PČR varuje před oblíbeným podvodem: Přiložíte kartu k bankomatu, ale vaše peníze vybírá někdo jiný
Pražská policie popsala dva nové způsoby, jak pachatelé kradou peníze přímo z platebních karet. Jen za tři měsíce škoda přesáhla 3 miliony korun.
Obsah článku
Stojíte u bankomatu, přiložíte kartu k bezkontaktnímu snímači, výběr se nepovede, tak kartu zastrčíte do slotu, zadáte PIN a vyberete hotovost. Všechno vypadá normálně. Jenže ve stejnou chvíli někdo na jiném bankomatu vybírá z vašeho účtu s daty, která mu právě poslalo skryté zařízení nalepené přes originální NFC čtečku. Přesně takový scénář popsalo 26. srpna 2025 Krajské ředitelství policie hl. m. Prahy v tiskové zprávě, která současně upozornila i na druhý, příbuzný typ útoku, podvod falešného bankéře, kde oběť přiloží kartu k vlastnímu telefonu. Oba postupy spojuje jedno: pachatel nepotřebuje vaši kartu fyzicky ukrást. Stačí mu její data a váš PIN.
Skryté zařízení na bankomatu: krok za krokem
První scénář funguje jako modernizovaný skimming. Klasická varianta, kterou policie popisuje už od roku 2012, kopírovala data z magnetického proužku pomocí falešné čtečky ve slotu a PIN snímala miniaturní kamerou. Nová verze přesouvá útok na bezkontaktní zónu bankomatu.
Pachatel na místo pro přiložení karty umístí vlastní NFC snímač, který vypadá jako součást přístroje. Když oběť přiloží kartu, zařízení přečte data z čipu a okamžitě je odešle online spolupachateli. Bezkontaktní výběr se ale záměrně nezdaří, buď proto, že skrytá čtečka výběr sama neprovede, nebo proto, že bankomat reaguje chybou. Oběť tedy udělá to, co by udělal kdokoli: vloží kartu do slotu a zadá PIN. Ten zachytí skrytá kamera nebo jiné snímací zařízení umístěné nad klávesnicí.
V tu chvíli má druhý člen skupiny všechno, co potřebuje. Data z karty, PIN a bankomat s bezkontaktním snímačem někde jinde. Výběr proběhne během sekund.
Policie výslovně upozorňuje, že skryté zařízení může být velmi těžko odhalitelné. Přesto doporučuje před každým výběrem zkontrolovat bankomat: neobvyklé nástavce, volné díly, cokoli, co nevypadá jako standardní součást přístroje.
Falešný bankéř s telefonem: váš mobil jako čtečka
Druhý scénář nevyžaduje žádnou fyzickou úpravu bankomatu. Pachatel zavolá oběti, představí se jako pracovník banky nebo policie a tvrdí, že na účtu probíhá podezřelá aktivita. Pošle odkaz nebo přímo aplikaci, kterou má oběť nainstalovat. Aplikace zneužívá techniku zvanou relay fraud: telefon oběti se po instalaci chová jako NFC čtečka. Když oběť na pokyn „bankéře“ přiloží platební kartu k telefonu a zadá PIN, data se v reálném čase přenesou do zařízení pachatele.
Výběrčí, často jiná osoba než volající, už stojí u bankomatu s telefonem, v němž je vytvořen klon karty. Přiloží ho k bezkontaktnímu snímači a vybírá hotovost, zatímco oběť stále drží kartu u svého mobilu.
Bezpečnostní firma ESET už v srpnu 2024 popsala malware NGate, který přesně takto fungoval a cílil mimo jiné na klienty českých bank. Visa v dubnu 2025 vydala vlastní varování před relay fraud jako rostoucí globální hrozbou.
Škoda? Jen v pražském případu za období květen až červenec 2025 přesáhla 3 miliony korun. Přesný počet poškozených policie nezveřejnila. Ve středočeském navazujícím případu ze září 2025 šlo o 8 obětí, 51 výběrů a téměř 1,5 milionu korun.
Nejde o jednorázový exces
Kdo by si myslel, že jde o ojedinělou kauzu, mýlí se. Veřejně dohledatelné policejní zprávy ukazují jasný vývoj:
- Březen 2024, Praha 1 – zadržen 22letý cizinec, který přes falešnou SMS a aplikaci získával data karet a vybíral z bankomatu.
- Srpen 2025, Praha – varování před dvěma novými způsoby, škoda přes 3 miliony korun.
- Září 2025, Středočeský kraj – rozkryta skupina s rozdělenými rolemi „navolávače“ a „výběrčího“, 51 zdokumentovaných výběrů.
Policie v různých krajích opakovaně uvádí, že se případy falešných bankéřů nadále množí. Starší verze podvodu přitom vypadala jinak: oběť převáděla peníze na „bezpečný účet“ nebo předávala hotovost kurýrovi. Nová varianta je rychlejší a sofistikovanější: pachatel nepotřebuje fyzický kontakt s obětí, nepotřebuje kurýra, nepotřebuje ani její kartu. Stačí klon v telefonu.
Důležité upřesnění: ne každý bankomat je pro tento typ útoku vhodný. Výběr vyžaduje bankomat vybavený bezkontaktním snímačem. Těch ale v Česku přibývá. A v zahraničí policie registruje obdobné útoky i na samoobslužných čerpacích stanicích, tedy všude tam, kde je menší dohled a větší šance, že si nikdo nevšimne zásahu do zařízení.
Co dělat: konkrétní pravidla, která fungují
Bezkontaktní karty ani bezkontaktní platby nejsou samy o sobě nebezpečné. Policie to říká výslovně. Problém nastává ve chvíli, kdy pachatel získá současně tři věci: data z karty, PIN a přístup k bankomatu s NFC. Stačí mu přerušit jeden článek řetězu.
- PIN vždy zakryjte. Druhou rukou, tělem, čímkoli. Při každém výběru, bez výjimky. Europol doporučuje totéž.
- Kontrolujte bankomat. Volné díly, neobvyklé nástavce, cokoli nad klávesnicí nebo kolem snímače. Pokud něco nesedí, nevybírejte a volejte 158.
- Nikdy neinstalujte aplikaci na pokyn volajícího. Banka ani policie to po vás nikdy nechtějí. Stejně tak po vás nikdy nechtějí PIN, kopírování karty ani převod na „bezpečný účet“.
- Při podezřelém hovoru zavěste a sami zavolejte na oficiální číslo své banky.
- Při neoprávněném výběru jednejte okamžitě. Blokace karty, reklamace transakce u banky, oznámení na policii.
Jedno pravidlo stojí nad všemi ostatními: kdykoli po vás někdo mimo standardní bankovní proces chce PIN, odkaz nebo přiložení karty k čemukoli jinému než k platebnímu terminálu, který jste sami vyhledali, je to podvod. Bez výjimky.