Bankovní aplikaci v mobilu používají Češi denně, ale pravidla bezpečnosti jim často nic neříkají

Osm z deseti Čechů otevírá bankovní aplikaci pravidelně. Téměř polovina z nich ale nepozná podvodný e-mail, když ho dostane do schránky.

Zdroj fotografie: iStock

Kontrola zůstatku ráno v tramvaji, převod za oběd kolegovi, platba složenky večer na gauči. Mobilní bankovnictví se v Česku stalo tak samozřejmým jako zamykání dveří, jenže právě ta samozřejmost je problém. Průzkum NMS Market Research pro Raiffeisenbank z roku 2024 potvrdil, že mobilní bankovnictví pravidelně používá drtivá většina české dospělé populace. Starší výzkum Ipsos pro Českou bankovní asociaci přitom ukázal, že značná část uživatelů sahá po aplikaci několikrát týdně, hlavně kvůli tuzemským platbám a kontrole úspor. Rutina je dokonalá. A právě v ní se skrývá slabé místo, které nemá nic společného s technologií banky.

Útočníci neprolamují aplikaci, prolamují pozornost

Představa hackera, který z temné místnosti proniká do bankovního systému, je dnes spíš filmové klišé. Realita vypadá jinak: zavolá vám zdvořilý hlas, představí se jako bankéř, upozorní na „podezřelý pohyb na účtu“ a požádá vás, ať si nainstalujete aplikaci pro vzdálený přístup. Nebo vám přijde SMS s odkazem na stránku, která vypadá přesně jako přihlášení do banky. Zadáte údaje a pak v legitimní bankovní aplikaci potvrdíte push notifikaci, jenže tu vyvolal útočník, ne vy.

Podle průzkumu Ipsos Kybernetická rizika z června 2024 má 31 % respondentů zkušenost s kyberútokem a pětina napadených přišla o peníze. Česká bankovní asociace zároveň upozorňuje na výrazný meziroční nárůst útoků na klienty bank. Přesný údaj jen pro mobilní bankovnictví veřejně dostupný není, ale trend je jednoznačný: nejslabším článkem řetězu je okamžik, kdy klient ve stresu schválí něco, co sám nezačal.

Pocit bezpečí versus skutečná dovednost

Čísla odhalují paradox. Celých 82 % uživatelů internetového nebo mobilního bankovnictví tvrdí, že je banka informuje o rizicích dostatečně. Jenže jen 56 % uvádí alespoň střední znalost kybernetických hrozeb. A konkrétní test odhalí ještě víc: 44 % lidí nepoznalo podezřelý e-mail a 36 % by na něj reagovalo rizikovým způsobem.

Proč se varování nepropíšou do chování? Částečně proto, že hlavním zdrojem informací o kyberrizicích nejsou banky, ale média (42 %) a sociální sítě (27 %). Komunikace bank se umístila až za těmito zdroji. Varování v aplikaci tak soutěží o pozornost s desítkami jiných notifikací a často prohrává. MONETA Money Bank například uvádí, že upozornění na nové typy podvodů zobrazuje přímo ve své aplikaci. Problém ale není v množství varování. Je v tom, že se z nich nestane návyk.

Pět pravidel, která zaberou desítky sekund

Bankovní aplikace v Česku stojí na společné evropské regulatorní základně: silném ověření klienta podle PSD2 a harmonizovaných požadavcích na digitální odolnost podle nařízení DORA. Rozdíly mezi jednotlivými bankami jsou spíš v nadstavbách: granularitě limitů, typu notifikací nebo možnosti ověřit si identitu bankéře přímo v aplikaci. Základní bezpečnostní minimum je ale na straně uživatele:

• Instalace jen z oficiálního obchodu. App Store, Google Play nebo AppGallery. Žádná aplikace stažená z odkazu v SMS nebo e-mailu. NÚKIB i banky to opakují jako jeden ze základních bezpečnostních principů.
• Aktuální systém, žádný root ani jailbreak. Upravený telefon obchází bezpečnostní vrstvy, na které se aplikace spoléhá. Aktualizace systému i aplikace nejsou otravná notifikace, ale záplata známých zranitelností.
• Nepotvrzovat nic, co jste sami nezačali. Push notifikace o přihlášení, které jste neiniciovali? Autorizační kód, o který jste nežádali? Neschvalujte. Tohle jediné pravidlo by zabránilo velké části úspěšných podvodů.
• Notifikace zapnout, limity nastavit rozumně. Upozornění na pohyby na účtu patří mezi nejúčinnější způsoby, jak odhalit zneužití účtu včas. Limity pro platby a výběry najdete typicky v nastavení karty nebo účtu. Změna trvá desítky sekund a účinkuje okamžitě.
• Při podezření: blokovat, volat, měnit hesla. Nepotvrzujte nic dalšího, zkontrolujte historii transakcí a okamžitě kontaktujte banku, buď přes funkce v aplikaci, nebo na nonstop lince. Pokud jste nainstalovali podezřelou aplikaci, odinstalujte ji a změňte přístupové údaje z jiného zařízení.

Biometrie pomáhá, ale není všelék

Otisk prstu nebo sken obličeje dnes používá většina uživatelů bankovních aplikací. Apple u Face ID ukládá biometrická data v zabezpečené části zařízení a data neopouštějí telefon. Android rozlišuje různé úrovně biometrického ověření, přičemž bankovní aplikace zpravidla vyžadují nejvyšší úroveň zabezpečení podporovanou zařízením. Moderní biometrie je bezpečná a praktická. Ale záložní PIN zůstává kritický; pokud je to 1234, celá vrstva padá. A hlavně: ani sebelepší biometrie nepomůže ve chvíli, kdy sami potvrdíte operaci, kterou jste nezahájili.

Co dělat, když zavolá „bankéř“

NÚKIB opakovaně upozorňuje na podvodné telefonáty, při nichž volající naléhá na okamžitý převod peněz na „bezpečný účet“ nebo na instalaci aplikace pro vzdálený přístup. Skutečný bankéř nikdy nebude po telefonu žádat PIN, heslo, autorizační kód ani instalaci softwaru třetí strany. Pokud máte pochybnosti, zavěste a zavolejte na oficiální číslo banky, které máte uložené v kontaktech nebo které najdete na oficiálních stránkách banky, ne na číslo, které vám volající nadiktoval.

Nejdražší chyba v mobilním bankovnictví roku 2026 nestojí na selhání šifrování ani na chybě v kódu aplikace. Stojí na třech sekundách nepozornosti, kdy palec potvrdí push notifikaci, aniž by oči přečetly, co vlastně schvalují.