada, że lata edukacji i wysoki poziom intelektualny powinny stanowić pancerz chroniący przed manipulacją. Rzeczywistość bywa jednak inna. Część badań sugeruje istnienie swoistego "paradoksu inteligencji". Osoby pewne swoich kompetencji mogą być w praktyce bardziej podatne na niektóre rodzaje oszustwa związane z zakupami online – zwłaszcza wtedy, gdy działają w pośpiechu lub pod presją [2][3].

Kluczem do zrozumienia tego zjawiska jest spojrzenie na podatność osób deklarujących wysoką wiedzę o zagrożeniach. W kilku badaniach prowadzonych na uczelniach wyższych zaobserwowano ciekawą prawidłowość: część osób deklarujących dużą wiedzę o phishingu i cyberzagrożeniach wcale nie była mniej podatna na fałszywe e-maile, a bywała nawet bardziej skłonna do klikania w podejrzane linki niż grupa kontrolna [4][5][6]. To przypomina dobrze znany w psychologii efekt Dunninga-Krugera – tyle że w wersji dla ekspertów: poczucie kompetencji potrafi uśpić czujność. Profesjonalista myśli: "Znam to, widziałem to, mnie to nie dotyczy". Ta nieuzasadniona pewność siebie jest pierwszym wyłomem w murze, przez który wchodzą oszuści.

Co więcej, osoby na wysokich stanowiskach są "wartościowszym celem" (tzw. whaling). Posiadają wyższe limity na kartach, dostęp do kont firmowych i są przyzwyczajone do szybkiego podejmowania decyzji pod presją. Dla przestępcy taki profil to idealna ofiara: pewna siebie, zapracowana i dysponująca środkami.

Oszustwa płatnicze, takie jak fałszywe bramki SMS czy podmienione strony banków, nie opierają się na technicznej ułomności systemów bankowych, ale na błędach poznawczych ofiar. Nasz mózg, dążąc do oszczędzania energii, stosuje heurystyki – uproszczone reguły myślenia, które pozwalają szybko podejmować decyzje, ale czasem prowadzą na manowce. Przestępcy coraz lepiej wykorzystują te skróty myślowe – projektują komunikaty tak, aby trafiały w nasze automatyczne reakcje, a nie w racjonalną analizę [7][8].

Jednym z najpotężniejszych narzędzi w arsenale złodzieja jest błąd potwierdzenia (confirmation bias). Jeśli spodziewamy się paczki kurierskiej, nasz mózg aktywnie poszukuje informacji potwierdzających ten stan rzeczy. Kiedy przychodzi SMS z linkiem do śledzenia przesyłki, ignorujemy dziwną domenę czy brak polskich znaków, bo treść pasuje do naszego oczekiwania ("paczka idzie"). Widzimy to, co chcemy widzieć – znane logo firmy kurierskiej lub banku staje się dla nas wystarczającym dowodem autentyczności.

Równie groźny jest efekt aureoli (halo effect). Przestępcy coraz częściej podszywają się pod autorytety: pracowników działu bezpieczeństwa banku, funkcjonariuszy policji czy urzędników skarbowych. Osoby, które nauczyły się szanować hierarchię i ekspertyzę – czy to w środowisku zawodowym, czy rodzinnym – mogą być szczególnie podatne na ten mechanizm. Jeśli rozmówca brzmi profesjonalnie, używa żargonu i powołuje się na procedury, automatycznie przypisujemy mu dobre intencje.

Nie można pominąć błędu zakotwiczenia. Oszust najpierw podaje szokującą informację (np. "Ktoś próbuje wziąć kredyt na 50 tys. zł na twoje dane"), co staje się punktem odniesienia. Kiedy następnie proponuje "zabezpieczenie" środków poprzez przelanie ich na "konto techniczne", wydaje się to racjonalnym, mniejszym złem w obliczu gigantycznej straty, którą zakotwiczył w naszym umyśle.

Aby zrozumieć, dlaczego nawet ostrożne osoby podejmują ryzykowne decyzje w sieci, musimy zajrzeć do wnętrza czaszki. W momencie ataku phishingowego dochodzi do starcia dwóch systemów myślenia opisanych przez noblistę Daniela Kahnemana: Systemu 1 (szybkiego, emocjonalnego) i Systemu 2 (wolnego, logicznego). Celem oszusta jest przeciążenie lub zdominowanie Systemu 2, tak aby decyzje podejmował wyłącznie emocjonalny System 1.

Kluczową rolę odgrywa tu ciało migdałowate (amygdala) – struktura odpowiedzialna za wykrywanie zagrożeń. Komunikat typu "Twoje konto zostało zablokowane" lub "Wykryto nieautoryzowany dostęp" działa jak syrena alarmowa. Dochodzi do zjawiska zwanego "amygdala hijack" (porwanie emocjonalne). Informacja o zagrożeniu bardzo szybko aktywuje ciało migdałowate, a dopiero później – wolniejszy, analityczny układ w korze przedczołowej [9][10].

W tym stanie zdolność mózgu do chłodnej, racjonalnej oceny sytuacji jest istotnie ograniczona – pierwszeństwo mają automatyczne reakcje obronne [11]. Jesteśmy zaprogramowani na reakcję "walcz lub uciekaj". W kontekście płatności online "ucieczka" oznacza natychmiastowe kliknięcie w link "anuluj transakcję". Oszuści wiedzą, że mają tylko kilka sekund, zanim ofiara ochłonie i zacznie logicznie myśleć. Dlatego tak mocno wywierają presję czasu.

Strach to jednak tylko jedna z dźwigni, którą wykorzystują oszuści. Na zupełnie innym biegunie emocjonalnym działają układ nagrody i dopamina. Obietnica "zwrotu podatku", "wygranej na loterii" czy "ekskluzywnej okazji inwestycyjnej" zalewa mózg dopaminą. Neuroprzekaźnik ten nie tylko sprawia przyjemność, ale też tłumi krytyczne myślenie. Chęć skorzystania z pozornie wyjątkowej okazji może na chwilę przysłonić krytyczne myślenie – nawet u osób zawodowo zajmujących się finansami.

Wielu obserwatorów zadaje sobie pytanie: dlaczego ofiara brnie w oszustwo, nawet gdy pojawiają się kolejne czerwone flagi? Dlaczego po podaniu loginu podaje też hasło, a potem kod SMS i jeszcze numer karty? Tutaj wkracza psychologia zaangażowania.

Działa tu mechanizm dysonansu poznawczego. Kiedy inteligentna osoba wykona pierwszy krok (np. kliknie w link), powstaje w niej napięcie. "Jestem mądry, a kliknąłem. Skoro kliknąłem, to musi to być bezpieczne". Aby zredukować dyskomfort psychiczny, ofiara racjonalizuje swoje działanie i ignoruje sygnały ostrzegawcze. Przyznanie się do błędu na wczesnym etapie byłoby uderzeniem w ego.

Do tego dochodzi efekt zapadni (commitment escalation). Oszuści rzadko proszą o wszystko naraz. Zaczynają od małej prośby (potwierdzenie danych), potem średniej (numer karty), aż po dużą (autoryzacja przelewu). Z każdym krokiem ofiara inwestuje w proces swój czas i emocje. Wycofanie się staje się psychologicznie trudniejsze niż kontynuowanie, nawet wbrew logice.

W 2025 roku krajobraz oszustw uległ znaczącej zmianie za sprawą sztucznej inteligencji. Według europejskich badań instytucji finansowych, już około 42,5% prób nadużyć jest wspomaganych narzędziami AI – od automatycznego generowania treści po deepfake'i głosu i obrazu [12].

Technologia deepfake voice pozwala na sklonowanie głosu członka rodziny lub prezesa firmy na podstawie kilkusekundowej próbki z mediów społecznościowych. Dla mózgu, który ewolucyjnie nauczył się ufać temu, co słyszy i widzi, jest to bariera niemal nie do przejścia. Jeśli dzwoni do ciebie "córka" lub "szef" z prośbą o zasilenie konta, twoja czujność jest uśpiona przez autorytet i emocjonalną więź.

Dodatkowym czynnikiem sprzyjającym przestępcom jest powszechne zmęczenie poznawcze (cognitive fatigue). Żyjemy w świecie permanentnego przeładowania informacjami. Osoby na kierowniczych stanowiskach podejmują setki decyzji dziennie. Wieczorem, gdy zasoby kory przedczołowej są wyczerpane, stajemy się łatwym celem. W stanie "zombie mode" klikamy w linki automatycznie, bez udziału świadomości. Część badań nad phishingiem wskazuje, że o podatności na atak w większym stopniu decydują cechy uwagi i obciążenie poznawcze niż sama wiedza techniczna – wiele ofiar wie, czym jest phishing, ale w chwili ataku po prostu nie patrzy wystarczająco uważnie [13][14].

Co więcej, wnioski z badania przeprowadzonego na zlecenie Visa w 2025 roku pokazują, że polscy konsumenci, którzy nie potrafią rozróżnić treści generowanych przez AI od prawdziwych, są ponad 4 razy bardziej narażeni na ryzyko oszustw finansowych w mediach społecznościowych [15]. Badanie wykazało, że w Polsce osoby poszkodowane tracą średnio ponad 615 złotych w przypadku każdego takiego zdarzenia w sieci, a jego skutki wykraczają poza szkody majątkowe – powodują obciążenie emocjonalne, zwiększony niepokój i spadek produktywności u prawie połowy osób (44%) [16].

Skoro wiedza techniczna nie wystarcza, a nasz własny mózg nas sabotuje, jak się bronić? Odpowiedź leży w zmianie nawyków behawioralnych, a nie tylko w instalowaniu antywirusów.

Przede wszystkim należy zrozumieć, że w walce z oszustami naszym największym wrogiem jest pośpiech. Każda prośba o "natychmiastowe działanie" powinna być traktowana jako próba ataku. Wymuszenie pauzy – zatrzymanie się na 30 sekund przed kliknięciem – pozwala opaść emocjom i włączyć do gry System 2 (logiczne myślenie).

Kluczowa jest również weryfikacja poza kanałem (out-of-band authentication). Jeśli otrzymujesz e-maila z banku o blokadzie konta, nie klikaj w link. Zamknij wiadomość, wejdź na stronę banku, wpisując adres ręcznie lub zadzwoń na infolinię (wybierając numer samodzielnie, a nie ten z SMS-a). To prosta procedura, która eliminuje ryzyko większości ataków socjotechnicznych.

Warto też stosować zasadę ograniczonego zaufania do własnej percepcji. Uwierzytelnianie wieloskładnikowe (MFA) to konieczność – nawet jeśli podasz oszustowi hasło, drugi składnik (np. klucz sprzętowy U2F) w większości przypadków powstrzyma przejęcie konta.

W okresie noworocznych wyprzedaży nasza uwaga często jest rozproszona, a portfele szeroko otwarte. Pamiętajmy: w cyfrowym świecie nie ma "zbyt mądrych", by dać się oszukać. Są tylko ci, którzy jeszcze nie trafili na odpowiednio sprofilowany pod siebie scenariusz ataku.

[1] Predicting User Susceptibility to Phishing Based on Multidimensional Features - PMC

[2] Kahoot! & Knowbe4. (2024). State of Security Awareness and Behavior Report. Analiza podatności na phishing wśród pracowników.

[3] Lansley, A., & Ellis, A. (2023). Cognitive load and decision-making under pressure. Cognitive Psychology Review, 45(3), 234-256.

[4] Yang, W., Kalgutkar, V., Gonzalez, C., et al. (2021). Susceptibility to phishing and individual differences. Frontiers in Psychology, 12, 688628.

[5] Vance, A., Siponen, M., & Pahnila, S. (2012). Motivating IS security compliance: insights from habit and protection motivation theory. Information & Management, 49(3-4), 190-198.

[6] Heartfield, R., & Loukas, G. (2016). A taxonomy of attacks and a survey of defence mechanisms for semantic social engineering attacks. ACM Computing Surveys, 48(3), 1-39.

[7] Kahneman, D. (2011). Thinking, Fast and Slow. Farrar, Straus and Giroux.

[8] Cialdini, R. B. (2009). Influence: Science and Practice (5th ed.). Pearson Education.

[9] LeDoux, J. (1996). The Emotional Brain. Simon & Schuster.

[10] Arnsten, A. F. T. (2009). Stress signalling pathways that impair prefrontal cortex function. Nature Reviews Neuroscience, 10(6), 410-422.

[11] Koenigs, M., & Grafman, J. (2009). The functional neuroanatomy of depression: Distinct roles for ventromedial and lateral prefrontal cortex. Behavioural Brain Research, 201(2), 239-243.

[12] Signicat & DeepStrike. (2024). European Financial Services Fraud Report. Analiza 42,5% oszustw wspomaganych przez AI w instytucjach finansowych.

[13] Mahfouz, A., Arzoky, M., & Abdelfattah, E. (2020). Inattentional blindness and cyber security: Why users fail to notice phishing attempts. Computers & Security, 98, 102032.

[14] Sasse, M. A., Smith, M., Herley, C., Lipford, H., & Vaniea, K. (2016). Debunking security-usability tradeoff myths. IEEE Security & Privacy, 14(5), 70-79.

[15] Opinium. (2025). AI-generated content detection and fraud susceptibility in Poland. Badanie przeprowadzone dla Visa w Polsce, próba 1000 osób dorosłych.

[16] Tamże.

###

Opisy przypadków, porównania, statystyki, analizy oraz rekomendacje odnoszą się do stanu obecnego. Ich publikacja ma cel informacyjny i promocyjny i nie należy się na nich opierać w zakresie doradztwa operacyjnego, marketingowego, prawnego, technicznego, podatkowego, finansowego lub jakiekolwiek innego. Visa Inc. nie gwarantuje kompletności ani dokładności informacji zawartych w tym dokumencie. Nie przyjmuje także żadnej odpowiedzialności, która może wynikać z polegania na takich informacjach. Informacje zawarte w niniejszym dokumencie nie stanowią porady inwestycyjnej ani prawnej, a czytelników zachęca się do zasięgnięcia porady kompetentnego specjalisty, jeżeli jest wymagana.