Falešné SMS o pokutách za rychlost zaplavily Česko. Kdo klikne na odkaz, přijde o peníze z účtu během minut

Ministerstvo dopravy, NÚKIB i policie ve třech krajích varují před masivní smishingovou kampaní, která se vydává za žádost o úhradu pokuty za rychlost.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Zpráva přijde bez varování. Vypadá úředně, zní naléhavě a tvrdí, že radar zachytil vaše auto při překročení rychlosti. Obsahuje odkaz, lhůtu tří dnů a hrozbu vymáháním. Jenže stát takto pokuty neposílá a nikdy neposílal. Kdo odkaz otevře a vyplní platební údaje, riskuje, že mu z účtu zmizí peníze dřív, než stihne zavřít prohlížeč. Červnová vlna těchto podvodných SMS zasáhla Česko plošně a úřady ji řeší prakticky denně.

Všechno začíná SMS zprávou

Řetězec začíná nevinně vypadající textovou zprávou. SMS se tváří jako zpráva od policie nebo smyšlené instituce; aktuální varianty operují s názvy jako „systém elektronické kontroly provozu“ nebo údajný „Český úřad pro bezpečnost silničního provozu“. Text zpravidla neobsahuje konkrétní místo, čas ani registrační značku vozidla. Místo toho tlačí na okamžitou akci: zaplaťte do tří dnů, jinak hrozí správní řízení, soud nebo navýšení částky.

Odkaz v SMS vede na web, který vizuálně kopíruje státní portál. Stránka vypadá důvěryhodně: logo, barvy, formální jazyk. Oběť je navedena na falešnou platební bránu, kde zadá číslo karty, datum platnosti a kontrolní kód. V některých zachycených variantách podvodníci požadují i přihlášení do Identity občana nebo internetového bankovnictví. Jakmile oběť údaje odešle, peníze mohou být podle policie odčerpány prakticky okamžitě. Ne za hodiny. Ne za dny. Během minut.

Samotné kliknutí na odkaz ještě nemusí znamenat škodu. Pokud člověk nic nevyplní a stránku zavře, údaje zpravidla neuniknou. Kritický moment nastává ve chvíli, kdy zadá údaje z platební karty nebo přihlašovací údaje.

Tahle vlna podvodu je jiná než předchozí pokusy

Podvodné SMS o pokutách nejsou novinkou. Policie na Prachaticku řešila podobný scénář už v lednu 2025, tehdy s automatickým hovorem a pokynem stisknout „1“. Současná červnová kampaň se ale liší rozsahem a rychlostí obměny.

Ministerstvo dopravy 12. června 2026 oznámilo výrazný nárůst dotazů občanů, kteří si ověřovali pravost zpráv. O tři dny později varovala jihočeská policie, den nato karlovarská. CSIRT.CZ hlásil výskyt podvodných webů prakticky denně už od konce dubna. NÚKIB přidal vlastní upozornění v květnu.

Síla kampaně nespočívá v dokonalém textu zprávy. Spočívá v tom, že útočníci průběžně střídají domény. Oficiální varování jmenují například doprava.eu.cc, mediálně zachycená byla i doména spravaos.cfd. Obecně jde o kombinaci slov spojených se státem a dopravou s exotickými koncovkami typu .cfd, .bond nebo .xyz. Proč ne .cz? Podle výroční zprávy CSIRT za rok 2025 dokáže tým u českých domén zablokovat phishing někdy i do 15 minut od zveřejnění. Útočníci se proto přesouvají tam, kde je reakce pomalejší.

Jak poznat podvod od skutečného oznámení

Rozdíl je zásadní a snadno ověřitelný:

• Skutečný postup: Policie řeší přestupek přímo na místě, nebo doručuje oznámení do datové schránky, případně doporučeným dopisem do vlastních rukou. Seriózní komunikace vždy obsahuje konkrétní místo, čas a identifikaci vozidla.
• Podvodná SMS: Chybí konkrétní údaje o přestupku. Obsahuje aktivní odkaz na platbu. Doména nepatří mezi oficiální státní weby. Využívá časový tlak a hrozbu sankcí.

Stát neprovozuje žádný systém, který by vybíral pokuty za dopravní přestupky prostřednictvím SMS s platebním odkazem. Oficiální Portál dopravy na adrese doprava.gov.cz slouží pro elektronickou komunikaci, výpisy z bodového konta a další agendy, nikoli jako platební brána pro pokuty rozesílané SMS.

Pokud vám přijde zpráva o pokutě a nemáte jistotu, neklikejte na nic. Otevřete si prohlížeč sami, zadejte adresu doprava.gov.cz ručně nebo zavolejte na infolinku Ministerstva dopravy 222 266 759.

Co dělat, když jste klikli nebo zadali údaje

Situace se liší podle toho, jak daleko jste se dostali:

• Jen jste otevřeli stránku a nic nevyplnili: Zavřete prohlížeč, nic nepotvrzujte a nic nestahujte. Škoda pravděpodobně nevznikla, ale podvodnou SMS přepošlete svému operátorovi na číslo 7726 a web můžete nahlásit na exploit@csirt.cz spolu se snímkem obrazovky a URL adresou.
• Zadali jste údaje z platební karty nebo přihlašovací údaje: Okamžitě volejte bance a zablokujte kartu. Každá minuta hraje roli. Poté kontaktujte Policii ČR na lince 158. Pokud jste sdíleli i přístupy k bankovnictví nebo instalovali neznámou aplikaci, zabezpečte telefon a změňte hesla ke všem dotčeným účtům.

Rychlost reakce je to jediné, co může případnou ztrátu omezit. Policie i NÚKIB to opakují shodně.

Proč lidé stále naletí

Mechanismus je starý jako podvody samotné: autorita, strach a časový tlak. SMS přichází od „policie“, mluví o přestupku, dává třídenní lhůtu a hrozí soudem. Web vypadá jako státní portál. Člověk, který někdy jel o pár kilometrů rychleji, než měl, na chvíli zaváhá. A právě v tom okně, mezi pochybnostmi a ověřením, útočníci získávají citlivé údaje.

Největší síla aktuální kampaně spočívá právě v tomhle: oběť jedná rychleji, než začne informace ověřovat. Phishing byl podle CSIRT nejpočetnější kategorií kybernetických incidentů v roce 2025 s více než dvěma tisíci případy a podíl útoků vedených přes SMS roste. Dokud budou lidé reagovat reflexivně na strach z pokuty, podvodníci budou jen měnit domény a rozesílat další zprávy. Jediná spolehlivá obrana je jednoduchá: na odkaz v SMS o pokutě neklikat. Nikdy.