Oszustwa na Vinted — jak się chronić w 2026?

TL;DR — czy Vinted to scam?

Nie, Vinted nie jest scamem — to legalna platforma second-hand zarejestrowana w Wilnie (Litwa), z ok. 100 mln użytkowników w Europie i własnym systemem Vinted Buyer Protection. ALE indywidualni oszuści masowo wykorzystują serwis jako kanał dystrybucji socjotechniki: fałszywych kodów QR Blik, phishingu imitującego powiadomienia Vinted, smishingu DPD/InPost. Buyer Protection działa wyłącznie dla płatności wewnątrz aplikacji — transakcje poza platformą (Blik na numer telefonu, Revolut, link „opłać tutaj”) są nieubezpieczone. Stąd top sygnał oszustwa, zazwyczaj przesądzający, to prośba o płatność lub kontakt poza Vinted. CERT Polska w 2024 r. zarejestrował tysiące prób phishingu pod marką Vinted — to jeden z najczęściej imitowanych brandów konsumenckich w PL.

Top 10 schematów oszustw na Vinted w 2026

1. Fałszywy kod QR Blik

Najgłośniejszy schemat 2024-2026. Oszust podszywa się pod kupującego lub sprzedającego i wysyła czatem kod QR Blik, twierdząc, że to „płatność do zaakceptowania w aplikacji bankowej”. W rzeczywistości kod inicjuje wypłatę z Twojego konta lub aktywuje zlecenie stałe na konto oszusta. Banki PKO BP, Santander, ING i mBank wielokrotnie ostrzegały: Blik nigdy nie wymaga skanowania QR przesłanego przez drugą osobę — zwykle wpisujesz tylko 6-cyfrowy kod w aplikacji odbiorcy lub w terminalu.

2. Phishing imitujący Vinted

Klasyczny atak: SMS lub email „Twoja paczka czeka, dopłać 1,99 zł” z linkiem do fałszywej bramki płatności (np. vinted-secure-pl.com). Strona wygląda identycznie jak Vinted, ale kradnie dane karty i kod 3D Secure. CERT Polska blokuje takie domeny na Liście Ostrzeżeń, ale nowe powstają codziennie. Vinted nigdy nie wymaga dopłat za odbiór paczki — koszt wysyłki jest doliczany w momencie zakupu.

3. Out-of-platform payment

„Zapłać przez Revolut/Blik na numer, ominiemy prowizję Vinted” lub „mam problem z apką, wyślij Blika na 600-XXX-XXX, zaraz wyślę paczkę”. Po przelewie sprzedawca znika, a Buyer Protection nie obejmuje transakcji poza platformą. Zasada: jeśli druga strona prosi o płatność poza Vinted, zawsze jest to oszustwo — w 99% przypadków, niezależnie od pretekstu.

4. Podstawiona przesyłka i nieuzasadniony refund

Schemat kierowany przeciw sprzedawcom. Kupujący odbiera produkt, ale zgłasza Vinted „paczka była pusta” lub „dostałem inny przedmiot” i żąda zwrotu. Bez nagrania rozpakowywania trudno udowodnić, co naprawdę zostało wysłane. Defensywa: nagrywaj wideo każdej droższej wysyłki (zamknięcie paczki) oraz odbioru przesyłki w paczkomacie — to dowód dla Vinted Support.

5. Smishing DPD/InPost

SMS: „Twoja paczka DPD wymaga dopłaty 2 zł. Opłać tutaj: dpd-paczka.online”. Link kieruje do fałszywej bramki kradnącej dane karty lub instalującej malware. W praktyce: DPD, InPost, Poczta Polska nigdy nie wymagają dopłat SMS-em za przesyłki Vinted — koszt jest pokryty z góry. CSIRT NASK regularnie publikuje listę aktywnych kampanii smishing w ramach raportów na incydent.cert.pl.

6. Wymuszanie pozytywnej oceny przed wysyłką

Sprzedawca prosi: „daj 5 gwiazdek z góry, paczka wyjdzie szybciej”. To manipulacja systemem ocen — kiedy wystawisz ocenę, sprzedawca może zniknąć albo wysłać zupełnie inny produkt, a Twoja pozytywna ocena pozostanie i wprowadzi w błąd następnych kupujących. Vinted automatycznie odblokowuje ocenę dopiero po potwierdzeniu odbioru — to jedyna prawidłowa kolejność.

7. Counterfeit za bezcen

Sprzedawca oferuje markowe rzeczy (torebki Louis Vuitton, buty Nike, perfumy Chanel) za 10-20% ceny rynkowej. Po dostarczeniu okazuje się, że to podróbka. Vinted formalnie zabrania sprzedaży podróbek i ma mechanizm zgłaszania, ale rozliczenie sporu często ciągnie się tygodniami. Zasada: jeśli cena jest zbyt dobra, by była prawdziwa — zwykle nie jest prawdziwa.

8. Fałszywy kurier

Telefon: „Cześć, kurier z DPD, mam problem z dostarczeniem Twojej paczki Vinted, proszę podaj numer karty do potwierdzenia adresu”. Żaden kurier nigdy nie prosi o dane karty, kod CVV ani hasło SMS — adres ma już w systemie. To klasyczny vishing (voice phishing). Rozłącz się i zadzwoń bezpośrednio do infolinii DPD/InPost.

9. Empty box scam

Kupujący filmuje rozpakowywanie pustego pudełka i zgłasza Vinted, że paczka „przyszła pusta”. W rzeczywistości oszust wyjmuje produkt przed nagraniem albo nagrywa otwieranie innego, wcześniej pustego kartonu. Sprzedawca powinien zawsze nagrywać zamykanie paczki z widocznym numerem listu przewozowego — to materiał dowodowy w sporze.

10. Przeniesienie czatu na Telegram/WhatsApp

„Porozmawiajmy na WhatsApp/Telegram, mam więcej zdjęć”. Po przeniesieniu rozmowy poza Vinted znika ochrona platformy, a oszust eskaluje: prosi o przedpłatę, dane osobowe, dane karty albo zaczyna romance scam czy investment scam (zachęca do „inwestycji w krypto”). Vinted nie ma wglądu w rozmowy zewnętrzne — nie chroni Cię tam żaden Buyer Protection.

Definicja oszustwa Vinted scam

Oszustwo na Vinted (ang. Vinted scam) to każdy schemat wyłudzenia pieniędzy, danych lub produktów, w którym Vinted jest kanałem kontaktu — niezależnie od tego, czy płatność i wysyłka realizowane są w aplikacji, czy oszust wyciąga transakcję na zewnątrz. W literaturze CERT Polska i UOKiK wyróżnia się trzy główne kategorie: (1) payment scams (fałszywy QR Blik, out-of-platform payment), (2) delivery scams (smishing kurierski, podstawione przesyłki, empty box), (3) identity scams (phishing imitujący Vinted, fałszywy kurier, przeniesienie na komunikatory). Wspólnym mianownikiem zazwyczaj jest socjotechnika — atakujący wykorzystuje zaufanie do marki Vinted oraz emocje (pośpiech, FOMO, okazja cenowa) zamiast technicznej luki w platformie.

Jak rozpoznać oszusta na Vinted — 8 sygnałów

1. Prośba o płatność poza Vinted — Revolut, Blik na numer telefonu, PayPal Friends & Family, link „opłać tutaj”. Sygnał numer jeden, w praktyce zawsze oznacza próbę oszustwa.
2. Presja czasu — „musisz zapłacić w 10 minut, inaczej anuluję”, „ostatnia sztuka, dwie osoby już czekają”. Pośpiech wyłącza myślenie krytyczne.
3. Konto bez historii lub świeżo założone — brak ocen, brak zdjęć profilowych, data dołączenia w tym tygodniu. Vinted pokazuje datę rejestracji i liczbę transakcji.
4. Niezgodne lub kradzione zdjęcia — sprawdź Google Images reverse search; jeśli te same zdjęcia są na OLX, Allegro, Depop — produkt został skopiowany.
5. Błędy ortograficzne i dziwna składnia — wiadomości tłumaczone maszynowo, „cześć kolezanka mam dla ciebie super okazje”. Może też być przeciwnie: zbyt formalna, sztywna polszczyzna z anglicyzmami.
6. Agresywne rabaty — markowa rzecz o 80% taniej niż rynkowo. Counterfeit lub przynęta.
7. Linki do zewnętrznych stron — vinted-secure.com, vinted-pl.online, vinted-paczka.com. Domena rzeczywista to wyłącznie vinted.pl i vinted.com. Każdy inny prefix/suffix to phishing.
8. Prośba o dane prywatne — numer karty, kod CVV, hasło SMS, PESEL, zdjęcie dowodu osobistego „do weryfikacji”. Vinted nigdy nie prosi o takie dane czatem ani SMS-em. Weryfikacja tożsamości w Vinted odbywa się przez oficjalny formularz w aplikacji (KYC zgodny z PSD2/PSD3 i eIDAS 2.0).

Vinted Buyer Protection — co chroni, a co nie

Vinted Buyer Protection to wbudowany mechanizm zabezpieczający transakcje wewnątrz aplikacji. Jest finansowany z prowizji „opłaty za ochronę kupującego” (zwykle 0,7 zł + 5% ceny przedmiotu) doliczanej do każdego zakupu.

Chroni:

• Płatności wewnątrz aplikacji — karta podpięta do konta Vinted, Vinted Wallet, Blik przez oficjalną bramkę.
• Niedostarczenie paczki — jeśli kurier Vinted (InPost, DPD, Poczta) nie dowiezie w terminie, Vinted zwraca środki na Vinted Wallet.
• Produkt znacząco różny od opisu — zamiast kurtki przyszła szmata, zamiast laptopa cegła; kupujący ma 2 dni od dostarczenia na zgłoszenie.
• Automatyczny zwrot — środki wracają na Vinted Wallet zazwyczaj w ciągu kilku dni roboczych po zaakceptowaniu reklamacji przez Trust & Safety Vinted.
• Mediacja sporu — Vinted Support pełni rolę arbitra między kupującym a sprzedawcą.

Nie chroni:

• Transakcji poza platformą — Revolut, Blik na numer, gotówka, kurier spoza integracji. Najczęstszy powód odrzucenia reklamacji.
• Subiektywnej „jakości” — „nie pasuje na mnie”, „nie podoba mi się kolor” to nie jest oszustwo.
• Zgłoszeń po terminie — przekroczenie okna 2 dni od dostarczenia unieważnia ochronę.
• Przesyłek wysłanych poza systemem Vinted — własny kurier sprzedawcy, paczkomat InPost spoza integracji.

W praktyce ok. 90% skarg odrzucanych przez Vinted dotyczy transakcji out-of-platform. Stąd uniwersalna zasada: zawsze płać wewnątrz aplikacji.

Jak się chronić przed scamami na Vinted — 8 zasad

1. Zawsze płać przez Vinted — Vinted Wallet, karta, Blik przez oficjalną bramkę. Żadnych przelewów na numer konta, Revolut, Blik na numer telefonu czy „PayPal Friends & Family”. To pojedyncza zasada eliminująca 80% ryzyka.
2. Nigdy nie podawaj danych karty na czacie ani w SMS-ie — Vinted, DPD, InPost nigdy nie zbierają numeru karty/CVV poza oficjalną bramką. Każda taka prośba to vishing albo smishing.
3. Sprawdź historię konta sprzedawcy — data rejestracji, liczba transakcji, oceny, zdjęcia produktów własne czy stockowe. Konto „założone wczoraj, 0 ocen, 50 markowych rzeczy” to red flag.
4. Dokładnie opisuj i filmuj paczki — sprzedawca powinien nagrać zamykanie paczki z widocznym numerem listu przewozowego, kupujący — rozpakowywanie. Materiał dowodowy w sporze.
5. Używaj kurierów oferowanych przez Vinted (InPost, DPD, Poczta Polska, paczkomaty zintegrowane) — wysyłka poza systemem Vinted wyłącza Buyer Protection.
6. Zgłaszaj podejrzane konta i wiadomości — przycisk „Zgłoś” w aplikacji Vinted oraz formularz incydent.cert.pl dla phishingu i smishingu pod marką Vinted.
7. Włącz MFA (uwierzytelnianie dwuskładnikowe) na koncie Vinted — w ustawieniach bezpieczeństwa. Chroni przed przejęciem konta nawet przy wycieku hasła.
8. Regularnie sprawdzaj portfel transakcji Vinted Wallet i wyciągi karty — wczesne wykrycie podejrzanej operacji pozwala zastrzec kartę i uruchomić chargeback w banku zanim środki zostaną wypłacone.

Co zrobić, jeśli zostałem oszukany na Vinted

Pięciostopniowa procedura reakcji:

1. Zgłoś sprawę do Vinted Support w ciągu 2 dni roboczych od dostarczenia paczki — przez formularz „Zgłoś problem” w sekcji konkretnej transakcji. To warunek aktywacji Vinted Buyer Protection. Po przekroczeniu okna 2 dni Vinted zwykle odmawia interwencji.
2. Udokumentuj wszystko — screenshoty rozmowy z oszustem (przed ewentualnym skasowaniem konta), zdjęcia paczki przed i po otwarciu, najlepiej wideo rozpakowywania w jednym ujęciu z widocznym numerem listu przewozowego, potwierdzenie płatności, etykieta kurierska.
3. Skontaktuj się z bankiem o chargeback — jeśli płaciłeś kartą, masz zazwyczaj do 120 dni na złożenie reklamacji w ramach Visa Chargeback lub Mastercard Chargeback. Bank zwróci środki z konta sprzedawcy. W przypadku Blik możliwości są mocno ograniczone (Blik to transakcja natychmiastowa, nieodwracalna), ale i tak warto zgłosić niezwłocznie — niektóre banki w ramach EBA SEPA Instant Credit Transfer prowadzą procedurę „recall” w ciągu 24 h.
4. Zgłoś incydent do CSIRT NASK przez formularz na incydent.cert.pl — szczególnie phishing, smishing, fałszywe domeny imitujące Vinted. CERT Polska blokuje takie domeny w ramach Listy Ostrzeżeń CERT, co ogranicza zasięg kampanii oszustów.
5. Złóż zawiadomienie o przestępstwie na policji — przez portal gov.pl (e-formularz) lub osobiście w najbliższym komisariacie. Jeśli oszustwo wpisuje się w systematyczny schemat (sieć kont, masowa kampania) — zgłoś też do UOKiK (Urząd Ochrony Konkurencji i Konsumentów) oraz, w przypadku naruszenia danych osobowych, do UODO (Urząd Ochrony Danych Osobowych) zgodnie z RODO Art. 33.

Dodatkowo: zmień hasło do Vinted, włącz MFA, zastrzeż kartę przez aplikację bankową, sprawdź BIK czy ktoś nie próbował zaciągnąć na Twoje dane zobowiązań finansowych (mikropożyczki online to częsty drugi etap kradzieży tożsamości).

Statystyki oszustw na Vinted 2024-2025

Skala zjawiska rośnie wraz z popularnością platformy. CERT Polska w corocznym raporcie Krajobraz bezpieczeństwa polskiego Internetu za 2024 r. wskazał, że marka Vinted znalazła się w top 10 najczęściej imitowanych brandów konsumenckich w kampaniach phishing/smishing w Polsce — obok InPost, DPD, Poczty Polskiej, Allegro i ZUS. CSIRT NASK obsłużył kilkanaście tysięcy zgłoszeń dotyczących fałszywych SMS-ów kurierskich, z których znacząca część zawierała pretekst „paczka z Vinted”.

W praktyce, według danych branżowych: ok. 2-5% kont na platformach P2P (Vinted, Depop, Wallapop) wykazuje sygnały oszukańczego zachowania w pierwszych 30 dniach po założeniu — to średnia rynkowa, którą Trust & Safety teams próbują ograniczać przez machine learning i ręczne moderowanie. W skali europejskiej Vinted obsługuje ok. 100 mln użytkowników, co przekłada się na olbrzymi wolumen transakcji i odpowiednio dużą powierzchnię ataku.

Dla porównania Action Fraud UK (brytyjski odpowiednik CSIRT NASK) w 2024 r. raportował kilka tysięcy zgłoszeń oszustw na P2P marketplace, z których część dotyczyła Vinted. Średnia strata indywidualnego użytkownika wynosi zwykle 50-300 GBP — niewielka jednostkowo, ale w skali globalnej to dziesiątki milionów funtów rocznie. W Polsce Komenda Główna Policji w statystykach oszustw internetowych za 2024 r. wskazała, że oszustwa „w mediach społecznościowych i platformach handlowych” wzrosły o kilkanaście procent rok do roku, przy czym największy wzrost notują schematy z fałszywym Blikiem QR.

W praktyce: nawet niewielki procent oszustów na platformie liczącej 100 mln użytkowników to setki tysięcy potencjalnych ofiar. Stąd profilaktyka — Buyer Protection, MFA, wewnątrzplatformowe płatności — jest skuteczniejsza niż reagowanie po fakcie.

Powiązane terminy

• Scam — szersza kategoria oszustw internetowych
• Phishing — główny wektor podszywania się pod Vinted
• Smishing — fałszywe SMS-y kurierskie DPD/InPost
• Socjotechnika — psychologiczny fundament każdego scamu
• Malware — złośliwe oprogramowanie ze złośliwych linków
• Bot — automatyzacja masowych kampanii oszustw

Sprawdź nasze usługi

Chcesz chronić zespół lub firmę przed phishingiem, smishingiem i socjotechniką?

• SOC 24/7 — monitoring i blokowanie kampanii phishingowych
• Incident Response — reagowanie na incydenty
• Szkolenia Security Awareness — rozpoznawanie scamów i socjotechniki

Oszustwa na Vinted to typowy przykład konsumenckiego cyberzagrożenia, w którym sama platforma jest neutralnym kanałem, a ryzyko leży w warstwie ludzkiej. Najlepszą ochroną jest świadomość mechanizmów (top 10 schematów), trzymanie się Vinted Buyer Protection (płatność wewnątrz aplikacji) i znajomość ścieżki reakcji po incydencie (Vinted Support → bank → CSIRT NASK → policja → UOKiK).