„Za chybu mi jako kompenzaci slíbili 1 500 korun, místo toho mi je sebrali,“ pláče okradená Eva

Částka 1 500 korun zní nevinně. Právě proto na ni Eva klikla, a právě proto funguje tisícům dalších obětí v Česku.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Česká národní banka

Paní Eva jednoho dne dostala SMS: „Oznámení o vyplacení kompenzace za chybu bankovního systému – klikněte pro vyplacení 1 500 Kč.“ Zpráva měla logo známé banky a odkaz, který vypadal jako zabezpečená stránka. Eva klikla a byla přesměrována na stránku, kde měla zadat své osobní údaje a číslo účtu pro „ověření identity“. Vyplnila požadované údaje. Jenže během několika hodin si všimla, že z účtu mizí peníze – podvodníci využili falešnou kompenzaci.

Jak podvod funguje krok za krokem

Žádná chyba bankovního systému se nestala. Žádná kompenzace neexistovala. Zpráva, kterou Eva dostala, patří do rodiny takzvaného smishingu, tedy podvodných SMS, které napodobují komunikaci důvěryhodné instituce a lákají příjemce na falešný odkaz. NÚKIB scénář „banka vám chce vrátit peníze“ přímo řadí mezi nejčastější phishingové motivy cílené na české uživatele. Malá, uvěřitelná částka, přeplatek, doplatek nebo kompenzace, působí nesrovnatelně důvěryhodněji než okatá výhra v milionové loterii. A právě v tom spočívá její síla.

Celý útok stojí na dvou krocích, které se odehrají během minut.

1. Klik a falešná stránka. SMS obsahuje odkaz vedoucí na web, který vizuálně kopíruje přihlašovací rozhraní konkrétní banky, přičemž adresní řádek může na první pohled vypadat jako zabezpečená stránka. Eva na ní zadala přihlašovací údaje a číslo účtu.
2. Okamžité zneužití. Útočníci zadané údaje použijí v reálném čase k přihlášení do skutečného internetového bankovnictví. Systém banky vyšle oběti výzvu k dvoufázovému ověření, push notifikaci nebo SMS kód. Oběť, která stále čeká na „vyplacení kompenzace“, potvrzení odsouhlasí. Tím otevře podvodníkům plný přístup k účtu.

MONETA Bank i NÚKIB shodně popisují, že po potvrzení ověření útočníci okamžitě zadávají odchozí platby. Eva si úbytku všimla během několika hodin, v tu chvíli už peníze z účtu odešly.

Proč banka nemusí škodu automaticky vrátit

Intuice říká: banka přece musí klienta ochránit. Realita je složitější. Česká národní banka upozorňuje, že pokud klient sám potvrdí silné ověření, tedy autorizuje transakci push notifikací, SMS kódem nebo biometrikou, může nést odpovědnost za vzniklou škodu. Posuzuje se, zda nešlo o hrubou nedbalost. V praxi to znamená, že výsledek reklamace závisí na konkrétních okolnostech: jak rychle oběť podvod nahlásila, co přesně potvrdila a jak banka transakci právně vyhodnotí. Zda Eva své peníze získala zpět, veřejné zdroje neuvádějí.

Česko pod palbou milionů podvodných SMS

Případ Evy není ojedinělý. Policie ČR za rok 2024 evidovala 18 495 trestných činů v kyberprostoru a phishing řadí mezi významné škodní kategorie. Český telekomunikační úřad v lednu 2026 uvádí, že operátoři stále blokují jednotky milionů podvodných SMS měsíčně, a to i přesto, že od 1. července 2025 platí novela zákona o elektronických komunikacích umožňující operátorům a bankám sdílet provozní data za účelem identifikace podezřelé komunikace.

Komerční banka ještě 26. března 2026 varovala před novou vlnou podvodů zahrnující falešné přeplatky a urgentní aktualizace Bank iD. Mezi značky opakovaně zneužívané v podvodných kampaních patří i Česká spořitelna, Raiffeisenbank, MONETA či mBank. Dnešní smishing už nemá nic společného s „nigerijským princem“, díky umělé inteligenci a kvalitním překladačům zprávy vypadají jazykově bezchybně a odesílatel může být podvržen tak, že se SMS zobrazí přímo ve vlákně skutečné bankovní komunikace.

Co dělat, aby se vám nestalo totéž

Několik zásad, které fungují jako pojistka:

• Nikdy neklikejte na odkaz z SMS nebo e-mailu, který vás vyzývá k přihlášení do bankovnictví. Přihlašujte se výhradně přes vlastní aplikaci nebo ručně zadanou adresu v prohlížeči.
• Ověřte si informaci mimo zprávu. Zavolejte na oficiální linku banky z jejího webu nebo aplikace. Pokud banka nabízí ověření volajícího přímo v aplikaci, využijte ho.
• Podezřelou SMS přepošlete na číslo 7726, operátoři ji prověří a případně zablokují odesílatele.
• Pokud jste údaje už zadali: okamžitě kontaktujte banku, zablokujte kartu, změňte hesla k bankovnictví i e-mailu, zkontrolujte historii transakcí a podejte oznámení na policii.

Varovné znaky jsou vždy stejné: časový nátlak, slib výhody, odkaz na „ověření“ a požadavek na citlivé údaje. Skutečná banka po vás tyto kroky přes SMS nikdy nepožaduje.

Částka 1 500 korun je pro podvodníky jen návnada, dost malá, aby nevzbudila podezření, a dost konkrétní, aby vypadala jako reálný nárok. Právě ta nenápadnost je na celém schématu to nejnebezpečnější.