Většina Čechů si ničeho nevšimne a prostě klikne. Podvodný e-mail nebo SMS ale můžete spolehlivě rozpoznat i v době AI

Český národní CSIRT letos do začátku června eviduje přes tisíc phishingových incidentů, a sezona teprve začíná.

Zdroj fotografie: Unsplash

Ještě před dvěma lety platilo jednoduché pravidlo: podvod poznáte podle kostrbaté češtiny. Dnes ho můžete zahodit. Umělá inteligence píše bezchybně, napodobuje úřední tón a dokáže zprávu personalizovat vaším jménem, adresou i číslem zásilky. FBI v květnové zprávě za rok 2025 eviduje přes 22 tisíc stížností spojených s podvody využívajícími AI a škodu přesahující 21 miliard korun. V Česku situace kopíruje globální trend: CSIRT.CZ řešil v roce 2023 přes dva tisíce phishingových případů, loni 1 688 a letos se čísla opět šplhají nahoru. Podvodníci přitom nemuseli změnit základní trik. Pořád potřebují jediné: přimět vás ke kliknutí, zadání údajů nebo platbě. A právě v tom je šance na obranu.

Proč stará pravidla přestala fungovat

Česká pošta to na svém webu říká přímo: doba špatné češtiny je pryč. Podvodné e-maily dnes vypadají jako oficiální korespondence, se správným logem, formátováním a bezchybnou diakritikou. Microsoft v analýze Cyber Signals popisuje, jak AI dokáže během sekund prohlížet veřejné profily, firemní weby a sociální sítě, aby z nich sestavila detailní profil oběti. Výsledkem je zpráva, která zná vaše jméno, ví, že čekáte balík, a tváří se jako notifikace dopravce.

Britské NCSC upozorňuje, že po každém úniku dat se objeví vlna phishingu, která vypadá jako individuálně cílená, přestože jde o masovou rozesílku. Stačí, aby se vaše e-mailová adresa a jméno ocitly v uniklé databázi, a podvodník má dost materiálu na důvěryhodný podvrh.

Pět otázek, které odhalí podvod

Spolehlivé rozpoznání neznamená najít jeden magický znak. Znamená to projít krátký kontrolní postup, který podvodníkovi přeruší cestu k vašim penězům nebo údajům:

• Čekám takovou zprávu? Pokud vám přijde SMS o zásilce a nic jste si neobjednali, je to první varovný signál.
• Sedí doména odesílatele? Česká pošta používá výhradně domény ceskaposta.cz a cpost.cz, Bank iD jen bankid.cz. Cokoli jiného je podvrh.
• Chce po mně přihlášení, platbu nebo údaje o kartě? Policie ČR opakuje, že banky ani úřady nikdy nežádají osobní údaje přes SMS.
• Tlačí na čas? Formulace typu „máte 24 hodin“ nebo „účet bude zablokován“ jsou klasickým nátlakovým nástrojem. Legitimní instituce vám dají prostor.
• Vede mě mimo oficiální kanál? Pokud zpráva obsahuje odkaz, ale můžete se přihlásit přímo v aplikaci banky nebo na webu, který máte v záložkách, udělejte to. Vždy mimo přijatou zprávu.

Tento postup funguje bez ohledu na to, jak dokonale zprávu napsala AI. Forma může být bezchybná, ale proces (požadavek na citlivý úkon přes cizí odkaz) zůstává podezřelý.

Koho podvodníci v Česku nejčastěji napodobují

Mezi pravidelně zneužívané značky podle aktuálních oficiálních varování patří Česká pošta s opakovanými vlnami SMS o nedoručené zásilce, doplatku nebo clu. Finanční správa varuje před phishingem napodobujícím finanční úřad po celé republice. Komerční banka v únoru 2026 upozornila na falešné SMS vydávající se za službu Bank iD. A Policie ČR v květnu 2026 řešila vlnu podvodných SMS o dopravním přestupku a pokutě, přitom policie pokuty přes SMS nevybírá.

Digitální Česko spolu s NÚKIB a Českou poštou mluví o desítkách nových pokusů o podvod měsíčně. Nejde o jednorázový výkyv, ale o trvalou vlnu.

Co se stane, když kliknete, a co dělat potom

Samotné otevření podvodné stránky nemusí okamžitě způsobit škodu, pokud nic nezadáte. Česká spořitelna uvádí, že při pouhém kliknutí bez vyplnění údajů nemusí být bankovnictví kompromitováno. Jenže stačí vyplnit jedno pole a situace se mění. FBI popisuje scénář, kdy útočník po získání přihlašovacích údajů okamžitě změní heslo a odčerpá peníze.

Pokud jste zadali údaje:

• Okamžitě volejte bance přes číslo z oficiálního webu, ne ze zprávy. Žádejte blokaci.
• Změňte hesla ke všem účtům, kde používáte stejné nebo podobné údaje.
• Nahlaste incident – Policie ČR má online formulář Hlášení kyberkriminality, CSIRT.CZ přijímá hlášení na abuse@csirt.cz i přes webový formulář.
• Pokud se něco stáhlo, odpojte zařízení od citlivých účtů a proveďte kontrolu bezpečnostním softwarem. Škodlivá příloha (ať už .exe, .zip nebo HTML soubor) může nainstalovat malware až ransomware.

Rychlost rozhoduje. FBI u podvodů doporučuje okamžitý kontakt s bankou, protože šance na vrácení peněz klesá s každou hodinou.

Jeden návyk místo sta pravidel

Všechny kontrolní seznamy, varování institucí a bezpečnostní analýzy se dají zredukovat na jediný princip: nikdy neřešte účet, identitu ani platbu přes odkaz, který vám někdo poslal. Vždy jděte přímo, přes aplikaci, uloženou záložku nebo telefonní číslo z oficiálního webu.

AI dokáže napsat dokonalou zprávu. Nedokáže změnit to, že vás legitimní banka nikdy nepošle řešit blokaci účtu přes odkaz v SMS.