Rosyjska wojna hybrydowa z Polską nabiera tempa. Setki ataków, dziesiątki szpiegów i prowokacji

Raport „Polska jako cel rosyjskich ataków hybrydowych” autorstwa dr. Aleksandra Olecha, Justyny Smoleń i Amelii Wojciechowskiej z zespołu Defence24 analizuje incydenty z lat 2020–2025, z uwzględnieniem zdarzeń z początków 2026 r. Autorzy podkreślają skuteczność polskich służb w neutralizowaniu części zagrożeń, ale jednocześnie ostrzegają przed dalszą eskalacją aktywności Kremla.

Analiza opiera się na danych ABW, prokuratury oraz informacjach przekazanych przez partnerów z NATO. Z zebranych materiałów wynika, że Rosja traktuje Polskę jako strategiczny „poligon testowy” odporności Sojuszu Północnoatlantyckiego. Działania prowadzone są poniżej progu otwartej wojny i mają sprawdzić granice reakcji państwa oraz jego sojuszników. W latach 2020–2025 odnotowano ponad 100 incydentów – od cyberataków po fizyczne sabotaże i działalność szpiegowską.

Cele strategiczne Kremla i modus operandi służb

Główna teza raportu jest jednoznaczna: rosyjskie działania hybrydowe mają charakter długofalowy i skoordynowany. Obejmują równocześnie sferę wojskową, informacyjną, cybernetyczną, energetyczną i polityczną. Ich celem jest osłabienie spójności NATO, ograniczenie wsparcia dla Ukrainy oraz pogłębianie wewnętrznych podziałów w Polsce – kraju, który stał się jednym z kluczowych centrów logistycznych pomocy dla Kijowa.

Przeczytaj: Terroryzm i dywersja wracają do słownika. Zagrożenie ma wiele narodowości

Rosyjskie służby – przede wszystkim GRU i FSB – starają się unikać bezpośredniego zaangażowania. W zamian korzystają z tzw. proxy-agentów, czyli osób rekrutowanych w internecie, m.in. przez Telegram, TikTok czy nawet gry wideo. Wynagrodzenie wypłacane jest zazwyczaj w kryptowalutach – od kilku dolarów za proste działania propagandowe, jak graffiti, po nawet 10 tys. dolarów za poważne przestępstwa.

Motyw finansowy pojawia się w około 95 proc. przypadków. Werbowani wykonawcy to najczęściej młodzi mężczyźni z przeszłością kryminalną. Według raportu 27 proc. sprawców ataków kinetycznych miało wcześniej wyroki za przestępstwa narkotykowe, napaści lub zabójstwa. W części operacji wykorzystywani są również Ukraińcy z Donbasu i regionów przyfrontowych, co – jak wskazują autorzy – ma sprzyjać wzmacnianiu antyukraińskich nastrojów w Polsce.

– Werbowanie przez gry wideo nie jest całkiem nowym zjawiskiem. Rekrutacja poprzez platformy gamingowe funkcjonowała wcześniej na Bliskim Wschodzie czy w USA – tłumaczy dr Aleksander Olech.

Jak przyznaje, obecnie takie metody zaczynają pojawiać się także w Europie, w tym w Polsce.

– Gry i komunikatory gamingowe tworzą anonimowe środowisko, w którym łatwo nawiązać kontakt z potencjalnymi wykonawcami działań sabotażowych – dodaje współautor raportu.

Działania cybernetyczne: paraliż infrastruktury krytycznej

Raport poświęca osobny rozdział cyberatakom, które stały się jednym z kluczowych narzędzi rosyjskiej wojny hybrydowej. Przykładem jest atak DDoS na PKP Intercity w styczniu 2025 r., kiedy hakerzy sparaliżowali system sprzedaży biletów, generując około 100 mln prób dostępu w ciągu jednej godziny. Podobny charakter miał incydent z marca 2025 r., gdy ransomware zablokowało system informatyczny szpitala MSWiA w Krakowie. Placówka została zmuszona do powrotu do dokumentacji papierowej i czasowego wstrzymania pracy oddziałów neurologicznych, a przywrócenie pełnej funkcjonalności systemów zajęło kilka tygodni.

W raporcie odnotowano również inne incydenty, m.in. manipulację systemami w elektrowni wodnej w maju 2025 r., gdy prorosyjscy haktywiści opublikowali w internecie dostęp do panelu sterowania, oraz atak na stację uzdatniania wody w Szczytnie. W tym przypadku napastnicy zdalnie zmieniali parametry chemiczne i przepływ wody. Eksperci podkreślają, że cyberataki coraz częściej koncentrują się na infrastrukturze krytycznej – od kolei po energetykę. W ten sposób powodują zakłócenia funkcjonowania państwa bez konieczności otwartej konfrontacji militarnej.

Inne rodzaje ataków: od podpaleń po szpiegostwo

Oprócz działań w cyberprzestrzeni raport opisuje także incydenty o charakterze kinetycznym i wywiadowczym. Wśród nich dominują podpalenia obiektów logistycznych i przemysłowych. Przykładem jest zdarzenie z lipca 2024 r., gdy paczka wysłana z Wilna z zapalnikiem ukrytym w masażerze doprowadziła do pożaru magazynu DHL w Jabłkowie, powodując straty szacowane na 2,9 mln zł. W maju 2024 r. Kolumbijczyk Anders D. podpalił składy w Warszawie i Radomiu – według ustaleń śledczych działał na zlecenie rosyjskiego GRU.

Raport opisuje również działania tzw. „kamerkowców”, którzy instalowali urządzenia obserwacyjne przy liniach kolejowych, aby monitorować transporty z pomocą dla Ukrainy, a w skrajnych przypadkach przygotowywać sabotaż infrastruktury. ABW zatrzymała w związku z tym procederem 16 osób.

Przeczytaj: Cel: infrastruktura krytyczna. Jak i dlaczego należy ją chronić oraz jak wygląda to w praktyce?

Szpiegostwo i prowokacje stanowią kolejny obszar aktywności. W listopadzie 2025 r. doszło do nielegalnego wtargnięcia na teren bazy wojskowej w Gdyni przez trzech obywateli Ukrainy i jednego Białorusina. Inne incydenty obejmowały fotografowanie obiektów wojskowych oraz działania na granicy, takie jak presja migracyjna – m.in. próbę przedostania się 183 migrantów przez wykopany podkop w rejonie Narewki.

W kontekście wojny informacyjnej autorzy raportu podkreślają również znaczenie operacji dezinformacyjnych. Mają one podsycać napięcia społeczne i podważać zaufanie do instytucji państwa.

Narodowość sprawców i reakcje polskich służb

Analiza narodowości osób zaangażowanych w działania sabotażowe i wywiadowcze wskazuje główne kierunki rekrutacji. Największą grupę stanowią Ukraińcy – 35–38 proc. Następnie Białorusini – 19–21 proc., Polacy – 17-19 proc., Rosjanie – 12–13 proc., a obywatele innych państw – 8–9 proc.

W 2025 r. zatrzymano 55 osób podejrzanych o działalność na rzecz obcych służb. Łącznie do stycznia 2026 r. liczba podejrzanych o szpiegostwo wyniosła 78. Po 2023 r. zarzuty z art. 130 kodeksu karnego postawiono 82 osobom. Przepis ten dotyczy działalności na rzecz obcego wywiadu przeciwko Rzeczypospolitej Polskiej, czyli klasycznego szpiegostwa.

Raport zwraca uwagę na rosnącą aktywność białoruskiego KGB w Polsce. W wielu operacjach pojawia się jednak także rosyjskie GRU, które pozostaje jednym z głównych aktorów działań wywiadowczych w regionie.

– Rzeczywiście obserwujemy dużą aktywność białoruskiego KGB w Polsce, jednak w wielu sprawach pojawia się także rosyjskie GRU. Rosja pozostaje jednym z głównych aktorów operacji wywiadowczych w regionie – mówi dr Aleksander Olech z Defence24.

Jego zdaniem największym wyzwaniem są tzw. jednorazowi agenci, czyli osoby rekrutowane do wykonania pojedynczych zadań sabotażowych lub dywersyjnych. Jak wyjaśnia ekspert, mogą to być obywatele Polski, Ukrainy lub innych państw europejskich, np. krajów bałtyckich. Tego typu operacje są trudniejsze do wykrycia, ponieważ nie wymagają długotrwałych kontaktów z rosyjskimi służbami. Komunikacja odbywa się często przez anonimowe kanały, a wynagrodzenia przekazywane są szybko i bez śladu – np. w kryptowalutach.

Przeczytaj: Potrzebują coraz mniej, aby osiągnąć więcej. Raport Google'a o rosyjskiej dezinformacji

Polskie służby – przede wszystkim ABW i SKW – w wielu przypadkach skutecznie neutralizują takie sieci. Prokuratura kieruje sprawy do sądów, a wyroki sięgają nawet sześciu lat więzienia za sabotaż. W przypadku czynów o charakterze terrorystycznym grozi kara dożywotniego pozbawienia wolności.

Po rosyjskiej inwazji na Ukrainę Polska wydaliła również 45 rosyjskich dyplomatów podejrzewanych o działalność wywiadowczą. Wzmocniono także ochronę granicy w ramach programu „Tarcza Wschód”. Autorzy raportu wskazują jednak na nadal istniejące problemy systemowe. Przede wszystkim brak jest centralnego rejestru incydentów. Dodatkowo problemem jest zbyt silna „silosowość” instytucji odpowiedzialnych za bezpieczeństwo.

Pytany o udział obywateli Ukrainy w części operacji sabotażowych, dr Aleksander Olech zwraca uwagę na ograniczoną współpracę w tym obszarze.

– Wciąż brakuje wyraźnej współpracy na poziomie politycznym i społecznym. Strona ukraińska często koncentruje się na wskazywaniu odpowiedzialności Rosji, co jest oczywiście uzasadnione. Jednocześnie brakuje programów edukacyjnych i działań prewencyjnych skierowanych do obywateli Ukrainy przebywających w Polsce – ocenia ekspert.

Jego zdaniem w dłuższej perspektywie to właśnie Ukraina może najwięcej tracić na takich incydentach, ponieważ wpływają one negatywnie na poziom zaufania społecznego w Polsce.

– Ukraina musi pamiętać, że wsparcie Polski pozostaje dla niej kluczowe – dodaje Aleksander Olech.

Konkluzje, wyzwania i rekomendacje

Autorzy raportu podkreślają, że dotychczasowe działania hybrydowe nie doprowadziły do paraliżu państwa, co uznają za sukces polskich służb i instytucji. Jednocześnie ostrzegają, że eskalacja takich operacji w 2026 r. jest bardzo prawdopodobna – nawet w przypadku ewentualnego zakończenia wojny w Ukrainie.

Wśród najważniejszych wyzwań wskazują próby zatruwania relacji polsko-ukraińskich oraz rosnące koszty przeciwdziałania dezinformacji i operacjom hybrydowym, które coraz częściej porównywane są do walki z terroryzmem.

– Polska w ostatnich latach wyciągnęła wiele wniosków z doświadczeń państw bałtyckich i nordyckich, zwłaszcza w zakresie ochrony infrastruktury krytycznej i reagowania na operacje informacyjne. Amerykańskie analizy wprost wskazują, że Rosja traktuje Polskę jako swego rodzaju „fazę zero wojny”. Jesteśmy laboratorium testowania różnych form wojny hybrydowej wobec Zachodu. To, co sprawdzi się nad Wisłą, będzie później wykorzystywane także w innych państwach – konkluduje dr Aleksander Olech.

Wśród rekomendacji raport wskazuje m.in. konieczność wzmocnienia służb wywiadowczych finansowo i kadrowo, stworzenia jawnego rejestru incydentów hybrydowych oraz rozwijania strategii 4D (Detect, Deter, Defend, Disrupt – wykrywanie, odstraszanie, obrona i zakłócanie).

Eksperci postulują również rozszerzenie sankcji wobec państw współpracujących gospodarczo z Rosją, intensyfikację ćwiczeń NATO w pobliżu wschodniej granicy Sojuszu oraz dalsze budowanie odporności społecznej na dezinformację. Autorzy wzywają też do ponadpartyjnej jedności w myśl hasła „Rosja się nie zmieni, Polska musi”.​

Główne wnioski

1. Rosyjska wojna hybrydowa przeciwko Polsce wyraźnie przyspieszyła po 2022 r. Kreml traktuje nasz kraj jako poligon testowy odporności NATO i intensyfikuje działania w trzech głównych obszarach: kinetycznym, cybernetycznym i informacyjnym. Odnotowano m.in. ponad 20 podpaleń obiektów infrastruktury, cyberataki – w tym DDoS na system sprzedaży biletów PKP Intercity oraz ransomware w szpitalach – a także szeroko zakrojone operacje dezinformacyjne. Do realizacji wielu zadań wykorzystywani są tzw. proxy-agenci, rekrutowani m.in. przez internet i opłacani w kryptowalutach. Najczęściej są to obywatele Ukrainy (35-38 proc.) oraz Białorusi (19-21 proc.). Dobór wykonawców ma nie tylko ułatwiać operacje sabotażowe, lecz także wzmacniać napięcia społeczne i osłabiać poparcie dla Ukrainy.
2. Polskie służby w wielu przypadkach reagują skutecznie, jednak system bezpieczeństwa wciąż ma słabe punkty. W 2025 r. ABW zatrzymała 55 osób podejrzanych o działalność na rzecz obcych służb, neutralizując m.in. siatki powiązane z GRU i FSB. Jednocześnie eksperci wskazują na problemy strukturalne – przede wszystkim brak centralnego rejestru incydentów oraz silosowy charakter instytucji odpowiedzialnych za bezpieczeństwo. Skala rosyjskich operacji powoduje też rosnące koszty przeciwdziałania, które coraz częściej porównywane są do wydatków na walkę z terroryzmem.
3. Autorzy raportu podkreślają, że dalsza eskalacja działań hybrydowych w 2026 r. jest bardzo prawdopodobna. Nawet ewentualne zakończenie wojny w Ukrainie nie oznaczałoby ograniczenia rosyjskiej aktywności. W odpowiedzi rekomendują wdrożenie strategii 4D – Detect, Deter, Defend, Disrupt – czyli wykrywania, odstraszania, obrony i zakłócania operacji przeciwnika. Raport wskazuje także na potrzebę wzmocnienia wywiadu, rozszerzenia sankcji oraz budowania odporności społecznej na dezinformację.