Uważaj na te SMS-y o paczkach. Oszuści bezczelnie wykorzystali nowe prawo
Od 1 lipca zmieniły się opłaty za przesyłki spoza UE. Oszuści mogą to wykorzystać, wysyłając fałszywe SMS-y z linkiem do płatności.

SMS o dopłacie 3 euro do paczki może wyglądać wyjątkowo wiarygodnie. Zwłaszcza teraz, gdy nowe przepisy faktycznie wprowadziły dodatkowe opłaty dla przesyłek spoza Unii Europejskiej. Oznacza to, że wielu odbiorców spodziewa się jakiejś formy dopłaty i nie traktuje takiej wiadomości jako czegoś podejrzanego. To właśnie sprawia, że fałszywy komunikat idealnie wpisuje się w rzeczywistość – nie budzi od razu alarmu, tylko raczej poczucie, że tak po prostu teraz jest. I właśnie na tym polega problem.
Oszuści dostali do ręki idealny pretekst. Kwota jest mała, brzmi znajomo, a wielu kupujących naprawdę czeka na paczki z Temu, Shein, AliExpress albo innych zagranicznych sklepów. Wystarczy link, kilka słów o pilnej dopłacie i człowiek może sam oddać przestępcom dane karty albo dostęp do banku.
3 euro brzmi prawdziwie, bo nowe przepisy naprawdę istnieją
Od 1 lipca 2026 r. w Unii Europejskiej zmieniły się zasady naliczania opłat dla przesyłek z towarami spoza Wspólnoty. W skrócie: dla przesyłek o wartości do 150 euro pojawia się dodatkowa opłata celna w wysokości 3 euro za każdy rodzaj produktu w paczce.
Jeżeli w paczce są 3 takie same koszulki, mówimy o jednym rodzaju towaru. Jeżeli jednak w tej samej przesyłce są koszulka, etui do telefonu i słuchawki, opłata może zostać naliczona osobno dla każdego rodzaju produktu. Poczta Polska pobiera takie należności w ramach obsługi odprawy, ale sama podkreśla, że zmiany wynikają z przepisów unijnych, a nie z jej własnej decyzji.
To właśnie czyni nową falę oszustw groźniejszą niż zwykłe, stare SMS-y o dopłacie 2,13 zł. Tym razem oszust nie musi wymyślać całej historii od zera. Wystarczy, że podepnie się pod prawdziwą zmianę, o której część klientów już słyszała.
Jak pisaliśmy w tekście: Europa wypowiada wojnę tanim paczkom. Oberwą nie ci, co trzeba, nowa opłata 3 euro za każdy typ przedmiotu w przesyłce ma uderzyć przede wszystkim w masowy import taniej drobnicy spoza UE. Tyle że oprócz kupujących i platform sprzedażowych zareagowali też cyberprzestępcy.
Fałszywy SMS działa, bo trafia na idealny moment
Oszustwa na paczkę są skuteczne nie dlatego, że są wyjątkowo genialne. Są skuteczne, bo trafiają w codzienność. Miliony ludzi stale coś zamawiają, śledzą przesyłki, dostają powiadomienia od sklepów, operatorów pocztowych i firm kurierskich. W takim szumie jeden fałszywy SMS nie wygląda jak coś niezwykłego.
Wiadomość sugeruje, że przesyłka została wstrzymana, wymaga dopłaty, aktualizacji danych albo potwierdzenia adresu. Do SMS-a dołączony jest link. Strona po kliknięciu może przypominać witrynę operatora pocztowego, firmę kurierską, bramkę płatniczą albo bank. Dalej zaczyna się kradzież danych.
Niewielka kwota jest tu kluczowa. 3 euro to na tyle mało, że wiele osób nie będzie robić długiego dochodzenia. Jeśli ktoś czeka na paczkę z zagranicy, może pomyśleć: trudno, nowe przepisy, dopłacę i będzie po sprawie. Właśnie w tym momencie pułapka się zamyka.
Wystarczy, że fałszywa wiadomość trafi w dobry moment, np. gdy naprawdę czekamy na przesyłkę. Wtedy nawet osoba ostrożna może na chwilę wyłączyć czujność, bo komunikat pasuje do rzeczywistości.
Poczta Polska nie wysyła linków do płatności za paczki
Poczta Polska przypomina, że nie wysyła SMS-ów zawierających linki do płatności za przesyłki. Informacje o doręczeniu, opłatach albo dokumentach należy weryfikować przez oficjalne kanały: stronę operatora, placówkę albo kontakt z obsługą.
To zdanie powinno wisieć nad każdym takim SMS-em jak wielka czerwona lampka. Jeśli wiadomość każe kliknąć link i szybko zapłacić, nie należy tego robić. Jeśli straszy zatrzymaniem paczki, zwrotem do nadawcy albo naliczeniem dodatkowych kosztów, tym bardziej warto się zatrzymać.
Prawdziwe należności celne i podatkowe przy przesyłkach obsługiwanych przez Pocztę Polską mają być rozliczane zgodnie z procedurą operatora. Poczta informuje również, że w razie potrzeby adresaci mogą otrzymywać zawiadomienia o konieczności uzupełnienia dokumentacji potrzebnej do dokończenia zgłoszenia celnego. To jednak nie oznacza, że trzeba klikać w losowy link przysłany SMS-em.
Co robić? Nie klikać, nie logować się, nie wpisywać danych karty, nie przepisywać kodów z SMS-ów bankowych i nie działać pod presją czasu.
Jak rozpoznać podejrzaną wiadomość?
Najczęściej zdradza ją presja. SMS sugeruje, że trzeba działać szybko, bo paczka zostanie zatrzymana, zwrócona albo obciążona dodatkowymi kosztami. Do tego dochodzi link prowadzący do strony o dziwnym adresie, literówka w nazwie operatora, nietypowa domena, skracacz linków albo komunikat napisany nienaturalnym językiem.
Ale nie warto polegać wyłącznie na literówkach. Dzisiejszy phishing potrafi być poprawny językowo, a strony podszywające się pod operatorów bywają dopracowane graficznie. Coraz łatwiej przygotować przekonującą treść, zwłaszcza za pomocą narzędzi AI. Właśnie dlatego z góry każdego SMSa z linkiem do dopłaty za paczkę traktujmy jak podejrzany z definicji.
Najbezpieczniej wejść samodzielnie na oficjalną stronę operatora albo do aplikacji i ręcznie sprawdzić numer przesyłki. Nie przez link z wiadomości, nie przez wynik z reklamy w wyszukiwarce, nie przez stronę, której adres wygląda mniej więcej podobnie. Ręcznie, przez znany kanał.
Jeśli wiadomość wygląda na próbę oszustwa, można przekazać ją do CERT Polska na numer 8080. To nie jest magiczna tarcza dla konkretnej osoby, ale takie zgłoszenia pomagają szybciej identyfikować kampanie i blokować złośliwe domeny.
Oszuści kochają nowe przepisy
Każda zmiana w prawie, podatkach, opłatach albo usługach publicznych jest dla oszustów prezentem. Ludzie nie znają jeszcze szczegółów, media o tym piszą, firmy wysyłają komunikaty, klienci spodziewają się zamieszania. W takim środowisku fałszywa wiadomość łatwiej wygląda jak coś urzędowego albo technicznego.
Tak było przy dopłatach do energii, fałszywych mandatach, podatkach, e-doręczeniach, przesyłkach kurierskich i wielu innych kampaniach phishingowych. Teraz tym haczykiem może być cło 3 euro. Samo hasło wystarczy, bo jest świeże i brzmi znajomo.
Przeczytaj także:
Phishing z narracją o paczce, opłacie celnej, błędnym adresie albo konieczności dopłaty od lat jest prawdziwą plagą. Przestępcy zmieniają tylko dekoracje. Raz jest to Poczta Polska, raz InPost, raz firma kurierska, raz zagraniczna przesyłka. Nowe przepisy nie stworzyły oszustwa od zera. Dały mu tylko lepszą legendę.
*Źródło grafiki wprowadzającej: własne / Canva Pro
O nowych technologiach zaczął pisać jeszcze w 2012 r. na łamach portalu Telix. Później przez pewien czas pisał dla Komputer Świata i PCLabu. Epizod dziennikarski zaliczył także w lokalnej gazecie i w dziale blogowym SpeedTest. Współzałożyciel agencji BlueCopy, zajmującej się copywritingiem i poligrafią. Przez pewien czas właściciel firmy transportowej. Prywatnie fan starych polskich oper mydlanych (oglądanych obowiązkowo z konkubiną), dumny opiekun kotki brytyjskiej i pasjonat-amator druku 3D.