Stačí jim číslo vaší karty a vesele nakupují za vaše peníze. Carding je podvod, který roste a banky nestíhají reagovat

Jen za první polovinu roku 2025 eviduje Česká národní banka 106 tisíc podvodných karetních plateb. A tempo se nezpomaluje.

Zdroj fotografie: Unsplash

Představte si, že vám na mobilu vyskočí notifikace o platbě 12 korun u obchodníka, o kterém jste nikdy neslyšeli. Než stihnete zamrkat, přijde další, tentokrát za 4 800 korun. Vaše karta leží v peněžence, nikdo ji neměl v ruce. Přesně takhle vypadá carding v praxi: útočník nepotřebuje plastovou kartu, stačí mu její údaje. Číslo, datum platnosti, CVV kód a obchodník, který nevyžaduje další ověření. Europol ve svém Spotlight Reportu z roku 2025 popisuje carding jako systematické testování a zpeněžování ukradených karetních dat, které dnes běží převážně automatizovaně. Nejde o jednoho podvodníka s papírkem, jde o průmysl.

Jak se k vašim údajům dostanou

Fyzická ztráta karty je dnes paradoxně ten nejmenší problém. Hlavní kanály jsou čistě digitální: phishingové e-maily napodobující banku, malware kradoucí přihlašovací údaje v počítači nebo mobilu, databázové úniky e-shopů a digitální skimming, tedy škodlivý kód přímo v platebních formulářích obchodu. Kaspersky v dubnu 2026 zveřejnil, že 74 % karet kompromitovaných tímto malwarem a identifikovaných v roce 2025 bylo ještě v březnu 2026 stále platné. Data tedy neztrácejí hodnotu rychle.

Jakmile útočník získá data, nekupuje hned televizi. Nejprve kartu „otestuje“, pošle drobnou platbu přes jednoho z takzvaných testovacích obchodníků. Recorded Future za rok 2025 napočítal přes 1 350 takových testovacích účtů a nejméně 27 milionů karet, které jimi prošly. Teprve ověřená karta jde do oběhu: nákupy, nahrání do digitálních peněženek, přeprodej na dark webu. Cena jedné evropské karty se podle výzkumu NordStellar pohybuje kolem 200 korun za kus.

Čísla, která mluví jasně

Evropská centrální banka a Evropský orgán pro bankovnictví v prosinci 2025 společně oznámily, že celková hodnota platebních podvodů v Evropském hospodářském prostoru vzrostla z 3,5 miliardy eur v roce 2023 na 4,2 miliardy eur v roce 2024. Nárůst o přibližně pětinu za jediný rok.

Česká data kopírují trend. ČNB za celý rok 2024 eviduje 232 tisíc podvodných karetních plateb, za první pololetí 2025 už 106 tisíc; objem dosáhl 196,9 milionu korun. V kontextu všech karetních transakcí (928,9 miliardy korun za totéž období) jde o podíl kolem 0,02 %. Zní to nepatrně, jenže pro každého z těch 106 tisíc případů je to zcela konkrétní problém. ČNB na své infolince eviduje 5 až 10 stížností na podvody v platebním styku denně a počet podání setrvale roste.

Důležitý detail: 95 % všech karetních transakcí v Česku se provádí debetními kartami. Česká debetka je tedy hlavní plocha zásahu.

Proč bankám nestačí současné ochrany

Silné ověření zákazníka, takzvaná SCA (Strong Customer Authentication), tedy potvrzení platby přes SMS kód nebo push notifikaci v aplikaci, prokazatelně funguje. ECB to potvrzuje. Jenže funguje jen tam, kde ho obchodník vyžaduje. A právě tady je mezera.

Podvodníci se přesunuli ke třem modelům, na které SCA nestačí:

• Obchodníci bez 3D Secure – pokud e-shop ověření nepodporuje, transakce projde bez dalšího kroku klienta. Air Bank to na svém webu vysvětluje zcela otevřeně: zda banka vyžádá potvrzení, závisí na obchodníkovi.
• Přeshraniční platby mimo EHP – ECB uvádí, že míra podvodů u karetních plateb směřujících mimo Evropský hospodářský prostor je 17× vyšší než u domácích transakcí. Pravidla SCA tam jednoduše neplatí.
• Manipulace klienta – kdy oběť sama v rámci sociálního inženýrství potvrdí platbu pod psychologickým tlakem nebo na základě podvržené instrukce. Technicky jde o „autorizovanou“ transakci, což bankám dramaticky komplikuje detekci.

K tomu přibývá zachycení jednorázového kódu a podvody s digitálními peněženkami, když útočník nahraje ukradenou kartu do peněženky v telefonu a platí jako legitimní uživatel. Banka v tu chvíli vidí standardní mobilní platbu. Nic podezřelého.

Jak se bránit a co dělat, když už se to stane

Nejúčinnější obrana je vrstvená a nevyžaduje zvláštní technické znalosti:

• Vypněte internetové platby, když je nepotřebujete – v mobilním bankovnictví většiny českých bank je to otázka jednoho přepínače v detailu karty.
• Držte nízký online limit – i kdyby data unikla, útočník narazí na strop.
• Nakupujte u obchodníků s 3D Secure – poznáte podle loga Visa Secure nebo Mastercard Identity Check.
• Neukládejte si kartu v prohlížeči ani v účtech e-shopů, kde nenakupujete pravidelně.
• Sledujte notifikace v reálném čase – malá neznámá transakce je často první signál testování.

Pokud na výpisu najdete platbu, kterou jste neprovedli, jednejte okamžitě: zavolejte bance, zablokujte kartu, nahlaste případ policii. Český zákon o platebním styku stojí na straně klienta; banka musí prokázat, že transakce byla řádně ověřena a zaznamenána, jinak se považuje za neautorizovanou a banka má povinnost uvést účet do původního stavu nejpozději do konce následujícího pracovního dne. Klient nese případnou ztrátu maximálně do výše 50 eur, a to jen pokud šlo o zneužití ztraceného či odcizeného prostředku. Oznámit transakci je třeba bez zbytečného odkladu, nejpozději do 13 měsíců.

Průmysl, ne epizoda

Carding dnes není dílo osamělých hackerů. Europol ho řadí mezi aktivity stálých kriminálních sítí fungujících na principu „zločin jako služba“. Na dark webu a v kanálech na Telegramu se prodávají hotové skimmerové sady, testovací služby i balíčky ukradených karet; Recorded Future za rok 2025 napočítal přes 142 milionů nabízených karetních záznamů, z nichž 82 % obsahovalo i kontaktní údaje obětí. Vstupní bariéra klesá. Škálovatelnost roste.

Skutečný problém tedy není jedna díra v systému jedné banky. Je to rychlost, s jakou útočníci obcházejí nejsilnější ochranu všude tam, kde obchodník, uživatel nebo přeshraniční pravidla nechávají otevřené slabé místo. Karta v peněžence vám dnes nestačí, musíte chránit i její data.