Podvodníci vám kradou peníze z karty, i když ji máte celou dobu v peněžence. Experti radí, jak se bránit

Jen v Austrálii přišlo o peníze kvůli kartovým podvodům 2,3 milionu lidí za jediný rok. Fyzickou kartu přitom většina z nich nikdy neztratila.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Představte si, že vám na účet přistane SMS o platbě 12 korun u obchodníka, o kterém jste nikdy neslyšeli. Karta leží v peněžence, nikde jste ji nezapomněli, nikomu nepůjčili. Přesto se někdo právě pokusil ověřit, jestli funguje, a pokud nezareagujete, příští uskutečnit bude řádově vyšší. Přesně takhle vypadá typický začátek podvodu bez fyzické karty, nejrozšířenějšího typu kartové krádeže současnosti. Útočníkovi stačí číslo karty, datum platnosti a třímístný kód CVV. Fyzický plast nepotřebuje vůbec.

Jak se podvodníci dostanou k údajům, které nosíte v peněžence

Cest je žádný velký kontakt a většina z nich vyžaduje vaši kartu.

Phishing a vishing zůstávají nejmasovější metodou. Přijde e-mail od „banky“, SMS s odkazem na „ověření platby“ nebo telefonát, ve kterém volající zná vaše jméno a poslední čtyři číslice karty. Cíl je vždy stejný: vylákat zbývající údaje, jednorázový kód nebo přihlášení do internetového bankovnictví.

Falešné a vizuálně totožné weby fungují jinak. Útočník vytvoří kopii známého e-shopu s téměř stejnou adresou, stačí záměna jednoho písmene. Australský regulátor A na portál Moneysmart zabezpečiť , že i podvodný web může mít „zámeček“ v adresním řádku, takže samotné HTTPS nic nezaručuje.

Skimming je starší, ale stále živá technika. Na čtečku bankomatu nebo platebního terminálu útočník nasadí přídavné zařízení, které kopíruje data z magnetického proužku, zatímco miniaturní kamera snímá PIN. Podle bezpečnostního týmu National Australia Bank jde hlavně o samostatně stojící bankomaty a čerpací stanice.

A pak je tu převzetí účtu . Pokud hledáte získat údaje k internetovému bankovnictví nebo k e-shopu, kde máte uloženou kartu, nepotřebujete ani číslo karty. Stačí se přihlásit a koupit.

Proč rozhodují minuty, ne dny

Australský statistický úřad (ABS) zveřejnil v březnu 2026 data za finanční rok 2024–25. Hrubá škoda z kartových podvodů dosáhla 2,2 miliardy australských dolarů. Po refundacích klesla na 350 milionů, což znamená, že banky vrátily většinu peněz. Jenže ne všem: zhruba pětina obětí o část prostředků přišla definitivně, protože podvod nahlásila pozdě nebo nedodržela bezpečnostní pravidla.

Finanční poradkyně Rebecca Pritchard, citovaná australská ABC, popisuje typický vzorec: útočník nejprve objevil jednu nebo dvě drobné „testovací“ transakce. Pokud oběť nereaguje, následuje velký výběr. Právě proto je nejslabším článkem řetězu zpožděná reakce uživatele, nikoli samotná karta.

Chris Sheehan, šéf vyšetřování v NAB, to potvrzuje: u 92 % případů byl první, kdo podvod odhalil, bankovní monitoring, ne klient. Push notifikace v mobilu tento poměr dokážou obrátit. Místo čekání na měsíční výpis nebo telefonát z banky uvidíte každou transakci v reálném čase.

Co platí v Česku: zákon i praxe

Stejné typy útoků řeší české banky ve svých bezpečnostních materiálech, phishing, skimming, podvodné weby i převzetí účtu. Jednotná veřejná statistika kartových podvodů srovnatelná s australskými daty se v Česku nepublikuje, ale rozsah bankovních návodů vede, že problém rozhodně není exotický.

Právní rámec je přitom pro klienta příznivý. Zákon č. 370/2017 Sb., o platebním styku , ukládá bance uvést účet do stavu, v jakém by byl bez neautorizovaných transakcí. Klient nese ztrátu maximálně do výše 50 eur, pokud ovšem neprokáže hrubou nedbalost nebo podvod na vlastní straně. Oznámení je třeba učinit bez zbytečného odkladu, zákonná lhůta běží až 13 měsíců, ale prakticky rozhodují hodiny.

Obrana v pěti vrstvách: co nastavit ještě dnes

Nejlepší ochrana není „nikdy kartu nevytáhnout“. Je to zkrátit okno mezi vznikem podvodu a vaší reakce na minimum.

• Zapněte push notifikace. V George od České spořitelny je najdete v Profilu pod Informačními zprávami. MONETA ve Smart Bance upozorní i na zamítnuté a neobvyklé transakce. Komerční banka nabízí notifikace o všech pohybech v sekci MojeBanka.
• Snižte limity na kartu. Air Bank umožňuje v aplikaci nastavit trvalé i dočasné limity zvlášť pro internetové platby, navýšit je jedním tahem, když skutečně potřebujete zaplatit. KB doporučuje totéž: nízký denní limit a dočasné zvýšení jen podle potřeby.
• Platte mobilem, ne plastem. Apple Pay neposílá obchodníkovi skutečné číslo karty a vyžaduje biometrické ověření. Google Wallet pracuje s virtuální kartou a zámkem obrazovky. Komerční banka potvrzuje, že tokenizace v mobilních peněženkách zvyšuje bezpečnost. Není to imunita proti phishingu, ale odpovídá to skimming a vizuální odpozorování údajů.
• Kontrolujte bankomat. Před vložením karty zkuste stáhnout za čtečku, skimmer bývá nasazený volně. PIN vždy zakryjte druhou rukou. Kde je k dispozici bezkontaktní čtečka, upřednostněte ji.
• Neřešte peníze přes veřejnou wi-fi. Pro bankovnictví a online nákupy používejte domácí síť nebo mobilní data. A i na zabezpečeném připojení ověřujte URL obchodu se znakem po znaku.

Co dělat, když už se to stalo

Pořadí je důležitější než jejich počet:

1. Okamžitě zamkněte kartu v aplikaci, většina českých bank to umožňuje jedním kliknutím nonstop.
2. Zavolejte na linku banky a nahlaste neautorizovanou transakci.
3. Zapište si čas, část a název obchodníka; uložte SMS a e-mail.
4. Pokud šlo o kompromitaci online účtu, změňte hesla a odhlaste neznámá zařízení.
5. Při podezření na trestný čin podejte oznámení policii.

Každá minuta, o kterou zkrátíte čas mezi podvodnou transakcí a blokovacími kartami, zvyšuje šanci, že peníze dostanete zpět v plné výši. Australská data ukazují, že 78 % obětí, které rychle rychle, nakonec nepřišlo ani o korunu. Český zákon vám dává silnou oporu, ale jen tehdy, když nebudete čekat na měsíční výpis.