Boty biletowe to temat, który większość polskich promotorów zna z własnego doświadczenia — nawet jeśli jeszcze nie wiedzą, że to były boty. Popularny event, premiera biletów o 23:55, a po pięciu minutach wszystko wyprzedane. Kilka godzin później te same bilety na Allegro w cenie 3× — wystawione przez konta, które istnieją od tygodnia i mają jedną transakcję w historii.
To nie jest problem wyłącznie globalnych gigantów z presale-only i verified fan programami. To jest problem niezależnego promotora w Polsce w 2025 roku, który otwiera sprzedaż na 600-osobowy klub w Krakowie lub show komediowe w Gdańsku. Ataki botów nie skalują się tylko do eventów na 20 000 osób — skalują się do każdego eventu, gdzie jest popyt wyższy niż podaż i gdzie bilety można odsprzedać z zyskiem.
Jak wygląda polska ekologia botów biletowych w 2025 roku
Polskie boty biletowe są znacznie mniej wyrafinowane niż narzędzia używane przeciwko Ticketmasterowi czy Taylor Swift presale — i to jest właśnie problem. Do ataku na średniej wielkości event nie potrzeba profesjonalnego narzędzia. Wystarczy prosty skrypt napisany w Pythonie lub gotowy bot dostępny na zamówienie na forach darknet, w cenie kilkuset złotych za event.
Typowy scenariusz ataku na polskim rynku wygląda tak: operator bota śledzi ogłoszenia eventów w mediach społecznościowych i na Wydarzeniach Facebook. Na kilka godzin przed otwarciem sprzedaży bot jest konfigurowany z URL checkout, docelową liczbą biletów i danymi płatności. O 23:55:00 bot wykonuje kilkadziesiąt jednoczesnych requestów HTTP bezpośrednio do API checkoutu — bez renderowania strony, bez wykonywania JavaScript, bez żadnych opóźnień symulujących zachowanie człowieka.
Zakupione bilety lądują w skrzynce mailowej konta zarejestrowanego przez prepaidowy numer telefonu lub przez tymczasowy adres e-mail. Następnie trafiają na Allegro lub grupę Vinted/Facebook Marketplace — bez powiązania z pierwotnym kontem zakupowym.
Trzydzieści sekund, które decydują o wszystkim
Pierwsza minuta po otwarciu sprzedaży jest kluczowa. Boty są najaktywniejsze w przedziale 0–30 sekund od startu — po tym czasie, jeśli event jest naprawdę popularny, bilety mogą być już zarezerwowane. Prawdziwi kupujący docierają do checkout sekundy lub dziesiątki sekund później, bo musieli odblokować telefon, znaleźć link, załadować stronę.
To oznacza, że obrona musi działać w czasie sub-sekundowym. Każdy mechanizm obronny, który daje się ominąć w 3-5 sekund, jest dla bota przeszkodą jednorazową, nie barierą. Mechanizmy, które działają po zakończeniu transakcji (np. ręczna weryfikacja kupujących), są zazwyczaj za późno — bilet jest sprzedany, a odwrócenie transakcji jest problematyczne prawnie i kosztowne w obsłudze.
Rate-limiting, fingerprinting i wykrywanie wzorców
Istnieje kilka warstw obrony, które działają razem — żadna z nich w izolacji nie jest wystarczająca.
Rate-limiting na poziomie IP i sesji. Najprostsza warstwa: jeśli jeden adres IP generuje więcej niż N requestów do endpointu checkout w ciągu X sekund, następne żądania są throttled lub odrzucane. Problem: boty używają pul IP (rotating proxies, residential proxies), więc IP-based rate-limit działa tylko na najprostsze ataki.
Device fingerprint scoring. Zamiast opierać się wyłącznie na IP, system buduje sygnaturę urządzenia z wielu parametrów: user agent string, parametry przeglądarki (canvas fingerprint, audio fingerprint, WebGL renderer), zachowanie myszy i touchscreen przed kliknięciem, czas ładowania JavaScript, obecność adblock i innych rozszerzeń. Czyste boty HTTP (bez renderowania) nie mają tych sygnałów w ogóle — to bardzo silny sygnał detekcji. Boty z headless browserem (Puppeteer, Playwright) generują fingerprint, ale często zbyt ujednolicony.
Behavioral pattern detection. Człowiek, który kupuje bilet, zachowuje się przewidywalnie: wchodzi na stronę eventu, czyta opis, przewija, klika „Kup bilet", spędza chwilę na checkout (wybierając ilość, sprawdzając cenę). Bot skacze bezpośrednio do endpointu płatności lub przechodzi przez strony z zerowym lub stałym timeoutem między requestami. Wykrywanie zbyt szybkich lub zbyt równomiernych sekwencji requestów jest jednym z najskuteczniejszych sygnałów.
Weryfikacja konta przed zakupem. Wymaganie potwierdzenia adresu e-mail lub numeru telefonu przed pierwszym zakupem znacząco podnosi koszt operacyjny bota — tworzenie nowych tożsamości staje się droższe. Nie eliminuje problemu, ale przesuwa opłacalność ataku.
Odsprzedaż przez Allegro i Vinted — dlaczego to trudne do śledzenia
Polskie platformy odsprzedaży biletów działają w szarej strefie, która jest trudna do zwalczenia bezpośrednio. Allegro i Vinted nie są platformami biletowymi, ale bilety — jako produkty cyfrowe lub papierowe — są tam legalnie wystawiane, często z naruszeniem regulaminu eventu, ale bez jasnej podstawy do szybkiego usunięcia ogłoszenia.
Nie twierdzimy, że odsprzedaż powinna być nielegalna — to oddzielna debata z argumentami po obu stronach. Mówimy o tym, że jeśli Twoja strategia anty-bot zakłada śledzenie ogłoszeń i żądanie usunięcia kont, to działasz reaktywnie i zawsze będziesz o krok za operatorem bota.
Skuteczniejsza strategia to działanie po stronie emisji biletu: imienne bilety z weryfikacją tożsamości na bramce, transfer biletów tylko przez Twoją platformę po wartości nominalnej, system flagowania kont kupujących po podejrzanych wzorcach przy pierwszym zakupie — zanim zdążą kupić bilety na kolejny event.
Co działa, a co nie — uczciwy przegląd
CAPTCHA jako jedyna warstwa obrony nie działa od kilku lat. Rozwiązania CAPTCHA (w tym reCAPTCHA v3) są przełamywane przez wyspecjalizowane usługi rozwiązywania CAPTCHA za ułamki groszy za zadanie. To dalej warto mieć jako dodatkowy sygnał, ale nie jako główną barierę.
Weryfikacja telefonu działa przyzwoicie jako dodatkowa warstwa, ale wymaga przemyślanego wdrożenia pod kątem UX — kupujący, który chce kupić bilet o 23:55, nie będzie czekał na SMS przez 45 sekund, jeśli kod nie przychodzi natychmiastowo.
Queue management z losowym przydzielaniem miejsc w kolejce — zamiast prostego FIFO — skutecznie zneutralizuje przewagę bota, który wchodzi o 23:55:00.000. Jeśli kolejka jest zamykana na 60 sekund i następnie losowo otwierana, bot, który wszedł o 23:55:00, nie ma przewagi nad człowiekiem, który wszedł o 23:55:45. To rozwiązanie fair dla kupujących i nieprzyjemne dla automatycznych narzędzi.
Naprawdę skuteczna ochrona to kombinacja: behavioral fingerprinting przy wejściu, throttled queue na etapie inicjacji sesji, imienne bilety z weryfikacją na bramce, i monitoring wzorców zakupowych między eventami. Żaden pojedynczy mechanizm nie zastąpi podejścia warstwowego.
