„Měla jsem koupené lístky na koncert za 4 200 Kč, přesto mě u vchodu poslali do háje,“ nechápe Karolína

Jeden QR kód, desítky kupujících, dovnitř projde jediný člověk. Přesně tak funguje nejrozšířenější podvod s digitálními vstupenkami na sociálních sítích.

Zdroj fotografie: Unsplash

Karolína si chtěla koupit lístky na vyprodaný koncert. Na Facebooku našla skupinu, kde lidé lístky přeprodávali, a ozval se jí muž, který nabízel dvě vstupenky za rozumnou cenu. Poslal jí screenshoty lístků i potvrzení objednávky, všechno vypadalo věrohodně. Domluvili se, že po zaplacení jí lístky pošle e-mailem. Karolína tedy zaplatila a opravdu jí přišly QR kódy vstupenek. Ulevilo se jí, napsala redakci Mobify. V den koncertu ale u vstupu zjistila, že lístky už někdo použil. Když se snažila prodejce kontaktovat, profil zmizel. Později se ukázalo, že stejný člověk prodal stejné QR kódy desítkám lidí, a dovnitř vždy prošel jen ten, kdo přišel jako první.

Proč facebookové skupiny nedokážou podvod odhalit

Jednatřicetiletá Karolína nedostala graficky podřadný padělek. Dostala skutečný QR kód, jenže tentýž kód obdržely i desítky dalších lidí. Systém u vstupu funguje jednoduše: první sken kód „spotřebuje“, každý další pokus o načtení vyhodnotí jako neplatný. Dokud nikdo neprojde turniketem, duplicita je neviditelná. Screenshot vypadá skvěle, potvrzení objednávky působí důvěryhodně, ale ani jedno z toho neznamená, že kód patří výhradně vám. Rozhodující není, jak lístek vypadá. Rozhodující je, kdo řídí jeho životní cyklus od vystavení po vstup.

Facebooková skupina pro přeprodej vstupenek je komunikační prostor, nic víc. Nikdo v ní neověřuje, jestli je QR kód platný, jestli nebyl už jednou načten nebo jestli ho prodávající právě teď neposílá dalším třem zájemcům. Peníze putují převodem „na domluvu“, žádný escrow je nedrží. Jakmile oběť zaplatí, prodejce může profil smazat během vteřin.

Oproti tomu oficiální resale Ticketmasteru pracuje s úplně jiným principem: po prodeji se původní čárový kód invaliduje a kupující dostane nový, unikátní kód. Starý QR v Apple Wallet nebo PDF přestane fungovat okamžitě. Podobně TicketSwap při ověřeném prodeji zadrží výplatu prodávajícímu, dokud kupující nepotvrdí, že vstupenka fungovala, a výslovně zakazuje nabízet stejný lístek na více platformách současně.

Rozdíl je zásadní: oficiální platforma řídí celý cyklus vstupenky. Facebookovou skupinu řídí jen algoritmus doporučování příspěvků.

Česká policie: nejde o okrajový problém

Během mistrovství světa v hokeji 2024 pražská policie spustila speciální projekt „Tiket“. Výsledek: téměř 600 falešných nebo opakovaně prodaných vstupenek, škoda blížící se dvěma milionům korun. V Moravskoslezském kraji evidovali 63 případů diváků, kteří se na zakoupené lístky nedostali do haly, přičemž policie obvinila 24letého muže, který kódy prodával opakovaně.

A co zmizelé profily? Smazaný účet na Facebooku neznamená konec vyšetřování. V jednom případu z roku 2024 policie spojila devět oznámení z různých krajů přes společné bankovní účty a další atributy a pachatele usvědčila. V jiném případě šlo o mladistvého, který přes falešné profily poškodil desítky lidí, a i jeho totožnost se podařilo zjistit.

Karolínin prodejce tedy nemusí zůstat anonymní navždy. Ale peníze se vracejí pomalu, pokud vůbec.

Co dělat, když už jste zaplatili

Šance na vrácení peněz závisí na způsobu platby:

• Karetní platba – můžete podat reklamaci (chargeback) u své banky pro nedodané zboží či službu. Komerční banka, mBank i Česká spořitelna tento postup popisují; obvykle vyžadují doklad o předchozím pokusu řešit věc s prodejcem a dodržení lhůty.
• Bankovní převod – chargeback neexistuje. Peníze jsou pryč, dokud je policie nezajistí nebo soud nepřizná náhradu škody.
• Pojištění k účtu – některé bankovní balíčky kryjí nedodání online nákupu nebo phishing, ale jen pokud byly sjednány předem a situace nespadá do výluk.

Vždy si uchovejte konverzaci, screenshot profilu prodejce, potvrzení platby a samotné QR kódy. Podejte trestní oznámení, i když se zdá marné. Právě spojení více oznámení policii umožňuje pachatele identifikovat.

Jak poznat bezpečný přeprodej od pasti

Žádný screenshot ani PDF vám bezpečí nezaručí. Existují ale signály, které riziko výrazně snižují:

• Vstupenka je převedena přes oficiální aplikaci nebo účet (Ticketmaster transfer, TicketSwap verified listing), ne poslána jako obrázek.
• Platba probíhá uvnitř platformy, ne převodem na soukromý účet.
• Po převodu dostáváte nový čárový kód, ne kopii původního.
• Pořadatel akce na svém webu uvádí konkrétního resale partnera. Rock for People například výslovně varuje před nákupem odkudkoli mimo TicketSwap.
• Ticketmaster používá tzv. pohyblivý čárový kód, dynamický kód, který se mění, a screenshot z něj ke vstupu nestačí.

Pokud prodejce trvá na rychlém převodu mimo platformu, odmítá transfer přes oficiální systém nebo nabízí „jen PDF, protože appka nefunguje“, odejděte.

Nese Facebook odpovědnost?

Meta není prodejcem vstupenky a podle evropského nařízení o digitálních službách (DSA) nemá obecnou monitorovací povinnost. Musí ale provozovat funkční mechanismus pro nahlášení nelegálního obsahu, a právě zde Evropská komise Metu kritizovala za příliš složité a obtížně dohledatelné nástroje hlášení. Meta sama uvádí, že v roce 2025 odstranila přes 159 milionů podvodných reklam a 10,9 milionu účtů napojených na podvodná centra.

Čísla znějí impozantně. Jenže pro Karolínu, která stojí před turniketem s neplatným kódem v telefonu, jsou irelevantní.

Bezpečí nevytváří ani důvěryhodně vypadající konverzace, ani razítko „potvrzeno“. Vytváří ho systém, který umí starý kód zničit a nový vydat, a který drží peníze, dokud nový držitel neprojde brankou.