Nie tylko rekomendacje analityków, komunikaty giełdowe i media potrafią wstrząsnąć kursem spółki giełdowej. Coraz częściej przyczyn takich, a nie innych reakcji inwestorów można szukać na platformach społecznościowych. Ostatnio przekonali się o tym inwestujący w akcje XTB, zaniepokojeni wpisem na portalu Wykop.pl o stracie klienta XTB 150 tys. zł przez włamanie na konto. W przeszłości akcje innych spółek z giełdy reagowały na posty z Instagrama czy Facebooka.
Na portalu Wykop.pl w pierwszy lipcowy weekend ukazał się post nowego użytkownika o nicku Idiotique zatytułowany „Uwaga ostrzeżenie dla wszystkich inwestujących przez XTB”, w którym została opisana sytuacja rzekomego włamania na brokerskie konto klienta i dokonania nieautoryzowanych transakcji, polegających na sprzedaży dotychczasowych instrumentów, a w zamian za dostępne środki, kupna innych.
Historia, która mogła zdarzyć się każdemu?
Według zamieszczonego opisu chodziło o transakcje na mało płynnych „śmieciowych spółkach”. Na mało popularnych walorach arkusz zleceń kupna i sprzedaży potrafi być pusty albo bardzo dziurawy, przez co przejęte konto poszkodowanego, kupując takie akcje, może płacić konkretnej drugiej stronie transakcji, która osiąga zysk, sprzedając papiery po wyższej cenie, niż wcześniej kupiła. Oczywiście sprzedający nie musi mieć konta w XTB, bo dostęp do rynku, polskiego czy zagranicznego może mieć za pomocą innego brokera.
W ten sposób z konta poszkodowanego miało być wyprowadzone 150 tys. zł. Warto zaznaczyć, że wypłata przelewem zgromadzonych na rachunku środków jest możliwa tylko na powiązany z kontem rachunek bankowy, stąd ten sposób wyczyszczenia rachunku wybrany przez złodzieja, poprzez sprzedaż jednych a kupno innych aktywów.
„Wszystko zostało sprzedane w kilka minut: nawet długo trzymane akcje, ETF-y, papiery, które nie były ruszane od lat itp. W ich miejsce – tysiące transakcji na jakichś dziwnych instrumentach, zupełnie mi nieznanych. Kupno-sprzedaż, kupno-sprzedaż. Bot? Automat? Nie mam pojęcia. Ale wyglądało to na zaprogramowaną rzeźnię” – opisuje użytkowników portalu Wykop.pl, podkreślając, że aktywność ta odbiegała od sposobu, w jaki do tej pory inwestował.
Powyższa historia pojawiła się też na Facebooku, gdzie trafił na nią Mateusz Samołyk z portalu Inwestomat.eu, opisując, będąc w kontakcie z poszkodowanym i XTB wszystkie szczegóły oraz sposoby uniknięcia podobnych przypadków w przyszłości, o czym za chwilę. Okazuje się, że historia ujrzała światło dzienne już ponad miesiąc temu, ponieważ pod imieniem i nazwiskiem Pan Łukasz Motyl na LinkedIn ją opisał, ale hermetyczna społeczność portalu nie nagłośniła dostatecznie sprawy.
Zasięgi z wygenerowane przez Wykop.pl, Facebook oraz platformę X, gdzie szeroko opisał ją Inwestomat.eu sprawiły, że sprawa przebiła się także do branżowych gazet takich jak „Puls Biznesu” i „Parkiet”. Na Bankier.pl o sprawie od kilku dni dyskutowano na bankierowym forum spółki, a jej tło znalazło się w naszym podsumowaniu dnia na giełdzie, bowiem nawet analitycy cytowani przez „Puls Biznesu” łączyli sprawę z mocnym spadkiem kursu XTB na GPW, obok niesatysfakcjonujących wyników Plus500, czyli rynkowego konkurenta oraz rosnącej presji ze strony Robinhooda, rozpychającego się w Europie.
Wizerunek XTB ucierpiał, ponieważ inwestorzy mogli zacząć mieć obawy o bezpieczeństwo klientów brokera, których stały dopływ mógłby zostać przez sprawę skutecznie zahamowany, a to jeden z czynników (pozyskiwanie nowych klientów i ich aktywność) mających bezpośredni wpływ na wyniki XTB, obok zmienności na rynkach finansowych.
Mateusz Samołyk przekazał, że „XTB ani nie potwierdza, ani nie zaprzecza, że ten konkretny przypadek się wydarzył, jednocześnie przypominając, że nie może, bo osobom trzecim nie udziela takich informacji”.
Kontynuacja sprawy okradzionego klienta, bo dostałem odpowiedź od XTB i więcej szczegółów od osoby poszkodowanej. Zacznę od najważniejszego: mam nadzieję, że jeśli nie mieliście, to macie już 2FA na swoich kontach włączone.
— Inwestomat.eu (@Inwestomat_eu) July 7, 2025
1) XTB ani nie potwierdza, ani nie zaprzecza, że ten… pic.twitter.com/F6fp6up7ho
W podsumowaniu swojej historii pan Łukasz pisze: „XTB wzięło ~40'000 PLN w prowizjach i przewalutowaniach z tych nieautoryzowanych transakcji. Cała strata to 150'000 PLN. I ich odpowiedź? Trzeba było lepiej zadbać o swoje hasło. Złożyłem reklamację. Dwa razy - obie odrzucone bez wyjaśnienia. Rzucono mi tylko punktem z regulaminu w twarz sugerując, że moja wina bo nie wpisywałem ręcznie hasła w przeglądarkę za KAŻDYM RAZEM (pisownia oryginalna).
Zwraca także uwagę na to, że dotarł do grupy ponad 20 osób z Czech (tam XTB także prowadzi działalność), które spotkała dokładnie ta sama historia. „Konto wyczyszczone przez nieznanego intruza, potem ta sama ściana milczenia. Policja nie ma danych, bo XTB ich nie udostępnia. Rzecznik Finansowy – cisza. Reklamacja – odrzucona. Klient winny. Koniec” – czytamy.
Zadbaj o swoje bezpieczeństwo w sieci
Trzeba jednak wyraźnie powiedzieć, że historia jak ta opisana przez Pana Łukasza zapewne nigdy by się nie wydarzyła, gdyby miał on włączone uwierzytelnianie dwuskładnikowe (2FA), czyli takie, gdzie wykorzystywane są dwa z trzech możliwych rodzajów uwiarygodnienia użytkownika. Mogą to być sposoby dotyczące czegoś, co się wie - np. hasło, PIN, odpowiedź na pytanie bezpieczeństwa, czegoś, co się ma – np. telefon (do otrzymania SMS-a lub użycia aplikacji generującej kody), token sprzętowy, klucz U2F lub czegoś, co świadczy kim jesteś – czyli danych biometrycznych, np. odcisk palca, rozpoznawanie twarzy.
Jak wynika z komunikatu XTB rozesłanego do mediów uwierzytelnianie dwuskładnikowe (2FA) jest dostępne dla jego klientów od 2024 r. w formie kodów otrzymywanych drogą SMS. Jak zaznaczył Pan Łukasz, nie miał 2FA, bo jak pisze „XTB przez lata go nie oferowało”. „Próbowałem włączyć rok temu, trzy i pięć lat temu – nie było takiej opcji” – opisał. Żeby być precyzyjnym, przypomnijmy, że tą metodę XTB wprowadziło w sierpniu 2024 r.
„Mimo szeroko zakrojonych działań komunikacyjnych, wciąż tylko nieco ponad 10% klientów XTB korzysta z zabezpieczenia konta za pomocą 2FA. Dlatego w trosce o bezpieczeństwo inwestorów w drugiej połowie lipca rozpocznie się proces włączania uwierzytelnienia dwuskładnikowego dla obecnych klientów. Ponadto w IV kwartale 2025 każdy nowy klient będzie miał włączone 2FA już w momencie zakładania konta” - poinformowało XTB w komunikacie prasowym w nawiązaniu do sprawy.
Pytanie jakie nasuwa się w pierwszej kolejności, to jak spółka informowała o możliwości włączenia zabezpieczenia konta za pomocą 2FA, skoro informuje, o szeroko „zakrojonych działaniach komunikacyjnych”? Zapytaliśmy o to w XTB. Owszem 7 lipca klienci XTB otrzymali na swoje skrzynka mailowe wiadomość zachęcającą do włączenia 2FA na swoim koncie.
[Aktualizacja] Jak dowiedzieliśmy się w XTB, informacje o nowym sposobie uwierzytelnienia (2FA) były wysyłane mailowo od sierpnia 2024 r. do kolejnych grup kilentów. W pierwotnej wersji tego fragmentu tekstu napisaliśmy, że trudno było szukać zachęt do włączenia 2FA w wiadomościach w 2024 r. - co potwierdziło kilku klientów XTB, których widocznie ów e-mail musiał ominąć z różnych powodów (np. zgody marketingowe). Informację o wprowadzeniu wieloskładnikowego logowania znajdowały się natomiast w załączniku z maila dotyczącego zmian w regulaminie rozsyłanym w sierpniu 2024 r. Spółka również przesłała informację prasową do mediów, którą te szybko przedrukowały. Na kanale YouTube wypuszczono instruktażowy film jak włączyć metodę 2FA. Statystyki, o których wspomniana XTB zdradzają jednak, że tylko dziesiąta część klientów zdecydowała się skorzystać ze zwiększonego bezpieczeństwa.
"Możliwość uwierzytelnienia dwuskładnikowego jest dostępna od sierpnia 2024 roku. Od tego czasu regularnie informowaliśmy o tej funkcjonalności różnymi kanałami, m.in. mailingi, wiadomości push oraz pop-up w aplikacji mobilnej w okienku “Polecane” w zakładce “Odkryj”. Co więcej, każdy użytkownik korzystający z eWallet w aplikacji XTB obligatoryjnie musi włączyć 2FA. Dodatkowo, w najbliższych tygodniach zostanie stopniowo uruchomiona procedura automatycznego włączenia uwierzytelnienia dwuskładnikowego u klientów" - odpowiedziało XTB na nasze pytanie jak informowano o uwierzytelnieniu 2FA.
Spółka informuje, że od 14 lipca br., klienci XTB będą mogli korzystać z nowej metody uwierzytelnienia - TOTP (Time-based One-Time Password), która polega na generowaniu jednorazowych kodów w popularnych aplikacjach, takich jak Google Authenticator, Microsoft Authenticator czy Apple Passwords. Widać, że spółka szybko wyciąga wnioski i próbuje szybko zareagować na kryzys wizerunkowy, który odbił się na kursie akcji.
Chociaż w poniedziałek 7 lipca, gdy afera zataczała coraz szersze kręgi w mediach społecznościowych, kurs XTB był już na spadkowej ścieżce od czterech sesji, w których stracił 8,4 proc., to kulminacja obaw inwestorów oraz być może reakcja na wyniki spółki Plus500 skończyły się przeceną o 6,14 proc. i wymazaniem około 540 mln zł kapitalizacji. We wtorek po pięciu spadkowych sesjach z rzędu kurs XTB obija, rosnąc około południa w granicach 3 proc.
Afery z platform społecznościowych
Warto zauważyć, że to nie pierwszy raz kiedy historie z social mediów mają wyraźne przełożenie na zachowania kursów giełdowych spółek i prowokują reakcją samych firm. Nie mówię tu o wpływie wpisów, postów i komunikatów na X od polityków, analityków, czy menedżerów spółek, które w oczywisty sposób skupiają uwagę. Widać, jednak, że nawet spore afery coraz częściej mają swoje źródła w historiach opisywanych przez klientów czy zwykłych pracowników właśnie na platformach społecznościowych.
Żeby nie być gołosłownym przypomnijmy, chociażby zeszłoroczną sytuację w JSW, kiedy to na Facebooku, w poście na grupie związków zawodowych, działających w spółce, pojawiły się założenia planu naprawczego dla JSW. Kurs spółki zareagował wzrostem o nawet 10 proc. Jak się później okazało, opublikowane dokumenty były efektem wycieku informacji ze spółki.
Z kolei w 2023 r. post na Instagramie na profilu użytkownika fit_recenzje sugerował, że w suplementach na bazie kreatyny produkowanych na zlecenie SFD znacznie przekroczone są normy dotyczące obecności rtęci. Po ponad 20-proc. spadkach kursu wywołanych coraz większymi zasięgami historii spółka SFD wydała oświadczenia, w którym potwierdziła, że w kilku partiach kreatyn przekroczone zostały normy metali ciężkich.
Wracając do sprawy XTB spółka przypomina, że kwestie związane z cyberbezpieczeństwem stanowią obecnie jedno z najważniejszych wyzwań dla fintechów na całym świecie. „Dane CERT NASK wskazują, że tylko w 2024 r. w całym kraju zarejestrowano 103 449 unikalne incydenty bezpieczeństwa, co było wzrostem aż o 29 proc. względem 2023 r.” Warto pamiętać, aby wszędzie tam, gdzie jesteśmy obecni w Internecie stosować najwyższe możliwe narzędzia bezpieczeństwa, nawet jeśli czasami utrudniają one wygodę korzystania z niektórych usług.
Na pytanie redakcji Bankier.pl, w jaki sposób klienci XTB mogą teraz w najwyższym stopniu zabezpieczyć się przed włamaniem na konto osób trzecich oraz jakie działania klientów są w tym obszarze wymagane? XTB odpowiada: "Przede wszystkim zalecamy, aby klienci aktywowali dwuskładnikowe uwierzytelnianie. Jest to podstawowy krok w kierunku zabezpieczenia się przed ewentualnymi cyberatakami i nieuprawnionym dostępem do rachunku".
"Dodatkowo w ustawieniach aplikacji można wyrazić zgodę na otrzymywanie powiadomień zarówno bezpośrednio w aplikacji, jak i za pośrednictwem wiadomości e-mail. Dzięki temu klienci są na bieżąco informowani o każdej transakcji oraz o wszelkich wpłatach i wypłatach z konta. Regularnie monitorujemy także pojawiające się w internecie informacje o potencjalnych wyciekach haseł i weryfikujemy je z naszą bazą danych. W przypadku zgodności, informujemy o konieczności zmiany hasła. Z tego względu prosimy o nielekceważenie tego typu wiadomości" - informuje spółka.
