Banky evidují milionové škody. Stačí, abyste k telefonu přiložili platební kartu, a do rána máte prázdný účet
Jen banka MONETA veřejně přiznala 44 poškozených klientů a škodu 7,5 milionu korun. A to je zlomek celkového čísla.
Obsah článku
Zavolá vám někdo, kdo se představí jako bankéř nebo policista. Řekne, že váš účet je v ohrožení, a přesvědčí vás, abyste si do telefonu stáhli „bezpečnostní aplikaci“. Pak vás požádá, abyste k telefonu přiložili platební kartu. Vypadá to jako záchrana peněz, ve skutečnosti je v tu chvíli předáváte. Škodlivá aplikace přes NFC načte data z čipu vaší karty a okamžitě je přepošle na zařízení podvodníka, který už může stát u bankomatu. Než si stačíte uvědomit, co se děje, peníze jsou pryč. Policie tomu říká „červí díra“ a české banky evidují škody v milionech korun. Nejde přitom o jednorázový incident, ale o vlnu, která trvá minimálně od léta 2024 a v prvním čtvrtletí 2026 nabírá na síle.
Jak přesně podvod funguje krok za krokem
Celý útok stojí na kombinaci psychické manipulace a jednoduché technologie. Policie ČR popsala mechanismus na případech z Děčínska, kde evidovala nejméně devět obětí a škodu přes 2,3 milionu korun. Průběh je téměř vždy stejný:
- Telefonát od „bankéře“ nebo „policisty“. Volající vyvolá strach: účet je prý napaden, peníze musíte okamžitě zabezpečit. Tlačí na rychlost a zakazuje volat komukoliv jinému.
- Odkaz na falešnou aplikaci. Oběť dostane SMS nebo zprávu s odkazem na stažení „ochranné“ aplikace. Nejde o nic z oficiálního Google Play; podle analýzy bezpečnostní firmy ESET se malware NGate šířil přes podvodné domény napodobující stránky bank.
- Přiložení karty k telefonu. Aplikace využije NFC a načte data z čipu platební karty. Často oběť zároveň zadá PIN nebo potvrdí operaci ve svém bankovnictví.
- Okamžitý výběr. Načtená data putují v reálném čase na druhé zařízení. Policie mluví o „telemostu“: pachatel u bankomatu provede bezkontaktní výběr, jako by měl originální kartu fyzicky v ruce.
Celý proces od prvního zazvonění telefonu po vyprázdnění účtu trvá minuty, maximálně hodiny. Air Bank na svých stránkách popisuje, že útočník vyžaduje hotovost „mezitím“, tedy ještě během hovoru s obětí. MONETA mluví o výběrech provedených „obratem“.
Milionové škody a vlna, která nekončí
Veřejně dostupná čísla ukazují jen špičku ledovce. MONETA v tiskové zprávě z listopadu 2025 uvedla 44 poškozených klientů a souhrnnou škodu 7,5 milionu korun, tedy průměrně asi 170 tisíc korun na oběť. Na Děčínsku policie v lednu 2026 evidovala devět případů s celkovou škodou přes 2,3 milionu korun. A v březnu 2026 jihočeská policie oznámila jediný případ, kdy oběť přišla o 2 690 821 korun.
Celostátní součet výhradně pro tento typ podvodu nikdo veřejně nezveřejnil. Kontext je ale výmluvný: Policie ČR v červnu 2026 oznámila, že počet kyberpodvodů v prvním čtvrtletí roku vzrostl o více než 37 %. Průměrná škoda u falešných policistů a bankéřů dosahuje stovek tisíc korun. Osmdesát procent obětí tvoří ženy, průměrný věk je 45 let, nejde tedy výhradně o seniory, jak by se mohlo zdát.
Proč i rozumný člověk naletí
Nejnebezpečnější na celém podvodu je, že oběť má po celou dobu pocit, že účet zachraňuje. Česká národní banka ve svém průvodci online podvody popisuje, jak pachatelé pracují se strachem, autoritou a časovým tlakem. Věty jako „musíte jednat hned“ nebo „nikomu nevolejte, jinak přijdete o peníze“ vyřadí kritické myšlení i u lidí, kteří by za normálních okolností žádnou neznámou aplikaci neinstalovali.
Oběť sama přikládá kartu, sama zadává PIN, sama potvrzuje operaci v bankovnictví. A právě to má zásadní právní důsledky. Zákon o platebním styku sice říká, že u neautorizovaných transakcí musí banka účet obnovit nejpozději do konce následujícího pracovního dne. Zároveň ale obsahuje výjimku: pokud klient jednal z hrubé nedbalosti nebo porušil povinnosti při zacházení s platební metodou, může nést ztrátu v plném rozsahu. ČNB na toto riziko upozorňuje. Vrácení peněz tedy není automatické a banky se o to s klienty v praxi často přou.
Běžného bezkontaktního placení se nemusíte bát
Důležité je oddělit dvě věci. Samotné bezkontaktní placení kartou v obchodě nebo přes mobilní peněženku není to, co tento podvod umožňuje. Policie zdůrazňuje, že nechce naznačovat, že bezkontaktní platby jsou samy o sobě nebezpečné. Riziko vzniká teprve kombinací podvodného hovoru, instalace škodlivé aplikace mimo oficiální obchod, přiložení karty k této aplikaci a často i vyzrazení PINu.
Tokenizované peněženky jako Apple Pay nebo Google Pay jsou pro tento konkrétní scénář bezpečnější než fyzická karta. Apple Pay používá takzvaný Device Account Number uložený v zabezpečeném čipu telefonu a dynamické bezpečnostní kódy; skutečné číslo karty se nikam nepřenáší. Google Pay funguje na podobném principu. Podvodník by tedy přiložením telefonu s Apple Pay nebo Google Pay k falešné aplikaci nezískal data, pomocí kterých by mohl vybírat z bankomatu.
Co dělat, když máte podezření, a jak se bránit preventivně
Pokud jste kartu k telefonu na cizí pokyn přiložili nebo máte sebemenší podezření, že jste s podvodníkem mluvili, jednejte okamžitě:
- Zablokujte kartu v mobilním bankovnictví, zvládnete to během několika sekund.
- Zavolejte bance na oficiální číslo z webu nebo z karty, ne na číslo, které vám nadiktoval volající.
- Zkontrolujte pohyby na účtu včetně čekajících transakcí. Komerční banka upozorňuje, že podvodné transakce se mohou zobrazit jako „čekající“.
- Podejte oznámení na policii.
Preventivně platí pravidlo, které zásady shrnuje do tří písmen: 3Z, tedy zastav, zavěs, zkontroluj. Žádná banka ani policie po vás nikdy nebude chtít, abyste instalovali aplikaci z odkazu, přikládali kartu k telefonu nebo sdělovali PIN. Pokud to volající žádá, je to podvodník. Vždy.
Vypnutí NFC na telefonu může být doplňkové opatření pro ty, kdo ho běžně nepoužívají. Samo o sobě ale problém neřeší, protože hlavním rizikem není technologie, nýbrž člověk na druhém konci linky, který vás přesvědčí, že děláte správnou věc.