Poland IT Hub

System płatności mobilnych BLIK to dziś dominująca metoda transakcji elektronicznych w Polsce, z szacunkowo 60% udziałem w rynku e-commerce i rosnącą popularnością w handlu stacjonarnym oraz przelewach P2P.

Spis treści

Od uruchomienia w 2015 roku system ewoluował z prostego generatora kodów w zaawansowany ekosystem usług finansowych – od płatności internetowych i zbliżeniowych, przez przelewy na telefon, po płatności odroczone i testy transgraniczne.

Obecnie blisko 20 milionów Polaków aktywnie korzysta z BLIKA, realizując średnio prawie 8 milionów transakcji dziennie w trzecim kwartale 2025 roku (+19% r/r).

Niniejszy materiał przedstawia mechanikę działania BLIKA, architekturę bezpieczeństwa oraz porównanie z alternatywnymi metodami płatności – wraz z najważniejszymi ryzykami i praktykami ochrony użytkownika.

Fundamentalne zasady funkcjonowania systemu BLIK

Architektura i mechanika technologiczna

BLIK został opracowany przez spółkę Polski Standard Płatności (PSP) we współpracy z największymi polskimi bankami oraz Mastercard (partner technologiczny). Odpowiada na potrzebę szybkich, bezpiecznych i wygodnych płatności bez fizycznej karty i bez ujawniania danych wrażliwych.

Kluczowym elementem jest jednorazowy, sześciocyfrowy kod generowany w aplikacji mobilnej banku. Kod jest ważny ok. 2 minuty, a finalna autoryzacja następuje poprzez PIN, odcisk palca lub rozpoznawanie twarzy.

Aby podsumować najważniejsze założenia technologiczne BLIKA, warto zwrócić uwagę na te wyróżniki:

  • jednorazowe kody – każda płatność otrzymuje unikalny, krótkotrwały token autoryzacyjny,
  • ograniczony czas ważności – typowo ok. 2 minut, co minimalizuje okno ataku,
  • autoryzacja w bezpiecznym kanale – potwierdzenie w aplikacji bankowej chronionej biometrią lub PIN-em,
  • brak ujawniania danych karty – konsument nie podaje numeru karty, daty ważności ani CVV/CVC,
  • rozliczenia natychmiastowe – transfer środków odbywa się w czasie zbliżonym do rzeczywistego.

Przepływ transakcji w różnych scenariuszach użycia

Płatność BLIKIEM w e‑commerce przebiega następująco:

  1. Na stronie sklepu wybierasz metodę płatności BLIK.
  2. W aplikacji banku generujesz sześciocyfrowy kod BLIK.
  3. Wpisujesz kod na stronie płatności.
  4. Potwierdzasz transakcję w aplikacji bankowej (PIN lub biometryka).
  5. Otrzymujesz potwierdzenie, a środki są rozliczane natychmiast.

Płatność BLIKIEM w sklepie stacjonarnym (kod na terminalu) wygląda tak:

  1. Informujesz kasjera o płatności BLIKIEM.
  2. Generujesz kod w aplikacji banku.
  3. Przepisujesz kod na terminal i zatwierdzasz zielonym przyciskiem.
  4. Potwierdzasz operację w aplikacji bankowej (PIN lub biometryka).
  5. Transakcja zostaje sfinalizowana w kilka sekund.

Płatność zbliżeniowa BLIKIEM (NFC) skraca proces do minimum:

  1. Odblokowujesz telefon biometrycznie.
  2. Zbliżasz smartfon do terminala NFC.
  3. Transakcja jest zatwierdzana w tle; w razie potrzeby potwierdzasz ją w aplikacji banku.

Przelew na telefon BLIK (P2P) realizujesz w kilku krokach:

  1. W aplikacji banku wybierasz „Przelew na telefon BLIK”.
  2. Wpisujesz numer telefonu odbiorcy i kwotę.
  3. Potwierdzasz operację (PIN lub biometryka).
  4. Odbiorca otrzymuje środki natychmiast, niezależnie od sesji Elixir.

Czek BLIK działa jak jednorazowa „wirtualna koperta” z limitem:

  1. Ustalasz kwotę, termin ważności i PIN czeku.
  2. Generujesz dziewięciocyfrowy kod i ewentualnie przekazujesz go zaufanej osobie.
  3. Środki są blokowane do realizacji lub wygaśnięcia czeku.

Architektura bezpieczeństwa i mechanizmy ochrony

Jednorazowe kody i ograniczenie czasowe

Fundamentem bezpieczeństwa BLIKA są jednorazowe, dynamicznie generowane kody o krótkiej ważności. Po upływie ok. 2 minut kod przestaje działać, co silnie ogranicza możliwość nadużyć.

Kombinacja jednorazowości i limitu czasu znacząco utrudnia ataki „na przechwycenie kodu”, ponieważ finalna autoryzacja zachodzi w aplikacji bankowej i wymaga dostępu do urządzenia ofiary.

Szyfrowanie danych i bezpieczna transmisja

Wszystkie operacje przebiegają z użyciem zaawansowanego szyfrowania na poziomie bankowości elektronicznej. Kanały komunikacji aplikacji bankowej z serwerami są chronione protokołami SSL/TLS.

Wrażliwe dane (kwota, odbiorca, status) nie są przesyłane w formie pozwalającej na ich odczyt przez osoby trzecie.

Autoryzacja wielowarstwowa i potwierdzenie użytkownika

Każda transakcja wymaga potwierdzenia poprzez PIN, Touch ID lub Face ID. Użytkownik widzi kwotę i odbiorcę w aplikacji, dzięki czemu może przerwać podejrzaną operację.

Współpraca bankowa i monitorowanie zagrożeń

Banki-uczestnicy i PSP prowadzą monitoring w czasie rzeczywistym, wykrywając anomalie i reagując na nowe wektory ataków. Infrastruktura posiada mechanizmy redundancji i failover, choć ataki na dostępność (np. DDoS) mogą okresowo zakłócić działanie usług.

Dominujące miejsce BLIK w polskim ekosystemie płatności

Statystyki użytkowników i wolumenu transakcji

BLIK odpowiada za ok. 60% transakcji online w 2024 roku. W I półroczu 2025 zrealizowano blisko 1,4 mld transakcji o wartości 207,3 mld zł (+24% r/r). W III kwartale 2025 – 743,9 mln transakcji za 112,3 mld zł (+19% i +26% r/r).

Aktywni użytkownicy: ~20 mln (wrzesień 2025), średnio 13 transakcji/mies. na aktywnego użytkownika. Średnia kwota transakcji: 149–156 zł.

Penetracja w różnych kanałach transakcji

E‑commerce pozostaje głównym kanałem: w III kw. 2025 wykonano 348,7 mln transakcji o wartości 54,2 mld zł (+21% i +26% r/r).

Handel stacjonarny rośnie: 188,5 mln transakcji w terminalach (+15% r/r). Płatności zbliżeniowe: 90,4 mln za 4,3 mld zł (+14% r/r).

Przelewy na telefon stały się standardem rozliczeń P2P – w 2024 roku prawie 605 mln operacji.

Ryzyka bezpieczeństwa i zagrożenia związane z oszustwami

Techniki socjotechniczne i manipulacja psychologiczna

Najczęstszy wektor ataku to wyłudzenie kodu BLIK przez komunikatory (np. Messenger) z podszywaniem się pod znajomego. W I połowie 2025 roku policja odnotowała ponad 1500 takich przypadków.

Oszuści wywołują presję czasu i emocje („pilna pomoc”), licząc na automatyczne potwierdzenie transakcji w aplikacji bankowej.

Phishing i fałszywe strony płatności

Ataki polegają na tworzeniu fałszywych bramek płatności i stron logowania. We wrześniu 2025 zarejestrowano 11,4 tys. incydentów phishingowych; w okresie I–IX 2025 zidentyfikowano 160,6 tys. szkodliwych domen oraz zablokowano ponad 1,5 mln fałszywych SMS-ów.

Prawdziwe domeny BLIK to: https://blik.com oraz https://eblik.pl.

Przypadki kryptowaluty i „szybkiego zysku”

W 2025 roku nasilają się oszustwa „kryptowalutowe” z obietnicą szybkiego zysku. W lipcu w Poznaniu rozbito grupę, która oszukała ponad 1000 osób na 3 mln zł, głównie przez Messenger.

Cyberataki na infrastrukturę systemu

1 listopada 2025 i 3 listopada 2025 doszło do zewnętrznych ataków DDoS, które czasowo uniemożliwiły generowanie kodów i przelewy na telefon. To przypomnienie, że nawet dojrzałe systemy mogą być narażone na ataki na dostępność.

Porównanie z alternatywnymi metodami płatności

BLIK versus tradycyjne karty płatnicze

Karty (Visa, Mastercard, American Express) oferują chargeback, co zwiększa ochronę w razie sporów ze sprzedawcą.

BLIK nie zapewnia chargebacku – jego transakcje to nieodwracalne przelewy natychmiastowe. Zyskujesz jednak większą prywatność: brak ujawniania danych karty w sklepach.

BLIK versus przelewy natychmiastowe

BLIK upraszcza proces: zamiast numeru rachunku wystarczy numer telefonu lub kod na terminalu. Często też brakuje opłat po stronie użytkownika, a usługa działa 24/7.

BLIK versus Google Pay i Apple Pay

Google Pay i Apple Pay wykorzystują NFC i wymagają podpięcia karty. BLIK działa bezpośrednio na rachunku bankowym w aplikacji banku. Pod względem szybkości metody są porównywalne.

BLIK versus płatności odroczone i BNPL

BLIK Płacę Później umożliwia odroczenie do 30 dni z limitem do 4000 zł i bez odsetek przy terminowej spłacie. Ograniczeniem pozostaje brak chargebacku.

Dla szybkiego porównania kluczowych cech metod płatności warto skorzystać z poniższej tabeli:

Metoda Chargeback Ujawnianie danych karty Odwracalność transakcji Wymagane narzędzie Uwagi
BLIK Nie Nie Nie (przelew natychmiastowy) Aplikacja bankowa Przelewy na telefon, płatności zbliżeniowe, BNPL
Karta płatnicza Tak Tak Częściowo (procedury reklamacyjne) Karta fizyczna/portfel mobilny Szeroka akceptacja globalna
Przelew natychmiastowy Nie Nie Nie Bankowość internetowa/aplikacja Możliwe opłaty zależnie od banku
Google Pay / Apple Pay Tak (jak karta) Tokenizacja (bez udostępniania numeru karty sprzedawcy) Częściowo (jak karta) Portfel mobilny + karta Szybkie płatności zbliżeniowe
BNPL (w tym BLIK Płacę Później) Nie (zależnie od regulaminu usługodawcy) Nie Nie Aplikacja/rachunek + limit Odroczenie do 30 dni, brak odsetek przy terminowej spłacie

Ekspansja międzynarodowa i integracja z europejskim ekosystemem

Pilot przelewów transgranicznych na telefon

W maju 2025 BLIK dołączył do EuroPA, inicjatywy budującej paneuropejskie płatności mobilne oparte o SEPA Instant. Podczas Web Summit zademonstrowano przelew z portugalskiego MB WAY na numer w BLIKU.

Najpierw użytkownicy BLIKA mogą odbierać przelewy z systemów partnerskich (np. MB WAY). W kolejnych etapach planowane są integracje m.in. z Bizum (Hiszpania), Bancomat (Włochy) i Vipps (Skandynawia), co może połączyć ponad 100 mln użytkowników.

Praktyczne implikacje dla użytkowników

Międzynarodowe przelewy na telefon ułatwią rozliczenia w turystyce, delegacjach i podczas studiów zagranicznych, bez potrzeby posiadania lokalnych rachunków i bez drogich transferów międzynarodowych.

Nieodwracalność transakcji powoduje, że pilotaż startuje od przelewów przychodzących, a pełna interoperacyjność (wysyłka z Polski) jest kolejnym krokiem.

Bezpieczeństwo użytkownika i dobre praktyki

Ostrożne zachowanie i edukacja

Nigdy nie wysyłaj kodu BLIK na prośbę w komunikatorach. Jeśli „znajomy” prosi o pomoc, zweryfikuj jego tożsamość telefonicznie lub innym kanałem.

Przed potwierdzeniem transakcji w aplikacji bankowej sprawdź kwotę i odbiorcę. Gdy coś się nie zgadza – przerwij i skontaktuj się z bankiem.

Zabezpieczenie konta i monitoring

Regularnie przeglądaj historię operacji i reaguj na nieznane transakcje. Czas reakcji jest kluczowy.

Zadbaj o bezpieczeństwo urządzenia: aktualizacje systemu i aplikacji, instalacje z oficjalnych źródeł, blokada ekranu PIN-em lub biometrią. Aktywuj 2FA na wrażliwych kontach.

Aby ułatwić stosowanie najważniejszych zasad bezpieczeństwa na co dzień, korzystaj z poniższej listy kontrolnej:

  • weryfikacja tożsamości – zawsze potwierdzaj prośby o pieniądze innym kanałem,
  • czujność na phishing – nie klikaj linków z SMS-ów/e‑maili, wpisuj adresy ręcznie lub korzystaj z zakładek,
  • kontrola danych w aplikacji – przed potwierdzeniem sprawdzaj kwotę i odbiorcę,
  • higiena urządzenia – aktualizacje, blokada ekranu, brak nieznanych aplikacji,
  • szybka reakcja – w razie podejrzeń natychmiast kontakt z bankiem i zmiana haseł.