Bezpieczeństwo mObywatel i profilu zaufanego - poradnik

Twój telefon coraz częściej zastępuje portfel i dokumenty. Aplikacja mObywatel pozwala okazać dowód osobisty w urzędzie, podpisać dokumenty elektronicznie i załatwić dziesiątki spraw administracyjnych bez wychodzenia z domu. To ogromna wygoda — ale też nowe ryzyko. Jeśli ktoś uzyska dostęp do Twojego mObywatela lub profilu zaufanego, może działać w Twoim imieniu w sposób trudny do cofnięcia.

Czym jest mObywatel i co w nim przechowujesz

mObywatel to oficjalna aplikacja polskiego rządu dostępna na Android i iOS. Gromadzi Twoje dokumenty i uprawnienia w jednym miejscu:

• Dokument mObywatel — cyfrowy odpowiednik dowodu osobistego, honorowany przez policję, urzędy i coraz więcej firm
• Prawo jazdy mDokument — cyfrowy odpowiednik fizycznego prawa jazdy
• Legitymacja studencka lub uczniowska — z działającym kodem QR
• Karta EKUZ — europejska karta ubezpieczenia zdrowotnego
• Certyfikat covidowy i inne dokumenty zdrowotne
• Profil zaufany — integracja pozwalająca na logowanie do ePUAP i podpisywanie dokumentów

Utrata kontroli nad tymi danymi to poważne zagrożenie. Dlatego warto podejść do zabezpieczenia aplikacji tak samo poważnie, jak do zabezpieczenia konta bankowego.

Profil zaufany — Twój elektroniczny podpis

Profil zaufany to chyba najważniejszy element tożsamości cyfrowej Polaka w sieci. Umożliwia:

• logowanie do e-urzędu (ePUAP), ZUS, US, NFZ, CEIDG i setek innych instytucji
• podpisywanie wniosków, pism i dokumentów z mocą prawną
• składanie zeznań podatkowych (e-PIT)
• zakładanie i zarządzanie działalnością gospodarczą online

Profil zaufany możesz założyć przez bankowość elektroniczną (np. PKO BP, mBank, ING), przez punkt potwierdzający w urzędzie lub przez aplikację mObywatel. Po założeniu jest powiązany z Twoim numerem PESEL.

Traktuj dostęp do profilu zaufanego jak hasło do bankowości internetowej. Ktoś, kto przejmie Twój profil zaufany, może w Twoim imieniu podpisywać dokumenty i składać wnioski do urzędów.

Największe zagrożenia dla mObywatela i profilu zaufanego

Kradzież lub zgubienie telefonu

To najprostszy i najczęstszy scenariusz. Jeśli Twój telefon nie ma silnej blokady ekranu, złodziej może od razu uzyskać dostęp do aplikacji mObywatel i profilu zaufanego.

Jak się zabezpieczyć: ustaw PIN o co najmniej 6 cyfrach lub silne hasło. Odcisk palca i FaceID to dobre uzupełnienie, ale zawsze powinny być poparte silnym kodem, bo biometria ma swoje ograniczenia.

Ataki socjotechniczne i Phishing — co to jest i jak się bronić?

Przestępcy rozsyłają fałszywe SMS-y i e-maile podszywające się pod mObywatel, ePUAP lub mDokumenty. Treść zazwyczaj brzmi: „Twój profil zaufany wygaśnie — potwierdź dane przez ten link” lub „Twoje dokumenty w mObywatel wymagają weryfikacji”.

Klikając w link, trafiasz na stronę łudząco podobną do obywatel.gov.pl. Jeśli podasz tam swoje dane logowania — oddajesz je przestępcom.

Więcej o tym, jak działają takie ataki, przeczytasz w artykule Jak chronić się przed phishingiem? Praktyczny poradnik.

Zasada nr 1: Rząd nigdy nie prosi o weryfikację profilu zaufanego przez SMS lub e-mail. Jeśli dostajesz taką wiadomość — to atak.

Udostępnianie ekranu

Coraz popularniejsza technika ataku polega na nakłonieniu ofiary do udostępnienia ekranu przez aplikację do wideokonferencji. „Konsultant banku” lub „pracownik urzędu” prosi o włączenie udostępniania ekranu, żeby „pomóc rozwiązać problem”. W trakcie widzi wszystko — w tym kody jednorazowe z profilu zaufanego.

Nigdy nie udostępniaj ekranu żadnej nieznanej osobie, szczególnie jeśli na ekranie jest mObywatel lub bankowość internetowa.

Przejęcie konta przez SIM swapping

SIM swapping — jak przestępcy kradną Twój numer telefonu polega na wyłudzeniu od operatora duplikatu Twojej karty SIM. Po przejęciu numeru przestępca może zresetować hasło do profilu zaufanego, bo weryfikacja SMS trafi do niego.

Jak się chronić: poproś operatora o dodatkowe zabezpieczenie konta (hasło do zmian na koncie), włącz weryfikację bez SMS — np. przez aplikację mObywatel zamiast kodu SMS.

Jak bezpiecznie skonfigurować mObywatel

Poniżej lista ustawień, które powinieneś sprawdzić po instalacji:

Blokada aplikacji: Wejdź w Ustawienia mObywatela i włącz blokadę PIN lub biometryczną dla samej aplikacji — niezależnie od blokady całego telefonu. Nawet jeśli ktoś odblokuje telefon, mObywatel będzie chroniony osobnym kodem.

Aktualizacje: Zawsze instaluj aktualizacje mObywatela i systemu operacyjnego. Rząd regularnie wydaje poprawki bezpieczeństwa.

Nie root, nie jailbreak: Nie korzystaj z mObywatela na urządzeniu z rootem (Android) ani jailbreakiem (iOS). Aplikacja wykrywa takie modyfikacje i może odmówić działania — słusznie, bo na zrootowanym telefonie inne aplikacje mogą mieć dostęp do Twoich danych.

Kopie bezpieczeństwa: mObywatel nie tworzy kopii zapasowych dokumentów w chmurze — to zamierzone działanie dla bezpieczeństwa. W razie utraty telefonu logujesz się na nowym urządzeniu i pobierasz dokumenty ponownie.

Co zrobić, gdy zgubisz telefon

Działaj szybko. Masz kilka możliwości zdalnej dezaktywacji:

1. Przez stronę obywatel.gov.pl — zaloguj się z innego urządzenia przez przeglądarkę, wejdź w zarządzanie aplikacją i ją dezaktywuj
2. Infolinia mObywatel — numer 42 253 54 50, dostępna całą dobę
3. Punkt obsługi w urzędzie — możesz zgłosić się osobiście z innym dokumentem tożsamości

Po dezaktywacji aplikacja na zgubionym telefonie przestaje działać. Profil zaufany pozostaje aktywny — możesz go podłączyć na nowym urządzeniu.

Pamiętaj też o zgłoszeniu kradzieży telefonu operatorowi (blokada karty SIM) i ewentualnie na policji.

ePUAP i bezpieczeństwo transakcji urzędowych

ePUAP (Elektroniczna Platforma Usług Administracji Publicznej) to brama do elektronicznych usług publicznych. Profil zaufany jest kluczem do tej bramy.

Kilka zasad bezpiecznego korzystania z ePUAP:

• Loguj się tylko przez oficjalną stronę — adres to zawsze gov.pl. Sprawdzaj adres URL, zwróć uwagę na certyfikat SSL (kłódka)
• Nie korzystaj z ePUAP w publicznych sieciach Wi-Fi bez Co to jest VPN? Kompletny przewodnik dla każdego — ruch sieciowy może być podsłuchiwany
• Po zakończeniu sesji wyloguj się — nie zamykaj tylko zakładki przeglądarki
• Sprawdzaj historię logowań — ePUAP pokazuje ostatnie sesje; jeśli widzisz nieznane logowania, natychmiast zmień hasło

Weryfikacja tożsamości — jak nie dać się nabrać

Przestępcy coraz częściej próbują wyłudzić dane tożsamości pod pretekstem „weryfikacji” przez fałszywe serwisy łudząco podobne do obywatel.gov.pl lub mObywatel.

Kilka sygnałów ostrzegawczych:

• Strona prosi o numer PESEL i inne dane w jednym formularzu bez logowania przez profil zaufany
• Otrzymałeś SMS lub e-mail z prośbą o „potwierdzenie tożsamości” z podejrzanym linkiem
• Ktoś przez telefon prosi Cię o odczytanie kodu z mObywatela lub podanie kodu autoryzacyjnego
• Strona wygląda jak gov.pl, ale adres URL jest inny (np. mObywatel-weryfikacja.pl)

Jeśli masz wątpliwości co do autentyczności wiadomości, zadzwoń bezpośrednio na infolinię urzędu lub wejdź na stronę ręcznie, wpisując adres w przeglądarce — nigdy nie klikaj w linki z SMS-a.

Ochrona PESEL a mObywatel

Twój numer PESEL jest powiązany z profilem zaufanym i mObywatelem. Warto go chronić. Od 2024 roku możesz zastrzec swój PESEL w aplikacji mObywatel — po zastrzeżeniu nikt nie zaciągnie na Twoje dane kredytu ani nie podpisze umowy bez Twojej zgody.

Więcej o tym mechanizmie przeczytasz w artykule Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży.

Korzystaj też z Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć wszędzie, gdzie to możliwe — szczególnie przy logowaniu do bankowości, która jest powiązana z profilem zaufanym.

Co zrobić teraz?

1. Włącz osobny PIN do mObywatela — wejdź w Ustawienia aplikacji i aktywuj blokadę biometryczną lub PIN niezależny od blokady ekranu telefonu
2. Zastrzeż PESEL — zrób to teraz w aplikacji mObywatel (zakładka Bezpieczeństwo → Zastrzeżenie PESEL) — to darmowe i skuteczne
3. Sprawdź historię logowań na ePUAP — zaloguj się na gov.pl i przejrzyj ostatnie sesje; jeśli coś jest podejrzane, zmień hasło i zgłoś incydent
4. Poproś operatora o zabezpieczenie konta SIM — zadzwoń do swojego operatora (Orange, Play, T-Mobile, Plus) i poproś o dodanie hasła do zmian na koncie, żeby ochronić się przed SIM swappingiem
5. Zapisz numer infolinii mObywatel (42 253 54 50) w telefonie lub na kartce — w nagłej sytuacji nie będziesz szukał numeru w internecie