Podvod na cestovatele v zahraničí: Číšník si odnese kartu „na terminál vzadu“ a za minutu vás obere. Nedávejte ji z ruky

Stačí třicet sekund mimo váš dohled a z karty podvodník získá všechno, co potřebuje k online nákupu na druhém konci světa.

Zdroj fotografie: Pexels

Scéna se opakuje každé léto v tisících restauracích od Řecka po Floridu. Dojedli jste, dostanete žádost o účet, nebo s úsměvem předáte kartu a ta zmizí „k terminálu vzadu“. Za minutu se vrátí, zadáte PIN nebo podepíšete účtenku, všechno vypadá normálně. Jenže mezi tím, než karta zmizela z vašeho zorného pole, a chvílí, kdy se vrátila, mohl někdo mobilem vyfotit obě strany plastu: číslo karty, datum platnosti, vaše jméno a třímístný CVC kód na zadní straně. Víc nepotřebuje. Britská policie tento scénář popisuje ve svých školicích materiálech jako jeden z běžných způsobů, jak dochází k podvodům bez fyzické přítomnosti karty. A vy se o tom často dozvíte až dny nebo týdny poté, když vám v historii naskočí platba, kterou jste nikdy neprovedli.

Terminál kde vzadu není jen chyba, ale bezpečnostní díra

V Česku jsme zvyklí, že obsluha přinese přenosný terminál ke stolu. Přiložíte kartu, zadáte PIN, hotovo. Jenže tento model není celosvětovým standardem. Visa ve svých materiálech pro restaurace popisuje dva provozní režimy: moderní variantu s terminálem u hosta a starší, kdy obsluha zpracuje kartu u pokladny mimo dohled zákazníka. Ten starší přetrvává v části americké gastronomie, v některých přímořských letoviscích i jinde ve světě, často ne proto, že by byl bezpečnější, ale proto, že podniky dosud neinvestovaly do přenosných terminálů nebo mají zavedený systém dopisování spropitného po autorizaci.

Z pohledu cestovatele je klíčové jedno: jakmile karta opustí váš dohled, vzniká prostor pro zneužití. Nezáleží na tom, jestli sedíte v luxusní pařížské brasserii, nebo v taverně na řeckém ostrově. Rozhoduje proces, ne destinace.

Co přesně podvodník s opsanými údaji udělá

Opsání nebo vyfocení karty není totéž co skimming na bankomatu. Při skimmingu pachatel kopíruje data z magnetického proužku a současně odpozoruje PIN, aby pak mohl vyrobit fyzický klon karty a vybírat hotovost. Restaurační trik míří jinam: na internetové a telefonické platby, kde fyzická karta není potřeba.

Číslo karty, platnost a CVC stačí u řady e-shopů k dokončení objednávky. Raiffeisenbank upozorňuje, že většina českých obchodníků vyžaduje ověření přes 3D Secure, ale existují zahraniční weby, které tuto ochranu stále nepoužívají. Tam může platba projít jen se základními údaji z karty.

Podle INTERPOLu oběti často dlouho netuší, že jejich data unikla. Získané údaje se nemusí použít hned, mohou být prodány dál nebo aktivovány s odstupem týdnů v jiné zemi. Vyšetřování pak vyžaduje mezinárodní koordinaci, což výrazně snižuje šanci na rychlé dopadení pachatele.

Rozsah problému není zanedbatelný. Zprávy ECB a EBA uvádějí, že celkové ztráty z karetních podvodů u plateb vydaných v EU a EHP dosáhly v roce 2024 zhruba 1,3 miliardy eur. A zásadní detail: u plateb, kde byl příjemce mimo Evropský hospodářský prostor, je míra podvodů výrazně vyšší. Právě tam, kam Češi často míří na dovolenou.

Jak se bránit: pět konkrétních kroků před cestou i u stolu

Nejúčinnější obrana není přestat platit kartou v zahraničí. Stačí změnit jednu rutinu: kartu nenechat z ruky ani z dohledu.

• Trvejte na terminálu u stolu. Pokud ho restaurace nemá, vstaňte a doprovoďte platbu k pokladně. Slušný podnik v tom problém dělat nebude.
• Plaťte mobilem nebo hodinkami. Digitální peněženky (Apple Pay, Google Pay, Garmin Pay) používají tokenizaci, takže obchodník nikdy nevidí skutečné číslo karty. Mastercard uvádí, že každou transakci chrání jedinečný kryptogram.
• Před cestou snižte limity. V aplikaci banky nastavte internetový limit na minimum nebo nulu a zapínejte ho jen při nákupu. Některé banky umožňují i vypnutí magnetického proužku.
• Používejte zamykání karty. Kartu si zamkněte a odemykejte jen na dobu platby. Většinou jde o pár kliknutí v aplikaci.
• Používejte virtuální karty pro online platby. Česká spořitelna i další banky nabízejí jednorázové virtuální karty s unikátními údaji, které se po transakci zneplatní.

Když už se to stane: český zákon je na vaší straně

Podezřelou transakci v historii plateb nepodceňujte, i když jde o malou částku; podvodníci často nejdřív testují kartu drobnými platbami. ČNB doporučuje jasný postup: okamžitě kartu zablokovat v aplikaci, zavolat na blokační linku banky, projít historii a označit sporné transakce, podat reklamaci a teprve poté kontaktovat policii.

Zákon o platebním styku (č. 370/2017 Sb.) stanoví, že u neautorizovaných transakcí musí banka provést náhradu nejpozději do konce následujícího pracovního dne po oznámení, pokud nemá důvodné podezření na podvodné jednání klienta. Důkazní břemeno navíc primárně neleží na vás: banka musí doložit, že transakce byla autentizována a správně provedená. Standardní limit odpovědnosti klienta před nahlášením činí 50 eur, tedy zhruba 1 250 Kč. Na oznámení máte ze zákona až 13 měsíců, ale čím dříve problém nahlásíte, tím lépe.

Česká statistika ukazuje, že nejde o okrajový problém ani doma. ČNB za rok 2024 evidovala 232 tisíc podvodných karetních transakcí a v prvním pololetí 2025 dalších 106 tisíc. Počet stížností na platební podvody dlouhodobě roste.

Jedno pravidlo si stačí zapamatovat: pokud má karta odejít z vašeho dohledu, je to přesně ten moment, kdy máte sáhnout po mobilu nebo hotovosti. Třicet sekund nepozornosti může znamenat týdny řešení.