Płatności bezgotówkowe stanowią dziś 69% wszystkich transakcji w Polsce (Fundacja Polska Bezgotówkowa, 2024). Każda z nich przechodzi przez Twój terminal, a terminal to cel. Nie jedyny i nie najczęściej atakowany punkt, ale realny: od fizycznej manipulacji sprzętem (tzw. skimming) po chargeback fraud, czyli kwestionowanie przez klienta prawidłowej transakcji.
Dobra wiadomość jest taka, że nowoczesna technologia EMV, czyli standard kart chipowych obowiązujący w Polsce od lat, oraz płatności zbliżeniowe z tokenizacją (zamianą numeru karty na zaszyfrowany token) znacząco ograniczyły fałszerstwa kart przy kasie. Według danych NBP za pierwszą połowę 2025 roku 97,8% transakcji kartami to płatności zbliżeniowe — a każda z nich korzysta z tokenizacji po stronie sieci kartowej. To działa.
To nie znaczy, że nie ma ryzyka. Znaczy, że wiesz, gdzie ono leży, i możesz je systematycznie ograniczać. Ten poradnik przeprowadzi Cię przez sześć kroków — od rozpoznania typów fraudu po reakcję na incydent — bez żargonu, który nie pomaga.
Krok 1. Zrozum, na co jesteś narażony
Zanim wdrożysz procedury, musisz wiedzieć, co chcesz zablokować. Typy fraudu, które dotyczą sprzedawców detalicznych i gastronomii, można podzielić na pięć grup.
1. Card-present — karta fizycznie przy terminalu. Ktoś płaci skradzioną lub zgubioną kartą. Ryzyko jest tu niskie, jeśli terminal wymaga PIN-u przy transakcjach powyżej obowiązującego limitu zbliżeniowego bez PIN (sprawdź aktualny limit u swojego operatora). Problem pojawia się przy małych kwotach zbliżeniowych — złodziej kupuje kilka razy tanio, zanim właściciel karty zorientuje się i ją zablokuje.
2. Skimming — manipulacja fizyczna terminalem. Nakładka na czytnik karty lub kamera nad klawiaturą PIN zbiera dane klientów. To starszy, rzadszy typ ataku przy EMV, ale nadal zdarza się przy terminalach obsługujących pasy magnetyczne lub kiedy terminal stoi bez nadzoru. Szczegóły w Kroku 3.
3. Card-not-present — transakcje online. Twój terminal kasy nie dotyczy, ale jeśli prowadzisz e-commerce obok lokalu stacjonarnego, to właśnie tu koncentruje się większość fraudu kartowego. Dane karty skradzione gdzie indziej są używane w Twoim sklepie online.
4. Chargeback fraud, zwany też friendly fraud. Klient, który faktycznie dokonał zakupu, kwestionuje transakcję w swoim banku. Bank zwraca klientowi środki (takie odwrócenie transakcji to właśnie chargeback, czyli obciążenie zwrotne) i obciąża Ciebie. Bez dobrej dokumentacji przegrasz nawet prawidłową transakcję.
5. Social engineering wobec personelu. Ktoś dzwoni jako „technik terminala" i prosi o podanie hasła serwisowego lub zdalny dostęp do urządzenia. Albo klient dystrahuje kasjera i sam przybliża telefon do terminala, inicjując transakcję na kwotę, której kasjer nie widział. Te ataki nie wymagają technologii — wymagają szkolenia.
Krok 2. Podstawy PCI DSS — co musisz wiedzieć jako mały sprzedawca
PCI DSS to skrót od Payment Card Industry Data Security Standard, czyli Standardu Bezpieczeństwa Danych Branży Kart Płatniczych. Ustanowiły go wspólnie organizacje kartowe: Visa, Mastercard, American Express, Discover i JCB. PCI DSS określa, jak chronić dane posiadaczy kart — numery kart, daty ważności, kody CVV.
Kogo dotyczy? Każdego, kto przyjmuje, przetwarza lub przechowuje dane kart — a więc również Ciebie, nawet jeśli masz jeden terminal w małej kawiarni.
Jak to wygląda w praktyce dla małego sprzedawcy? W zdecydowanej większości przypadków nie musisz przechodzić pełnego audytu bezpieczeństwa IT. Zamiast tego Twój operator (agent rozliczeniowy, acquirer) wymaga od Ciebie wypełnienia uproszczonego kwestionariusza samooceny SAQ (Self-Assessment Questionnaire). SAQ to lista pytań: czy logujesz dane kart, kto ma dostęp do terminala, jak działa sieć Wi-Fi, na której stoi kasa. Operator zazwyczaj pomaga przejść przez ten formularz i wskazuje, co poprawić.
Jedna zasada ponad wszystkie inne: nie przechowuj pełnych danych kart. Nie zapisuj numer karty klienta w notatce, Excelu, aplikacji rezerwacyjnej czy papierowej kartotece. Nowoczesny terminal sam szyfruje dane i wysyła je do operatora — Ty nigdy nie masz dostępu do surowego numeru karty. Zapisanie go ręcznie jest nie tylko niezgodne z PCI DSS, ale też bezpośrednio naraża Cię na odpowiedzialność w razie wycieku.
Ważna zasada przy porównywaniu operatorów: certyfikowane terminale od licencjonowanych operatorów, takich jak eService, PolCard from Fiserv, Crédit Agricole/Elavon, PayTel, SumUp czy Viva.com, są z założenia zgodne z PCI DSS po stronie sprzętu i oprogramowania. Nie kupuj terminala od niesprawdzonego dostawcy bez certyfikatu PCI PTS (Payment Terminal Security) — oszczędność kilkuset złotych nie jest warta ryzyka.
Prowizja od transakcji kartą — w branży nazywana MDR (Merchant Discount Rate) — obejmuje pośrednio koszty utrzymania infrastruktury bezpieczeństwa przez operatora. To jeden z powodów, dla których bezpieczniejsze jest korzystanie z certyfikowanego terminala w abonamencie niż szukanie najtańszej opcji bez zaplecza.
Krok 3. Zabezpiecz fizyczny terminal
Terminal stoi przy kasie, często obsługiwany przez zmieniające się osoby, i jest narażony na fizyczną manipulację. Pięć rzeczy, które możesz zrobić teraz.
Sprawdzaj plomby i obudowę regularnie. Każdy certyfikowany terminal ma plomby zabezpieczające (zazwyczaj naklejki z hologramem lub śruby z ołowianą plombą przy tylnej pokrywie). Przy każdej zmianie personelu lub po każdej wizycie zewnętrznego technika sprawdź, czy plomby są nienaruszone, obudowa nie ma obcych elementów, a czytnik karty nie ma doklejonej nakładki. Skimmingowe nakładki są coraz cieńsze i trudniej je wykryć wizualnie — zwróć uwagę na lekko inną fakturę lub kolor plastiku przy szczelinie czytnika.
Porównaj terminal z jego wyglądem oryginalnym. Zrób zdjęcia terminala podczas instalacji — od przodu, od tyłu, z bliska przy czytniku i klawiaturze. Masz wtedy punkt odniesienia. Regularne porównanie zajmuje 30 sekund.
Aktualizuj oprogramowanie terminala. Operator wysyła aktualizacje firmware'u i oprogramowania terminala. Część modeli aktualizuje się automatycznie w nocy; część wymaga ręcznego potwierdzenia. Nie odkładaj aktualizacji — łatają luki bezpieczeństwa. Jeśli nie wiesz, czy Twój terminal jest aktualny, zadzwoń na infolinię operatora i zapytaj.
Ogranicz dostęp serwisowy. Hasło administratora lub technika serwisowego powinno znać wyłącznie kierownictwo. Żaden zewnętrzny technik nie potrzebuje hasła — autoryzowany serwis operatora ma własne procedury. Jeśli ktoś dzwoni i prosi o hasło „do zdalnej aktualizacji", rozłącz się i oddzwoń na oficjalny numer infolinii operatora.
Dbaj o fizyczne umiejscowienie terminala. Terminal w zasięgu wzroku klienta jest narażony na podpatrywanie PIN-u. Jeśli terminal stoi na ladzie, ustaw go tak, by klient mógł go obrócić lub zasłonić dłonią przy wpisywaniu kodu. Część modeli ma osłonę klawiatury w standardzie — używaj jej.
Krok 4. Zabezpiecz proces przy kasie
Technologia chroni przed mechanicznymi atakami. Przed błędami ludzkimi chroni wyłącznie procedura i szkolenie.
Szkol personel regularnie. Każda nowo zatrudniona osoba powinna przejść trening z podstaw bezpieczeństwa transakcji: jak wygląda prawidłowy terminal, czego nie wolno (nie zostawiaj terminala bez nadzoru, nie podawaj haseł, nie pozwalaj klientowi samemu obsługiwać urządzenia przy kasie), co robić przy podejrzeniu manipulacji (odłączyć terminal od zasilania, zadzwonić do przełożonego i do operatora). Trening nie musi trwać godziny — 15 minut z checklistą wystarczy.
Weryfikuj podejrzane transakcje. Kilka wzorców powinno zapalić czerwoną lampkę: wiele szybkich transakcji tą samą kartą na małe kwoty, transakcja odrzucona kilka razy z rzędu (klient próbuje różnych kart), klient wyraźnie zniecierpliwiony albo odwracający Twoją uwagę, kiedy terminal ma wykryć limit zbliżeniowy. Przy wysokich kwotach poproś o dokument tożsamości — masz prawo, a uczciwy klient nie ma powodu odmawiać.
Przy limicie zbliżeniowym bądź konsekwentny. Terminal po przekroczeniu obowiązującego limitu zbliżeniowego bez PIN automatycznie wymaga kodu PIN. Nie omijaj tego wymogu i nie zgadzaj się, gdy klient nalega, żeby spróbować jeszcze raz zbliżeniowo. Jeśli terminal wymaga PIN-u, PIN jest wymagany — koniec.
Uważaj na DCC przy kartach zagranicznych. DCC (Dynamic Currency Conversion, czyli dynamiczna wymiana walut) to funkcja, która pozwala gościowi z zagraniczną kartą zapłacić w swojej walucie zamiast w złotówkach. Sam w sobie DCC nie jest fraudem, ale jest mechanizmem, który nieuczciwi klienci mogą próbować odwrócić jako „nieautoryzowaną transakcję w nieznanej walucie". Upewnij się, że klient świadomie wybiera walutę płatności i że terminal drukuje potwierdzenie z wybraną walutą.
Krok 5. Broń się przed chargebackiem — dokumentacja to Twój oręż
Chargeback (obciążenie zwrotne) oznacza, że bank klienta cofnął transakcję i pobrał środki z Twojego rachunku. Masz prawo się odwołać, ale musisz udowodnić, że transakcja była prawidłowa.
Zachowuj potwierdzenia transakcji. Paragon z terminala, potwierdzenie z kasy fiskalnej i wydruk lub zrzut z systemu POS — komplet dokumentów dla każdej transakcji. Dla transakcji powyżej pewnej wartości (ustal próg z operatorem) warto dodatkowo zanotować numer karty (tylko cztery ostatnie cyfry, które terminal pokazuje) i godzinę. Przy chargebacku masz zwykle kilka tygodni na odpowiedź z dokumentami — sprawdź termin w umowie z operatorem.
Friendly fraud — jak go rozpoznać. Klient twierdzi, że nie zlecił transakcji albo że towar nie dotarł lub był niezgodny z opisem. Jeśli transakcja faktycznie miała miejsce i masz paragon, zdjęcie wydanego towaru lub potwierdzenie e-mailem, Twoje szanse w sporze chargebackowym są wysokie. Jeśli tego nie masz — nie masz czym walczyć.
W e-commerce używaj 3-D Secure. Jeśli Twoja restauracja lub sklep ma sprzedaż online, każda transakcja powinna przechodzić przez 3-D Secure — to protokół dodatkowej weryfikacji tożsamości kupującego (znany pod markami Verified by Visa lub Mastercard Identity Check). Sklep, który wdroży 3-D Secure, przenosi odpowiedzialność za chargeback z tytułu nieuprawnionego użycia karty na bank wydawcę. Twój operator lub dostawca bramki płatniczej powinien mieć tę opcję w standardzie — zapytaj wprost, zanim podpiszesz umowę.
Krok 6. Reakcja na incydent — co zrobić, gdy coś się stało
Podejrzewasz, że terminal był manipulowany? Masz scenariusz eskalacji: zatrzymaj transakcje, zgłoś, zabezpiecz dowody.
Krok 6a. Zatrzymaj terminal. Odłącz terminal od zasilania i połączenia sieciowego. Nie czyść, nie resetuj, nie dotykaj więcej niż to konieczne. Terminal może zawierać ślady ingerencji, które są dowodem.
Krok 6b. Zadzwoń do operatora. Każdy operator ma infolinię dla sprzedawców czynną całą dobę lub w szerokich godzinach. Zgłoś podejrzenie manipulacji terminala. Operator może zdalnie zablokować urządzenie, sprawdzić logi transakcji i wysłać technika z zastępczym urządzeniem. Numer infolinii jest w umowie i zazwyczaj na naklejce na spodzie terminala.
Krok 6c. Poinformuj bank i organy. Jeśli podejrzewasz, że dane klientów mogły zostać wykradzione (np. znalazłeś nakładkę na czytnik), zgłoś to policji i rozważ powiadomienie klientów, których transakcje mogły być zagrożone. Przy wycieku danych osobowych może też wystąpić obowiązek zgłoszenia do UODO (Urząd Ochrony Danych Osobowych) — skonsultuj się z prawnikiem lub inspektorem ochrony danych (IOD), jeśli masz wątpliwości co do zakresu i terminu zgłoszenia.
Krok 6d. Sporządź dokumentację zdarzenia. Zrób zdjęcia terminala (nakładki, uszkodzeń), zapisz daty i godziny podejrzanych transakcji, zachowaj e-maile i notatki z rozmów telefonicznych. To przyda się zarówno w postępowaniu policyjnym, jak i przy sporach chargebackowych, które mogą pojawić się kilka tygodni po zdarzeniu.
Program Polska Bezgotówkowa — certyfikowane terminale od pierwszego dnia
Jeśli dopiero otwierasz lokal lub nie akceptowałeś płatności bezgotówkowych przez ostatnie 12 miesięcy, możesz skorzystać z Programu Polska Bezgotówkowa. Warunki obowiązujące od 1 stycznia 2025 roku: 12 miesięcy terminala za 0 zł lub do 100 000 zł obrotu na tym terminalu, co nastąpi wcześniej.
Z punktu widzenia bezpieczeństwa program ma jedną ważną zaletę: terminale dostarczane w jego ramach są certyfikowanymi urządzeniami od licencjonowanych operatorów. Nie dostajesz sprzętu z niepewnego źródła. Operator wdrażający terminal w ramach programu przeprowadza Cię też przez wymogi PCI DSS i SAQ na początku współpracy.
Operatorzy uczestniczący w programie to m.in. eService (Global Payments, współpraca z PKO BP), PolCard from Fiserv, Crédit Agricole (Elavon), PayTel, SumUp i Viva.com. Szczegółowe warunki poszczególnych operatorów sprawdź bezpośrednio przed złożeniem wniosku — lista uczestników i warunki programu mogą się zmieniać.
Powiązane poradniki i zasoby
Jeśli chcesz pogłębić temat bezpieczeństwa i kosztów terminala, przeczytaj:
- Jak przyjmować płatności kartami zagranicznymi — DCC, waluty i ryzyko chargebacku przy gościach z zagranicy
- Jak rozliczać transakcje kartowe w księgowości — co dzieje się z MDR w kosztach firmy i jak dokumentować transakcje
- Słownik: MDR (Merchant Discount Rate) — pełna definicja prowizji od transakcji kartą
- Program Polska Bezgotówkowa 2026 — certyfikowany terminal za 0 zł, warunki i operatorzy
Często zadawane pytania
Czy mała firma musi spełniać PCI DSS?
Tak, PCI DSS dotyczy każdego, kto przyjmuje płatności kartą, niezależnie od wielkości firmy. Dla małego sprzedawcy z jednym terminalem wystarczy zazwyczaj uproszczony kwestionariusz SAQ (Self-Assessment Questionnaire) zamiast pełnego audytu. Operator terminala przeprowadzi Cię przez ten formularz i wskaże, jakie procedury wdrożyć. Kluczowa zasada: nie przechowuj pełnych danych kart nigdzie poza systemem terminala.
Czym jest skimming i jak go rozpoznać?
Skimming to fizyczna manipulacja terminalem lub bankomatem w celu kradzieży danych kart: nakładka na czytnik lub ukryta kamera rejestruje dane paska magnetycznego i PIN. Rozpoznasz go po obcej nakładce na szczelinie czytnika, nieco innej fakturze plastiku lub luźnej obudowie. Zrób zdjęcie terminala podczas instalacji, by mieć punkt odniesienia, i sprawdzaj fizyczny stan urządzenia przy każdej zmianie personelu.
Co zrobić, gdy klient próbuje chargebacku mimo prawidłowej transakcji?
Zgromadź dokumentację: paragon z terminala, zapis z kasy fiskalnej lub POS-u z datą i godziną, cztery ostatnie cyfry karty z wydruku, a przy usługach lub dostawie potwierdzenie odbioru. Odpowiedz na pismo operatora w wyznaczonym terminie (zwykle kilka tygodni) z kompletem dowodów. Terminal z chipem lub tokenizacją zbliżeniową generuje kryptogram transakcji po stronie operatora, co znacząco zwiększa Twoje szanse w sporze.
Czy terminal z programu Polska Bezgotówkowa jest bezpieczny?
Tak. Terminale dostarczane przez operatorów uczestniczących w Programie Polska Bezgotówkowa są certyfikowanymi urządzeniami, zgodnymi z PCI PTS (Payment Terminal Security). Operator zapewnia też wsparcie przy spełnieniu wymogów PCI DSS i prowadzi przez kwestionariusz SAQ. Program działa od 1 stycznia 2025 roku: 12 miesięcy za 0 zł lub do 100 000 zł obrotu, co nastąpi wcześniej.
Jak 3-D Secure chroni mój sklep internetowy przed fraudem?
3-D Secure to protokół dodatkowej weryfikacji kupującego przy transakcji online — klient potwierdza tożsamość kodem SMS lub aplikacją bankową. Jeśli wdrożysz 3-D Secure, odpowiedzialność za chargeback z tytułu nieuprawnionego użycia karty przenosi się z Ciebie na bank wydawcę karty. Zapytaj swojego dostawcę bramki płatniczej, czy 3-D Secure jest aktywny. Dla sklepu online to jedna z najskuteczniejszych ochrony przed friendly fraud.
Co zrobić bezpośrednio po wykryciu manipulacji terminalem?
Odłącz terminal od zasilania i sieci — nie resetuj ani nie czyść urządzenia. Zadzwoń na infolinię swojego operatora i zgłoś incydent; numer jest w umowie i na naklejce pod terminalem. Zrób zdjęcia urządzenia jako dowód. Operator zablokuje terminal zdalnie i wyśle zastępczy. Przy podejrzeniu kradzieży danych klientów rozważ też zawiadomienie policji i sprawdź obowiązki zgłoszeniowe do UODO.