Vždy zvedněte telefon a zavolejte, než pošlete peníze. Podvodníci pomocí Facebooku vybírají peníze z bankomatů

Stačí jedna zpráva od kamaráda na Messengeru, jedno potvrzení v bankovní aplikaci – a peníze jsou pryč. Nenávratně, během sekund.

Zdroj fotografie: Unsplash

Na přelomu let 2025 a 2026 zaznamenala Policie ČR výrazný podvodů, při nichž pachatelé přebírají cizí účty na Facebooku a dalších komunikátorech a pod jménem skutečného majitele žádají jeho přátele o peníze. Jen na Liberecku policie v únoru 2026 evidovala během několika dní přes deset takových případů škodou přesahující 400 tisíc korun. Princip je vždy stejný: zpráva přijde z profilu člověka, kterého znáte. Vypadá důvěryhodně, protože technicky je z jeho účtu, jenže za klávesnicí sedí někdo jiný. A jediný způsob, jak to odhalit, je zvednout telefon a zavolat.

Jak celý podvod funguje krok za krokem

Řetězec začíná nenápadně. Pachatel získá přístup k cizímu facebookovému profilu, nejčastěji přes vyklánění ověřovacího kódu, slabé heslo nebo phishingový odkaz maskovaný jako „hlasování v soutěži“. Policie v lednu 2026 popsala variantu, kdy oběť klikla na odkaz v chatě, zadala telefonní číslo a nevědomky propojila svá zařízení s útočníkem. Ten pak tiše převzal účet.

Jakmile má pachatel profil pod kontrolou, přijde seznam přátel a začne psát. Legenda se mění, někdy jde o naléhavou žádost o půjčku, jindy o žádost o přeposlání kódu „ze soutěže“. Společný jmenovatel je tlak na rychlost. Žádná chvilka na rozmyšlenou, žádný prostor pro pochybnosti.

V polském prostředí, odkud se aktuální vlna šíří, pachatel typický vyláká šestimístný kód systému BLIK:

• Oběť vygeneruje jednorázový kód v bankovní aplikaci.
• Pachatel ho zadá do bankomatu.
• Systém pošle žádost o potvrzení zpět do aplikace oběti.
• Oběť potvrdím PINem, bankomat vydá hotovost.

Celý proces? Kód platí dvě minuty. Od potvrzení v aplikaci k výběru hotovosti uplyne pár vteřin. Banka transakce vidí správně autorizovanou uživatelem, nemá důvod ji zastavit.

V Česku BLIK nemáme. Riziko ale ano

BLIK je polský platební systém, v Česku se běžně nepoužívá. Funguje v Polsku a na Slovensku, vstup do Rumunska má schválený. Jenže to neznamená, že se problém českých uživatelů netýká.

Podle České národní banky má přístup k okamžitému platbám v systému CERTIS už 99 % klientů bank na českém trhu . Taková platba proběhne, sedm dní v týdnu a běžně je hotová zhruba tři sekundy. Technický strop pro rozhodnutí systému je šest sekund. To je vše, co dělí potvrzení od nevratného odeslání peněz.

Air Bank na svých stránkách uvádí přímo: většinu plateb odesílá okamžitě a po odeslání nelze vrátit, vrátit je může jen příjemce. Když je příjemcem podvodník, šance na dobrovolné vrácení je prakticky nulová.

Psychologický mechanismus je tedy v Česku plně přenositelný. Nepotřebujete BLIK kód. Stačí, aby vás zpráva od „kamarády“ přesvědčila poslat okamžitou platbu na neznámý účet. Tři sekundy, a hotovo.

Proč je telefonát poslední lidská pojistka

Zpráva z Messengeru vypadá jako důkaz identity. Jenže po převzetí účtu už důkazem není. Jediný, co útočník snadnom. zfalšovat reálné v čase, je hlas skutečného člověka na konci druhého linky

Policie ČR opakovaně doporučuje ověřit každou žádost o peníze jiným komunikačním kanálem, ideálně telefonátem. Stejnou radu dávám i samotný BLIK ve svých bezpečnostních doporučeních: kód nikdy neposílejte, dokud si jen neověříte, s kým komunikujete.

A tady je klíčový varovný signál: pokud druhá strana odmítá hovor, tvrdí, že má „rozbitý mikrofon“, nebo vás tlačí do okamžité reakce a zakazuje ověřit, je to samo o sobě důvod nic neposílat. Legitimní přítel, který skutečně potřebuje pomoc, nemá důvod bránit vám v tom, abyste mu zavolali.

Telefonát samozřejmě není všelék. Politika popisuje i propracovanější varianty, kdy pachatel komunikuje z nového čísla nebo kombinuje více triků. Proto je telefonát nejúčinnější v kombinaci s dalšími opatřeními: dvoufázovým ověřením, unikátním heslem a kontrolou souhrnu každé transakce před potvrzením.

Co dělat, když už je pozdě

Zjistili jste, že jste peníze poslali podvodníkovi? Počítá se každá minuta. Pořadí kroky:

• Okamžitě volejte banku, žádejte blokaci účtu, karty a další autorizační prostředky.
• Změňte heslo k napadenému účtu na sociální síti a odhlaste všechna cizí zařízení.
• Varujte své kontakty, že váš profil mohl být zneužit, ať nereaguje na žádné zprávy.
• Shromážděte důkazy, screenshoty chatu, potvrzení transakce, čísla účtů, časové údaje.
• Podejte oznámení na Policii ČR, v naléhavém případě přes linku 158.

Šance na vrácení peněz u okamžitých plateb je nízká. Banka může příjemce vyzvat k vrácení, ale donutit ho nemůže. Policie za rok 2025 evidovala přes 21 tisíc skutků v kyberprostoru s objasněností 15,1 %. Pachatelé jsou dopadáni, v Praze policie po dvouletém vyšetřování zadržela devítičlennou skupinu se stovkou poškozených a škodou téměř tři miliony korun, ale jde o běh na dlouhou trať.

Jak si účet zabezpečit, než se něco stane

Prevence je nesrovnatelně účinnější než řešení. Meta od roku 2025 zavádí na Facebooku přihlašování přes passkeys, tedy biometriku nebo PIN zařízení místo hesla. Autor doporučuje Security Checkup a dvoufázové ověření pro Facebook a Instagram.

Minimum, které by měl mít nastavit každý:

• Silné a unikátní heslo, žádné recyklování napříč službami.
• Dvoufázové ověření (2FA), nejlépe přes autentizační aplikaci, není jen SMS.
• Pravidelná kontrola přihlášených zařízení, neznámé přístupy okamžitě odhlásit.
• Neklikat na „hlasovací“ a jiné podezřelé odkazy v chatě, i když je posílá kamarád.
• Nikdy nesdělovat SMS kódy ani autorizační kódy, žádná banka ani služba je po vás přes chat nechce.

Nejde o problém jedné platformy. Zásady stejný postup popisuje na Facebooku, WhatsApp a dalších komunikátorech. Společným jmenovatelem není konkrétní aplikace, ale převzatá identita a rychlost, s jakou se dá autorizovat nevratná platba.

Než pošlete komukoli peníze na základě chatových zpráv, vyčtete jeho číslo. Deset sekund hovoru vás může ušetřit deset tisíc korun.