Policie v Praze zadržela muže, který vybíral z bankomatu peníze oběti ve stejnou chvíli jako ona. Škoda přesáhla 3 miliony Kč

Pražští kriminalisté obvinili muže, který jako „výběrčí“ vybíral hotovost z bankomatů v reálném čase díky on-line přenosu dat přímo z karet obětí.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Policie České republiky

Představte si, že stojíte u bankomatu, zadáváte PIN a vybíráte peníze. Ve stejném okamžiku, možná o pár ulic dál, možná na druhém konci města, někdo jiný dělá totéž s vaší kartou. Ne s padělkem, ne s kopií magnetického proužku. S daty vašeho čipu, přenesenými on-line v řádu sekund. Přesně takový scénář popsala 26. 8. 2025 pražská policie, když zveřejnila detaily dvou nových způsobů zneužití platebních karet a oznámila zadržení muže, který v tomto řetězci plnil roli fyzického výběrčího hotovosti.

Jak funguje podvod, při kterém vybíráte vy i zloděj najednou

Policie v tiskové zprávě z 26. 8. 2025 rozlišuje dvě varianty útoku.

NFC skimming nové generace. Na místo pro bezkontaktní přiložení karty u bankomatu pachatel nainstaluje snímací zařízení, které policie označuje za „těžko odhalitelné“. Zařízení nečte magnetický proužek, zachycuje komunikaci čipu přes NFC a data odesílá on-line druhému člověku. PIN získá skrytá kamera namířená na klávesnici. Výběrčí pak u jiného bankomatu provede transakci, která se z pohledu banky jeví jako standardní operace CHIP+PIN originální kartou.

Relay útok přes falešného bankéře. Oběť zavolá podvodník vydávající se za pracovníka banky nebo policie. Přesvědčí ji, aby si stáhla aplikaci nebo otevřela odkaz, a následně ji instruuje, aby přiložila platební kartu k telefonu. Tím se vytvoří relay spojení mezi čipem karty a zařízením pachatele, který stojí u bankomatu připravený vybírat. Oběť přitom často vůbec netuší, že právě autorizuje výběr hotovosti na druhém konci města.

Společný jmenovatel obou variant: pachatel nepotřebuje padělek karty, nepotřebuje čekat dny ani týdny. Proměňuje kartu oběti v okamžitě použitelný nástroj.

Zadržený „výběrčí“ a stopa k širší síti

Mluvčí pražské policie Jan Rybanský sdělil, že zadržený muž byl obviněn a vazebně stíhán. Policie prokázala škodu přesahující tři miliony korun za období od května do července 2025. Jméno, věk ani státní příslušnost zadrženého zveřejněny nebyly, stejně jako přesný počet poškozených.

Klíčový detail: policie muže označuje jako „výběrčího“. Samo to slovo prozrazuje víc, než se na první pohled zdá. Výběrčí je koncový článek, někdo musí instalovat zařízení nebo provozovat sociální inženýrství, někdo musí zajistit technický přenos dat. Ve středočeské kauze z téhož léta policie výslovně rozlišuje role „navolávače“ a „výběrčího“ a popisuje 51 výběrů za období od konce července do konce srpna 2025. Na Děčínsku se na přelomu let 2025 a 2026 objevilo nejméně devět případů se škodou přes 2,3 milionu korun. Pražský případ tedy není ojedinělý exces. Je součástí vlny.

Policie u zadržení zmínila úzkou spolupráci s bankovním sektorem a zahraničními kolegy. Detaily zásahu nezveřejnila.

Starý skimming versus nová éra

Rozdíl mezi tím, co Češi znají z minulých let, a tím, co policie popsala letos, je zásadní.

Klasický skimming kopíroval data z magnetického proužku. Z nich se vyrobil padělek karty a neoprávněné výběry probíhaly typicky mimo Evropu, v zemích, kde bankomaty nevyžadovaly čipovou autorizaci podle standardu EMV. Mezi zachycením dat a zneužitím uplynuly dny, někdy týdny. Oběť měla šanci si všimnout podezřelé transakce a kartu zablokovat.

Nový model tuto časovou rezervu likviduje. Data z čipu putují on-line, PIN je zachycen kamerou nebo ho oběť sama „předá“ přiložením karty k telefonu. Výběr probíhá okamžitě. A protože transakce vypadá jako legitimní operace CHIP+PIN, standardní bezpečnostní filtry ji nemusí zachytit.

Posunula se i varianta falešného bankéře. Starší verze, kterou česká policie dokumentovala už v roce 2022, vedla oběť k převodu peněz na „bezpečný účet“, vložení hotovosti do bitcoinmatu nebo předání kurýrovi. Nová verze kurýra nepotřebuje. Stačí, aby oběť přiložila kartu k telefonu, a výběrčí si dojde k bankomatu sám.

Jak se bránit: konkrétní kroky, ne obecné fráze

Policejní prevence i preventivní materiály Policie ČR nabízejí sadu doporučení. Ta nejdůležitější:

• PIN zakrývejte celou dlaní, ne jen prsty. Kamera může být ukrytá v liště nad klávesnicí, v držáku letáků i v samotném rámu bankomatu.
• Stůjte těsně u bankomatu a dodržujte diskrétní zónu kolem 1,5 metru. Nenechte se nikým vyrušit ani „pomáhat“.
• Nikdy nepřikládejte platební kartu k telefonu na pokyn volajícího, který se představí jako bankéř nebo policista. Banka ani policie to po vás nikdy nechtějí.
• Neinstalujte aplikace z odkazů zaslaných v SMS, e-mailu nebo během hovoru.
• Zapněte si push notifikace o transakcích v bankovní aplikaci. U relay útoku je okamžitá notifikace často jediná šance, jak si včas všimnout neoprávněného výběru.
• Při jakémkoli podezření na bankomatu, uvolněná lišta, neobvyklý prvek u čtečky, cizí zařízení, transakci zrušte a volejte 158.

Banky přitom nejsou pasivní. Policie a Česká bankovní asociace mají od roku 2021 memorandum o spolupráci zaměřené na výměnu informací a společnou prevenci. Bankomaty jsou vybaveny antiskimmingovou technologií a monitoring transakcí běží nepřetržitě. Jenže nejslabším článkem zůstává chování klienta, a právě na něj nové metody cílí.

Čísla, která chybí

Poslední veřejně dostupná celostátní statistika skimmingu pochází od NCOZ a pokrývá rok 2019: 72 útoků, převážně v Praze, dále v Brně, Středočeském a Karlovarském kraji. Pro rok 2025 policie aktuální souhrnná čísla nezveřejnila. Tvrdit, že jde o epidemii, z dostupných dat nelze. Tvrdit, že jde o okrajový problém, ale také ne, tři miliony korun za tři měsíce v jedné pražské kauze, desítky výběrů ve středních Čechách a milionové škody na Děčínsku ukazují, že nový modus operandi funguje a šíří se.

Největší posun není v technologii samotné. Je v tom, že pachatel už nepotřebuje vaši kartu. Stačí mu její data, a vaše důvěra.