Klonowanie głosu, fałszywy szef na wideo i prezes z reklamy — anatomia oszustw AI w 2026 i jak się bronić

W styczniu 2024 roku pracownik finansowy hongkońskiego oddziału brytyjskiej firmy inżynieryjnej Arup dostał maila od „dyrektora finansowego z Londynu” w sprawie poufnej transakcji. Był sceptyczny — do momentu, gdy zaproszono go na wideokonferencję. Zobaczył na niej CFO i kilkoro znajomych współpracowników. Wyglądali jak oni, mówili jak oni. Problem w tym, że wszyscy uczestnicy rozmowy poza nim byli deepfake'ami wygenerowanymi przez AI. Pracownik wykonał 15 przelewów na pięć kont — łącznie ok. 25,6 mln dolarów (200 mln HKD). Pieniędzy do dziś nie odzyskano, sprawców nie zatrzymano.

To nie jest scenariusz z filmu. To udokumentowany, opisany przez CNN i potwierdzony przez samą firmę przypadek — i wzorzec, który w 2026 roku jest już masowo kopiowany, także w Polsce, tyle że zwykle na mniejsze kwoty. W tym tekście rozbieram na części anatomię oszustw opartych na AI i podaję konkretne procedury, które realnie obniżają ryzyko — dla Ciebie prywatnie i dla Twojej firmy.

Jak tanio klonuje się dziś głos (i twarz)

Najważniejsza zmiana ostatnich lat: bariera wejścia praktycznie zniknęła. Microsoft pokazał już w 2023 roku model VALL-E, który generuje mowę brzmiącą jak konkretna osoba na podstawie zaledwie 3-sekundowej próbki głosu. Komercyjne narzędzia do klonowania głosu przyjmują dziś próbki rzędu kilku–kilkudziesięciu sekund; dłuższe nagranie (30–60 s) daje po prostu lepszą jakość. Pojawiły się też modele działające lokalnie, za darmo i bez jakiejkolwiek weryfikacji zgody osoby, której głos jest klonowany.

Co to oznacza w praktyce? Jeśli kiedykolwiek nagrałeś rolkę na Instagram, wystąpiłeś w podcaście, na webinarze albo zostawiłeś wiadomość głosową — materiał do sklonowania Twojego głosu już istnieje. Dla prezesa czy rzecznika firmy, który regularnie występuje publicznie, to setki minut próbek w otwartym dostępie. Wideo-deepfake na żywo (podmiana twarzy w czasie rzeczywistym na wideorozmowie) wymaga nieco więcej zachodu, ale — jak pokazuje sprawa Arup — jest w zasięgu zorganizowanych grup przestępczych.

Polska specjalność: prezes z reklamy i „gwarantowane inwestycje”

W Polsce najpowszechniejszym wcieleniem deepfake'ów są fałszywe reklamy inwestycyjne z wizerunkami znanych osób. NASK ostrzegał, że przestępcy bezprawnie wykorzystali wizerunki ponad 120 osób publicznych — m.in. prezydenta Andrzeja Dudy, Roberta Lewandowskiego, premiera Donalda Tuska i prezesa InPostu Rafała Brzoski. Schemat jest powtarzalny: sponsorowany post na Facebooku, spreparowane wideo (często z techniką lip-sync — podłożony głos plus zsynchronizowane usta), w którym „prezes” lub „minister” zachęca do platformy inwestycyjnej obiecującej szybkie zyski. Klik prowadzi do formularza, potem dzwoni „doradca”, który metodą małych kroków doprowadza ofiarę do przelewów — czasem na setki tysięcy, a według CERT Polska zdarzają się straty przekraczające milion złotych.

Skala jest ogromna. CSIRT KNF zidentyfikował w 2025 roku 41 751 niebezpiecznych domen, z czego ponad 40 tysięcy (96%) dotyczyło fałszywych inwestycji — rekordowy był październik z 12,1 tys. wykrytych stron w jeden miesiąc. CERT Polska w swoim raporcie o oszustwach reklamowych policzył, że 86,8% zgłoszeń użytkowników dotyczących fałszywych reklam Meta odrzuciła bez usunięcia materiału. Sprawa Brzoski pokazała zresztą, jak opieszałe bywają platformy: dopiero prezes UODO w sierpniu 2024 r. — pierwszą taką decyzją w historii — nakazał Mecie wstrzymanie wyświetlania fałszywych reklam z wizerunkiem Brzoski i jego żony. Nowość ostatnich sezonów to recovery scam: do osób już okradzionych zgłaszają się „kancelarie”, które za opłatą obiecują odzyskać stracone środki — i okradają je drugi raz.

Trzy schematy ataków na firmy

1. CEO fraud 2.0. Klasyczne „prezes prosi o pilny przelew” w wersji multimedialnej: mail otwiera kontakt, a uwiarygodnieniem jest telefon ze sklonowanym głosem szefa albo — jak w Arup — cała wideokonferencja z deepfake'owym zarządem. Atak celuje w księgowość i finanse, gra na presji czasu, poufności („sprawa objęta NDA, nie rozmawiaj z nikim”) i autorytecie.

2. Vishing, czyli głosowy phishing. Telefon „z banku”, „z działu IT”, „od wnuczka w tarapatach” — tyle że głos może być sklonowany z mediów społecznościowych ofiary lub jej bliskich. Coraz częściej numer telefonu jest dodatkowo podszyty (spoofing), więc na wyświetlaczu widzisz prawdziwy numer infolinii banku.

3. Fałszywe rekrutacje — w obie strony. Oszuści podszywają się pod znane firmy, wabią ofertami pracy i wyłudzają dane lub „opłaty rekrutacyjne”. Działa też wariant odwrotny: kandydat na zdalną rozmowę kwalifikacyjną przychodzi z podmienioną twarzą i cudzym CV, a po zatrudnieniu uzyskuje dostęp do systemów firmy.

Checklista obronna: Ty i Twoja rodzina

• Ustal hasło rodzinne — słowo lub pytanie, którego nie da się wygooglować. Każda prośba o pieniądze „od bliskiego” telefonicznie = najpierw hasło.
• Zasada callbacku: rozłącz się i oddzwoń sam, na numer zapisany w kontaktach — nigdy na numer podany w rozmowie czy SMS-ie. Bank nigdy nie poprosi Cię o przelew „na konto techniczne” ani o zainstalowanie aplikacji zdalnego pulpitu.
• Reklama inwestycyjna ze znaną twarzą = oszustwo. Ani Brzoska, ani Lewandowski, ani prezydent nie reklamują platform z „gwarantowanym zyskiem”. Zanim cokolwiek wpłacisz, sprawdź podmiot na liście ostrzeżeń publicznych KNF.
• Ogranicz próbki swojego głosu i twarzy tam, gdzie to możliwe (publiczne konta, wiadomości głosowe do nieznajomych) — a przede wszystkim załóż, że klon może powstać, i opieraj bezpieczeństwo na procedurach, nie na rozpoznawaniu głosu.
• Podejrzany SMS przekaż na numer 8080 (bezpłatny numer CERT Polska), a podejrzane strony i deepfaki zgłaszaj na incydent.cert.pl.

Checklista obronna: Twoja firma

• Zasada drugiego kanału: każda dyspozycja finansowa lub zmiana numeru konta kontrahenta otrzymana mailem/telefonem/wideo musi być potwierdzona innym, niezależnym kanałem (oddzwonienie na numer z umowy, nie z maila).
• Limit + dwie pary oczu: przelewy powyżej ustalonego progu zawsze autoryzują dwie osoby. Bez wyjątków „bo prezes prosił pilnie” — presja czasu i poufność to sygnatury ataku, a nie powód do skracania procedury.
• Hasło firmowe / pytanie kontrolne dla wrażliwych dyspozycji przekazywanych głosowo lub na wideo — ustalone offline, rotowane okresowo.
• Szkolenie zespołu z przykładami: pokaż księgowości nagranie deepfake'a i opisz sprawę Arup. Pracownik, który wie, że „widziałem szefa na wideo” nie jest już dowodem, zatrzyma atak, którego nie zatrzyma żaden filtr antyspamowy. Przećwicz scenariusz raz na kwartał.
• Procedury rekrutacyjne: weryfikacja tożsamości kandydatów zdalnych (dokument na żywo, prośba o obrót głowy/zasłonięcie twarzy dłonią — proste testy łamiące większość podmian twarzy w czasie rzeczywistym), a w ogłoszeniach jasna informacja, że firma nigdy nie pobiera opłat rekrutacyjnych.
• Monitoruj wizerunek marki i zarządu: alerty na nazwisko prezesa + „inwestycje”, szybka ścieżka zgłaszania fałszywych reklam do platform, CERT Polska i prawnika.

Co zrobić w pierwsze 24 godziny po ataku

• Natychmiast zadzwoń do banku (swojego, a przy przelewie firmowym także banku odbiorcy) i żądaj wstrzymania/zwrotu środków. Liczy się każda minuta — przelewy krajowe są często do zatrzymania tylko w bardzo krótkim oknie.
• Zgłoś sprawę policji — osobiście w komisariacie lub przez zgłoszenie cyberprzestępstwa; przy dużych kwotach poproś o kontakt z wydziałem ds. cyberprzestępczości. Zabezpiecz dowody: zrzuty ekranu, maile z pełnymi nagłówkami, numery telefonów, numery kont, nagrania.
• Zgłoś incydent do CERT Polska na incydent.cert.pl (podejrzane SMS-y — przekaż na 8080). Jeśli sprawa dotyczy sektora finansowego, trafi też do CSIRT KNF — to przyspiesza blokowanie domeny i ostrzeżenie kolejnych ofiar.
• Zmień hasła i odetnij dostępy, jeśli w grę wchodziło przejęcie konta, instalacja oprogramowania lub podanie danych logowania; zastrzeż dokumenty (np. przez mObywatel), jeśli wyciekły dane osobowe.
• W firmie: uruchom komunikację wewnętrzną. Poinformuj zespół finansów i zarząd — atakujący często próbują drugi raz, innym kanałem, póki wiedzą, że procedury są „miękkie”. Ofiarą paść może każdy; kultura karania za zgłoszenie tylko opóźnia reakcję.

AI Act: deepfaki trzeba oznaczać

Na koniec kontekst prawny, który właśnie staje się praktyką. Artykuł 50 unijnego AI Act, którego obowiązki przejrzystości wchodzą w życie 2 sierpnia 2026 roku, nakłada wprost: każdy, kto za pomocą AI generuje lub manipuluje obrazem, dźwiękiem albo wideo stanowiącym deepfake, musi ujawnić, że treść została sztucznie wygenerowana. Dostawcy systemów generatywnych mają znakować treści tak, by dało się je maszynowo rozpoznać, a Komisja Europejska pracuje nad kodeksem postępowania i wytycznymi doprecyzowującymi te obowiązki. Dla twórcy oznacza to dwie rzeczy: po pierwsze, jeśli sam używasz awatarów AI czy klonu własnego głosu w treściach komercyjnych — oznaczaj to wyraźnie, bo to już obowiązek prawny, a nie dobra praktyka. Po drugie — przestępcy oczywiście niczego nie oznaczą. Dlatego prawo Cię nie ochroni przed deepfake'iem; ochronią Cię procedury z checklist powyżej. Zaufanie do głosu i twarzy właśnie przestało być metodą weryfikacji. Niech od dziś będzie nią drugi kanał.

Źródła: CNN Business — Arup ofiarą deepfake'a na 25 mln USD, CFO Dive, NASK — ostrzeżenie przed deepfake'ami z wizerunkami znanych osób, CERT Polska — Oszustwa reklamowe na dużych platformach, Bankier.pl — raport roczny CSIRT KNF, Freethink — Microsoft VALL-E klonuje głos z 3 sekund nagrania, Demagog — deepfake z Rafałem Brzoską, AI Act, art. 50 — obowiązki przejrzystości, incydent.cert.pl. Tekst powstał z pomocą AI i przeszedł weryfikację redakcyjną człowieka. Grafiki: wygenerowane przez AI (Gemini).