3 godzin temu
Spółka zaprzecza, by wyświetlała fałszywe dane. Wskazuje na maszynowe ataki jako źródło problemów z dostępnością serwisu
PKP Polskie Linie Kolejowe S.A. odpowiedziały na interwencję posłanki Pauliny Matysiak dotyczącą nieprawidłowości w działaniu Portalu Pasażera. W piśmie z 19 lutego 2026 r. spółka zdecydowanie zaprzecza, by w serwisie działał mechanizm prezentujący pasażerom fałszywe lub losowe godziny odjazdów. Jednocześnie po raz pierwszy oficjalnie przyznaje, iż od połowy 2025 roku Portal Pasażera walczy z poważnym problemem maszynowego pobierania danych – scrapingu.
Scraping jak atak DDoS
Spółka nie szczędzi miejsca na wyjaśnienie, czym jest scraping i dlaczego uznaje go za działanie nielegalne w przypadku swojego serwisu. Argumentuje, iż dane w portalu są chronione prawem autorskim, pobieranie ich jest niezgodne z regulaminem, a skala działań scraperów przeciąża serwery w sposób porównywalny do ataku DDoS. To właśnie w tym kontekście należy odczytywać wdrożone mechanizmy ochronne.
Kluczowe pytanie interwencji – czy nieprawidłowości były efektem celowego systemu antybotowego – spółka zbija nieco zaskakującym wyjaśnieniem. Filmy demonstrujące błędne działanie portalu, opublikowane przez serwis „Zaufana Trzecia Strona”, miały zostać nagrane w trakcie prac serwisowych i przełączania środowisk przy wdrażaniu poprawek. Innymi słowy: to co wyglądało jak celowe fałszowanie danych, było – zdaniem PKP PLK – zwykłą niedogodnością towarzyszącą aktualizacjom systemu.
Kryteria blokowania pozostają tajemnicą
Spółka odmówiła ujawnienia szczegółowych kryteriów, według których ruch w portalu jest kwalifikowany jako podejrzany. Powołała się przy tym na bezpieczeństwo systemów teleinformatycznych. Na poziomie ogólnym zapewnia, iż mechanizmy ochronne analizują wzorce ruchu, a nie pojedyncze cechy użytkownika – i iż są projektowane tak, by minimalizować ryzyko wpływu na użytkowników korzystających ze współdzielonych adresów IP, w tym sieci CGNAT.
To ważne zastrzeżenie, bo właśnie CGNAT – technologia stosowana powszechnie przez operatorów mobilnych – był wskazywany jako potencjalne źródło problemu. Jeden „podejrzany” użytkownik za tym samym adresem IP może pociągnąć za sobą blokadę setek niewinnych pasażerów.
Dostępność cyfrowa: częściowa zgodność
Portal Pasażera jest – jak przyznaje spółka – jedynie częściowo zgodny z ustawą o dostępności cyfrowej. Wśród niedostępnych elementów wymieniono między innymi wybór liter w katalogu stacji, pasek zmiany godzin w wynikach wyszukiwania oraz pliki PDF z rozkładami. Funkcje map są z kolei wyłączone spod obowiązku dostępności na mocy przepisów.
Zgłoszenia przez formularz – jedyna droga dla pasażerów
Na pytanie o procedurę odwoławczą dla użytkowników niesłusznie zablokowanych spółka odpowiada, iż każdy problem można zgłosić przez formularz kontaktowy lub e-mail. Przy zablokowaniu adresu IP pasażer ma otrzymać stosowny komunikat na ekranie. Nie ma jednak mowy o jakimkolwiek automatycznym trybie odwoławczym ani gwarancji czasu reakcji.
W kwestii ewentualnych komunikatów ostrzegawczych dla pasażerów spółka ogranicza się do stwierdzenia, iż „na bieżąco analizuje zasadność” ich publikacji. To odpowiedź, która nie zobowiązuje do niczego.
Ochrona infrastruktury czy ochrona wizerunku?
Odpowiedź PKP PLK jest starannie skonstruowana: spółka nigdzie nie stwierdza wprost, iż żaden pasażer nigdy nie otrzymał błędnej informacji przez system antybotowy. Zaprzecza natomiast, iż prezentowanie fałszywych danych było celowym działaniem. To subtelna, ale istotna różnica. Pytanie, czy mechanizmy ochronne – choćby jeżeli niezamierzenie – prowadziły do dezinformacji pasażerów, pozostaje bez jednoznacznej odpowiedzi.
