NPCI के data के अनुसार, UPI ने दिसम्बर 2025 में 21.6 अरब और मार्च 2026 में 22.6 अरब transactions process किए। Standard UPI transactions में बिना UPI PIN enter किए एक रुपया भी आपके account से नहीं जा सकता। फिर भी UPI fraud होते हैं - और लगभग हर बार इसकी वजह एक ही होती है: किसी ने OTP, UPI PIN, या screen access देकर खुद fraudster की मदद की। UPI platform hack नहीं हुआ। Bank का system fail नहीं हुआ।
यह जानना आपकी सबसे बड़ी protection है।
इस guide में हम UPI fraud के 6 common तरीकों का mechanism समझेंगे - इसलिए नहीं कि डर लगे, बल्कि इसलिए कि आप इन्हें real time में पहचान सकें। साथ में RBI के consumer rights, और अगर कभी fraud हो जाए तो verified step-by-step recovery process भी।
UPI Fraud कैसे काम करता है - असली Mechanism समझें
UPI fraud का core यही है: ज़्यादातर cases में fraudster आपको खुद transaction authorize करवाता है - वो आपको एक ऐसी situation में डालता है जहाँ आप खुद PIN enter करते हैं, या अपनी screen उसे दिखा देते हैं। कुछ cases में वो malicious app के ज़रिए device तक direct access भी ले लेता है।
Collect Request Fraud: Request Approve करना = पैसे जाना
UPI में दो तरह के transactions होते हैं: push (आप पैसे भेजते हैं) और pull/collect (कोई आपसे request करता है कि आप approve करें)। Collect request में approve करने का मतलब है - पैसे आपके account से बाहर जाएंगे, आएंगे नहीं।
Fraudster call करता है और कहता है, "मैंने आपको ₹10,000 भेजे हैं, बस यह request approve कर दीजिए।" आप request देखते हैं, लगता है पैसे आने वाले हैं, PIN डाल देते हैं - और ₹10,000 जाते हैं।
अच्छी खबर: NPCI ने July 29, 2025 के circular में P2P (person-to-person) collect requests को October 1, 2025 से पूरी तरह बंद कर दिया है। अब कोई व्यक्ति दूसरे व्यक्ति को collect request नहीं भेज सकता। लेकिन verified merchants (जैसे बड़े e-commerce या booking platforms) अभी भी collect request use कर सकते हैं - इसलिए किसी unknown source से आई collect request हमेशा suspicious मानें।
पहचानें: कोई कहे "पैसे receive करने के लिए PIN enter करें" - यह 100% scam है। UPI PIN सिर्फ पैसे भेजने के लिए होती है।
QR Code Fraud: Scan हमेशा Debit करता है, Credit नहीं
QR code में merchant का UPI ID और (अक्सर) amount embedded होता है। जब आप QR scan करते हैं और PIN enter करते हैं - पैसे आपके account से merchant के account में जाते हैं। यह हमेशा ऐसे ही काम करता है।
"QR scan करो, ₹5,000 आपके account में आ जाएंगे" - यह technically impossible है। Fraudster एक QR code बनाता है जिसमें उसका UPI ID और वो amount होती है जो वो चाहता है। आप scan करते हैं, PIN enter करते हैं - पैसे उसे जाते हैं। Online marketplace पर second-hand सामान बेचने वाले लोग इस scam के common target हैं।
पहचानें: QR scan करने के बाद पहले screen पर आने वाला नाम और amount ध्यान से पढ़ें। अगर नाम unknown है या amount unexpected है - cancel करें।
Screen Share Scam: एक App, पूरा Access
यह scam तब शुरू होता है जब आप किसी "customer care" नंबर पर call करते हैं - जो आपको Google search में मिला था। "Executive" बताता है कि UPI या bank account में technical problem है, और fix करने के लिए आपको एक "screen sharing app" download करनी होगी।
एक बार आप app download करके उन्हें access देते हैं, वो आपकी पूरी screen देख सकते हैं - live। जब आपके phone पर OTP आता है, वो उसे पढ़ लेते हैं। जब आप PIN enter करते हैं, वो देख लेते हैं। जब आपका bank balance दिखता है, वो note कर लेते हैं। इसके बाद आपकी जानकारी के बिना या आपको distract करके वो transaction करते हैं।
पहचानें: कोई भी legitimate bank या payment company कभी आपको screen sharing app download करने को नहीं कहेगी। यह instruction सुनते ही call काटें।
Fake Customer Care: Google पर Helpline क्यों नहीं ढूंढना चाहिए
Fraudsters Google Business listings, websites, और social media पर अपने fake numbers डालते हैं। Search results में ये कई बार genuine results से ऊपर आ जाते हैं। जब आप अपने bank का customer care number Google पर search करते हैं - मिलने वाला पहला result हमेशा official नहीं होता।
इस scam की शुरुआत अक्सर आप खुद करते हैं - किसी problem को solve करने के लिए। Fraudster का "executive" आपकी समस्या सुनता है, विश्वास जीतता है, और फिर OTP या screen access माँगता है।
सही तरीका: Bank helpline number हमेशा अपने bank की official website से लें - browser में bank का नाम + ".com" या ".in" directly type करें। App के अंदर "Help" या "Contact Us" section use करें। अपने debit card के पीछे लिखा number use करें।
OTP और UPI PIN Phishing: दोनों अलग हैं, दोनों Secret हैं
OTP (One-Time Password) - वो numeric code जो आपके registered mobile number पर SMS में आता है। UPI context में यह account registration, नए device पर UPI link करने, या UPI PIN set/reset करने के लिए use होता है। यह हर बार change होता है।
UPI PIN - वो 4 या 6 digit की PIN जो आपने खुद set की थी। यह हर UPI transaction authorize करने के लिए चाहिए। यह fixed रहती है जब तक आप change न करें।
दोनों में से कोई भी share करना dangerous है। OTP share करने से fraudster आपके account में login कर सकता है। UPI PIN share करने से वो सीधे transaction कर सकता है। कोई भी legitimate entity - bank, NPCI, customer care - कभी इनमें से कुछ नहीं माँगेगी।
APK/Malware Fraud: Link Click किया, Device हाथ से गया
यह fraud एक message से शुरू होता है - WhatsApp या SMS पर। Message में लिखा होता है कि आपके vehicle का traffic challan आया है, court का notice है, किसी की शादी का invitation है, या electricity bill pending है। साथ में एक link होता है।
जैसे ही आप वो link click करते हैं - आपके phone पर एक APK file (Android application) automatically download हो जाती है। अगर आपके phone में "Unknown sources से install करें" का option on है, तो यह app बिना आपकी permission के install हो सकती है। एक बार install होने के बाद यह malicious app background में चलती रहती है - आपके OTPs पढ़ती है, UPI app तक access लेती है, और आपकी जानकारी के बिना transactions कर सकती है।
पहचानें: कोई भी official agency - traffic police, court, electricity board - WhatsApp या SMS पर APK link नहीं भेजती। ऐसा कोई भी link आए - click न करें। अगर genuine challan confirm करना हो तो सीधे official government portal पर जाएं।
तुरंत करें अगर link click हो गई: Phone का internet बंद करें, bank helpline call करके account freeze करवाएं, और किसी trusted technician से phone scan करवाएं।
RBI का Consumer Liability Framework: आपके Rights क्या हैं?
RBI ने July 6, 2017 को circular (RBI/2017-18/15) जारी किया - "Customer Protection – Limiting Liability of Customers in Unauthorised Electronic Banking Transactions" - जो UPI transactions पर भी लागू होता है।
| Bank का Communication मिलने के बाद Report करने का समय | आपकी Liability |
|---|---|
| 3 working days के भीतर | Zero - पूरा amount bank वापस करेगी |
| 4 से 7 working days के भीतर | ₹10,000 तक (regular savings account के लिए) |
| 7 working days के बाद | Bank की Board-approved policy के अनुसार |
नोट: High-value current accounts और ₹5 लाख से अधिक limit के credit card holders के लिए 4–7 दिन की window में liability ₹25,000 तक हो सकती है - RBI circular Table 1 के अनुसार।
Working days की गिनती: Bank की SMS/email alert मिलने की date से शुरू होती है, उस दिन को छोड़कर।
Zero liability कब मिलती है: जब fraud "third-party breach" हो - यानी न bank की गलती, न आपकी। और आपने 3 working days में report किया हो।
⚠️ ज़रूरी बात: अगर आपने OTP, UPI PIN, या screen access share की - तो यह "customer negligence" माना जाता है। ऐसे में zero liability framework लागू नहीं होता। आपकी liability तब तक बनी रहती है जब तक आप bank को report नहीं करते। इसीलिए social engineering fraud में cybercrime complaint bank complaint जितनी ही ज़रूरी है।
Shadow credit: Report करने के 10 working days के भीतर bank आपके account में provisional reversal करेगी। Final resolution 90 days में होनी चाहिए।
Burden of proof: RBI के अनुसार, आपकी negligence prove करने की ज़िम्मेदारी bank की है - आपकी नहीं।
Fraud होने पर क्या करें - Step-by-Step Recovery
Step 1: तुरंत - पहले 30 मिनट
पहला काम है fund movement रोकना:
- अपने UPI app के Help या Settings में जाकर UPI access block करें या UPI ID temporarily disable करें (हर app में यह option अलग location पर होता है - in-app search में "block" या "disable" लिखकर ढूंढें)
- अपने bank helpline पर call करें (number: bank की official website या debit card के पीछे) - "UPI fraud हुआ है, account temporarily freeze करें" - Complaint reference number note करें
- UPI PIN तुरंत change करें - UPI app में अपने bank account की settings में जाकर UPI PIN change करें
Step 2: Bank को Written Complaint
Phone complaint के साथ written complaint ज़रूरी है - bank branch में, या netbanking/app के through। इसमें शामिल करें: transaction date, time, amount, UTR number, और जो हुआ उसका brief description। Written complaint का acknowledgment लें जिसमें complaint number हो।
Step 3: Helpline 1930 पर Call करें
1930 Ministry of Home Affairs का National Cyber Crime Helpline है, जो 24x7 काम करता है। यह Citizen Financial Cyber Fraud Reporting and Management System (CFCFRMS) से जुड़ा है, जो fraudster के account को freeze करने की कोशिश करता है - इससे पहले कि वो पैसे withdraw कर सके।
Call करते समय ready रखें: transaction amount, UTR number, जिस UPI ID पर पैसे गए, और अपना bank account number। Call के बाद आपको SMS में एक acknowledgement number मिलेगा। इस number का उपयोग अगले step में portal complaint complete करने के लिए होगा।
Step 4: cybercrime.gov.in पर Complaint File करें
अगर आपने 1930 call की है, तो उसी दिन (I4C FAQ के अनुसार 24 घंटे के भीतर) portal पर complaint complete करें - acknowledgement number साथ में रखें। अगर 1930 call नहीं की, तो भी सीधे portal पर complaint file करें:
- cybercrime.gov.in पर जाएं
- "Report Cyber Crime" → "Report Other Cyber Crimes" click करें
- Mobile number + OTP से login करें
- Category में "Financial Fraud" select करें
- Transaction details भरें - UTR number, amount, UPI IDs, fraudster का number (अगर मिला हो)
- 1930 call से मिला acknowledgement number enter करें
- Screenshots attach करें (SMS alerts, transaction history, chat screenshots)
- Submit करने के बाद Complaint ID save करें
अगर आपने 1930 call नहीं की है तो भी आप सीधे portal पर complaint file कर सकते हैं - process वही रहती है, बस acknowledgement number field छोड़ दें। Portal complaint local Cyber Crime Police Unit को route होती है। Bank dispute के साथ यह ज़रूरी है।
Step 5: NPCI Escalation
अगर bank 10 working days में provisional reversal नहीं करती - UPI app के "Help" section से complaint escalate करें। Complaint पहले TPAP (UPI app provider) के पास जाती है, फिर PSP bank के पास, और ज़रूरत पड़ने पर NPCI directly investigate करती है। In-app complaint raise करें और Complaint Reference Number (CRN) ज़रूर note करें।
Step 6: RBI Ombudsman - अगर Bank 30 दिन में Resolve नहीं करे
Bank को complaint दी, 30 दिन बीत गए - response नहीं आया, या response unsatisfactory है - तब cms.rbi.org.in पर RBI Integrated Ombudsman Scheme (2021) के तहत complaint करें।
Toll-free contact: 14448 (9:30 AM – 5:15 PM, Hindi, English, और regional languages में)
RBI Ombudsman approach करने की शर्त: पहले bank को written complaint देना ज़रूरी है।
Kavya की कहानी - Screen Share Scam से Recovery
Kavya को अपने bank account में registered mobile number update करवानी थी। इसके लिए उसने Google पर bank का customer care number search किया और call की। "Executive" ने कहा कि account verification के लिए एक app download करनी होगी। Kavya ने app download की और screen access दे दिया। 2 मिनट में account से ₹28,000 निकल गए - SMS alert आया।
Kavya ने तुरंत यह किया:
पहले 15 मिनट: App के Help section से actual bank helpline ली, account freeze करवाया, UPI PIN change की।
उसी दिन: 1930 पर call किया - UTR number और fraudster के UPI ID के साथ। Acknowledgement number मिला। उसी number से cybercrime.gov.in पर Financial Fraud complaint complete की - screenshots और transaction details के साथ। Complaint ID save किया।
अगले दिन: Bank में written complaint दी। Reference number लिया।
10 working days के भीतर: Bank ने ₹28,000 का shadow reversal किया - RBI-mandated timeline के अनुसार। 60 days में final credit मिली।
💡 ध्यान दें: Recovery हर case में guaranteed नहीं होती - यह fraud type, timing, और case की specific circumstances पर depend करती है। जितनी जल्दी report करें, उतना बेहतर।
UPI Safety Habits - इन्हें आज से शुरू करें
UPI PIN सिर्फ आपकी है। Bank officials, customer care, NPCI - कोई भी इसे नहीं माँगेगा। माँगे तो scam है।
PIN enter करना = पैसे भेजना। UPI में PIN सिर्फ debit authorize करती है। "पैसे पाने के लिए PIN enter करें" - यह हमेशा fraud है।
QR scan = हमेशा payment। QR code से पैसे receive नहीं होते। Scan करके PIN डाला तो पैसे गए।
Bank helpline Google से नहीं। Bank की official website या app के Help section से number लें।
Screen sharing apps को UPI से दूर रखें। कोई भी "screen sharing app download करें" कहे - तुरंत call काटें। अगर गलती से download हो गई हो तो तुरंत uninstall करें।
SMS alerts on रखें। Registered mobile number से bank SMS alerts active रखें। Transaction होते ही alert आना ज़रूरी है।
UPI transaction confirm करने से पहले पढ़ें। PIN enter करने से पहले screen पर receiver का नाम और amount ध्यान से देखें।
Fraud report में देर न करें। RBI का zero liability rule time-sensitive है - जितनी जल्दी report, उतनी ज़्यादा recovery की संभावना।
5 Common Mistakes जो Fraud की संभावना बढ़ाती हैं
गलती 1: Collect Request को Payment Receive समझना
"PIN enter करो तो पैसे आएंगे" - यह सुनकर कई लोग PIN डाल देते हैं। लेकिन UPI की technical reality यह है कि PIN enter करने का मतलब पैसे जाना है। Collect request accept करना = debit।
गलती 2: Screen Sharing App Bank के कहने पर Download करना
"Bank executive" ने कहा - इसीलिए trust करना एक common trap है। Real bank कभी यह नहीं कहती। Screen sharing app active रहते UPI use करना सबसे risky scenario है।
गलती 3: Google पर Bank Helpline Search करना
Fake customer care numbers top search results में आ सकते हैं। इस एक गलती से पूरा screen share scam शुरू होता है।
गलती 4: Fraud Report में देर करना
RBI का zero liability window time-bound है। Report जितनी देरी से होगी, liability उतनी ज़्यादा होगी। और 1930 helpline का fund-freeze तभी effective है जब जल्दी call करें।
गलती 5: Bank Complaint के बाद cybercrime.gov.in Ignore करना
Bank complaint ज़रूरी है - लेकिन cybercrime.gov.in complaint police investigation शुरू करती है। Social engineering fraud में यह दोनों parallel में ज़रूरी हैं। सिर्फ bank complaint से fraud की criminal proceedings शुरू नहीं होतीं।
अक्सर पूछे जाने वाले सवाल
UPI से fraud हो जाए तो पैसे वापस मिल सकते हैं?
हाँ, संभव है - लेकिन guaranteed नहीं। अगर fraud third-party breach था (आपने OTP/PIN share नहीं किया) और 3 working days में report किया, तो RBI framework के तहत zero liability मिलती है। Social engineering fraud में (जहाँ आपने खुद authorize किया) recovery bank investigation, cybercrime complaint, और fund-freeze की timing पर depend करती है।
Zero liability के लिए exactly कितने दिन में report करना ज़रूरी है?
Bank की SMS/email alert मिलने के बाद 3 working days के भीतर। Working days की गिनती alert मिलने की date को छोड़कर शुरू होती है। यह RBI circular RBI/2017-18/15 (July 6, 2017) में defined है।
cybercrime.gov.in पर complaint ज़रूरी है, या bank complaint काफी है?
दोनों ज़रूरी हैं - और दोनों अलग purpose serve करती हैं। Bank complaint refund/reversal के लिए है। cybercrime.gov.in complaint police investigation और criminal case के लिए है। Social engineering fraud में bank complaint अकेले काफी नहीं है।
UPI PIN और OTP में क्या फर्क है - दोनों share करना क्यों dangerous है?
OTP (One-Time Password) आपके phone पर हर बार नया आता है - UPI में यह मुख्यतः account registration, नए device पर UPI link करने, या PIN reset करने के लिए use होता है। UPI PIN आपने खुद set की है - हर transaction authorize करने के लिए। OTP share करने से fraudster आपके account में access ले सकता है। UPI PIN share करने से वो सीधे पैसे transfer कर सकता है। दोनों share करना account को पूरी तरह expose कर देता है।
Fake customer care number को कैसे पहचानें?
सबसे safe तरीका यही है: Bank की official website पर जाएं - browser में bank का नाम directly type करें, Google search से नहीं। वहाँ दिया helpline number use करें। App के Help section का number भी reliable है। अपने debit card के पीछे लिखा number भी use कर सकते हैं।
गलती से Screen Share हो गई - अब तुरंत क्या करें?
तुरंत app close करें और phone की internet connectivity off करें। Bank helpline call करें - account freeze करवाएं। UPI PIN change करें। 1930 पर call करें। cybercrime.gov.in पर complaint file करें। बाद में screen sharing app uninstall करें और phone scan करें। अगर कोई transaction हुआ - उसकी details note करें।
Disclaimer: यह article केवल सूचनात्मक उद्देश्यों के लिए है। UPI fraud recovery outcomes हर case में different होते हैं और specific facts, timing, तथा bank/authority response पर depend करते हैं। RBI rules और NPCI policies समय के साथ update होती रहती हैं - current rules के लिए rbi.org.in और npci.org.in देखें। अगर fraud हुआ है तो अपने bank की official helpline और cybercrime.gov.in से directly guidance लें।