Kartu máte v peněžence, ale peníze z účtu stejně zmizí. Podvodníci zneužívají nebezpečný způsob, stačí jim na to 3 minuty

Jen na Děčínsku si podvodníci tímto trikem přišli od prosince 2025 do ledna 2026 na více než 2,3 milionu korun. Kartu přitom žádná z obětí nepustila z ruky.

Zdroj fotografie: Pexels

Představte si situaci: sedíte doma, v peněžence máte platební kartu, nikam jste nešli, a přesto vám z účtu právě někdo vybírá hotovost u bankomatu na druhém konci města. Není to sci-fi. Policie to popisuje jako „červí díru“ k bankovním účtům a od konce roku 2025 eviduje prudký nárůst případů po celém Česku. Nejnebezpečnější na celém schématu není samotná technologie. Je to způsob, jakým pachatel dokáže oběť přesvědčit, aby sama obešla vlastní bezpečnostní návyky.

Jak útok funguje krok za krokem

Celý podvod stojí na takzvaném NFC relay útoku, tedy živém přenosu dat z platební karty přes telefon oběti k zařízení pachatele, který stojí u bankomatu. Z pohledu banky vypadá výběr naprosto legitimně: čip karty komunikuje, PIN souhlasí, transakce projde.

Sled je vždy podobný:

• Oběť dostane SMS nebo e-mail, údajný přeplatek na daních, napadený účet, investiční příležitost.
• Následuje telefonát od „bankéře“, „pracovníka ČNB“ nebo „policisty“, který vyvolá stres a tlačí na rychlost.
• Oběť na pokyn nainstaluje aplikaci mimo oficiální obchod (Google Play).
• Pachatel přes aplikaci získá přístup do internetového bankovnictví, případně nechá oběť potvrdit změnu limitů.
• Oběť přiloží kartu k telefonu a zadá PIN.
• Ve stejném okamžiku druhý člen skupiny u bankomatu emuluje kartu a vybírá hotovost.

Celý cash-out běží v reálném čase. Jihočeští kriminalisté popsali případ z 27. 1. 2026, kdy pachatel provedl čtyři výběry za 300 tisíc korun během několika málo minut v Českých Budějovicích, a ještě tentýž den se pokusil o další výběr v Praze.

Proč to banka nezastaví

Tady je jádro problému. Banka vidí standardní bezkontaktní transakci s originální kartou a správným PINem. Není co zablokovat, protože systém nerozezná, jestli kartu k terminálu přiložil její majitel, nebo ji někdo „zrcadlí“ přes telefon na dálku.

Pražská policie to zdokumentovala už v březnu 2024, kdy zadržela dvaadvacetiletého cizince v obchodním centru na Náměstí Republiky. Muž měl u sebe přes 160 tisíc korun v hotovosti a vybíral z cizích karet, aniž by je kdy fyzicky držel v ruce. Bezpečnostní firma ESET pak v srpnu 2024 publikovala technický rozbor malwaru NGate, který cílil na klienty tří českých bank a rozesílal lákavé zprávy na náhodná telefonní čísla.

Právě proto podvodníci tolik tlačí na souběh hovoru s výběrem. Čím kratší okno mezi přiložením karty a cash-outem, tím menší šance, že oběť stihne zareagovat.

Jak podvod poznat, než bude pozdě

Existuje jedno tvrdé pravidlo, které funguje vždy: banka, ČNB ani policie po telefonu nikdy nechtějí instalaci aplikace, přiložení karty k telefonu ani sdělení PINu. Česká národní banka to výslovně potvrdila v říjnu 2025.

Varovné signály v jedné sadě:

• Zpráva o „napadeném účtu“ nebo přeplatku na daních s odkazem mimo běžné bankovní rozhraní.
• Telefonát s naléhavým tónem a tlakem na okamžitou akci.
• Požadavek stáhnout aplikaci z odkazu, ne z oficiálního obchodu.
• Žádost zapnout NFC a přiložit kartu k telefonu.
• Požadavek zadat nebo sdělit PIN.

Jakmile se v hovoru objeví byť jen jeden z posledních tří bodů, zavěste. Pak sami vytočte banku na číslo ze zadní strany karty nebo z oficiální aplikace.

Co dělat, když už jste kartu přiložili

Každá sekunda hraje roli. Okamžitě:

• Ukončete hovor.
• Zablokujte kartu v mobilní aplikaci banky.
• Zavolejte bance na oficiální číslo, požádejte o blokaci karty i internetového bankovnictví.
• Uložte důkazy: SMS, telefonní číslo volajícího, název aplikace, screenshoty.
• Podejte oznámení na Policii ČR.
• Písemně reklamujte neautorizované transakce u banky bez zbytečného odkladu.

Vrátí banka peníze?

Zákon o platebním styku říká, že banka má při neautorizované transakci uvést účet do původního stavu nejpozději do konce následujícího pracovního dne po oznámení. Jenže zákon současně řeší spoluodpovědnost klienta. Pokud banka vyhodnotí, že klient jednal hrubě nedbale, tedy sám nainstaloval cizí aplikaci, sám přiložil kartu a sám zadal PIN, může reklamaci zamítnout.

V praxi se spor láme právě na hranici mezi „sofistikovaný podvod, kterému by naletěl i obezřetný člověk“ a „porušení základních bezpečnostních povinností“. Pokud banka nevyhoví, další stanicí je finanční arbitr.

Dvě stě tisíc korun vybraných během pár minut z účtu člověka, který kartu celou dobu držel v peněžence. Není to chyba technologie, je to chyba důvěry v hlas na druhém konci linky.