Přiložila kartu k telefonu, jak jí řekl „bankéř“. Za 10 minut měla účet prázdný, přišla o 660 tisíc Kč
Podvodníci v Česku přestali jen volat. Teď obětem posílají falešnou aplikaci, přes kterou si na dálku zkopírují platební kartu.
Obsah článku
Žena z jižních Čech přišla o více než 660 tisíc korun poté, co uvěřila člověku, který se vydával za policistu a bankéře. Podle policejního oznámení z Českých Budějovic provedla několik platebních transakcí a část peněz nakonec předala osobně kurýrovi. Policie dodnes pátrá po jeho totožnosti a v květnu 2026 zveřejnila identikit. Současně se po celém Česku šíří technicky sofistikovanější varianta téhož podvodu: oběť na pokyn „bankéře“ stáhne falešnou aplikaci, přiloží platební kartu k telefonu a zadá PIN. V tu chvíli útočník na druhém konci drží virtuální kopii karty a může ji okamžitě zneužít. Peníze pak mizí v řádu minut, doslova rychleji, než si člověk uvědomí, co se stalo.
Jak funguje trik s přiložením karty
Celý útok začíná telefonátem. Volající se představí jako pracovník banky, České národní banky nebo policie. Mluví profesionálně, zná jméno oběti, někdy i část čísla účtu. Pak přijde klíčová instrukce: „Stáhněte si bezpečnostní aplikaci.“ Odkaz dorazí přes SMS nebo WhatsApp.
Aplikace se jmenuje jinak pokaždé, ale princip je vždy stejný. Bezpečnostní firma ESET ji analyzovala pod označením NGate a popsala mechanismus takto: po instalaci aplikace požádá o zapnutí NFC v telefonu a vyzve uživatele, aby přiložil platební kartu k zadní straně přístroje. Telefon oběti v tu chvíli nečte kartu pro sebe, funguje jako prostředník, který NFC komunikaci karty v reálném čase přeposílá přes internet do zařízení útočníka. Ten pak kartu emuluje, jako by ji fyzicky držel v ruce.
A pak přijde „ověření“: oběť zadá PIN. Ne do bankovní aplikace, ale do falešné. Útočník má v tu chvíli data karty i PIN. Může vybírat z bankomatu, platit v obchodech, převádět peníze. Karta přitom celou dobu zůstává v ruce oběti.
Proč peníze zmizí tak rychle
Rychlost je záměr, ne vedlejší efekt. Útočník s emulovanou kartou a PINem nepotřebuje nic dalšího, stojí u bankomatu a vybírá. Policisté z Děčínska, kteří od prosince 2025 do ledna 2026 evidovali nejméně devět takových případů se škodou přes 2,3 milionu korun, popsali ještě jeden krok, který škodu násobí: oběti bývají instruovány, aby si předem převedly úspory ze spořicího účtu na běžný a zvýšily denní limity karty. Všechno „kvůli bezpečnosti“.
V jihočeském případě se škodou přes 660 tisíc korun policie uvedla, že žena provedla několik platebních transakcí a peníze navíc předala kurýrovi osobně. Kombinace digitálního a fyzického kanálu je pro podvodníky ideální: maximalizuje objem a minimalizuje čas, kdy může banka zasáhnout. Z pohledu bankovního systému totiž část operací vypadá jako standardní použití karty s platným PINem. Není co automaticky zablokovat.
Psychologie útoku je nebezpečnější než technologie
NFC relay je sofistikovaný nástroj, ale není to hlavní zbraň. Tou je manipulace. Policie opakovaně popisuje stejný vzorec: strach, autorita, tlak na čas a postupné kroky.
Volající oznámí, že na účet oběti někdo bere úvěr, že hrozí ztráta všech úspor, že situaci řeší „speciální oddělení“. Zakáže o věci mluvit s kýmkoli, prý kvůli probíhajícímu vyšetřování. Každý další pokyn zní logicky, protože navazuje na ten předchozí. Oběť nepřikládá kartu k telefonu s pocitem, že dělá něco divného. Má pocit, že zachraňuje své peníze.
Na Třeboňsku přišla koncem června 2026 žena během jediného dne o 1,3 milionu korun. Na jihu Čech policie hlásí podobné případy prakticky denně. Středočeská policie zaznamenala za rok 2025 stoprocentní nárůst u legendy „falešný bankéř“. A podle České bankovní asociace se podvodníci jen za první čtvrtletí 2026 pokusili ukrást přes 4 miliardy korun. Banky zachránily 3,4 miliardy, ale zbytek ne.
Organizovaný byznys, ne ojedinělý pokus
Nejde o jednotlivce. ESET v květnu 2026 zveřejnil data, podle kterých zhruba 90 % detekovaných aplikací NGate komunikovalo s jedním a tímtéž řídicím serverem. To ukazuje na organizovanou skupinu, ne na náhodné napodobitele. Za první čtyři měsíce roku 2026 zaznamenal ESET v Česku a na Slovensku více detekcí NGate než za celý předchozí rok; meziroční nárůst odhaduje přibližně patnáctinásobný.
U starší vlny útoků česká policie v březnu 2024 zadržela dvaadvacetiletého muže podezřelého z výběrů z bankomatů v Praze. U jihočeského případu se škodou přes 660 tisíc korun dopadení pachatelů veřejně potvrzené není.
Jak se bránit, a co dělat, když už je pozdě
- Nikdy neinstalujte aplikaci z odkazu, který vám poslal někdo po telefonu, v SMS nebo přes messenger. Legitimní bankovní aplikace se stahuje výhradně z oficiálního obchodu.
- Nikdy nepřikládejte kartu k telefonu na pokyn cizí osoby. Banka to po vás nechce, ČNB to po vás nechce, policie to po vás nechce.
- Nikdy nesdělujte PIN. Nikomu. Ani „ověřovací aplikaci.“
- Přerušte hovor a zavolejte bance sami na číslo z oficiálních stránek nebo z karty. Podvodník vás bude přesvědčovat, abyste to nedělali. Právě proto to udělejte.
- Pokud už jste pokyn splnili: okamžitě volejte bance, zablokujte kartu i internetové bankovnictví, kontaktujte policii. Každá minuta rozhoduje.
Pravidla jsou jednoduchá a ČNB i policie je opakují.
Co se týče vrácení peněz, automatická jistota neexistuje. Zákon o platebním styku říká, že neautorizovanou transakci má banka napravit do konce následujícího pracovního dne. Jenže pokud klient sám potvrdil silné ověření, zadal PIN do cizí aplikace nebo jednal hrubě nedbale, může nést ztrátu v plném rozsahu. Škodu přesto vždy reklamujte. Nevzdávejte to předem.
Nejúčinnější obrana nezačíná u technologií, ale u jediného rozhodnutí: neposlechnout cizího člověka, který po telefonu žádá přístup k vašim penězům. Žádná banka, žádná policie, žádná centrální banka to po vás nikdy nebude chtít.