Gemini měla „sloužit lidstvu“, místo toho pomáhala krást data i peníze. Google žaluje viníky, škoda je 45 miliard Kč

Google žaluje čínskou síť Outsider Enterprise, která jeho vlastní AI proměnila v nástroj průmyslového phishingu. Odhadované škody dosahují 1,9 miliardy dolarů.

Zdroj fotografie: Unsplash

Dne 12. června 2026 zveřejnil Google na svém blogu oznámení, které čtete dvakrát, než mu uvěříte. Firma žaluje organizovanou skupinu, jež si z generativní umělé inteligence, konkrétně z Gemini, udělala levnou výrobní linku na podvodné weby. Nástroj, který měl lidem pomáhat s psaním, hledáním informací a každodenní produktivitou, posloužil k opačnému účelu: ke krádežím hesel, čísel platebních karet a peněz. Podle sekundárních zdrojů citujících FBI se celkové ztráty obětí od července 2023 vyšplhaly na odhadovaných 1,9 miliardy dolarů. Při kurzu kolem 23,7 koruny za dolar je to přibližně 45 miliard korun. Číslo nepochází přímo od Googlu, ten ve svém příspěvku mluví o „ztrátách v řádu milionů“, ale z analýzy založené na nahlášených případech, kterou přinesl například Tom’s Hardware. Rozdíl v řádech stojí za zmínku, protože ukazuje, jak široce se operace rozrostla.

Phishing jako předplatné: 88 dolarů týdně a návod v ceně

Outsider Enterprise nebyla banda hackerů v kapucích. Fungovala jako komerční služba. Podle sekundárních zdrojů citujících text žaloby si kdokoli mohl přes telegramového bota zaplatit předplatné (88 dolarů týdně nebo 200 dolarů měsíčně) a získat přístup k více než 290 předpřipraveným phishingovým šablonám. Ty napodobovaly banky, mobilní operátory, americkou poštu USPS, mýtné systémy typu E-ZPass i státní úřady pro řidičské průkazy.

A právě tady vstupuje do hry Gemini. Outsider svým zákazníkům podle téhož zdroje rozdával návod včetně videa, jak zadat AI zdánlivě nevinný prompt, třeba požadavek na jednoduchou stránku pro „uplatnění dárkového poukazu“ s inline CSS a bez JavaScriptu. Gemini vygenerovala HTML kód, který sám o sobě nebyl škodlivý. Jenže po importu do nástroje Outsider se z něj stala plně funkční phishingová stránka schopná v reálném čase sbírat hesla, PINy, čísla karet i jednorázové SMS kódy pro dvoufaktorové ověření.

Klíčový posun není v tom, že by AI „vymyslela“ phishing. Phishing existuje déle než většina sociálních sítí. Posun je v tom, že ho AI zlevnila a zpřístupnila i lidem bez technických znalostí. Stačil prompt, předplatné a Telegram.

Rozsah, který se měří na miliony

Čísla z oficiálního blogu Googlu mluví jasně: přes devět tisíc falešných webů, více než milion podvodných URL adres, 2,5 milionu škodlivých zpráv zachycených na Androidu. Za dvoutýdenní období končící 1. června 2026 nahlásili uživatelé Androidu 55 tisíc podezřelých textových zpráv. To je víc než dvě stížnosti za minutu, nepřetržitě, čtrnáct dní v kuse.

Sekundární zdroje s odkazem na FBI doplňují další rozměr: operace měla zasáhnout přibližně 3,87 milionu platebních karet. Převážná většina doložených obětí pochází z USA; kampaně cílily na americké operátory, americké poštovní služby a americké mýtné systémy. Přímé potvrzení českých obětí se ve veřejně dostupných podkladech nepodařilo dohledat, což ale neznamená, že se podobné techniky nemohou objevit i v tuzemsku. Phishing jako služba je ze své podstaty exportovatelný model.

Proč civilní žaloba a co může změnit

Google zvolil civilní cestu, a má k tomu praktický důvod. Civilní žaloba umožňuje rychlý soudní zásah do infrastruktury: blokování domén, zmrazení platebních peněženek, vymáhání ochrany značek. Podle sekundárních zdrojů žaloba operuje s americkým zákonem RICO a s porušením ochranných známek. Trestní stíhání mezitím běží paralelně; Google výslovně uvádí, že spolupracuje s FBI a koordinuje postup s operátory AT&T, T-Mobile a Verizon.

Má to ovšem limity. Aktéři sídlí v Číně a ani americký civilní rozsudek neznamená, že budou vydáni. Google to ví. Proto tlačí i na legislativu, mluví o sedmi bipartisánních návrzích zákonů v Kongresu. Veřejně doložitelné jsou minimálně National Strategy for Combating Scams Act, Stop SCAMS Act, GUARD Act zaměřený na ochranu seniorů, Foreign Robocall Elimination Act proti zahraničním robotickým hovorům a Scam Compound Accountability Act cílící na mezinárodní podvodné centrály. Kompletní oficiální seznam všech sedmi návrhů Google ve svém příspěvku neuvedl.

Není to poprvé, co firma sahá po žalobě. Už v listopadu 2025 žalovala jinou phishingovou infrastrukturu nazvanou Lighthouse, která měla přes milion obětí ve 120 zemích. Outsider je tedy pokračování vzorce, ne anomálie.

Co s tím může udělat běžný uživatel

Google tvrdí, že jeho vestavěné obranné vrstvy zachytí přes deset miliard škodlivých zpráv měsíčně. To je impozantní číslo, a zároveň důkaz, kolik jich proklouzne. Praktická obrana proto začíná u uživatele:

• Nevyžádaná zpráva s nátlakem (nezaplacené mýtné, nedoručený balíček, expirující body) je téměř vždy podvod, pokud žádá kliknutí na odkaz a zadání údajů.
• URL s drobnou odchylkou v názvu domény je klasický varovný signál.
• Dvoufaktorové ověření a přístupové klíče (Passkeys) výrazně ztěžují zneužití ukradených hesel.
• Safe Browsing v prohlížeči Chrome varuje před známými podvodnými weby; bannery v Gmailu upozorňují na podezřelé přílohy a odkazy.
• Pokud jste údaje zadali, okamžitě změňte heslo, kontaktujte banku kvůli blokaci karty a projděte bezpečnostní kontrolu účtu.

Outsider Enterprise ukázal, že budoucnost phishingu není v geniálních hackerech. Je v předplatném za dva tisíce korun týdně a v promptu, který zvládne napsat kdokoli. Obrana proti tomu nemůže stát jen na technologii jedné firmy; vyžaduje kombinaci práva, mezinárodní spolupráce a zdravé nedůvěry ke každé zprávě, která chce vaše heslo hned teď.